Decoder: Configurar el reenvío de syslog a un destino

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Además de recopilar mensajes de syslog, puede configurar Log Decoder para que reenvíe los mensajes de syslog a otro receptor de syslog. NetWitness Suite reenvía mensajes de syslog después de analizarlos y antes de escribirlos en Log Decoder.

Nota: Debe configurar el reenvío de syslog mediante los pasos que se definen en este tema bajo Procedimiento y con el uso de la vista Explorar.

El Log Decoder debe estar en el estado Iniciado antes de poder configurar el reenvío de Syslog. Para configurar el reenvío de syslog:

  1. Configure reglas de capa de aplicación (reglas de aplicaciones) de Log Decoder para etiquetar los mensajes de syslog con metadatos que den a NetWitness Suite la instrucción de reenviar los mensajes:
    1. Seleccione un Log Decoder en la vista Servicios y seleccione Menú Acciones  > Ver > Explorar en la columna Acciones. 
    2. Vaya al nodo /decoder/config/rules/application, haga clic con el botón secundario en application y haga clic en Propiedades.
    3. En la vista Propiedades, especifique el comando add con los siguientes parámetros:
      rule=<query> name=<name>
      Ejemplo 1: rule=*name=receiver1
      Ejemplo 2: rule="device.type='winevent_nic'" name=receiver)
    4. Haga clic en Enviar.
      Este es el resultado.
      NetWitness Suite crea la regla name=receiver1 rule=* order=<n>. NetWitness Suite inserta el número de orden (por ejemplo, order=49) de acuerdo con la fecha en que se configuró la regla.
      Este es el parámetro.
    5. Vaya al nodo /decoder/config/rules/application y haga clic en la regla name=receiver1 rule=* order=49.
    6. Agregue parámetros alert forward a los parámetros de la regla.
      Estos son los parámetros.
      Los demás parámetros de la regla tienen el mismo significado que en otras reglas de aplicación.

      El siguiente ejemplo de regla de aplicación selecciona todos los registros con la regla *. Crea metadatos de alerta con el valor “receiver1” y etiqueta el registro completo de modo que se reenvíe al destino de reenvío de syslog. Puede definir tantas reglas de reenvío distintas como necesite con el mismo nombre o con nombres únicos.
    1. Defina destinos de reenvío de syslog y active el reenvío.
      1. Seleccione un Log Decoder en la vista Servicios y elija Menú Acciones  > Ver > Explorar.
      2. Los destinos de reenvío de syslog se definen en el nodo de configuración /decoder/config/logs.forwarding.destination.
        Este nodo de configuración contiene uno o más pares de nombre/valor. El nombre corresponde a los parámetros de nombre de la regla de aplicación que usó para etiquetar los registros con metadatos de reenvío. El valor es un trío de transporte, host y puerto separados por dos puntos y seguidos de un parámetro de formato opcional.
        name=(udp|tcp|tls):host:port[:(retainsource|rfc3164)]
        El primer parámetro indica el protocolo de transporte y debe ser uno de udp, tcp o tls. La especificación de udp reenviará los registros a través del protocolo de syslog RFC 3164 / RFC 5426 UDP. La especificación de tcp reenviará los registros a través de una conexión TCP con tramas RFC 6587. La especificación de tls reenviará los registros de acuerdo con RFC 5425.

        El host es una dirección IPv4, una dirección IPv6 o un nombre de host.

        El puerto es aquél al cual se envían los registros. Por lo general, este es el puerto 514 para syslog UDP y 6514 para las conexiones del protocolo TLS. No hay ninguna asignación de puerto estándar para syslog mediante TCP.

        De manera opcional, retainsource o rfc3164 pueden especificarse al final de la cadena de destino para indicar que se debe incluir formato e información adicionales con cada registro que se reenvía. La especificación de retainsource incluirá los encabezados de conector z al principio del registro y se completará con los metadatos time, device.(ip|ipv6|host) y lc.cid, y se utiliza mejor para su reenvío a otros Log Decoders. La opción rfc3164 antepondrá un encabezado RFC3164 válido a todos los eventos reenviados compuestos por los metadatos syslog.pri, time y device.(ip|ipv6|host). En ambos casos, el texto del registro original permanece sin modificaciones.

        Destino de reenvío de ejemplo:

        gears=tls:gears.netwitness.local:6514

        Reenvío de ejemplo mediante tcp a la falta de disponibilidad en el puerto 514 con encabezados de conector z:

        fwdrule=tcp:blackout.netwitness.local:514:retainsour

      En el parámetro /decoder/config/logs.forwarding.destination , especifique el destino. Por ejemplo:
      Conexiones TLS: receiver1=tls:receiver1.netwitness.local:6514
      Conexiones UDP: receiver1=udp:receiver1.netwitness.local:514
      Conexiones TCP: receiver1=tcp:receiver1.netwitness.local:514

      Esta es la configuración de logs.forwarding.destination.

Nota:
Puede configurar:
    - Múltiples reglas para reenviar registros al mismo destino.
    - Múltiples reglas para reenviar registros a múltiples destinos.

Para las conexiones del protocolo TLS, el certificado del destino de reenvío se debe validar. La autoridad de certificación que firmó el certificado del destino debe estar presente en el área de almacenamiento de confianza de CA de Log Decoder y el certificado debe residir en el destino o en el receptor de syslog. Consulte “Configurar certificados” en la Guía de configuración de la recopilación de registros para obtener información sobre la manipulación del almacén de confianza de CA de Log Decoder. (Vaya a la Tabla maestra de contenido para la versión 11.0 para buscar los documentos de NetWitness Suite 11.0.)

  1. En el parámetro /decoder/config/logs.forwarding.enabled, especifique verdadero.
    Esta es la configuración de logs.forwarding.enabled.
You are here
Table of Contents > Procedimientos adicionales de Decoder y Log Decoder > Configurar el reenvío de syslog a un destino

Attachments

    Outcomes