Recopilación de Windows existente: Paso 2. Configurar orígenes de eventos en SA

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • Comment0
  • View in full screen mode
 

En este tema se indica cómo configurar los orígenes de eventos de Windows existente en NetWitness Suite.

El protocolo de recopilación de Windows existente recopila datos de eventos de orígenes de eventos de Windows 2003 o versiones anteriores y de orígenes de eventos de NetApp.

Requisitos previos

Antes de configurar un origen de eventos de Windows existente, asegúrese de haber:

  1. Instalado el Remote Collector de Windows existente de NetWitness Suite en un servidor Windows 2008 de 64 bits físico o virtual.
  2. Agregado este Remote Collector de Windows existente a NetWitness Suite.

Agregar un origen de eventos de Windows existente

  1. Acceda a la vista Servicios, para lo cual debe seleccionar Admin > Servicios en el menú de NetWitness Suite.
  2. En la cuadrícula Servicios, seleccione un servicio Log Decoder de Windows existente.
  3. En Acciones, seleccione > Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.
  4. Haga clic en la pestaña Orígenes de eventos.

  5. En la pestaña Orígenes de eventos, seleccione una de las siguientes opciones en el menú desplegable.

    • Windows existente/Windows.
    • Windows existente/NetApp.

  6. Configure el alias:

    1. Haga clic en en la barra de herramientas del panel Categorías de evento.

      Se muestra el cuadro de diálogo Agregar origen.

    2. Especifique valores para los parámetros y haga clic en Aceptar.

      Add source dialog is displayed.

      Nota: De forma predeterminada, se selecciona Inicialización del registro remoto. Para obtener más información, consulte Acceso al registro remoto a continuación.

      El tipo de origen de eventos de Windows agregado recientemente se muestra en el panel Categorías de evento.

  7. Agregar el origen de eventos:

    1. Seleccione el nuevo alias en el panel Categorías de evento y haga clic en en la barra de herramientas del panel Origen.

      Se muestra el cuadro de diálogo Agregar origen.

    2. Especifique valores para los parámetros de orígenes de eventos y haga clic en Aceptar.

      Add Source dialog displayed with selected options.

      Para obtener más información, consulte Parámetros de configuración de Windows existente a continuación.

      El origen de eventos de Windows recién agregado se muestra en el panel Categorías de evento.

      Options for Sources dialog.

Acceso al registro remoto

El recopilador de Windows existente ejecuta una verificación inicial del origen de eventos antes de recopilar datos. De forma predeterminada, el colector de Windows existente usa el método Instrumental de administración de Windows (WMI) para realizar esta verificación inicial. Si habilita el método de acceso remoto al registro, el recopilador de Windows existente ejecuta una consulta remota al registro para verificar el origen de eventos.

Configurar la migración o la extracción entre Log Collector y el recopilador de Windows existente

Puede configurar el recopilador de Windows existente para que migre datos de eventos a un Local Collector, o puede configurar un Local Collector para que extraiga datos de eventos del recopilador de Windows existente.

Para configurar un Local Collector o el recopilador de Windows existente:

  1. Vaya a ADMINISTRAR > Servicios.
  2. Seleccione un Local Collector o el servicio de recopilación de Windows existente.
  3. En Acciones, seleccione   > Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.

  4. Según su selección en el paso 2:

    • Si seleccionó un Local Collector, se muestra la pestaña Remote Collectors. En esta pestaña, seleccione el recopilador de Windows existente desde el cual el Local Collector extrae eventos.
    • Si seleccionó un recopilador de Windows existente, se muestran los Local Collectors. En esta pestaña, seleccione los Local Collectors a los cuales el recopilador de Windows existente migra eventos.

Parámetros de configuración de Windows existente

En la siguiente tabla se describen los parámetros de un origen de eventos de Windows existente.

                                                                         
FunciónDescripción
Básico
Nombre*Nombre del origen de eventos. Un valor válido es un nombre en el rango [_a-zA-Z] [_a-zA-Z0-9]*. Puede usar un guion “-” como parte del nombre.
Dirección de origen de evento*Dirección IP del origen de eventos. El valor válido es una dirección IPv4, una dirección IPv6 o un nombre de host que incluye un nombre de dominio calificado. NetWitness Suite se configura de forma predeterminada en 127.0.0.1.
Log Collector convierte el nombre de host en letras minúsculas para evitar las entradas duplicadas.
Nombre de log de eventos

Nombre del registro de eventos desde el cual se recopilan datos de eventos (por ejemplo, Sistema, Aplicación o Seguridad).
Los siguientes son algunos ejemplos de esos canales:

  • Sistema: Aplicaciones que se ejecutan bajo cuentas de servicio del sistema (servicios del sistema instalados), drivers o un componente o aplicación que tiene eventos relacionados con el estado del sistema.
  • Aplicación: todas las aplicaciones de nivel de usuario. Este canal no es seguro y está abierto a cualquier aplicación. Si una aplicación tiene mucha información, es recomendable definir un canal de aplicación específico para ella.
  • Seguridad: el registro de auditoría de Windows (registro de eventos) que se usa exclusivamente para la Autoridad de seguridad local de Windows.
HabilitadoSeleccione esta casilla de verificación para recopilar desde este origen de eventos. Si no selecciona esta casilla de verificación, Log Collector no recopila eventos desde este origen de eventos.
Ruta de directorio de eventos

Ruta del directorio de archivos NetApp .evt o .evtx. Debe ser la ruta UNC.

NetApp genera datos de eventos y los guarda en archivos .evt o .evtx en un directorio compartible en el dispositivo NetApp.

  • En cada ciclo de exploración, Log Collector navega por la ruta compartida de NetApp configurada para los archivos .evt que identificó con los parámetros Ruta de directorio de eventos y Prefijo de archivo de evento. Log Collector :

    • Clasifica los archivos que coinciden con el formato event-file-prefix.YYMMDDhhmmss.evt en orden ascendente.

    • usa el registro de fecha y hora del último archivo procesado para determinar los archivos que aún requieren procesamiento. Si Log Collector encuentra un archivo procesado parcialmente, omite los eventos ya procesados.

  • En cada ciclo de sondeo, Log Collector navega por la ruta compartida de NetApp configurada para los archivos .evtx que identificó con los parámetros Ruta de directorio de eventos y Prefijo de archivo de evento. Log Collector:

    • clasifica los archivos que coinciden con el formato event-file-prefix.YYMMDDhhmmss.evtx en orden ascendente.

    • usa el registro de fecha y hora del último archivo procesado para determinar los archivos que aún requieren procesamiento. Si Log Collector encuentra un archivo procesado parcialmente, omite los eventos ya procesados.

Prefijo de archivo de eventoPrefijo de los archivos .evt (por ejemplo, adtlog.) guardados en la Ruta de directorio de eventos.
Avanzado
Tamaño de buffer de eventos

Tamaño máximo de los datos que Log Collector extrae del origen de eventos en cada solicitud.

El valor válido es un número en el rango de 0 a 511 Kilobytes. Este valor se especifica en kilobytes.

Resultado de evento demasiado grandeIndica a Log Collector qué hacer si un evento es demasiado grande para el búfer de eventos.
Máximo de datos de eventos

Tamaño máximo de los datos de eventos que se incluirán en la salida. El valor válido es un número en el rango de 0 a 511 Kilobytes. Este valor se especifica en kilobytes o megabytes.

  • 1 kilobyte - 100 megabytes
  • 0 = no se incluyen datos de eventos en la salida.
Máximo de eventos por cicloLa cantidad máxima de eventos por ciclo de sondeo (cuántos eventos se recopilan por ciclo de sondeo).
Intervalo de sondeo

El intervalo (cantidad de tiempo en segundos) entre cada encuesta. El valor predeterminado es 180.

Por ejemplo, si especifica 180, el recopilador programa un sondeo del origen de eventos cada 180 segundos. Si aún se está realizando el ciclo de sondeo anterior, esperará hasta que ese ciclo termine. Si está sondeando una gran cantidad de orígenes de eventos, es posible que el sondeo tarde más de 180 segundos en comenzar porque los subprocesos están ocupados.

Depurar

Precaución: Habilite la depuración (defina este parámetro en Activado o Detallado) solamente si hay un problema en un origen de eventos y necesita investigarlo. La activación de la depuración afectará negativamente el rendimiento del Log Collector.

Habilita o deshabilita el registro de depuración del origen de eventos. Los valores válidos son los siguientes:

  • Desactivado = (predeterminado) deshabilitado
  • Activado = habilitado
  • Detallado = activado en el modo detallado: agrega a los mensajes información del hilo de ejecución e información contextual del origen.

Este parámetro esta diseñado para depurar y monitorear problemas aislados en la recopilación de orígenes de eventos. Si cambia este valor, el cambio se implementa inmediatamente (no es necesario reiniciar). Limite la cantidad de orígenes de eventos para los que utiliza depuración Detallada para minimizar el impacto en el rendimiento.

CancelarCierra el cuadro de diálogo sin agregar el origen de eventos de Windows existente.
AceptarAgrega los valores de los parámetros actuales como un nuevo origen de eventos
You are here
Table of Contents > Protocolos de recopilación > Guía de configuración de la recopilación de Windows existente y NetApp > Configurar orígenes de eventos de Windows existente y de NetApp en RSA NetWitness

Attachments

    Outcomes