Protokollsammlung – Konfiguration: Konfigurieren von Ereignisfiltern für Log Collector

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema erfahren Sie, wie Sie Ereignisfilter für alle Sammlungsprotokolle erstellen und warten.

Hinweis: Sie können die Syslog-Sammlung nicht für Local Log Collectors konfigurieren. Sie müssen die Syslog-Sammlung nur für Remote Collectors konfigurieren. Nähere Informationen zur Konfiguration finden Sie unter Konfigurieren von Local und Remote Collectors.

Konfigurieren eines Ereignisfilters

So konfigurieren Sie eine Ereignisquelle:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.

  5. Wählen Sie auf der Registerkarte Ereignisquellen in den Drop-down-Menüs eine Sammlungsmethode/einen Filter aus.

    Der folgende Bildschirm zeigt die ausgewählte Option Syslog an.

    Event Sources tab shows Filters drop-down menu.

    Hinweis: Syslog-Konfiguration ist nur verfügbar auf Remote Collectors: Wenn Sie mit einem Local Collector-Service arbeiten, ist Syslog im Drop-down-Menü nicht verfügbar.

    Die Ansicht Filter zeigt die Filter an, die für die ausgewählte Sammlungsmethode konfiguriert sind, sofern vorhanden.

  6. Klicken Sie in der Symbolleiste des Bereichs Filter auf .

    Das Dialogfeld Filter hinzufügen wird angezeigt.

    Add Filter dialog is displayed.

  7. Geben Sie einen Namen und eine Beschreibung für den neuen Filter ein und klicken Sie auf Hinzufügen.

    Der neue Filter wird im Bereich Filter angezeigt.

    Event Sources tab is displayed.

  8. Wählen Sie den neuen Filter im Bereich Filter aus und klicken Sie in der Symbolleiste des Bereichs Filterregeln auf .

    Das Dialogfeld Filterregel hinzufügen wird angezeigt.

  9. Klicken Sie unter Bedingungen der Regel auf .
  10. Fügen Sie die Parameter für diese Regel hinzu und klicken Sie auf Update > OK.

    Add Filter Rule dialog is displayed.

NetWitness Suite aktualisiert den Filter mit der von Ihnen definierten Regel.

Hinweis: Regeln werden von oben nach unten verarbeitet, bis ein Aktionstyp die Verarbeitung abbricht oder die letzte Regel überprüft wurde. Standardmäßig wird die Regel akzeptiert, wenn keine Übereinstimmungen gefunden werden.

In den folgenden Tabellen werden die Parameter für das Hinzufügen einer Filterregel beschrieben.

Ereignisfilterregel Parameter „Schlüssel“

Die Werte für das Feld „Schlüssel“ hängen von der Sammlungsmethode ab, auf die der Filter angewendet wird.

                               
Sammlungsmethode

Werte für das Feld Schlüssel

Kontrollpunkt, Datei, Netflow, Plug-in,
SDEE SNMP und VMware

  • Alle Datenfelder
  • Ereignisquelltyp
  • Name der Ereignisquelle
  • Quell-IP
  • Rohereignis

ODBC

  • Alle Datenfelder
  • Ereignisquelltyp
  • Name der Ereignisquelle
  • Quell-IP
  • Meldungs-ID
  • Nachrichtenebene

Syslog

  • Alle Datenfelder
  • Ereignisquelltyp
  • Name der Ereignisquelle
  • Quell-IP
  • Syslog-Stufe
  • Rohereignis

Windows

  • Alle Datenfelder
  • Ereignisquelltyp
  • Name der Ereignisquelle
  • Quell-IP
  • Ereignis-ID
  • Provider
  • Channel
  • Computer
  • UserName
  • DomainName

Windows-Legacy

  • Alle Datenfelder
  • Ereignisquelltyp
  • Name der Ereignisquelle
  • Quell-IP
  • Ereignis-ID

Andere Parameter für Ereignisfilterregeln

Die folgende Tabelle beschreibt alle anderen verfügbaren Felder für die Erstellung einer Ereignisfilterregel.

                               
FeldBeschreibung
Operator

Gültige Werte:

  • Enthält
  • Gleich
Regex verwenden

Optional. Sie können diese Option auswählen, wenn Sie regex verwenden möchten.

Wert

Wert ist abhängig von dem gewählten Schlüsselwert.

Wenn Sie für Schlüssel beispielsweise Syslog-Stufe wählen, ist der Wert eine Zahl, die die Syslog-Stufe angibt.

Groß-/Kleinschreibung ignorieren

Optional. Wählen Sie dies aus, um die Groß-/Kleinschreibung zu ignorieren.

Aktion

Wenn eine Übereinstimmung vorliegt, können Sie eine Aktion für das Akzeptieren, das Verwerfen, die nächste Bedingung oder die nächste Regel auswählen:

  • Akzeptieren : Ereignisse, die mit den bereitgestellten IDs übereinstimmen, sind in Ereignisprotokollen enthalten und werden in der Systems Analytics-Benutzeroberfläche angezeigt.
  • Verwerfen: Ereignisse, die mit den bereitgestellten IDs übereinstimmen, sind in Ereignisprotokollen nicht enthalten und werden in der Systems Analytics-Benutzeroberfläche nicht angezeigt.
  • Nächste Bedingung: Der Filter ignoriert Ereignisse mit übereinstimmenden IDs und fährt mit der nächsten Regelbedingung fort.
  • Nächste Regel: Der Filter ignoriert Ereignisse mit übereinstimmenden IDs und fährt mit der nächsten Regel fort.

Wenn keine Übereinstimmung vorliegt, können Sie eine Aktion für das Akzeptieren, das Verwerfen, die nächste Bedingung oder die nächste Regel auswählen.

Ändern von Filterregeln

So ändern Sie eine Ereignisquelle:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.

  5. Wählen Sie auf der Registerkarte Ereignisquellen in den Drop-down-Menüs eine Sammlungsmethode/einen Filter aus.

    Der folgende Bildschirm zeigt die ausgewählte Option Kontrollpunkt an.

    Filters view is displayed.

    Die Ansicht Filter zeigt die Filter an, die für die ausgewählte Sammlungsmethode konfiguriert sind, sofern vorhanden.

  6. Wählen Sie in der Liste Filterregeln eine Regel aus und klicken Sie auf .

    Das Dialogfeld Filterregel bearbeiten wird angezeigt.

    Edit Filter Rule dialog is displayed.

  7. Wählen Sie die Regelbedingung aus, die Sie ändern möchten.

    Select Rule Conditions is displayed.

  8. Ändern Sie die Bedingungsparameter, die Änderungen erfordern, und klicken Sie auf Aktualisieren > OK.

NetWitness Suite wendet die Bedingungsparameteränderungen auf die ausgewählte Filterregel an.

You are here
Table of Contents > Grundlagen zur Protokollsammlung > Konfigurieren von Ereignisfiltern für Log Collector

Attachments

    Outcomes