ODBC-Sammlung: Erstellen eines kundenspezifischen Content-Typespec

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema erfahren Sie, wie Sie ein kundenspezifisches Typespec für den Log Collector erstellen. Das Thema umfasst Folgendes:

  • Verfahren zur Erstellung eines kundenspezifischen Typespec
  • ODBC-Sammlung-Typespec-Syntax
  • Beispiel für eine Typespec-Datei für die ODBC-Sammlung

Erstellen eines kundenspezifischen Typespec

So erstellen Sie eine angepasste Typespec-Datei:

  1. Öffnen Sie einen SFTP-Client (z. B. WinSCP) und stellen Sie eine Verbindung zu einem Log Collector oder einem Remote Log Collector her.
  2. Navigieren Sie zu /etc/netwitness/ng/logcollection/content/collection/odbc und kopieren Sie eine vorhandene Datei, z. B. bit9.xml.
  3. Ändern die Datei entsprechend Ihren Anforderungen. Details finden Sie unter ODBC-Sammlung-Typespec-Syntax.
  4. Benennen Sie die Datei um und speichern Sie sie im selben Verzeichnis.
  5. Starten Sie den Log Collector neu.

Hinweis: Der neue Ereignisquelltyp ist nicht sichtbar in NetWitness Suite, bis Sie den Log Collector neu gestartet haben.

ODBC-Sammlung-Typespec-Syntax

In der folgenden Tabelle werden die Typespec-Parameter beschrieben.

                                                                                         
ParameterBeschreibung

Name

Der Anzeigename Ihrer ODBC-Ereignisquelle (z. B. actividentity). NetWitness Suite zeigt diesen Namen im Bereich Quellen in der Registerkarte Ansicht > Konfiguration > Ereignisquellen an.

Gültig ist eine alphanumerische Zeichenfolge. - (Bindestrich), _(Unterstrich) oder Leerzeichen dürfen nicht verwendet werden. Der Name muss für alle Typespec-Dateien im Ordner eindeutig sein.

type

Ereignisquelltyp: odbc Ändern Sie diese Zeile nicht.

prettyName

Benutzerdefinierter Name für die Ereignisquelle. Sie können denselben Wert wie für „name“ verwenden (z. B. „apache“) oder einen aussagekräftigeren Namen wählen.

Version

Version dieser Typespec-Datei. Der Standardwert ist 1.0.

author

Person, die die Typespec-Datei erstellt hat. Ersetzen Sie author-name durch Ihren Namen.

Beschreibung

Formelle Beschreibung der Ereignisquelle. Ersetzen Sie formal-description durch Ihre Beschreibung der Ereignisquelle.

<Gerät> Abschnitt

Parser

Dieser optionale Parameter enthält den Namen des Protokoll-Parsers. Dieser Wert erzwingt die Verwendung des angegebenen Protokoll-Parsers durch den Log Decoder, wenn Protokolle aus dieser Ereignisquelle analysiert werden.

Hinweis: Bitte lassen Sie das Feld leer, wenn Sie nicht sicher sind, welcher Protokoll-Parser verwendet werden soll.

Name

Geben Sie der ODBC-Ereignisquelle einen Namen (z. B ActivIdentity ActivCard AAA Server).

maxVersion

Die Versionsnummer der Ereignisquelle (z. B. 6.4.1).

Beschreibung

Eine Beschreibung der Ereignisquelle.

<Sammlung> Abschnitt

odbc

Die Syntax unter <odbc> wird zur Ereignissammlung und -verarbeitung verwendet.  Sie können mehrere Abfragen für den gleichen Ereignisquelltyp angeben, indem Sie <query>-Tags hinzufügen.

query

Dieser Abschnitt enthält die Details der Abfrage, die zum Sammeln von Informationen aus der Ereignisquelle verwendet wird.

etikett

Das Präfix-Tag, das Sie den Ereignissen während der Transformation hinzufügen möchten (z. B. ActivIdentity).

outputDelimiter

Geben Sie das Trennzeichen an, mit dem Felder getrennt werden sollen. Geben Sie einen der folgenden Werte ein:

  • || (senkrechte Striche)
  • ^ (Caret-Zeichen)
  • , (Komma)
  • : (Doppelpunkt)
  • 0x20 (zur Darstellung von Leerzeichen)

interval

Geben Sie die Anzahl der Sekunden zwischen Ereignissen an. Der Standardwert ist 60.

dataQuery

Geben Sie die Abfrage an, mit der Daten aus der ODBC-Ereignisquellen-Datenbank für SQL-syntax abgerufen werden. Beispiel:

SELECT acceptedrejected, servername, serveripa, sdate, millisecond, suid, groupname, ipa, reason, info1, info2, threadid FROM A_AHLOG WHERE sdate > '%TRACKING%' ORDER BY sdate

maxTrackingQuery

Die Abfrage, die für den ersten Abruf von Ereignissen verwendet wird, um den Ausgangspunkt innerhalb des Datenvolumens zu identifizieren, ab dem mit dem Abrufen von Protokollen begonnen werden soll. Nach dem ersten Abruf wird diese Abfrage nicht mehr verwendet, sofern nicht der Wert maxTracking zurückgesetzt oder geändert wurde. Beispiel:

SELECT MAX(Event_Id) from ExEvents

trackingColumn

Der Verfolgungsspaltenwert, der verwendet wird, wenn der ODBC Collector einen neuen Ereignissatz abruft.

Beispiel für eine Typespec-Datei für die ODBC-Sammlung

Das folgende Beispiel ist die Typespec-Datei für die Ereignisquelle „IBM ISS SiteProtector“.

<?xml version="1.0" encoding="UTF-8"?>
<typespec>

   <name>siteprotector4_x</name>
   <type>odbc</type>
   <prettyName>SITEPROTECTOR4_X</prettyName>
   <version>1.0</version>
   <author>Administrator</author>
   <description>Collects events from SiteProtector</description>

   <device>
      <name>Internet Security Systems, Inc. RealSecure SiteProtector v 2.0</name>
      <maxVersion>2.0</maxVersion>
      <description></description>
      <parser>iss</parser>
   </device>

   <configuration>
   </configuration>

   <collection>
      <odbc>
         <query>
            <tag></tag>
            <outputDelimiter></outputDelimiter>
            <interval></interval>
            <dataQuery></dataQuery>
            <maxTrackingQuery></maxTrackingQuery>
            <trackingColumn></trackingColumn>
            <levelColumn></levelColumn>
            <eventIdColumn></eventIdColumn>
            <addressColumn></addressColumn>
         </query>
      </odbc>
   </collection>
</typespec>

Das folgende Beispiel ist die Typespec-Datei für die Ereignisquelle „Bit9-Sicherheitsplattform“.

<?xml version="1.0" encoding="UTF-8"?>
<typespec>

   <name>bit9</name>
   <type>odbc</type>
   <prettyName>BIT9</prettyName>
   <version>1.0</version>
   <author>Administrator</author>
   <description>Bit9 Events</description>

   <device>
      <name>Bit9</name>
      <parser>bit9</parser>
   </device>

   <configuration>
   </configuration>

   <collection>
      <odbc>
         <query>
            <tag>BIT9</tag>
            <outputDelimiter>||</outputDelimiter>
            <interval>10</interval>
            <dataQuery>
            SELECT
            Timestamp,
            Event_Id,
            Computer_Id,
            File_Catalog_Id,
            Root_File_Catalog_Id,
            Priority,
            Type,
            Subtype,
            IP_Address,
            User_Name,
            Process,
            Description
            FROM
            ExEvents
            WHERE
            Event_Id > '%TRACKING%'
            </dataQuery>
            <trackingColumn>Event_Id</trackingColumn>
            <maxTrackingQuery>SELECT MAX(Event_Id) from ExEvents</maxTrackingQuery>
            <eventIdColumn></eventIdColumn>
         </query>
      </odbc>
   </collection>
</typespec>
Previous Topic:Konfigurieren von DSNs
You are here
Table of Contents > Sammlungsprotokolle > ODBC > Erstellen eines kundenspezifischen Typespec

Attachments

    Outcomes