Notions de base de log Collection

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Fonctionnement de la collecte de logs

Le service Log Collector collecte des logs depuis des sources d'événements dans tout l'environnement IT dans une organisation et transfère les logs à d'autres composants NetWitness Suite. Les logs et le contenu descriptif sont stockés sous forme de métadonnées pour une utilisation dans des procédures d'enquête et des rapports.

Les sources d'événements sont les ressources sur le réseau, telles que des serveurs, des commutateurs réseau, des routeurs, des baies de stockage, des systèmes d'exploitation et des pare-feu. Dans la plupart des cas, votre équipe de technologies de l'information (IT) configure des sources d'événements pour envoyer leurs logs au service Log Collector et l'administrateur NetWitness Suite configure le service Log Collector pour interroger des sources d'événements et récupérer leurs logs. Par conséquent, le Log Collector reçoit tous les logs sous leur forme d'origine.

Protocole de collecte

RSA NetWitness Suite peut collecter des logs à partir d'un large éventail de sources d'événements. Lorsque vous configurez la collecte de logs pour une source d'événement spécifique, vous devez avant tout connaître le protocole utilisé pour collecter les logs.

                                                       
Protocole de collecteDescription
Check Point

Collecte des événements issus de sources d'événements Check Point à l'aide d'une interface OPSEC LEA. OPSEC LEA est l'APIE Check Point Operations Security Log Export qui facilite l'extraction des fichiers log. Pour plus d'informations, reportez-vous à la rubrique Configurer des sources d'événement Check Point dans NetWitness Suite.

Fichier 

Collecte des événements depuis des fichiers logs. Les sources d'événements génèrent des fichiers log qui sont transférés à l'aide d'une méthode de transfert de fichiers sécurisée vers le service Log Collector.

Pour plus d'informations, reportez-vous à la rubrique Configurer des sources d'événements de fichiers dans NetWitness Suite.

Netflow

Accepte les événements Netflow v5 et Netflow v9. Pour plus d'informations, reportez-vous à la rubrique Configurer des sources d'événements Netflow dans NetWitness Suite.

ODBC

Collecte les événements des sources d'événements qui stockent les données d'audit dans une base de données à l'aide de l'interface logicielle ODBC (Open Database Connectivity). Pour plus d'informations, reportez-vous à la rubrique Configurer des sources d'événements ODBC dans NetWitness Suite.

Plug-ins

La collecte de plug-ins est un cadre de collecte générique pour collecter des événements à l'aide de scripts externes écrits dans d'autres langues. RSA effectue actuellement la collecte pour Amazon Web Services (AWS) CloudTrail et Microsoft Azure.

Les clients peuvent utiliser ce cadre pour développer leurs propres protocoles de collecte.

SDEE

Collecte les messages IDS (Intrusion Detection System) et IPS (Intrusion Prevention Service).
Pour plus d'informations, reportez-vous à la rubrique Configurer des sources d'événements SDEE dans NetWitness Suite.

Trap SNMP

Accepte les traps SNMP. Pour plus d'informations, reportez-vous à la rubrique Configurer des sources d'événements SNMP dans NetWitness Suite.

Syslog

Accepte des messages de sources d'événements qui émettent des messages Syslog. Pour plus d'informations, reportez-vous à la rubrique Configurer des sources d'événements Syslog pour le collecteur distant.

Remarque : Ne configurez pas la collecte Syslog pour les Log Collectors locaux. Vous devez uniquement configurer Syslog Collection pour les Remote Collectors.

VMware

Collecte des événements issus d'une infrastructure virtuelle VMware. Pour plus d'informations, reportez-vous à la rubrique Configurer des sources d'événement VMware dans NetWitness Suite.

Windows

Collecte des événements de machines Windows prenant en charge le modèle Microsoft Windows. Windows 6.0 est un framework de consignation et de suivi des événements compris dans les systèmes d'exploitation à partir de Microsoft Windows Vista et Windows Server 2008. Pour plus d'informations, reportez-vous à la rubrique Configurer des sources d'événement Windows dans NetWitness Suite.

Windows d'ancienne génération

Collecte des événements depuis :

  • D'anciennes versions de Windows comme Windows 2000 et Windows 2003 et collecte depuis des sources d'événements Windows qui sont déjà configurées pour une collection enVision sans devoir les reconfigurer.
  • Sources d'événements d'appliances ONTAP NetApp afin que vous puissiez maintenant collecter et analyser des fichiers NetApp evt.
  • Pour plus d'informations, reportez-vous à la rubrique Guide de configuration de la collecte Windows d'ancienne génération et NetApp.

Remarque : Installez le collecteur NetWitness SuiteWindows d'ancienne génération sur un serveur physique ou virtuel Windows 2008 R2 SP1 64 bits à l'aide du fichier SALegacyWindowsCollector-version-number.exe.

You are here
Table of Contents > Notions de base de la collecte de logs

Attachments

    Outcomes