This website uses cookies. By clicking OK, you consent to the use of cookies. Click Here to learn more about how we use cookies.
OK
Register Now
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Documentación de RSA NetWitness® Platform (Español)

Explore la documentación oficial de RSA NetWitness Platform (español) para obtener útiles tutoriales, instrucciones paso a paso y otros recursos valiosos.
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Versions
Collections
All Downloads

Product Resources

 

En este tema se indica cómo crear y mantener filtros de eventos en todos los protocolos de recopilación.

Nota: No puede configurar la recopilación de syslog para los Log Collectors locales. Solo debe configurar la recopilación de syslog para los Remote Collectors. Consulte Configurar Local y Remote Collectors para obtener información de configuración adicional.

Configurar un filtro de eventos

Para configurar un origen de eventos:

  1. Vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio de recopilación de registros.
  3. En Acciones, seleccione Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.

  4. Haga clic en la pestaña Orígenes de eventos.

  5. En la pestaña Orígenes de eventos, seleccione cualquier método de recopilación/filtroen los menús desplegables.

    En la siguiente pantalla se muestra el Syslog seleccionado.

    ESFilterMenu.png

    Nota: La configuración de syslog solo está disponible en Remote Collectors: si está trabajando con un servicio Local Collector, Syslog no está disponible en el menú desplegable.

    En la vista Filtros se muestran los filtros que están configurados para el método de recopilación seleccionado, si los hay.

  6. En la barra de herramientas del panel Filtros, haga clic en add.png.

    Se muestra el cuadro de diálogo Agregar filtro.

    filterAdd.PNG

  7. Ingrese un nombre y una descripción para el nuevo filtro y haga clic en Agregar.

    El nuevo filtro se muestra en el panel Filtro.

    filterruleNew.png

  8. Seleccione el nuevo filtro en el panel Filtros y haga clic en icon_add.png en la barra de herramientas del panel Filtrar reglas.

    Se muestra el cuadro de diálogo Agregar regla de filtro.

  9. Haga clic en icon_add.png bajo Condiciones de la regla.

  10. Agregue los parámetros para esta regla y haga clic en Actualizar > Aceptar.

    filterRuleAdd.png

NetWitness Suite actualiza el filtro con la regla que definió.

Nota: Las reglas se procesan en orden de arriba hacia abajo hasta que un tipo de acción anula el procesamiento o se comprueba la regla final. El comportamiento predeterminado es aceptar la regla si no se encuentran coincidencias.

En las siguientes tablas se describen los parámetros para agregar una regla de filtro.

Parámetro de "clave" de regla de filtro de eventos

El método de recopilación al cual se aplica el filtro depende de los valores del campo Clave.

                               
Método de recopilación

Los valores del campo Clave

Punto de control, archivo, Netflow, Plug-in,
SDEE SNMP y VMware
  • Todos los campos de datos
  • Tipo de origen de evento
  • Nombre del origen de eventos
  • Dirección IP de origen
  • Evento crudo

ODBC
  • Todos los campos de datos
  • Tipo de origen de evento
  • Nombre del origen de eventos
  • Dirección IP de origen
  • ID del mensaje
  • Nivel de mensaje

Syslog
  • Todos los campos de datos
  • Tipo de origen de evento
  • Nombre del origen de eventos
  • Dirección IP de origen
  • Nivel de syslog
  • Evento crudo

Windows
  • Todos los campos de datos
  • Tipo de origen de evento
  • Nombre del origen de eventos
  • Dirección IP de origen
  • ID de evento
  • Proveedor
  • Canal
  • Computadora
  • UserName
  • DomainName

Windows existente
  • Todos los campos de datos
  • Tipo de origen de evento
  • Nombre del origen de eventos
  • Dirección IP de origen
  • ID de evento

Otros parámetros de regla de filtro de eventos

En la siguiente tabla se describen todos los demás campos disponibles para la creación de una regla de filtro de eventos.

                               
CampoDescripción
Operador

Los valores válidos son los siguientes:

  • Contiene
  • Es igual a
Usar regex

Opcional. Puede seleccionar esta opción si desea usar regex.

Valor

El valor depende del valor de la clave que seleccionó.

Por ejemplo, si elige Nivel de syslog para Clave, el valor será un número que denota el nivel de syslog.

Omitir mayúsculas y minúsculas

Opcional. Seleccione esta opción para no hacer caso de la distinción de mayúsculas de minúsculas.

Acción

Si hay una coincidencia, puede elegir las acciones aceptar, descartar, condición siguiente o regla siguiente:

  • Aceptar: los eventos que coinciden con los ID proporcionados se incluirán en los registros de eventos y se mostrarán en la interfaz del usuario de analítica de los sistemas.
  • Descartar: los eventos que coinciden con los ID proporcionados no se incluirán en los registros de eventos y no se mostrarán en la interfaz del usuario.
  • Condición siguiente: el filtro omitirá los eventos con los ID que coincidan y se moverá a la condición de regla siguiente.
  • Regla siguiente: el filtro omitirá los eventos con los ID que coincidan y se moverá a la regla siguiente.

Si no hay una coincidencia, puede elegir las acciones aceptar, descartar, condición siguiente o regla siguiente.

Modificar reglas de filtro

Para modificar un origen de eventos:

  1. Vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio de recopilación de registros.
  3. En Acciones, seleccione Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.

  4. Haga clic en la pestaña Orígenes de eventos.

  5. En la pestaña Orígenes de eventos, seleccione cualquier método de recopilación/filtroen los menús desplegables.

    En la siguiente pantalla se muestra Punto de comprobación seleccionado.

    ESFilterMenu.png

    En la vista Filtros se muestran los filtros que están configurados para el método de recopilación seleccionado, si los hay.

  6. En la lista Filtrar reglas, seleccione una regla y haga clic en edit_icon.png.

    Se muestra el cuadro de diálogo Editar regla de filtro.

    editFilter.png

  7. Seleccione la condición de la regla que desea modificar.

    filterRuleEdit.png

  8. Modifique los parámetros de condición que necesiten cambios y haga clic en Actualizar > Aceptar.

NetWitness Suite aplica los cambios en los parámetros de condición a la regla de filtro seleccionada.

Previous Topic:Procedimiento básico
You are here
Table of Contents > Aspectos básicos de la recopilación de registros > Configurar filtros de eventos para Log Collector
Labels (1)
Labels:
0 Likes
Was this article helpful? Yes No
No ratings

On this page

© 2020 RSA Security LLC or its affiliates.
All rights reserved.