Decoder: Habilitar el mapeo de orígenes de eventos

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se indica a los administradores cómo habilitar el mapeo de orígenes de eventos en un Log Decoder.

El Log Collector descubre el tipo de origen de eventos por mensaje. Si no se identifica el analizador correcto para el origen de eventos, un pequeño porcentaje de los registros se puede identificar erróneamente. Los mensajes clasificados incorrectamente no completan las reglas y las alertas de orígenes de eventos y los informes no tienen los datos correctos. Si hay múltiples tipos de orígenes de eventos asociados con una dirección IP, es difícil para los analizadores identificar el origen de eventos exacto desde el cual se generan los registros.

Si mapea una dirección IP a su tipo de origen de eventos, el Log Decoder puede identificar el origen de eventos desde el cual se genera el registro. Cuando se distribuyen mensajes al Log Decoder desde un origen de eventos mapeado, solo se consultan los analizadores asignados para encontrar coincidencias de eventos.

Puede asignar tipos de orígenes de eventos a IPV4, IPV6 o al valor de nombre de host del origen de eventos. También puede asignar múltiples tipos de orígenes de eventos a una única dirección IP. También puede usar el ID de Log Collector cuando se envían distintos tipos de orígenes de eventos con la misma dirección IP a los distintos Log Collectors.

Nota: También puede habilitar las funciones de mapeo del analizador desplazándose a ADMIN > Orígenes de eventos > Descubrimiento.

Habilitar un mapeo de dirección IP a origen de eventos

Para habilitar un mapeo de dirección IP a origen de eventos:

  1. Vaya a ADMIN > Sistema > Mapeos de analizadores de registros.
  2. Seleccione Decoder y elija  > Ver > Configuración.
  3. En la página Configuración, seleccione la pestaña Mapeos de analizador.
    La pestaña Mapeos de analizador se muestra en la vista Configuración de servicios.
    Este es un ejemplo de la pestaña Mapeos de analizador.

Actualizar un mapeo de dirección IP a origen de eventos

Para actualizar un mapeo de dirección IP a origen de eventos:

  1. Vaya a ADMIN > Servicios.
  2. Seleccione un Log Decoder y, en la columna Acciones, elija Menú Acciones > Ver > Configuración.
    Se muestra la vista Configuración de servicios.
  3. Seleccione la pestaña Mapeo de analizadores.
  4. Haga clic enEl ícono Agregar.

    Se muestra el Editor de mapeos.
    Este es un ejemplo del cuadro de diálogo Editor de mapeos.

  5. Es posible definir cualquiera de los siguientes mapeos:

Un host y un tipo de origen de eventos
- En el campo Host, ingrese el nombre de host.  
  Por ejemplo:10.0.0.1
- En el campo Orígenes de evento, ingrese el tipo de origen de evento.
  Por ejemplo:apache
Un host y uno o más tipos de orígenes de eventos
- En el campo Host, ingrese el nombre de host.
  Por ejemplo: 10.0.0.1 
- En el campo Orígenes de evento, ingrese el tipo de origen de evento. 
  Por ejemplo: apache,sap,aix
Un host, un Log Collector y un tipo de origen de evento
- En el campo Host, ingrese el nombre de host y el ID de Log Collector.
  Por ejemplo: 10.0.0.1,LC-1.
- En el campo Orígenes de evento, ingrese el tipo de origen de evento.
  Por ejemplo: apache
Un host, un ID de Log Collector y uno o más tipos de orígenes de eventos
- En el campo Host, ingrese el nombre de host y el ID de Log Collector.
  Por ejemplo: 10.0.0.1,LC-1
- En el campo Orígenes de evento, ingrese el tipo de origen de evento.
  Por ejemplo: apache,sap,aix

Nota: Los tipos de orígenes de eventos se procesan en el orden en que se ingresan los analizadores y, si uno o más analizadores coinciden con un registro, se consulta el primer analizador de la lista. El host/IP puede ser IPv4, IPv6 o nombre de host.

  1. Haga clic en Aceptar.
    El mapeo de analizadores se agrega.
  1. Para cancelar la selección de mapeos de analizadores, haga clic en Cancelar.

Leer mapeos de dirección IP a tipo de origen de eventos

Para leer mapeos de dirección IP a tipo de origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Menú Acciones  > Ver > Configuración.
    Se muestra la vista Configuración de servicios.
  3. Seleccione la pestaña Mapeo de analizadores.
    Se muestran los mapeos.
    Este es un ejemplo de la pestaña Mapeos de analizador.

Editar un mapeo de dirección IP a tipo de origen de eventos

Para editar un mapeo de dirección IP a tipo de origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Menú Acciones  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. Seleccione el mapeo que desea editar.
    Nota: Solo puede editar un mapeo a la vez.
  5. Haga clic en El ícono Editar
  6. En el campo Orígenes de evento, modifique los orígenes de eventos.
    Nota: El host no se puede editar y el campo está deshabilitado.
  7. Haga clic en Aceptar para aceptar el origen de evento editado.
  8. Para cancelar los cambios, haga clic en Cancelar.

Eliminar un mapeo de dirección IP a tipo de origen de eventos

Para eliminar un mapeo de dirección IP a tipo de origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Menú Acciones  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. Seleccione el mapeo que desea eliminar.
  5. Haga clic en El ícono Eliminar.
    Se elimina el mapeo y se actualiza la cuadrícula.
  6. Para cancelar los cambios, haga clic en Cancelar.

Ordenar el nombre de host o el tipo de origen de eventos

Para ordenar el nombre de host o el tipo de origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Menú Acciones  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. Para ordenar una columna, haga clic en
    en su encabezado.Los tipos de origen de eventos se aplican para la dirección IP seleccionada. Los registros se analizan en los analizadores en el orden en que aparecen.

Importar entradas de mapeo de dirección IP a origen de eventos

Para importar entradas de mapeo de dirección IP a origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Menú Acciones  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. Seleccione Acciones > Importar.
    Se muestra el cuadro de diálogo Importar.

    Este es un ejemplo del cuadro de diálogo Importar.
  5. Haga clic en El ícono Agregar.
  6. Seleccione el archivo que desea importar y haga clic en Aceptar.
  7. Para cargar el analizador, haga clic en Importar.

Nota: Solo puede importar un archivo .csv por vez.

Exportar entradas de mapeo de dirección IP a origen de eventos

Para exportar entradas de mapeo de dirección IP a origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Menú Acciones  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. Seleccione los mapeos que desea exportar.
  5. Seleccione Acciones > Exportar > Selección.
    Se muestra el cuadro de diálogo Selección de exportación.
    Este es un ejemplo del cuadro de diálogo Selección de exportación.
  6. Ingrese el nombre de archivo y haga clic en Exportar.

Buscar entradas de mapeo de dirección IP a origen de eventos

Para buscar entradas de mapeo de dirección IP a origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Menú Acciones  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. En la barra de herramientas Mapeo de analizadores, ingrese el host o el origen de eventos en el campo Filtro.
  5. Haga clic en Intro.
    Se muestran los hosts o los orígenes de eventos que coinciden con los nombres ingresados en el campo Filtro.

You are here
Table of Contents > Procedimientos adicionales de Decoder y Log Decoder > Habilitar el mapeo de orígenes de eventos

Attachments

    Outcomes