Hôte GS : Paramètres de configuration du service Log Decoder

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique répertorie et décrit les paramètres de configuration disponibles pour RSA NetWitness Suite Log Decoders.

Paramètres de configuration de Log Decoder

Ce tableau répertorie et décrit les paramètres de configuration de Log Decoder.

                                       
Champ Configuration de Log DecoderDescription
Base de données /database/config fait référence à la section Nœuds de configuration de la base de données dans le Guide d'optimisation de la base de données NetWitness Suite Core.
Decoder /decoder/config, reportez-vous à la rubrique Paramètres de configuration de Decoder et Log Decoder
Index /index/config fait référence à la section Nœuds de configuration d'index dans le Guide d'optimisation de la base de données NetWitness Suite Core.
Logs /logs/config, reportez-vous à la rubrique Configuration de la consignation de service Core.
REST /rest/config, reportez-vous à la rubrique Configuration de l'interface REST
SDK sdk/config, reportez-vous à la section Nœuds de configuration SDK dans le Guide d'optimisation de la base de données NetWitness Suite Core et Modes system.roles du service Core.
Système /sys/config, reportez-vous à la rubrique Configuration système de service Core.

Paramètres de configuration du Log Tokenizer

Le service Log Decoder comprend un ensemble d'éléments de configuration qui contrôlent la manière dont le générateur de tokens crée les éléments méta pour les logs non analysés. Le Log Tokenizer est mis en œuvre en tant qu'ensemble d'analyseurs intégrés par chaque analyse pour un sous-ensemble de tokens reconnaissables. La fonctionnalité de chacun de ces analyseurs natifs est indiquée dans le tableau ci-dessous. Ces éléments word forment un index de texte intégral lorsqu'ils sont introduits dans le moteur d'indexation sur les services Concentrator et Archiver. En modifiant l'entrée de configuration parsers.disabled, vous pouvez contrôler l'activation des générateurs de logs.

                                                     
Nom de l'analyseurDescriptionParamètres de configuration
Tokens de logsRecherche des séquences de caractères consécutifs pour produire des éléments méta 'word'.token.device.types, token.char.classes, token.max.length, token.min.length, token.unicode
IPSCANRecherche de texte sous forme d'adresse IPv4 pour produire des éléments méta 'ip.addr'.token.device.types
IPV6SCANRecherche de texte sous forme d'adresse IPv6 pour produire des éléments méta 'ipv6'.token.device.types
URLSCANRecherche de texte sous forme d'URI pour produire des éléments méta 'alias.host', 'filename', 'username' et 'password'.token.device.types
DOMAINSCANRecherche de texte sous forme de nom de domaine pour produire les éléments méta 'alias.host', 'tld', 'cctld' et 'sld'.token.device.types
EMAILSCANRecherche de texte sous forme d'adresse e-mail pour produire les éléments méta 'email' et 'username'.token.device.types
SYSLOGTIMESTAMPSCAN Recherche de texte sous forme d'horodatages au format syslog. Il manque l'année et le fuseau horaire dans syslog. Lorsque ce texte est identifié, il est normalisé en heure UTC pour créer les éléments méta 'event.time'.token.device.types
INTERNETTIMESTAMPSCANRecherche de texte sous forme d'horodatages au format RFC 3339 pour créer des éléments méta 'event.time'.token.device.types

Voici les paramètres de configuration du Log Tokenizer.

                               
Champ Configuration des analyseurs Log DecoderDescription
token.device.types Ensemble de types de périphériques qui seront scannés pour les tokens de texte brut. Par défaut, ce paramètre est configuré sur unknown, ce qui signifie que seuls les logs qui ne sont pas analysés seront scannés pour le texte brut. Vous pouvez ajouter des types de logs supplémentaires à cet emplacement afin d'enrichir les logs analysés avec les informations de tokens de texte.

Si ce champ est vide, alors le générateur de tokens pour les logs est désactivé.
token.char.classes Ce champ contrôle le type de tokens qui sont générés. Il peut s'agir de n'importe quelle combinaison des valeurs alpha, digit, space, et punct. La valeur par défaut est alpha.
  • alpha : Les tokens peuvent contenir des caractères alphanumériques
  • digit : Les tokens peuvent contenir des nombres
  • space : Les tokens peuvent contenir des espaces et des tabulations
  • punct : Les tokens peuvent contenir des marques de ponctuation
token.max.length Ce champ permet de limiter la longueur des tokens. La valeur par défaut est de 5 caractères. Le paramètre de longueur maximale permet au Log Decoder de limiter l'espace nécessaire pour stocker les méta word. L'utilisation de jetons plus longs nécessite de l'espace supplémentaire dans la base de métadonnées, mais garantit des recherches de texte brut légèrement plus rapides. L'utilisation de jetons plus courts contraint le programme de résolution de requête de texte à effectuer plus d'accès en lecture dans les logs bruts au cours des recherches, mais cela a pour effet d'utiliser beaucoup moins d'espace dans la base de métadonnées et l'index.
token.min.length Il s'agit de la longueur minimale d'un token de texte de recherche. La longueur de token minimale correspond au nombre minimum de caractères qu'un utilisateur peut saisir dans la zone de recherche afin de localiser les résultats. La valeur recommandée est la valeur par défaut, 3.
token.unicode Ce paramètre booléen contrôle si les règles de classification Unicode sont appliquées lors de la classification des caractères en fonction du paramètre token.char.classes. Si ce paramètre est défini sur true, chaque log sera traité comme une séquence de points de code chiffrés UTF-8 , et donc la classification sera effectuée après l'exécution du déchiffrement UTF-8. Si ce paramètre est défini sur false, alors chaque log sera traité en mode ASCII et seule la classification des caractères ASCII sera effectuée. La classification des caractères Unicode nécessite plus de ressources CPU sur le service Log Decoder. Si l'indexation du texte dans une autre langue que l'anglais vous est inutile, vous pouvez désactiver ce paramètre pour réduire l'utilisation du processeur sur le service Log Decoder. Le mode par défaut est activé.
You are here
Table of Contents > Références > Paramètres de configuration des services > Paramètres de configuration du service Log Decoder

Attachments

    Outcomes