Cfg de NW : Définir un modèle pour la consignation globale des audits

Document created by RSA Information Design and Development on Apr 24, 2018Last modified by RSA Information Design and Development on May 11, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique fournit des instructions sur la manière de définir un modèle de consignation d'audits à utiliser dans le cadre de la consignation globale des audits. Avant de configurer la consignation globale des audits, configurez un serveur de notification Syslog et sélectionnez un modèle de consignation d'audit. Vous pouvez choisir d'utiliser un modèle de consignation d'audit par défaut ou vous pouvez définir votre propre modèle. 

NetWitness Suite comprend deux modèles de consignation d'audit par défaut :

  • Modèle CEF d'audit par défaut: Vous pouvez utiliser ce modèle pour les serveurs Syslog tiers et Log Decoders.
  • Format lisible d'audit par défaut: Vous pouvez utiliser ce modèle uniquement pour les serveurs Syslog tiers. Ne transférez pas les messages de ce modèle vers un Log Decoder.

La première procédure fournit les instructions permettant de définir un modèle de consignation d'audit pour un Log Decoder. Le modèle de consignation d'audit définit les champs format et message des logs d'audit envoyés au serveur Syslog tiers ou Log Decoder.

Les modèles de consignation globale des audits que vous définissez pour un Log Decoder utilisent le format Common Event Format (CEF) et doivent répondre aux exigences standard spécifiques suivantes :

  • Contient les en-têtes CEF dans le modèle.
  • Utilisez uniquement les extensions (Key=Value) répertoriées dans le tableau Métaclés CEF prises en charge.
  • Assurez-vous que les extensions sont au format key=${string}<space>key=${string}

La deuxième procédure fournit des instructions sur la façon de définir un modèle personnalisé de consignation globale des audits au format lisible par l'homme pour un serveur Syslog tiers. Pour les serveurs Syslog tiers, vous pouvez définir votre propre format (CEF ou non-CEF).

Définir un modèle de consignation globale des audits pour un Log Decoder

Vous pouvez utiliser le modèle CEF d'audit par défaut pour envoyer des logs d'audit globaux à un Log Decoder. Pour définir votre propre modèle :

  1. Accédez à ADMIN > Système.
  2. Dans le panneau des options, sélectionnez Notifications globales.
  3. Cliquez sur l'onglet Modèles.
  4. Cliquez sur  pour configurer un modèle.
  5. Dans la boîte de dialogue Définir un modèle, fournissez les informations suivantes :
    1. Dans le champ Nom, saisissez un nom pour le modèle.
    2. Dans le champ Type de modèle, sélectionnez le type de modèle Consignation des audits.
    3. Dans le champ Description, saisissez une petite description du modèle.
    4. Dans le champ Modèle, saisissez le format du modèle de consignation globale des audits.
      Le format suivant est un modèle personnalisé fourni à titre d'exemple. Il se distingue du modèle CEF par défaut.
       CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  
      L'en-tête Syslog CEF mis en surbrillance doit se conformer à la norme CEF et constitue une exigence pour l'analyseur CEF dans le Log Decoder. Les autres clés sont facultatives, mais vous pouvez les configurer. Reportez-vous aux clés méta prises en charge par l'analyseur CEF du Log Decoder dans la table Métaclés CEF prises en charge.
  6. Remarque : Utilisez toutes les extensions au format suivant :
    deviceProcessName=${deviceProcessName} outcome=${outcome}
    Ajoutez un <space> entre chaque paire key=${string} dans la section des clés d'extension. 

  7. Cliquez sur Enregistrer.
    Define Template Dialog box

Après avoir défini le modèle de consignation des audits CEF, vérifiez que vous avez déployé et activé la dernière version de l'analyseur CEF (Common Event Format) de Live. Les rubriques « Rechercher et déployer des ressouces Live » et « Activer et désactiver les analyseurs de logs » fournissent des instructions. 

Remarque : Si vous avez besoin d'utiliser une clé méta spécifique pour Investigations et Reporting, assurez-vous que les clés méta que vous avez sélectionnées sont indexées dans le fichier table-map.xml dans le Log Decoder. Si ce n'est pas le cas, suivez la rubrique Maintenir les fichiers de mappage des tables dans le Guide de mise en route des hôtes et des services pour mettre à jour les mappages des tables. Assurez-vous que les clés méta sont également indexées dans index-concentrator.xml du Concentrator. La rubrique Modifier un fichier d'index de service du Guide de configuration de l'hôte et des services fournit des informations supplémentaires.

Définir un modèle personnalisé de consignation globale des audits

Pour les serveurs syslog tiers, vous pouvez définir votre propre format de modèle (CEF ou non CEF). Vous pouvez utiliser le modèle Format lisible d'audit par défaut pour envoyer des logs d'audit globaux à un serveur syslog tiers dans un format qui est plus facile à lire que le format CEF. Si vous souhaitez définir votre propre modèle dans un format lisible, suivez cette procédure.

Pour les Log Decoders, vous devez utiliser un modèle CEF avec certaines exigences spécifiques. La procédure Définir un modèle de consignation globale des audits pour un Log Decoder présentée ci-dessus fournit des instructions pour la création d'un modèle au format CEF.

Pour définir un modèle global personnalisé de consignation d'audit dans un format lisible :

  1. Accédez à ADMIN > Système.
  2. Dans le volet de navigation de gauche, sélectionnez Notifications.
  3. Cliquez sur l'onglet Modèles.
  4. Cliquez sur  pour configurer un modèle.
  5. Dans la boîte de dialogue Définir un modèle, fournissez les informations suivantes :
    1. Dans le champ Nom, saisissez un nom pour le modèle.
    2. Dans le champ Type de modèle, sélectionnez le type de modèle Consignation des audits.
    3. Dans le champ Description, saisissez une petite description du modèle.
    4. Dans le champ Modèle, saisissez le format du modèle de consignation globale des audits. L'exemple suivant est dans un format lisible avec des variables de clés méta sélectionnées.
       ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  
      Vous pouvez utiliser l'une des variables de clés méta qui sont prises en charge par la consignation globale des audits indiquée dans le tableau Variables de métaclés prises en charge pour la consignation globale des audits.
  6. Cliquez sur Enregistrer.

L'exemple suivant montre les logs d'audit globaux dans un format lisible correspondant à ce modèle :

06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 NW_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Étape suivante

La rubrique Définir une configuration de consignation globale des audits fournit les instructions permettant de définir la configuration de la consignation d'audit globale pour NetWitness Suite.

You are here
Table of Contents > Procédures standard > Configurer la consignation globale des audits > Définir un modèle pour la consignation globale des audits

Attachments

    Outcomes