ODBC収集:カスタムのコンテンツTypespecの作成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

このトピックでは、Log CollectorのカスタムTypespecを作成する方法について説明します。トピックには次の項目が含まれます。

  • カスタムTypespecの作成手順
  • ODBC収集Typespec構文
  • ODBC収集Typespecファイルのサンプル

カスタムTypespecの作成

カスタムTypespecファイルを作成するには、次の手順を実行します。

  1. SFTPクライアント(たとえば、WinSCP)を開き、Log CollectorまたはリモートLog Collectorに接続します。
  2. /etc/netwitness/ng/logcollection/content/collection/odbcに移動して、既存のファイル(たとえば、bit9.xml)をコピーします。
  3. 要件に応じてファイルを変更します。詳細については、「ODBC収集Typespec構文」を参照してください。
  4. ファイルの名前を変更し、同じディレクトリに保存します。
  5. Log Collectorを再起動します。

注:Log Collectorを再起動するまで、NetWitness Suiteに新しいイベント ソース タイプは表示されません。

ODBC収集Typespec構文

以下の表は、typespecパラメータについての説明です。

                                                                                         
パラメータ説明

name

ODBCイベント ソースの表示名(たとえば、actividentity)。NetWitness Suiteでは、[表示]>[構成]>[イベント ソース]タブの[ソース]パネルにこの名前が表示されます。

有効な値は英数字の文字列です。-(ダッシュ)、_(下線)、スペースは使用できません。この名前は、フォルダ内のすべてのtypespecファイル全体にわたり一意である必要があります。

type

イベント ソース タイプ:odbc。この行は変更しないでください。

prettyName

イベント ソースのユーザ定義名。nameと同じ値(たとえば、apache)を使用するか、もっと分かりやすい名前を使用することができます。

version

このtypespecファイルのバージョン。デフォルト値は1.0です。

author

typespecファイルの作成者。author-nameは、自分の名前に置き換えてください。

description

イベント ソースの正式な説明。formal-descriptionは、イベント ソースの実際の説明に置き換えてください。

<device>セクション

parser

このオプションのパラメータにはログ パーサの名前が含まれています。この値は、このイベント ソースからログを解析するときに、指定したログ パーサを使用するようLog Decoderを強制します。

注:使用するログ パーサが不明である場合は、このフィールドを空白のままにします。

name

ODBCイベント ソースの名前(たとえば、ActivIdentity ActivCard AAA Server)。

maxVersion

イベント ソースのバージョン番号(たとえば、6.4.1)。

description

イベント ソースの説明。

<collection>セクション

odbc

<odbc>の下の構文は、イベントの収集および処理に使用されます。  <query>タグを追加することで、同じイベントソース タイプに対して複数のクエリを指定できます。

query

このセクションには、イベント ソースから情報を収集するために使用するクエリの詳細を記述します。

tag

変換時にイベントに追加するプレフィックス タグ(たとえば、ActivIdentity)。

outputDelimiter

フィールドを区切るために使用する区切り文字を指定します。次のいずれかの値を指定します。

  • ||(パイプ)
  • ^(キャレット)
  • ,(コンマ)
  • :(コロン)
  • 0x20(スペースを表します)

interval

イベントとイベントの間の秒数を指定します。デフォルト値は60です。

dataQuery

SQL-syntaxには、ODBCイベントソースのデータベースからデータを取得するクエリを指定します。例:

SELECT acceptedrejected, servername, serveripa, sdate, millisecond, suid, groupname, ipa, reason, info1, info2, threadid FROM A_AHLOG WHERE sdate > '%TRACKING%' ORDER BY sdate

maxTrackingQuery

データセットからのログの収集を開始するために、データセット内の起点を特定するイベントの最初の収集に使用するクエリ。最初の収集の実行後、maxTracking値がリセットまたは変更されるまで、このクエリは使用されなくなります。例:

SELECT MAX(Event_Id) from ExEvents

trackingColumn

ODBC Collectorが新たなイベントを収集する際に使用するトラッキング列の名前。

ODBC収集Typespecファイルのサンプル

次のサンプルは、IBM ISS SiteProtectorイベント ソースのためのtypespecファイルです。

<?xml version="1.0" encoding="UTF-8"?>
<typespec>

   <name>siteprotector4_x</name>
   <type>odbc</type>
   <prettyName>SITEPROTECTOR4_X</prettyName>
   <version>1.0</version>
   <author>Administrator</author>
   <description>Collects events from SiteProtector</description>

   <device>
      <name>Internet Security Systems, Inc. RealSecure SiteProtector v 2.0</name>
      <maxVersion>2.0</maxVersion>
      <description></description>
      <parser>iss</parser>
   </device>

   <configuration>
   </configuration>

   <collection>
      <odbc>
         <query>
            <tag></tag>
            <outputDelimiter></outputDelimiter>
            <interval></interval>
            <dataQuery></dataQuery>
            <maxTrackingQuery></maxTrackingQuery>
            <trackingColumn></trackingColumn>
            <levelColumn></levelColumn>
            <eventIdColumn></eventIdColumn>
            <addressColumn></addressColumn>
         </query>
      </odbc>
   </collection>
</typespec>

次のサンプルは、Bit9 Security Platformイベント ソースのためのtypespecファイルです。

<?xml version="1.0" encoding="UTF-8"?>
<typespec>

   <name>bit9</name>
   <type>odbc</type>
   <prettyName>BIT9</prettyName>
   <version>1.0</version>
   <author>Administrator</author>
   <description>Bit9 Events</description>
 
   <device>
      <name>Bit9</name>
      <parser>bit9</parser>
   </device>

   <configuration>
   </configuration>
 
   <collection>
      <odbc>
         <query>
            <tag>BIT9</tag>
            <outputDelimiter>||</outputDelimiter>
            <interval>10</interval>
            <dataQuery>
            SELECT
            Timestamp,
            Event_Id,
            Computer_Id,
            File_Catalog_Id,
            Root_File_Catalog_Id,
            Priority,
            Type,
            Subtype,
            IP_Address,
            User_Name,
            Process,
            Description
            FROM
            ExEvents
            WHERE
            Event_Id > '%TRACKING%'
            </dataQuery>
            <trackingColumn>Event_Id</trackingColumn>
            <maxTrackingQuery>SELECT MAX(Event_Id) from ExEvents</maxTrackingQuery>
            <eventIdColumn></eventIdColumn>
         </query>
      </odbc>
   </collection>
</typespec>
Previous Topic:DSNの構成
You are here
Table of Contents > 収集プロトコル > ODBC > カスタムTypespecの作成

Attachments

    Outcomes