Configurar orígenes de eventos de archivos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En esta guía se describe cómo configurar el protocolo de recopilación de archivos.

Para configurar un origen de eventos de archivo

Para configurar un origen de eventos de archivo:

  1. Vaya a ADMINISTRAR> Servicios en el menú de NetWitness Suite.
  2. Seleccione un servicio de recopilación de registros.
  3. En Acciones, seleccione > Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.
  4. Haga clic en la pestaña Orígenes de eventos.

    Event Sources drop-down menu is displayed.

  1. En la pestaña Orígenes de eventos, seleccione Archivo/Configuración en el menú desplegable.
  2. En la barra de herramientas del panel Categorías de evento, haga clic en .

    Se muestra el cuadro de diálogo Tipos de origen de evento disponibles.

  3. Seleccione un tipo de origen de eventos de archivo y haga clic en Aceptar.

    El tipo de origen de eventos recién agregado se muestra en el panel Categorías de evento.

  4. Seleccione el nuevo tipo en el panel Categorías de evento y haga clic en  en la barra de herramientas Orígenes.

    Se muestra el cuadro de diálogo Agregar origen.

  5. Agregue un nombre de directorio de archivo y modifique cualquier otro parámetro que requiera cambios. Para obtener más información, consulte Parámetros de la recopilación de registros a continuación.

  6. Para obtener la clave pública e ingresarla en el cuadro de diálogo, realice lo siguiente:

    1. Seleccione y copie la clave pública desde el origen de eventos mediante la ejecución de: cat ~/.ssh/id_rsa.pub
    2. Pegue la clave pública en el campo Clave del protocolo SSH del origen de eventos.
  7. Haga clic en Aceptar.

Para que sus cambios surtan efecto, debe reiniciar la recopilación de archivos.

Detener y reiniciar la recopilación de archivos

Después de agregar un nuevo origen de eventos que usa la recopilación de archivos, debe detener y reiniciar el servicio de recopilación de archivos de NetWitness Suite. Esto es necesario para agregar la clave al nuevo origen de eventos.

Parámetros de la recopilación de registros

En la siguiente tabla se proporcionan descripciones de los parámetros del origen de recopilación de archivos.

                                                                                                          
NombreDescripción
Básico
Directorio de archivos*

Directorio de recopilación (por ejemplo, Eur_London100) en el cual el origen de eventos de archivos coloca sus archivos. El valor válido es una cadena de caracteres que utiliza la siguiente expresión regular:

[_a-zA-Z][_a-zA-Z0-9]*


Esto significa que el directorio de archivos debe comenzar con una letra seguida de números, letras y guiones bajos. No modifique este parámetro una vez que haya comenzado a recopilar datos de eventos.

Después de crear la recopilación, el Log Collector crea los subdirectorios de trabajo, guardado y error debajo del directorio de recopilación.

Dirección*Dirección IP del origen de eventos. El valor válido es una dirección IPv4, una dirección IPv6 o un nombre de host que incluye un nombre de dominio calificado.
Especificación de archivoExpresión regular. Por ejemplo, ^.*$ = procesa todo.
Codificación de archivo

Codificación del archivo de internacionalización. Ingrese el método de codificación de archivo. Las siguientes cadenas son ejemplos de métodos válidos:

  • UTF-8 (valor predeterminado)
  • UCS-16LE
  • UCS-16BE
  • UCS-32LE
  • UCS-32BE
  • SHIFT-JIS
  • EBCDIC-US
HabilitadoSeleccione la casilla de verificación para habilitar la configuración del origen de eventos con el fin de iniciar la recopilación. La casilla de verificación está seleccionada de manera predeterminada.
Opciones avanzadas
Omitir errores de
conversión de codificación

Seleccione la casilla de verificación para omitir errores de conversión de codificación y datos no válidos. La casilla de verificación está seleccionada de manera predeterminada.

Precaución: Esto puede provocar errores de análisis y transformación.

Cuota de disco de archivo

Determina cuándo dejar de guardar archivos independientemente de los ajustes de los parámetros Guardar con error y Guardar con éxito. Por ejemplo, un valor de 10 indica que cuando hay menos de un 10 % de disco restante disponible, el Log Collector deja de guardar archivos para reservar espacio suficiente para su procesamiento de recopilación normal estimado.

Precaución: disco disponible se refiere a una partición donde se monta el directorio de recopilación de base. Si el servidor de Log Decoder tiene un tamaño de disco de 10 TB y se asignan 2 TB al directorio de recopilación base, la definición de este valor en 10 hace que la recopilación de registros se detenga cuando quedan menos de 0.2 TB (10 % de 2 TB) de espacio. No significa 10 % de 10 TB.

Un valor válido es un número en el rango de 0 a 100. 10 es el valor predeterminado.

Procesamiento secuencial

Indicador de procesamiento secuencial:

  • Seleccione la casilla de verificación (valor predeterminado) para procesas los archivos de origen de eventos en el orden de recopilación.
  • No seleccione la casilla de verificación para procesar en paralelo los archivos de origen de eventos.
Guardar con errorIndicador de guardar con error. Seleccione la casilla de verificación para conservar el archivo de recopilación de origen de eventos cuando Log Collector encuentra un error. La casilla de verificación está seleccionada de manera predeterminada.
Guardar con éxitoGuarda el archivo de recopilación de origen de eventos después de procesar el indicador. Seleccione la casilla de verificación para guardar la recopilación de origen de eventos después de procesarla. De forma predeterminada, la casilla de verificación no está seleccionada.
Clave del protocolo SSH del origen de eventos

Clave pública del protocolo SSH que se usa para cargar archivos para este origen de eventos. Consulte la sección Generar un par de claves en el origen de eventos e importar la clave pública a Log Collector en la Guía de instalación y actualización del agente de SFTP para obtener instrucciones sobre la generación de claves.

Nota: Si la recopilación de archivos se detiene, NetWitness Suite no actualiza el archivo authorized_keys con la clave pública del protocolo SSH que usted agrega o modifica en este parámetro. Debe reiniciar la recopilación de archivos para actualizar la clave pública.
Puede agregar o modificar el valor de la clave pública en este parámetro en varios orígenes de eventos de archivo sin ejecutar la recopilación de archivos, pero NetWitness Suite no actualizará el archivo authorized_keys hasta que se reinicie la recopilación de archivos.

Administrar archivos de error

De manera predeterminada, el Log Collector usa el parámetro Cuota de disco de archivo para asegurarse de que el disco no se llene con archivos de error. Si define este parámetro en verdadero, puede especificar una de las siguientes opciones:

  • Espacio máximo asignado para archivos de error en el parámetro Tamaño de archivos de error.
  • Cantidad máxima de archivos de error permitida en el parámetro Conteo de archivos de error.

También se especifica un porcentaje de reducción, el cual indica al sistema cuánto reducir cuando se alcanza el máximo.

Seleccione la casilla de verificación para administrar los archivos de error. De forma predeterminada, la casilla de verificación no está seleccionada.

Tamaño de archivos de error

Solo es válido si los parámetros Administrar archivos de error y Guardar con error están definidos en verdadero.
Especifica hasta qué punto NetWitness Suite guarda archivos de error. El valor que especifica es el tamaño total máximo de todos los archivos en el directorio de error.

Un valor válido es un número dentro del rango entre 0 y 281474976710655. Estos valores se especifican en kilobytes, megabytes o gigabytes. 100 megabytes es el valor predeterminado. Si cambia este parámetro, el cambio no se implementa hasta que se reinicia la recopilación o el servicio Log Collector.

Conteo de archivos de error

Solo es válido si los parámetros Administrar archivos de error y Guardar con error están definidos en verdadero. La cantidad máxima de archivos de error en el directorio de error. Un valor válido es un número en el rango de 0 a 65536. 65536 es el valor predeterminado.

Si cambia este parámetro, el cambio no se implementa hasta que se reinicia la recopilación o el servicio Log Collector.

% de reducción de archivos de error

Porcentaje por tamaño o conteo de archivos de error que el servicio Log Collector elimina cuando se alcanza el tamaño o el conteo máximos. El servicio elimina los archivos más antiguos primero.

Un valor válido es un número en el rango de 0 a 100. 10 es el valor predeterminado.

Administrar archivos guardados

Seleccione la casilla de verificación para administrar los archivos guardados. De forma predeterminada, la casilla de verificación no está seleccionada.
De manera predeterminada, el Log Collector usa el parámetro Cuota de disco de archivo para asegurarse de que el disco no se llene con archivos guardados. Si selecciona esta casilla de verificación, puede especificar una de las siguientes opciones:

  • Espacio máximo asignado para archivos guardados en el parámetro Tamaño de archivos guardados.
  • Cantidad máxima de archivos guardados permitida en el parámetro Conteo de archivos guardados.

También se especifica un porcentaje de reducción, el cual indica al sistema cuánto reducir cuando se alcanza el máximo.

Tamaño de archivos guardados

Solo es válido si los parámetros Administrar archivos guardados y Guardar con éxito se definen en verdadero.
El tamaño total máximo de todos los archivos en el directorio de almacenamiento. Un valor válido es un número en el rango de 0 a 281474976710655. Estos valores se especifican en kilobytes, megabytes o gigabytes. 100 megabytes es el valor predeterminado.

Si cambia este parámetro, el cambio no se implementa hasta que se reinicia la recopilación o el servicio Log Collector.

Conteo de archivos guardados

Solo es válido si los parámetros Administrar archivos guardados y Guardar con éxito se definen en verdadero. La cantidad máxima de archivos guardados en el directorio de almacenamiento. Un valor válido es un número en el rango de 0 a 65536. 65536 es el valor predeterminado.

Si cambia este parámetro, el cambio no se implementa hasta que se reinicia la recopilación o el servicio Log Collector.

% de reducción de archivos guardados

Porcentaje por tamaño o conteo de archivos guardados que el servicio Log Collector elimina cuando se alcanza el tamaño o el conteo máximos. El servicio elimina los archivos más antiguos primero.

Un valor válido es un número en el rango de 0 a 100. 10 es el valor predeterminado.

Depurar

Precaución: Habilite la depuración (defina este parámetro en Activado o Detallado) solamente si hay un problema en un origen de eventos y necesita investigarlo. La habilitación de la depuración afectará negativamente el rendimiento del Log Collector.

Habilita/deshabilita el registro de depuración del origen de eventos.
Los valores válidos son los siguientes:

  • Desactivado = (predeterminado) deshabilitado
  • Activado = habilitado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.

Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos. El registro de depuración es detallado, por lo que se debe limitar la cantidad de orígenes de eventos para minimizar el impacto en el rendimiento.

Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar).

CancelarCierra el cuadro de diálogo sin agregar el tipo de origen de eventos.
AceptarAgrega los parámetros del origen de eventos.

 

You are here
Table of Contents > Protocolos de recopilación > Configurar orígenes de eventos de archivos

Attachments

    Outcomes