Recopilación de ODBC: Crear un archivo typespec de contenido personalizado

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En este tema se indica cómo crear un archivo typespec personalizado para Log Collector. En el tema se incluye:

  • Procedimiento Crear un archivo typespec personalizado
  • Sintaxis de typespec para la recopilación de ODBC
  • Ejemplo de archivos typespec para la recopilación de ODBC

Crear un archivo typespec personalizado

Para crear un archivo typespec personalizado:

  1. Abra un cliente SFTP (por ejemplo, WinSCP) y conéctese a un Log Collector o un Remote Log Collector.
  2. Navegue a /etc/netwitness/ng/logcollection/content/collection/odbc y copie un archivo existente, por ejemplo bit9.xml.
  3. Modifique el archivo de acuerdo con los requisitos. Consulte Sintaxis de typespec para la recopilación de ODBC para obtener detalles.
  4. Cambie el nombre del archivo y guárdelo en el mismo directorio.
  5. Reinicie Log Collector.

Nota: No podrá ver el nuevo tipo de origen de eventos en NetWitness Suite hasta que reinicie Log Collector.

Sintaxis de typespec para la recopilación de ODBC

En la siguiente tabla se describen los parámetros de typesec.

                                                                                         
ParámetroDescripción

name

El nombre para mostrar del origen de eventos de ODBC (por ejemplo, activeidentity). NetWitness Suite muestra este nombre en el panel Orígenes de Ver > Configuración > pestaña Orígenes de eventos.

Un valor válido es unacadena alfanumérica. No puede usar - (guiones), _(guiones bajos) ni espacios. El nombre debe ser único entre todos los archivos typespec en la carpeta.

type

Tipo de origen de eventos: odbc. No modifique esta línea.

prettyName

Nombre definido por el usuario para el origen de eventos. Puede usar el mismo valor que name (por ejemplo, apache) o usar un nombre más descriptivo.

version

Versión de este archivo typespec. El valor predeterminado es 1.0.

author

Persona que creó el archivo typespec. Reemplace author-name por su nombre.

description

Descripción formal del origen de eventos. Reemplace formal-description por su descripción del origen de eventos.

Sección <device>

parser

Este parámetro opcional contiene el nombre del analizador de registros. Este valor hace que el Log Decoder utilice el analizador de registros especificado durante el análisis de registros desde este origen de eventos.

Nota: Deje el campo en blanco cuando no esté seguro del analizador de registros que se utilizará.

name

Nombre del origen de eventos de ODBC (por ejemplo, ActivIdentity ActivCard AAA Server).

maxVersion

El número de versión del origen de eventos (por ejemplo, 6.4.1).

description

Descripción del origen de eventos.

Sección <collection>

odbc

La sintaxis en <odbc> se usa para la recopilación y el procesamiento de eventos.  Puede proporcionar múltiples consultas para el mismo tipo de origen de eventos si agrega etiquetas <query>.

query

Esta sección contiene los detalles de la consulta que se usa para recopilar información desde el origen de eventos.

tag

La etiqueta de prefijo que desea agregar a los eventos durante la transformación (por ejemplo, ActivIdentity).

outputDelimiter

Especifique el delimitador que se usará para separar los campos. Especifique cualquiera de los siguientes valores:

  • || (barra vertical)
  • ^ (intercalación)
  • , (coma)
  • : (dos puntos)
  • 0x20 (para representar un espacio)

interval

Especifique la cantidad de segundos entre eventos. El valor predeterminado es 60.

dataQuery

Especifique la consulta para buscar datos desde la base de datos de origen de eventos de ODBC para SQL-syntax. Por ejemplo:

SELECT acceptedrejected, servername, serveripa, sdate, millisecond, suid, groupname, ipa, reason, info1, info2, threadid FROM A_AHLOG WHERE sdate > '%TRACKING%' ORDER BY sdate

maxTrackingQuery

La consulta que se usa en la extracción inicial de eventos para identificar el punto de partida en el conjunto de datos desde el cual se comienzan a extraer registros. Después de la extracción inicial, esta consulta ya no se utiliza, a menos que se haya restablecido o modificado el valor maxTracking. Por ejemplo:

SELECT MAX(Event_Id) from ExEvents

trackingColumn

El valor de la columna de rastreo que se usa cuando el recopilador de ODBC extrae un nuevo conjunto de eventos.

Ejemplo de archivos typespec para la recopilación de ODBC

En el siguiente ejemplo se muestra el archivo typespec para el origen de eventos de IBM ISS SiteProtector.

<?xml version="1.0" encoding="UTF-8"?>
<typespec>

   <name>siteprotector4_x</name>
   <type>odbc</type>
   <prettyName>SITEPROTECTOR4_X</prettyName>
   <version>1.0</version>
   <author>Administrator</author>
   <description>Collects events from SiteProtector</description>

   <device>
      <name>Internet Security Systems, Inc. RealSecure SiteProtector v 2.0</name>
      <maxVersion>2.0</maxVersion>
      <description></description>
      <parser>iss</parser>
   </device>

   <configuration>
   </configuration>

   <collection>
      <odbc>
         <query>
            <tag></tag>
            <outputDelimiter></outputDelimiter>
            <interval></interval>
            <dataQuery></dataQuery>
            <maxTrackingQuery></maxTrackingQuery>
            <trackingColumn></trackingColumn>
            <levelColumn></levelColumn>
            <eventIdColumn></eventIdColumn>
            <addressColumn></addressColumn>
         </query>
      </odbc>
   </collection>
</typespec>

En el siguiente ejemplo se muestra el archivo typespec para el origen de eventos de Bit9 Security Platform.

<?xml version="1.0" encoding="UTF-8"?>
<typespec>

   <name>bit9</name>
   <type>odbc</type>
   <prettyName>BIT9</prettyName>
   <version>1.0</version>
   <author>Administrator</author>
   <description>Bit9 Events</description>

   <device>
      <name>Bit9</name>
      <parser>bit9</parser>
   </device>

   <configuration>
   </configuration>

   <collection>
      <odbc>
         <query>
            <tag>BIT9</tag>
            <outputDelimiter>||</outputDelimiter>
            <interval>10</interval>
            <dataQuery>
            SELECT
            Timestamp,
            Event_Id,
            Computer_Id,
            File_Catalog_Id,
            Root_File_Catalog_Id,
            Priority,
            Type,
            Subtype,
            IP_Address,
            User_Name,
            Process,
            Description
            FROM
            ExEvents
            WHERE
            Event_Id > '%TRACKING%'
            </dataQuery>
            <trackingColumn>Event_Id</trackingColumn>
            <maxTrackingQuery>SELECT MAX(Event_Id) from ExEvents</maxTrackingQuery>
            <eventIdColumn></eventIdColumn>
         </query>
      </odbc>
   </collection>
</typespec>
Previous Topic:Configurar DSN
You are here
Table of Contents > Protocolos de recopilación > ODBC > Crear un archivo typespec personalizado

Attachments

    Outcomes