Collecte Windows d'ancienne génération : Étape 2. Configurer des sources d'événements dans Security Analytics

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique vous indique comment configurer des sources d'événements Windows d'ancienne génération dans NetWitness Suite.

Le protocole de collecte Windows d'ancienne génération collecte les données d'événements des sources d'événements Windows 2003 ou antérieures et NetApp.

Conditions préalables

Avant de configurer une source d'événement Windows d'ancienne génération, vérifiez les points suivants :

  1. Le collecteur distant Windows d'ancienne génération de NetWitness Suite est installé sur un serveur physique ou virtuel Windows 2008 64 bits.
  2. Le collecteur distant Windows d'ancienne génération a été ajouté à NetWitness Suite.

Ajouter une source d'événements Windows d'ancienne génération.

  1. Pour accéder à la vue Services, cliquez sur le menu NetWitness Suite et sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez le service Windows d'ancienne génération Log Decoder.
  3. Sous Actions, puis sélectionnez > Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Cliquez sur l'onglet Sources d'événements.
  5. Sous l'onglet Sources d'événements, sélectionnez l'une des options suivantes dans le menu déroulant.

    • Windows d'ancienne génération/Windows.
    • Windows d'ancienne génération/NetApp.
  6. Configurer l'alias :

    1. Cliquez sur dans la barre d'outils du panneau Catégories d'événements.

      La boîte de dialogue Ajouter une source s'affiche.

    2. Spécifiez des valeurs de paramétrage, puis cliquez sur OK.

      Add source dialog is displayed.

      Remarque : Par défaut, l'Initialisation de registre à distance est sélectionnée. Pour plus d'informations, reportez-vous à la section Service de registre à distance ci-dessous.

      Le type de source d'événement Windows nouvellement ajouté s'affiche dans le panneau Catégories d'événements.

  7. Ajouter la source de l'événement :

    1. Sélectionnez le nouvel alias dans le panneau Catégories d'événements, puis cliquez sur dans la barre d'outils du panneau Sources.

      La boîte de dialogue Ajouter une source s'affiche.

    2. Spécifiez les paramètres de la source d'événement, puis cliquez sur OK.

      Add Source dialog displayed with selected options.

      Pour plus d'informations, reportez-vous à la section Paramètres de Configuration de Windows d'ancienne génération ci-dessous.

      La source d'événement Windows nouvellement ajoutée s'affiche dans le panneau Catégories d'événements.

      Options for Sources dialog.

Service de registre à distance

Le service Collector Windows d'ancienne génération effectue une vérification initiale de la source d'événement avant de collecter les données. Par défaut, le service Collector Windows d'ancienne génération utilise la méthode Windows Management Instrumentation (WMI) pour effectuer cette vérification initiale. Si vous activez la méthode Remote Registry Access, le service Collector Windows d'ancienne génération exécute une requête de registre distant pour vérifier la source d'événement.

Configurer la transmission ou l'extraction entre Log Collector et le collecteur Windows d'ancienne génération

Vous pouvez configurer le collecteur Windows d'ancienne génération pour transmettre les données d'événements à un collecteur local, ou vous pouvez configurer un collecteur local pour extraire les données d'événements du collecteur Windows d'ancienne génération.

Pour configurer un collecteur local ou le collecteur Windows d'ancienne génération :

  1. Accédez à ADMIN > Services.
  2. Sélectionnez un collecteur local ou le service de collecte Windows d'ancienne génération.
  3. Sous Actions, sélectionnez   > Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. En fonction de votre sélection à l'étape 2 :

    • Si vous avez sélectionné un collecteur local, l'onglet Collecteurs distants s'affiche. Sélectionnez le collecteur Windows d'ancienne génération à partir duquel le collecteur local extrait les événements dans cet onglet.
    • Si vous sélectionnez un collecteur Windows d'ancienne génération, les Collecteurs locaux s'affichent. Sélectionnez les collecteurs locaux vers lesquels le collecteur Windows d'ancienne génération envoie des événements dans cet onglet.

Paramètres de Configuration de Windows d'ancienne génération

Le tableau suivant décrit les paramètres pour une source d'événement Windows d'ancienne génération.

                                                                         
FonctionnalitéDescription
Basique
Nom*Nom de la source de l'événement. La valeur valide est un nom compris dans la plage [_a-zA-Z] [_a-zA-Z0-9]*. Vous pouvez utiliser un trait « - » comme partie du nom.
Adresse de la source d'événement*Adresse IP de la source d'événement. Une valeur valide peut être une adresse IPv4, une adresse IPv6 ou un nom d'hôte comprenant un nom de domaine complet. NetWitness Suite par défaut est 127.0.0.1.
Log Collector convertit le nom d'hôte en lettres minuscules pour éviter les doublons.
Nom du log d'événements

Nom du log des événements à partir duquel collecter les données d'événements (par exemple, Système, Application, or Sécurité).
Voici quelques exemples de canaux :

  • Système ‐ applications qui s'exécutent sous des comptes de service système (services système installés), des pilotes, des composants ou des applications avec des événements liés à l'intégrité du système.
  • Application ‐ toutes les applications de niveau utilisateur. Ce canal est non-sécurisé et reste ouvert à n'importe quelle application. Si une application comporte des informations détaillées, vous devez lui définir un canal qui lui est spécifique.
  • Sécurité ‐ le journal d'audit Windows (log d'événements) utilisé exclusivement pour l'Autorité de sécurité locale de Windows.
ActivéCochez cette case pour effectuer une collecte à partir de cette source d'événement. Si vous ne cochez pas cette case, le Log Collector ne collectera pas les événements de cette source d'événements.
Chemin d'accès au répertoire d'événements

Chemin du répertoire de fichiers NetApp .evt ou .evtx. Ce doit être le chemin UNC.

NetApp génère des données d'événements et les enregistre dans des fichiers .evt ou .evtx au sein d'un répertoire qu'il est possible de partager sur l'appliance NetApp.

  • Lors de chaque cycle d'interrogation, Log Collector parcourt le chemin partagé NetApp qui a été configuré pour les fichiers .evt identifiés dans les paramètres Chemin d'accès au répertoire d'événements et Préfixe des fichiers d'événements. Log Collector :

    • trie les fichiers qui correspondent au format event-file-prefix.YYMMDDhhmmss.evt, par ordre croissant.

    • utilise l'horodatage du dernier fichier traité pour déterminer les fichiers qui doivent encore être traités. Si Log Collector trouve un fichier traité partiellement, il ignore les événements déjà traités.
  • Lors de chaque cycle d'interrogation, Log Collector parcourt le chemin partagé NetApp qui a été configuré jusqu'aux fichiers .evtx identifiés dans les paramètres Chemin d'accès au répertoire d'événements et Préfixe des fichiers d'événements. Log Collector :

    • trie les fichiers qui correspondent au format event-file-prefix.AAMMJJhhmmss.evtx, par ordre croissant.

    • utilise l'horodatage du dernier fichier traité pour déterminer les fichiers qui doivent encore être traités. Si Log Collector trouve un fichier traité partiellement, il ignore les événements déjà traités.

Préfixe des fichiers d'événementsPréfixe des fichiers .evt (par exemple, adtlog.) enregistrés au Chemin d'accès au répertoire d'événements.
Avancé 
Taille du tampon d'événement

Taille maximale des données que Log Collector extrait de la source d'événement pour chaque requête.

La valeur valide est un nombre compris entre 0 et 511 kilo-octets. Vous spécifiez cette valeur en kilo-octets.

Résultats des événements trop volumineuxIndique à Log Collector ce qu'il doit faire si un événement est trop volumineux pour le tampon d'événement.
Nombre maximal de données d'événements

Taille maximum des données d'événement à inclure dans la sortie. La valeur valide est un nombre compris entre 0 et 511 kilo-octets. Vous spécifiez cette valeur en kilo-octets ou mégaoctets.

  • 1 kilo-octet - 100 mégaoctets
  • 0 = n'inclut pas les données d'événements dans la sortie.
Nbre max. d'événements par cycleNombre maximal d'événements par cycle d'interrogation (nombre d'événements collectés par cycle d'interrogation).
Intervalle d'interrogation :

Intervalle (durée en secondes) entre chaque interrogation. La valeur par défaut est 180.

Par exemple, si vous spécifiez 180, le collecteur planifie une interrogation de la source d'événement toutes les 180 secondes. Si le cycle d'interrogation précédent est toujours en cours, il est nécessaire d'attendre qu'il se termine. Si vous avez un grand nombre de sources d'événements à interroger, il se peut que l'opération d'interrogation mette plus de 180 secondes avant de démarrer, car les threads sont occupés.

Débogage

Attention : n'activez le débogage (paramètre défini sur On ou Verbose) que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active ou désactive la consignation du débogage pour la source d'événement. Les valeurs autorisées sont les suivantes :

  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose  = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.

Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire). Limitez le nombre de sources d'événements pour lesquelles vous utilisez le débogage Verbose pour réduire l'impact sur les performances.

AnnulerFerme la boîte de dialogue sans ajouter la source d'événement Windows d'ancienne génération.
OKAjoute les valeurs de paramétrage actuelles en tant que nouvelle source d'événement
You are here
Table of Contents > Protocole de collecte > Guide de configuration de la collecte Windows d'ancienne génération et NetApp > Configurer des sources d'événements Windows d'ancienne génération et NetApp dans RSA NetWitness

Attachments

    Outcomes