Rsyslog, Filebeat ou Winlogbeat campos de configuração de entrada de dados

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Descrição dos campos no Rsyslog Formulários de configuração de entrada de dados , Filebeat e Winlogbeat.

    Configuração básica

    Tabela 1. Guia Introdução
    Campo Descrição
    Nome da entrada de dados Nome da nova entrada de dados. Este campo é obrigatório.
    Descrição Descrição da entrada de dados.
    MID Server . MID Server para o qual os logs são transmitidos.
    Nota:
    • Somente você pode selecionar MID Servers com recurso de ingestão de log que oferece suporte à autenticação básica. MID Servers Que oferecem suporte a MTLS não estão listados.
    • O número máximo padrão de entradas de dados que transmitem logs para um único MID Serveré 10. Você pode modificar esse número nas propriedades DO MID Server.
    Este campo é obrigatório.
    Porta

    A porta no MID Server.

    Escolha uma porta dentro do intervalo sugerido na matriz. A porta não deve ser ocupada por outro processo. Certifique-se de que a equipe de segurança da sua organização abra a porta selecionada.

    Este campo é obrigatório.
    Pacote de conteúdo (Somente Linux usando Filebeat) O pacote de conteúdo a ser usado.

    Os pacotes de conteúdo contêm tipos de origem padrão e modelos de script de mapeamento. Análise de logs de integridade ativa o pacote selecionado automaticamente e usa seu script de mapeamento para mapear as fontes de entrada de dados. Para obter mais informações, consulte Análise de logs de integridade pacotes de conteúdo para um tempo de retorno mais rápido.
    Tabela 2. Guia Marcação e vinculação
    Campo Descrição
    Caminho O caminho completo a partir do qual os logs de fluxo serão transmitidos. Você pode usar um curinga. Este campo é obrigatório.
    Serviço instância A instância de serviço à qual vincular os dados de log. Este campo é obrigatório.
    Nota:
    Se nenhuma instância de serviço relevante existir, Crie um instância de serviço E adicionar ICs a ele. Defina o status da nova instância de serviço como Operacional.
    Componente O tipo de dispositivo ou a camada de pilha como contexto para os logs usados para detecção e correlação de anomalias. Por exemplo: Tomcat.

    Os componentes normalmente representam ICs no CMDB. Muitas vezes, vários componentes são agrupados em cluster em uma única instância de serviço.
    Tipo de Origem O tipo de origem, que define como Análise de logs de integridade processa uma aplicação específica e analisa os dados de log. Por exemplo: Tomcat catalina.

    Cada entrada de dados pode ter vários tipos de origem, com base na diversidade de seus formatos de log. As instâncias de serviço e os componentes podem ter qualquer número de tipos de origem.

    Configuração avançada

    Para Rsyslog entradas de dados:

    Tabela 3. Formulário de configuração avançada do rsyslog
    Campo Descrição Valores padrão
    Usar SSL/TLS Opção para selecionar o uso de SSL/TLS.
    Pesquisar nomes de host Opção para selecionar executar a pesquisa DNS para resolver IPs para nomes de host. falso
    Contagem de threads do Boss O número de threads que gerenciam as conexões. 1
    Contagem de threads de trabalhador O número de threads que manipulam os dados recebidos. 4
    Segundos para o tempos limite de leitura O tempo limite em segundos desde a última leitura. Quando o tempo limite expira, o sistema fecha o canal. 30
    Fuso horário padrão O fuso horário padrão dos eventos. O sistema usa esse padrão quando o log não especifica um fuso horário. GMT
    Proporção de soltura de subamostra A proporção de eventos a serem descartados. -1
    Taxa de recebimento de subamostra A proporção de eventos a serem recebidos. -1
    Tamanho máximo em bytes O tamanho máximo das mensagens de log em bytes. 32766
    Codificação de caracteres A codificação de caracteres para esta entrada de dados. UTF-8
    Descartar se a fila estiver cheia Opção para selecionar descartar logs se houver uma carga no MID Server.

    Para entradas de dados que usam Beats agentes:

    Tabela 4. Formulário de configuração avançada do Beats
    Campo Descrição Valor padrão
    Tempo limite de inatividade do cliente (s) O tempo limite, em segundos, para fechar um canal inativo. 15
    Contagem de threads de trabalhador O número de threads que manipulam os dados recebidos. 4
    Fuso horário padrão O fuso horário padrão dos eventos. O sistema usa esse padrão quando o log não especifica um fuso horário. GMT
    Proporção de soltura de subamostra A proporção de eventos a serem descartados. -1
    Taxa de recebimento de subamostra A proporção de eventos a serem recebidos. -1
    Tamanho máximo em bytes O tamanho máximo das mensagens de log, em bytes. 32766
    Codificação de caracteres A codificação de caracteres para esta entrada de dados. UTF-8
    Descartar se a fila estiver cheia Opção para selecionar descartar logs se houver uma carga no MID Server. falso