Decoder: Habilitar el mapeo de orígenes de eventos

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

En este tema se indica a los administradores cómo habilitar el mapeo de orígenes de eventos en un Log Decoder.

El Log Collector descubre el tipo de origen de eventos por mensaje. Si no se identifica el analizador correcto para el origen de eventos, un pequeño porcentaje de los registros se puede identificar erróneamente. Los mensajes clasificados incorrectamente no completan las reglas y las alertas de orígenes de eventos y los informes no tienen los datos correctos. Si hay múltiples tipos de orígenes de eventos asociados con una dirección IP, es difícil para los analizadores identificar el origen de eventos exacto desde el cual se generan los registros.

Si mapea una dirección IP a su tipo de origen de eventos, el Log Decoder puede identificar el origen de eventos desde el cual se genera el registro. Cuando se distribuyen mensajes al Log Decoder desde un origen de eventos mapeado, solo se consultan los analizadores asignados para encontrar coincidencias de eventos.

Puede asignar tipos de orígenes de eventos a IPV4, IPV6 o al valor de nombre de host del origen de eventos. También puede asignar múltiples tipos de orígenes de eventos a una única dirección IP. También puede usar el ID de Log Collector cuando se envían distintos tipos de orígenes de eventos con la misma dirección IP a los distintos Log Collectors.

Nota: También puede habilitar las funciones de mapeo del analizador desplazándose a ADMINISTRAR > Orígenes de eventos > Descubrimiento.

Habilitar un mapeo de dirección IP a origen de eventos

Para habilitar un mapeo de dirección IP a origen de eventos:

  1. Vaya a ADMINISTRAR > Servicios y seleccione un Log Decoder.
  2. Seleccione  > Ver > Configuración.
  3. En la página Configuración, seleccione la pestaña Mapeos de analizador.
    La pestaña Mapeos de analizador se muestra en la vista Configuración de servicios.
    This is an example of the Parser Mappings tab.

Actualizar un mapeo de dirección IP a origen de eventos

Para actualizar un mapeo de dirección IP a origen de eventos:

  1. Vaya a ADMINISTRAR > Servicios.
  2. Seleccione un Log Decoder y, en la columna Acciones, elija Actions menu > Ver > Configuración.
    Se muestra la vista Configuración de servicios.
  3. Seleccione la pestaña Mapeo de analizadores.
  4. Haga clic enThe add icon.

    Se muestra el Editor de mapeos.

  5. Es posible definir cualquiera de los siguientes mapeos:
  • Un host y un tipo de origen de eventos
    En el campo Host, ingrese el nombre de host.
    Por ejemplo: 10.0.0.1
  • En el campo Orígenes de eventos, ingrese el tipo de origen de eventos.
    Por ejemplo: apache
  • Un host y uno o más tipos de orígenes de eventos
    En el campo Host, ingrese el nombre de host.
    Por ejemplo: 10.0.0.1 
  • En el campo Orígenes de eventos, ingrese el tipo de origen de eventos. 
    Por ejemplo: apache,sap,aix
  • Un host, un Log Collector y un tipo de origen de evento
    En el campo Host, ingrese el nombre de host y el ID de Log Collector.
    Por ejemplo: 10.0.0.1,LC-1
  • En el campo Orígenes de eventos, ingrese el tipo de origen de eventos.
    Por ejemplo: apache
  • Un host, un ID de Log Collector y uno o más tipos de orígenes de eventos
    En el campo Host, ingrese el nombre de host y el ID de Log Collector.
    Por ejemplo: 10.0.0.1,LC-1
  • En el campo Orígenes de eventos, ingrese el tipo de origen de eventos.
    Por ejemplo: apache,sap,aix

Nota: Los tipos de orígenes de eventos se procesan en el orden en que se ingresan los analizadores y, si uno o más analizadores coinciden con un registro, se consulta el primer analizador de la lista. El host/IP puede ser IPv4, IPv6 o nombre de host.

  1. Haga clic en Aceptar.
    El mapeo de analizadores se agrega.
  1. Para cancelar la selección de mapeos de analizadores, haga clic en Cancelar.

Leer mapeos de dirección IP a tipo de origen de eventos

Para leer mapeos de dirección IP a tipo de origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Actions menu  > Ver > Configuración.
    Se muestra la vista Configuración de servicios.
  3. Seleccione la pestaña Mapeo de analizadores.
    Se muestran los mapeos.
    This is an example of the Parser Mappings tab.

Editar un mapeo de dirección IP a tipo de origen de eventos

Para editar un mapeo de dirección IP a tipo de origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Actions menu  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. Seleccione el mapeo que desea editar.
    Nota: Solo puede editar un mapeo a la vez.
  5. Haga clic en The edit icon
  6. En el campo Orígenes de eventos, modifique los orígenes de eventos.
    Nota: El host no se puede editar y el campo está deshabilitado.
  7. Haga clic en Aceptar para aceptar el origen de evento editado.
  8. Para cancelar los cambios, haga clic en Cancelar.

Eliminar un mapeo de dirección IP a tipo de origen de eventos

Para eliminar un mapeo de dirección IP a tipo de origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Actions menu  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. Seleccione el mapeo que desea eliminar.
  5. Haga clic en The delete icon.
    Se elimina el mapeo y se actualiza la cuadrícula.
  6. Para cancelar los cambios, haga clic en Cancelar.

Ordenar el nombre de host o el tipo de origen de eventos

Para ordenar el nombre de host o el tipo de origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Actions menu  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. Para ordenar una columna, haga clic en
    en su encabezado.Los tipos de origen de eventos se aplican para la dirección IP seleccionada. Los registros se analizan en los analizadores en el orden en que aparecen.

Importar entradas de mapeo de dirección IP a origen de eventos

Para importar entradas de mapeo de dirección IP a origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Actions menu  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. Seleccione Acciones > Importar.
    Se muestra el cuadro de diálogo Importar.

    This is an example of the Import dialog.
  5. Haga clic en The add icon.
  6. Seleccione el archivo que desea importar y haga clic en Aceptar.
  7. Para cargar el analizador, haga clic en Importar.

Nota: Solo puede importar un archivo .csv por vez.

Exportar entradas de mapeo de dirección IP a origen de eventos

Para exportar entradas de mapeo de dirección IP a origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Actions menu  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. Seleccione los mapeos que desea exportar.
  5. Seleccione Acciones > Exportar > Selección.
    Se muestra el cuadro de diálogo Exportar selección.
    This is an example of the Export Selection dialog.
  6. Ingrese el nombre de archivo y haga clic en Exportar.

Buscar entradas de mapeo de dirección IP a origen de eventos

Para buscar entradas de mapeo de dirección IP a origen de eventos:

  1. Vaya a ADMIN > Servicios y seleccione un servicio Log Decoder.
  2. En la columna Acciones, seleccione Actions menu  > Ver > Configuración.
    Se muestra la vista Configuración del servicio.
  3. Seleccione la pestaña Mapeos de analizadores.
  4. En la barra de herramientas Mapeo de analizadores, ingrese el host o el origen de eventos en el campo Filtro.
  5. Haga clic en Intro.
    Se muestran los hosts o los orígenes de eventos que coinciden con los nombres ingresados en el campo Filtro.

You are here
Table of Contents > Procedimientos adicionales de Decoder y Log Decoder > Habilitar el mapeo de orígenes de eventos

Attachments

    Outcomes