Decoder: Aktivieren der Ereignisquellenzuordnung

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema erfahren Administratoren, wie sie die Ereignisquellenzuordnung auf einem Log Decoder aktivieren.

Der Log Collector erkennt den Ereignisquelltyp auf Meldungsbasis. Wenn für die Ereignisquelle nicht der richtige Parser erkannt wird, kann ein geringer Prozentsatz der Protokolle falsch klassifiziert werden. Die falsch klassifizierten Nachrichten füllen Ereignisquellregeln und Warnmeldungen nicht auf und die Berichte enthalten nicht die richtigen Daten. Wenn mehrere Ereignisquelltypen mit einer IP-Adresse verknüpft sind, können die Parser möglicherweise nur schwer identifizieren, aus welcher Ereignisquelle die Protokolle erzeugt werden.

Wenn Sie eine IP-Adresse zu ihrem Ereignisquelltyp zuordnen, kann der Log Decoder die Ereignisquelle ermitteln, aus der das Protokoll erzeugt wird. Wenn Nachrichten aus einer zugeordneten Ereignisquelle für den Log Decoder bereitgestellt werden, werden nur die zugewiesenen Parser abgefragt, um Ereignisentsprechungen zu finden.

Sie können Ereignisquelltypen zu IPv4-, IPv6- oder Hostnamenwerten der Ereignisquelle zuweisen. Sie können auch mehrere Ereignisquellentypen zu einer einzigen IP-Adresse zuweisen. Sie können auch die Log Collector-ID verwenden, wenn verschiedene Ereignisquelltypen mit derselben IP-Adresse an verschiedene Log Collectors gesendet werden.

Hinweis: Sie können auch Parser-Zuordnungsfunktionen aktivieren, indem Sie zu ADMIN > Ereignisquellen > Erkennung navigieren.

Aktivieren der Zuordnung der IP-Adresse zur Ereignisquelle

So aktivieren Sie die Zuordnung der IP-Adresse zur Ereignisquelle:

  1. Navigieren Sie zu ADMIN > System > Protokoll-Parser-Zuordnungen.
  2. Wählen Sie Decoder und > Ansicht > Konfiguration aus.
  3. Wählen Sie auf der Seite „Konfiguration“ die Registerkarte Parser-Zuordnungen.
    In der Ansicht „Services-Konfiguration“ wird die Registerkarte „Parser-Zuordnungen“ angezeigt.
    Dies ist ein Beispiel für die Registerkarte „Parser-Zuordnungen“.

Aktualisieren der Zuordnung der IP-Adresse zur Ereignisquelle

So aktualisieren Sie die Zuordnung der IP-Adresse zur Ereignisquelle:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Log Decoder und in der Spalte Aktionen die Optionen Menü „Aktionen“ > Ansicht > Konfiguration aus.
    Die Ansicht „Services-Konfiguration“ wird angezeigt.
  3. Wählen Sie die Registerkarte Parser-Zuordnung aus.
  4. Klicken Sie aufHinzufügen-Symbol.

    Der Zuordnungseditor wird angezeigt.
    Dies ist ein Beispiel für die Registerkarte „Zuordnungseditor“.

  5. Eine der folgenden Zuordnungen kann definiert werden:

Ein Host und ein Ereignisquellentyp
: Geben Sie im Feld Host den Hostnamen ein.  
  Beispiel:10.0.0.1
- Geben Sie in das Feld Ereignisquelle(n) den Ereignisquellentyp ein.
  Beispiel:apache
Ein Host und ein oder mehrere Ereignisquellentypen
: Geben Sie im Feld Host den Hostnamen ein.
  Beispiel: 10.0.0.1 
- Geben Sie in das Feld Ereignisquelle(n) den Ereignisquellentyp ein. 
  Beispiel:  apache,sap,aix
Ein Host, ein Log Collector und ein Ereignisquellentyp
: - Geben Sie im Feld Host den Hostnamen und die Log Collector-ID ein.  
  Beispiel: 10.0.0.1,LC-1.
- Geben Sie in das Feld Ereignisquelle(n) den Ereignisquellentyp ein.
  Beispiel: apache
Ein Host, eine Log Collector-ID und ein oder mehrere Ereignisquellentypen
- Geben Sie im Feld Host den Hostnamen und die Log Collector-ID ein.
  Beispiel: 10.0.0.1,LC-1
- Geben Sie im Feld Ereignisquelle(n) den Ereignisquellentyp ein.
  Beispiel: apache,sap,aix

Hinweis: Die Ereignisquellentyp werden in der Reihenfolge verarbeitet, in der Sie die Parser eingeben, und wenn ein oder mehrere Parser einem Protokoll entsprechen, wird der erste Parser in der Liste abgefragt. „Host/IP“ kann eine IPv4-Adresse, eine IPv6-Adresse oder ein Hostname sein.

  1. Klicken Sie auf OK.
    Die Parser-Zuordnung wird hinzugefügt.
  1. Um die Auswahl der Parser-Zuordnungen abzubrechen, klicken Sie auf Abbrechen.

Lesen der Zuordnungen der IP-Adresse zum Ereignisquelltyp

So lesen Sie die Zuordnungen der IP-Adresse zum Ereignisquelltyp:

  1. Wechseln Sie zu Administration > Services und wählen Sie einen Log Decoder-Service aus.
  2. Wählen Sie in der Spalte Aktionen die Optionen Menü „Aktionen“  > Ansicht > Konfiguration aus.
    Die Ansicht „Services-Konfiguration“ wird angezeigt.
  3. Wählen Sie die Registerkarte Parser-Zuordnungen aus.
    Die Zuordnungen werden angezeigt.
    Dies ist ein Beispiel für die Registerkarte „Parser-Zuordnungen“.

Bearbeiten einer Zuordnung der IP-Adresse zum Ereignisquelltyp

So bearbeiten Sie eine Zuordnung der IP-Adresse zum Ereignisquelltyp

  1. Wechseln Sie zu Administration > Services und wählen Sie einen Log Decoder-Service aus.
  2. Wählen Sie in der Spalte „Aktionen“ die Optionen Menü „Aktionen“ > Ansicht > Konfiguration aus.
    Die Ansicht „Services-Konfiguration“ wird angezeigt.
  3. Wählen Sie die Registerkarte Parser-Zuordnungen aus.
  4. Wählen Sie die Zuordnung aus, die Sie bearbeiten möchten.
    Hinweis: Sie können jeweils immer nur eine Zuordnung bearbeiten.
  5. Klicken Sie auf Bearbeiten-Symbol.
  6. Ändern Sie im Feld Ereignisquelle(n) die Ereignisquelle(n).
    Hinweis: Der Host kann nicht bearbeitet werden und das Feld ist deaktiviert.
  7. Klicken Sie auf OK, um die bearbeitete Ereignisquelle zu übernehmen.
  8. Um die Änderungen zu widerrufen, klicken Sie auf Abbrechen.

Löschen einer Zuordnung der IP-Adresse zum Ereignisquelltyp

So löschen Sie eine Zuordnung der IP-Adresse zum Ereignisquelltyp

  1. Wechseln Sie zu Administration > Services und wählen Sie einen Log Decoder-Service aus.
  2. Wählen Sie in der Spalte „Aktionen“ die Optionen Menü „Aktionen“ > Ansicht > Konfiguration aus.
    Die Ansicht „Services-Konfiguration“ wird angezeigt.
  3. Wählen Sie die Registerkarte Parser-Zuordnungen aus.
  4. Wählen Sie die Zuordnung aus, die Sie löschen möchten.
  5. Klicken Sie auf Löschen-Symbol.
    Die Zuordnung wird gelöscht und das Raster wird aktualisiert.
  6. Um die Änderungen zu widerrufen, klicken Sie auf Abbrechen.

Sortieren des Hostnamens oder Ereignisquelltyps

So sortieren Sie den Hostnamen oder Ereignisquelltyp:

  1. Wechseln Sie zu Administration > Services und wählen Sie einen Log Decoder-Service aus.
  2. Wählen Sie in der Spalte „Aktionen“ die Optionen Menü „Aktionen“ > Ansicht > Konfiguration aus.
    Die Ansicht „Services-Konfiguration“ wird angezeigt.
  3. Wählen Sie die Registerkarte Parser-Zuordnungen aus.
  4. Klicken Sie zum Sortieren einer Spalte in der Kopfzeile der Spalte auf
    .Die Quellereignistypen werden auf die ausgewählte IP-Adresse angewendet. Die Protokolle werden in der Reihenfolge analysiert, in der sie aufgeführt sind.

Importieren von Einträgen für die Zuordnung der IP-Adresse zur Ereignisquelle

So importieren Sie Einträge für die Zuordnung der IP-Adresse zur Ereignisquelle

  1. Wechseln Sie zu Administration > Services und wählen Sie einen Log Decoder-Service aus.
  2. Wählen Sie in der Spalte „Aktionen“ die Optionen Menü „Aktionen“  > Ansicht > Konfiguration aus.
    Die Ansicht „Services-Konfiguration“ wird angezeigt.
  3. Wählen Sie die Registerkarte Parser-Zuordnungen aus.
  4. Wählen Sie Aktionen > Importieren aus.
    Das Dialogfeld „Importieren“ wird angezeigt.

    Beispiel für das Dialogfeld „Importieren“
  5. Klicken Sie auf Hinzufügen-Symbol.
  6. Wählen Sie die Datei aus, die Sie importieren möchten, und klicken Sie auf OK.
  7. Klicken Sie zum Laden des Parsers auf Importieren.

Hinweis: Sie können jeweils nur eine CSV-Datei importieren.

Exportieren von Einträgen für die Zuordnung der IP-Adresse zur Ereignisquelle

So exportieren Sie Einträge für die Zuordnung der IP-Adresse zur Ereignisquelle

  1. Wechseln Sie zu Administration > Services und wählen Sie einen Log Decoder-Service aus.
  2. Wählen Sie in der Spalte „Aktionen“ die Optionen Menü „Aktionen“  > Ansicht > Konfiguration aus.
    Die Ansicht „Services-Konfiguration“ wird angezeigt.
  3. Wählen Sie die Registerkarte Parser-Zuordnungen aus.
  4. Wählen Sie die Zuordnungen aus, die Sie exportieren möchten.
  5. Wählen Sie Aktionen > Exportieren > Auswahl aus.
    Das Dialogfeld „Exportauswahl“ wird angezeigt.
    Beispiel für das Dialogfeld „Exportauswahl“
  6. Geben Sie den Dateinamen ein und klicken Sie auf Exportieren.

Suchen nach Einträgen für die Zuordnung der IP-Adresse zur Ereignisquelle

So suchen Sie nach Einträgen für die Zuordnung der IP-Adresse zur Ereignisquelle

  1. Wechseln Sie zu Administration > Services und wählen Sie einen Log Decoder-Service aus.
  2. Wählen Sie in der Spalte „Aktionen“ die Optionen Menü „Aktionen“  > Ansicht > Konfiguration aus.
    Die Ansicht „Services-Konfiguration“ wird angezeigt.
  3. Wählen Sie die Registerkarte Parser-Zuordnungen aus.
  4. Geben Sie in der Symbolleiste Parser Zuordnungen den Host oder eine Ereignisquelle in das Feld Filter ein.
  5. Klicken Sie auf Eingabe.
    Die Hosts oder Ereignisquellen, die den eingegebenen Namen entsprechen, werden im Feld Filter angezeigt.

You are here
Table of Contents > Decoder und Log Decoder – zusätzliche Verfahren > Aktivieren der Ereignisquellenzuordnung

Attachments

    Outcomes