Cette section décrit les métaclés Common Event Format (CEF) prises en charge par la fonctionnalité de consignation globale des audits de NetWitness Suite.
Les modèles de consignation globale des audits que vous définissez pour un Log Decoder utilisent le format Common Event Format (CEF) et doivent répondre aux exigences standard spécifiques suivantes :
- Contient les en-têtes CEF dans le modèle.
- Utilisez uniquement les extensions et les extensions personnalisées présentant un format (Clé=Valeur) issues du tableau des métaclés ci-dessous.
- Assurez-vous que les extensions et extensions personnalisées sont au format key=${string}<space>key=${string}.
Pour les serveurs Syslog tiers, vous pouvez définir votre propre format (CEF ou non-CEF).
Les procédures relatives à ce tableau sont décrites dans les sections Définir un modèle pour la consignation globale des audits et Configurer la consignation globale des audits.
Métaclés Common Event Format (CEF) prises en charge
Le tableau suivant décrit les métaclés CEF Syslog prises en charge par la consignation globale des audits NetWitness Suite. Les champs Date/heure et Nom d'hôte du préfixe Syslog ne sont pas configurables ni inclus dans le modèle, mais ils sont ajoutés au début de chaque message de log par défaut. L'en-tête CEF est requis pour se conformer à la norme CEF ou pour tout parser CEF. Les extensions et extensions personnalisées sont facultatives. Le modèle CEF d'audit par défaut contient bon nombre des champs de ce tableau. Vous pouvez ajouter les extensions et les extensions personnalisées répertoriées de votre choix au modèle de consignation globale des audits que vous définissez.
Remarque : Utilisez toutes les extensions au format suivant :
deviceProcessName=${deviceProcessName} outcome=${outcome}
Insérez un <space> entre une valeur et un nom de balise.
Par défaut, les métaclés ne sont pas toutes indexées. Dans le tableau ci-dessus, la colonne Index dans Log Decoder affiche l'état du mot clé flags (Transient, None et Custom). Si une clé est définie sur Transient, elle est analysée, mais elle n'est pas stockée dans la base de données. Si elle est définie sur None, elle est indexée et stockée dans la base de données. Une clé répertoriée avec le type « Personnalisé » n'existe pas dans le fichier table-map.xml et n'est donc pas stockée ni analysée du tout.
La rubrique « Maintenir les fichiers de mappage des tables » fournit des instructions pour vérifier et mettre à jour les mappages des tables. La section « Modifier un fichier d'index de service » fournit des informations sur la mise à jour du fichier d'index personnalisé sur le Concentrator.