Archiver: Definir reglas de retención

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Los administradores pueden definir y ordenar las reglas de retención para las recopilaciones de almacenamiento de registros en un Archiver. Las reglas de retención especifican el tipo de registros que se almacenarán en la recopilación. Para que las recopilaciones de registros recopilen y almacenen datos del registro, debe asociarlas al menos con una regla de retención. Cuando configura una regla de retención, debe especificar una condición y una recopilación para esa regla. La condición (definición de regla) determina el tipo de registros almacenados en esa recopilación.

Para la condición, puede usar cualquier elemento que funcione en una cláusula where de una consulta normal.

Por ejemplo, para obtener registros de servicios de cumplimiento de normas, puede usar la siguiente condición:

device.group='PCI Devices' || device.group='HIPPA Devices'

Después de definir las reglas de retención para las recopilaciones, es importante que especifique el orden de las reglas de retención. NetWitness Suite evalúa las reglas de retención para todas las recopilaciones en orden numérico según el número que se indica en la columna Orden de la sección Regla de retención de la pestaña Retención de datos del Archiver (ADMIN > vista Configuración de servicios).

Se muestra la sección Reglas de retención.

Precaución: El orden de las reglas es muy importante. Determina la prioridad de evaluación de los datos del registro para la retención del almacenamiento.

Requisitos previos

Antes de configurar las reglas de retención:

  • Configure el almacenamiento activo, semiactivo e inactivo total
  • Configure recopilaciones de almacenamiento de registros

Procedimientos

Definir una regla de retención para una recopilación

  1. Vaya a ADMIN > Servicios.
  2. Seleccione el servicio Archiver y elija ic-actns.png > Ver > Configuración.
    Se muestra la vista Configuración de servicios de Archiver.
  3. En la sección Regla de retención de la pestaña Retención de datos,
    haga clic en ic-add.png.
    Se muestra el cuadro de diálogo Definición de regla.
    Se muestra el cuadro de diálogo Definición de regla.
  4. Configure los campos del cuadro de diálogo Definición de regla como se describe en la siguiente tabla:              
    CampoDescripción
    Nombre de la reglaEspecifique un nombre único para la regla de retención. No puede incluir espacios. Por ejemplo: LowValueWinLogs
    CondiciónEspecifique las condiciones para el tipo de registros que desea incluir en la recopilación.

    Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP.

    Por ejemplo:
    device.type='winevent_nic' && msg.id='security_4648_security'
    CollectionSeleccione la recopilación en la cual desea aplicar esta regla. Por ejemplo: LowValue.
  5. Haga clic en Guardar.
    La regla de retención que define se asocia con la recopilación que seleccionó. En la sección Recopilaciones de la pestaña Retención de datos, puede hacer clic en ActionsButton.png > Seleccionar reglas en la columna Acciones para la recopilación seleccionada con el fin de ver las reglas de retención asociadas con la recopilación en la sección Regla de retención.
    Se muestra la sección Regla de retención.

Especificar el orden de las reglas de retención

Para dar prioridad a la lista completa de todas las reglas de retención:

  1. En la sección Regla de retención de la pestaña Retención de datos, seleccione una regla de retención y use arrastrar y soltar (o seleccione ic-up.png Subir y ic-down.png Bajar) para cambiar su orden en la lista de prioridad.

    Se muestra la sección Reglas de retención de la pestaña Retención de datos.
  2. Haga clic en Aplicar para guardar el orden de las reglas de retención.

Precaución: El orden de las reglas es muy importante. Determina la prioridad de evaluación de los datos del registro para la retención del almacenamiento.

Paso siguiente

Agregar Archiver como un origen de datos en Reporting Engine.

You are here
Table of Contents > Configuración básica de Archiver > Paso 3. Configurar el almacenamiento y la retención de registros de Archiver > Definir reglas de retención

Attachments

    Outcomes