RsyslogCampos de configuração de entrada de dados , Filebeat ou Winlogbeat

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Descrição dos campos nos formulários de configuração de entrada de dados Rsyslog, Filebeat e Winlogbeat.

    Configuração básica

    Tabela 1. Guia Introdução
    Campo Descrição
    Nome da entrada de dados Nome da nova entrada de dados. Este campo é obrigatório.
    Descrição Descrição da entrada de dados.
    MID Server O MID Server para o qual os logs são transmitidos.
    Nota:
    • Você pode selecionar somente MID Servers com capacidade de ingestão de log que ofereça suporte à autenticação básica. MID Servers que oferecem suporte a mTLS não estão listados.
    • O número máximo padrão de registros de fluxo de entradas de dados para um único MID Server é 10. Você pode modificar este número nas propriedades do MID Server.
    Este campo é obrigatório.
    Porta

    A porta no MID Server.

    Escolha uma porta dentro do intervalo sugerido na matriz. A porta não deve ser ocupada por outro processo. Certifique-se de que a equipe de segurança da sua organização abra a porta selecionada.

    Este campo é obrigatório.
    Pacote de conteúdo (Somente Linux usando Filebeat) O pacote de conteúdo a ser usado.

    Os pacotes de conteúdo contêm tipos de origem padrão e modelos de script de mapeamento. Análise de logs de integridade ativa o pacote selecionado automaticamente e usa seu script de mapeamento para mapear as fontes de entrada de dados. Para obter mais informações, consulte Análise de logs de integridade pacotes de conteúdo para um tempo de retorno mais rápido.
    Tabela 2. Guia Marcação e vinculação
    Campo Descrição
    Caminho O caminho completo do qual os logs serão transmitidos. Você pode usar um curinga. Este campo é obrigatório.
    Serviço de aplicações O serviço de aplicativos ao qual os dados de log serão vinculados. Este campo é obrigatório.
    Nota:
    Se não existir nenhum serviço de aplicações relevante, Criar um Serviço de aplicações e adicione ICs a ele. Defina o status do novo serviço de aplicativos como Operacional.
    Componente O tipo de dispositivo ou camada de pilha como contexto para os logs que são usados para detecção e correlação de anomalias. Por exemplo: Tomcat.

    Os componentes normalmente representam ICs no CMDB. Vários componentes geralmente são agrupados em um único serviço de aplicativos.
    Tipo de origem O tipo de origem, que define como Análise de logs de integridade lida com uma aplicação específica e analisa os dados de log. Por exemplo: Tomcat Catalina.

    Cada entrada de dados pode ter vários tipos de origem, com base na diversidade de seus formatos de log. Os serviços de aplicações e componentes podem ter qualquer número de tipos de origem.

    Configuração avançada

    Para Rsyslog entradas de dados:

    Tabela 3. Formulário de configuração avançada do Rsyslog
    Campo Descrição Valores padrão
    Usar SSL/TLS Opção para selecionar o uso de SSL/TLS.
    Pesquisar nomes de host Opção para selecionar a execução de pesquisa de DNS para resolver IPs para nomes de host. falso
    Contagem de threads do Boss O número de threads que gerenciam conexões. 1
    Contagem de threads de trabalhador O número de threads que lidam com dados de entrada. 4
    Segundos para o tempos limite de leitura O tempo limite em segundos desde a última leitura. Quando o tempo limite expira, o sistema fecha o canal. 30
    Fuso horário padrão O fuso horário padrão dos eventos. O sistema usa este padrão quando o log não especifica um fuso horário. GMT
    Proporção de soltura de subamostra A proporção de eventos a serem descartados. -1
    Taxa de recebimento de subamostra A proporção de eventos a receber. -1
    Tamanho máximo em bytes O tamanho máximo das mensagens de log em bytes. 32766
    Codificação de caracteres A codificação de caracteres para esta entrada de dados. UTF-8
    Descartar se a fila estiver cheia Opção para selecionar o descarte de logs se houver uma carga no MID Server.

    Para entradas de dados que usam Beats agentes:

    Tabela 4. Formulário de configuração avançada do Beats
    Campo Descrição Valor-padrão
    Tempo limite de inatividade do cliente (s) O tempo limite, em segundos, para fechar um canal inativo. 15
    Contagem de threads de trabalhador O número de threads que lidam com dados de entrada. 4
    Fuso horário padrão O fuso horário padrão dos eventos. O sistema usa este padrão quando o log não especifica um fuso horário. GMT
    Proporção de soltura de subamostra A proporção de eventos a serem descartados. -1
    Taxa de recebimento de subamostra A proporção de eventos a receber. -1
    Tamanho máximo em bytes O tamanho máximo das mensagens de log, em bytes. 32766
    Codificação de caracteres A codificação de caracteres para esta entrada de dados. UTF-8
    Descartar se a fila estiver cheia Opção para selecionar o descarte de logs se houver uma carga no MID Server. falso