Configuración de la recopilación de registros: Configurar orígenes de eventos de syslog para Remote Collector

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En este tema se indica cómo configurar los orígenes de eventos de syslog para el Log Collector.

No configure la recopilación de syslog para los Log Collectors locales. Solo debe configurar la recopilación de syslog para los Remote Collectors.

Configurar un origen de eventos de syslog

Los procesos de escucha de syslog para UDP en el puerto 514, TCP en el puerto 514 y SSL en el puerto 6514 se crean de forma predeterminada. No debe cambiar la configuración de SSL en los procesos de escucha de TCP y SSL. Si necesita que la verificación de certificados SSL, cree un nuevo tipo de origen de eventos para escuchar en un puerto diferente. Tenga en cuenta que iptables debe estar configurado para abrir ese puerto.

Para configurar el Remote Log Collector para la recopilación de Syslog:

  1. Vaya a ADMINISTRAR > Servicios.
  2. En la cuadrícula Servicios, seleccione un Remote Log Collector y, en el menú Acciones, elija > Ver > Configuración.
  3. Seleccione la pestaña Orígenes de eventos.
  4. Seleccione Syslog/Configuración en el menú desplegable.

    En el panel Categorías de evento se muestran los orígenes de eventos de Syslog que están configurados, si los hay.

    Nota: Para RSA NetWitness Suite, algunos orígenes de eventos de Syslog están disponibles de forma predeterminada. En este caso, puede continuar con el paso 6.

  5. En la barra de herramientas del panel Categorías de evento, haga clic en .

    Se muestra el cuadro de diálogo Tipos de origen de evento disponibles.

  6. Seleccione syslog-tcp o syslog-udp. Puede configurar uno o ambos, según las necesidades de su organización.
  7. Seleccione el nuevo tipo en el panel Categorías de evento y haga clic en en la barra de herramientas del panel Orígenes.

    Se muestra el cuadro de diálogo Agregar origen.

  8. Ingrese el número de puerto y seleccione Habilitado. De manera opcional, configure cualquiera de los parámetros avanzados según sea necesario.

    Haga clic en Aceptar para guardar los cambios y cerrar el cuadro de diálogo.

Una vez que configura uno o ambos tipos de syslog, el Log Decoder o el Remote Log Collector recopila esos tipos de mensajes de todos los orígenes de eventos disponibles. Por lo tanto, puede continuar agregando orígenes de eventos de Syslog a su sistema sin necesidad de realizar otra configuración de RSA NetWitness Suite.

Parámetros de Syslog

En la siguiente tabla se describen los parámetros básicos y avanzados disponibles para la configuración de Syslog.

Parámetros básicos

                       
NombreDescripción
Puerto*El puerto predeterminado es 514.
HabilitadoSeleccione la casilla de verificación para habilitar la configuración del origen de eventos con el fin de iniciar la recopilación. La casilla de verificación está seleccionada de manera predeterminada.
Receptor de SSL

Nota: Este parámetro se aplica a RSA NetWitness® Suite versión 11.1 y más reciente. Está disponible solo para Categoría de evento syslog-tcp.

Si selecciona la casilla de verificación, el origen de eventos acepta únicamente conexiones de SSL/TLS. Además, si cambia esta configuración, debe detener y reiniciar la recopilación de syslog para que los cambios entren en vigor.

Parámetros avanzados

                               
NombreDescripción
Umbral de registro de publicación en transferencia

Establece un umbral y, cuando se alcanza, NetWitness genera un mensaje de registro para ayudarlo a resolver problemas relacionados con el flujo de eventos. El umbral es el tamaño de los mensajes de eventos de syslog que fluyen actualmente desde el origen de eventos a NetWitness.

Los valores válidos son los siguientes:

  • 0 (valor predeterminado): deshabilita el mensaje de registro
  • 100 a 100,000,000: genera un mensaje de registro cuando los mensajes de eventos de syslog que fluyen actualmente desde el origen de eventos a NetWitness están en el rango de 100 a 100,000,000 bytes.
Número máximo de receptoresCantidad máxima de recursos de receptor que se usan para procesar los eventos de syslog recopilados.  El valor predeterminado es 2.
Filtro de eventos

Seleccione un filtro.

Consulte Configurar filtros de eventos para un Log Collector para obtener instrucciones sobre cómo definir filtros.

Depurar

Precaución: Active la depuración (defina este parámetro en "Activado" o "Detallado") solamente si tiene un problema con un origen de eventos y necesita investigarlo. La activación de la depuración afectará negativamente el rendimiento del Log Collector.

Habilita o deshabilita el registro de depuración del origen de eventos.

Los valores válidos son los siguientes:

  • Desactivado = (predeterminado) deshabilitado
  • Activado = habilitado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.

Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos. El registro de depuración es detallado, por lo que se debe limitar la cantidad de orígenes de eventos para minimizar el impacto en el rendimiento.
Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar).

Modo de verificación de SSL

Nota: Este parámetro se aplica a RSA NetWitness® Suite versión 11.1 y más reciente. Está disponible solo para Categoría de evento syslog-tcp.

Esta configuración es pertinente solo si está selecciona la configuración Receptor de SSL. Además, si cambia Modo de verificación de SSL, debe detener y reiniciar la recopilación de syslog para que los cambios entren en vigor.

Opciones disponibles:

  • verify-none: (predeterminado) El servidor no verifica el certificado del cliente, si lo hay. Un cliente puede conectarse sin presentar un certificado.
  • verify-peer: El servidor verifica el certificado del cliente, si lo hay. Un cliente puede conectarse sin presentar un certificado.

    Nota: Si la verificación falla, se registra una advertencia, pero aún se aceptarán los mensajes.

  • verify-peer-fail-if-no-cert: El cliente debe presentar un certificado y el servidor lo verificará.

    Nota: Si usa este modo, el certificado de CA del cliente se debe cargar al área de almacenamiento de confianza del Log Collector mediante la API REST en http://LC-ip-address:50101/sys/caupload

You are here
Table of Contents > Protocolos de recopilación > Configurar orígenes de eventos de syslog para Remote Collector

Attachments

    Outcomes