En este tema se proporcionan instrucciones para reenviar mensajes de syslog recopilados desde un Log Decoder a otro receptor de syslog.
Además de recopilar mensajes de syslog, puede configurar Log Decoder para que reenvíe los mensajes de syslog a otro receptor de syslog. Security Analytics reenvía mensajes de syslog después de analizarlos y antes de escribirlos en Log Decoder.
Nota: Debe configurar el reenvío de syslog mediante los pasos que se definen en este tema bajo Procedimiento y con el uso de la vista Explorar.
Requisitos previos
Log Decoder debe estar en el estado Iniciado.
Procedimiento
Para configurar el reenvío de syslog:
- Configure reglas de capa de aplicación (reglas de aplicaciones) de Log Decoder para etiquetar los mensajes de syslog con metadatos que den a Security Analytics la instrucción de reenviar los mensajes:
- Seleccione un Log Decoder en la vista Servicios y elija
> Ver > Explorar en la columna Acciones.
- Vaya al nodo /decoder/config/rules/application, haga clic con el botón secundario en application y haga clic en Propiedades.
- En la vista Propiedades, especifique el comando add con los siguientes parámetros:
rule=<query> name=<name> (Ejemplo 1, rule=*name=receiver1, Ejemplo 2, rule="device.type='winevent_nic'" name=receiver1) - Haga clic en Enviar.
Security Analytics crea la regla name=receiver1 rule=* order=<n>. Security Analytics inserta el número de orden (por ejemplo, order=49) de acuerdo con la fecha en que se configuró la regla. - Vaya al nodo /decoder/config/rules/application y haga clic en la regla name=receiver1 rule=* order=49.
- Agregue parámetros alert forward a los parámetros de la regla.
Los demás parámetros de la regla tienen el mismo significado que en otras reglas de aplicación.
El siguiente ejemplo de regla de aplicación selecciona todos los registros con la regla *. Crea metadatos de alerta con el valor “receiver1” y etiqueta el registro completo de modo que se reenvíe al destino de reenvío de syslog. Puede definir tantas reglas de reenvío distintas como necesite con el mismo nombre o con nombres únicos.
- Seleccione un Log Decoder en la vista Servicios y elija
- Defina destinos de reenvío de syslog y active el reenvío.
- Seleccione un Log Decoder en la vista Servicios y elija
> Ver > Explorar en la columna Acciones.
- En el parámetro /decoder/config/logs.forwarding.destination, especifique el destino. Por ejemplo:
Conexiones TLS: receiver1=tls:receiver1.netwitness.local:6514
Conexiones UDP: receiver1=udp:receiver1.netwitness.local:514
Conexiones TCP: receiver1=tcp:receiver1.netwitness.local:514
- Seleccione un Log Decoder en la vista Servicios y elija
Nota:
Puede configurar:
- Múltiples reglas para reenviar registros al mismo destino.
- Múltiples reglas para reenviar registros a múltiples destinos.
Para las conexiones del protocolo TLS, el certificado del destino de reenvío se debe validar. La autoridad de certificación que firmó el certificado del destino debe estar presente en el área de almacenamiento de confianza de CA de Log Decoder y el certificado debe residir en el destino o en el receptor de syslog. Consulte el tema Configurar certificados de la Guía de configuración de la recopilación de registros para obtener información sobre la manipulación del almacén de confianza de CA de Log Decoder.
- En el parámetro /decoder/config/logs.forwarding.enabled, especifique true.
Tema relacionado
