Introducción de hosts: Parámetros de configuración del servicio Log Decoder

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En este tema se enumeran y se describen los parámetros de configuración disponibles para RSA NetWitness Suite Log Decoders.

Ajustes de configuración de Log Decoder

En este tema se enumeran y se describen los ajustes de configuración de Log Decoder.

                                       
Campo Configuración de Log DecoderDescripción
Base de datos /database/config, consulte el tema Nodos de configuración de la base de datos de la Guía de ajuste de la base de datos de NetWitness Suite Core.
Decoder /decoder/config, consulteParámetros de configuración de Decoder y Log Decoder
Índice /index/config, consulte el tema Nodos de configuración de índices de la Guía de ajuste de la base de datos de NetWitness Suite Core.
Registros /logs/config, consulte Configuración del registro de los servicios principales.
REST /rest/config, consulte Configuración de la interfaz de REST
SDK /sdk/config, consulte el tema Nodos de configuración de SDK de la Guía de ajuste de la base de datos de NetWitness Suite Core y Modos system.roles de los servicios principales.
Sistema /sys/config, consulte Configuración del sistema de servicios principales.

Ajustes de configuración del tokenizador de registros

El Log Decoder tiene un conjunto de elementos de configuración que controlan la manera en que el tokenizador de registros crea elementos de metadatos a partir de registros no analizados. El tokenizador de registros se implementa como un conjunto de analizadores incorporados, donde cada uno analiza un subconjunto de tokens reconocibles. En la siguiente tabla se muestra la funcionalidad de cada uno de estos analizadores nativos. Estos elementos word forman una indexación de texto completo cuando se transfieren al motor de indexación en el Concentrator y el Archiver. Mediante la manipulación de la entrada de configuración parsers.disabled, es posible controlar los tokenizadores de registros que están habilitados.

                                                     
Nombre del analizadorDescripciónParámetros de configuración
Tokens de registrosEscanea en busca de ejecuciones de caracteres consecutivos para producir elementos de metadatos “word”.token.device.types, token.char.classes, token.max.length, token.min.length, token.unicode
IPSCANEscanea en busca del texto que parece ser una dirección IPv4 para producir los elementos de metadatos “ip.addr”.token.device.types
IPV6SCANEscanea en busca del texto que parece ser una dirección IPv6 para producir los elementos de metadatos “ipv6”.token.device.types
URLSCANEscanea en busca del texto que parece ser un URI para producir los elementos de metadatos “alias.host”, “filename”, “username” y “password”.token.device.types
DOMAINSCANEscanea en busca del texto que parece ser un nombre de dominio para producir los elementos de metadatos “alias.host”, “tld”, “cctld” y “sld”.token.device.types
EMAILSCANEscanea en busca del texto que parece ser una dirección de correo electrónico para producir los elementos de metadatos “email” y “username”.token.device.types
SYSLOGTIMESTAMPSCAN Escanea en busca del texto que parece ser registros de fecha y hora con formato de syslog. Syslog carece de la zona horaria y el año. Cuando se encuentra dicho texto, se normaliza en la hora UTC para crear elementos de metadatos “event.time”.token.device.types
INTERNETTIMESTAMPSCANEscanea en busca del texto que parece ser registros de fecha y hora con formato RFC 3339 para crear elementos de metadatos “event.time”.token.device.types

Estos son los parámetros de configuración del tokenizador de registros.

                               
Campo Configuración de analizador de Log DecoderDescripción
token.device.types El conjunto de tipos de dispositivos que se escanearán en busca de tokens de texto crudo. De forma predeterminada, se establece en unknown, lo cual significa que solo los registros que no se analizaron se escanearán en busca de texto crudo. Aquí puede agregar tipos de registros adicionales para enriquecer los registros analizados con información de token de texto.

Si este campo está vacío, la Tokenization de registros se deshabilita.
token.char.classes Este campo controla el tipo de tokens que se generan. Puede ser cualquier combinación de los valores alpha, digit, space y punct. El valor predeterminado es alpha.
  • alpha: los tokens pueden contener caracteres alfabéticos
  • digit: los tokens pueden contener números
  • space: los tokens pueden contener espacios y tabulaciones
  • punct: los tokens pueden contener signos de puntuación
token.max.length Este campo pone un límite a la longitud de los tokens. El valor predeterminado es cinco caracteres. El ajuste de longitud máxima permite que el Log Decoder limite el espacio necesario para almacenar los metadatos word. El uso de tokens más largos requiere más espacio para la base de datos de metadatos, pero puede proporcionar búsquedas de texto crudo un poco más rápidas. El uso de tokens más cortos hace que el solucionador de consultas de texto deba realizar más lecturas desde los registros crudos durante las búsquedas, pero tiene el efecto de usar mucho menos espacio en la base de datos de metadatos y el índice.
token.min.length Es la longitud mínima de un token de texto con capacidad de búsqueda. La longitud mínima del token corresponderá a la cantidad mínima de caracteres que un usuario puede escribir en el cuadro de búsqueda para encontrar los resultados. El valor recomendado es el predeterminado, 3.
token.unicode Este ajuste booleano controla si se aplican las reglas de clasificación unicode durante la clasificación de caracteres según la configuración de token.char.classes. Si se establece en true, cada registro se trata como una secuencia de puntos de código codificados con UTF-8 y la clasificación se realiza después de la decodificación de UTF-8. Si este valor se establece en false, cada registro se trata como caracteres ASCII y solo se realiza la clasificación de caracteres ASCII. La clasificación de caracteres Unicode requiere más recursos de CPU en el Log Decoder. Si la indexación de texto distinto del inglés no se requiere, puede deshabilitar esta configuración para reducir la utilización de CPU en el Log Decoder. Está activada de forma predeterminada.
You are here
Table of Contents > Referencias > Parámetros de configuración de servicios > Parámetros de configuración del servicio Log Decoder

Attachments

    Outcomes