Configuración de la recopilación de registros: Configurar filtros de eventos para Log Collector

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En este tema se indica cómo crear y mantener filtros de eventos en todos los protocolos de recopilación.

Nota: No puede configurar la recopilación de syslog para los Log Collectors locales. Solo debe configurar la recopilación de syslog para los Remote Collectors. Consulte Configurar Local y Remote Collectors para obtener información de configuración adicional.

Configurar un filtro de eventos

Para configurar un origen de eventos:

  1. Vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio de recopilación de registros.
  3. En Acciones, seleccione Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.
  4. Haga clic en la pestaña Orígenes de eventos.

  5. En la pestaña Orígenes de eventos, seleccione cualquier método de recopilación/filtroen los menús desplegables.

    En la siguiente pantalla se muestra el Syslog seleccionado.

    Event Sources tab shows Filters drop-down menu.

    Nota: La configuración de syslog solo está disponible en Remote Collectors: si está trabajando con un servicio Local Collector, Syslog no está disponible en el menú desplegable.

    En la vista Filtros se muestran los filtros que están configurados para el método de recopilación seleccionado, si los hay.

  6. En la barra de herramientas del panel Filtros, haga clic en .

    Se muestra el cuadro de diálogo Agregar filtro.

    Add Filter dialog is displayed.

  7. Ingrese un nombre y una descripción para el nuevo filtro y haga clic en Agregar.

    El nuevo filtro se muestra en el panel Filtro.

    Event Sources tab is displayed.

  8. Seleccione el nuevo filtro en el panel Filtros y haga clic en en la barra de herramientas del panel Filtrar reglas.

    Se muestra el cuadro de diálogo Agregar regla de filtro.

  9. Haga clic en bajo Condiciones de la regla.
  10. Agregue los parámetros para esta regla y haga clic en Actualizar > Aceptar.

    Add Filter Rule dialog is displayed.

NetWitness Suite actualiza el filtro con la regla que definió.

Nota: Las reglas se procesan en orden de arriba hacia abajo hasta que un tipo de acción anula el procesamiento o se comprueba la regla final. El comportamiento predeterminado es aceptar la regla si no se encuentran coincidencias.

En las siguientes tablas se describen los parámetros para agregar una regla de filtro.

Parámetro de "clave" de regla de filtro de eventos

El método de recopilación al cual se aplica el filtro depende de los valores del campo Clave.

                               
Método de recopilación

Los valores del campo Clave

Punto de control, archivo, Netflow, Plug-in,
SDEE SNMP y VMware

  • Todos los campos de datos
  • Tipo de origen de evento
  • Nombre del origen de eventos
  • Dirección IP de origen
  • Evento crudo

ODBC

  • Todos los campos de datos
  • Tipo de origen de evento
  • Nombre del origen de eventos
  • Dirección IP de origen
  • ID del mensaje
  • Nivel de mensaje

Syslog

  • Todos los campos de datos
  • Tipo de origen de evento
  • Nombre del origen de eventos
  • Dirección IP de origen
  • Nivel de syslog
  • Evento crudo

Windows

  • Todos los campos de datos
  • Tipo de origen de evento
  • Nombre del origen de eventos
  • Dirección IP de origen
  • ID de evento
  • Proveedor
  • Canal
  • Computadora
  • UserName
  • DomainName

Windows existente

  • Todos los campos de datos
  • Tipo de origen de evento
  • Nombre del origen de eventos
  • Dirección IP de origen
  • ID de evento

Otros parámetros de regla de filtro de eventos

En la siguiente tabla se describen todos los demás campos disponibles para la creación de una regla de filtro de eventos.

                               
CampoDescripción
Operador

Los valores válidos son los siguientes:

  • Contiene
  • Es igual a
Usar regex

Opcional. Puede seleccionar esta opción si desea usar regex.

Valor

El valor depende del valor de la clave que seleccionó.

Por ejemplo, si elige Nivel de syslog para Clave, el valor será un número que denota el nivel de syslog.

Omitir mayúsculas y minúsculas

Opcional. Seleccione esta opción para no hacer caso de la distinción de mayúsculas de minúsculas.

Acción

Si hay una coincidencia, puede elegir las acciones aceptar, descartar, condición siguiente o regla siguiente:

  • Aceptar: los eventos que coinciden con los ID proporcionados se incluirán en los registros de eventos y se mostrarán en la interfaz del usuario de analítica de los sistemas.
  • Descartar: los eventos que coinciden con los ID proporcionados no se incluirán en los registros de eventos y no se mostrarán en la interfaz del usuario.
  • Condición siguiente: el filtro omitirá los eventos con los ID que coincidan y se moverá a la condición de regla siguiente.
  • Regla siguiente: el filtro omitirá los eventos con los ID que coincidan y se moverá a la regla siguiente.

Si no hay una coincidencia, puede elegir las acciones aceptar, descartar, condición siguiente o regla siguiente.

Modificar reglas de filtro

Para modificar un origen de eventos:

  1. Vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio de recopilación de registros.
  3. En Acciones, seleccione Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.
  4. Haga clic en la pestaña Orígenes de eventos.

  5. En la pestaña Orígenes de eventos, seleccione cualquier método de recopilación/filtroen los menús desplegables.

    En la siguiente pantalla se muestra Punto de comprobación seleccionado.

    Filters view is displayed.

    En la vista Filtros se muestran los filtros que están configurados para el método de recopilación seleccionado, si los hay.

  6. En la lista Filtrar reglas, seleccione una regla y haga clic en .

    Se muestra el cuadro de diálogo Editar regla de filtro.

    Edit Filter Rule dialog is displayed.

  7. Seleccione la condición de la regla que desea modificar.

    Select Rule Conditions is displayed.

  8. Modifique los parámetros de condición que necesiten cambios y haga clic en Actualizar > Aceptar.

NetWitness Suite aplica los cambios en los parámetros de condición a la regla de filtro seleccionada.

Previous Topic:Procedimiento básico
You are here
Table of Contents > Aspectos básicos de la recopilación de registros > Configurar filtros de eventos para Log Collector

Attachments

    Outcomes