Modifier une configuration d'entrée de données

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Modifiez la configuration d'une entrée de données pour Analyse de l'intégrité des journaux en ajoutant un nouveau chemin d'accès à une configuration d'entrée de données existante ou en modifiant la destination et le port du Serveur MID de l'entrée de données.

    Avant de commencer

    Rôle requis : evt_mgmt_admin

    Procédure

    1. Accédez à la Tout > Analyse de l'intégrité des journaux > Entrée de données > Entrées de données.
    2. Ouvrez un enregistrement à partir de la table Entrées de données.
    3. Modifiez la configuration de l'entrée de données.
      Colonne Description
      Nom Nom de l'entrée de données.
      Description Description de l'entrée de données.
      Port
      Port du Serveur MID.
      Remarque :
      Le port ne doit pas être occupé par un autre processus. Assurez-vous que l'équipe de sécurité de votre organisation ouvre le port sélectionné.
      MID Le Serveur MID auquel les journaux sont diffusés.
      Remarque :
      • Vous pouvez sélectionner uniquement des Serveurs MID avec l'aptitude d'ingestion de journaux qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
      • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers un seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
      Tableau 1. Paramètres
      Colonne Description
      Chemin d'accès Chemin d'accès complet à partir duquel diffuser les journaux. Vous pouvez utiliser un caractère générique.
      Remarque :
      Cette colonne n'est pas disponible sur les systèmes Windows utilisant Winlogbeat.
      Service d'application Service d'application auquel lier les données de journal.
      Remarque :
      S’il n’existe aucun service d’application pertinent, Créer un service d'application et y ajouter des CI. Définissez l'état du nouveau service d'application sur Opérationnel.
      Composant Type d'appareil ou couche de pile, comme contexte pour les journaux, utilisé pour la détection et la corrélation des anomalies. Par exemple, Tomcat.

      Les composants représentent généralement des CI dans la CMDB. Plusieurs composants sont souvent regroupés dans un seul service d'application.
      Type de source Type de source qui définit la façon dont Analyse de l'intégrité des journaux gère une application spécifique et analyse les données de journal. Par exemple : Tomcat Catalina.

      Chaque entrée de données peut avoir plusieurs types de sources, en fonction de la diversité de ses formats de journal. Les services et composants d'application peuvent avoir n'importe quel nombre de types de sources.
      Pour gérer les messages multilignes sur les systèmes Linux / Windows à l'aide de Filebeat uniquement :
      Correspondance Spécifie comment Filebeat combine les lignes correspondantes dans un événement, après ou avant.
      Annulation Valeur booléenne qui définit si le modèle identifié dans les lignes de journal est annulé. La valeur par défaut est false.
      Regex Expression régulière à faire correspondre.
      Remarque :
      Vous pouvez modifier le fichier de configuration Rsyslog pour que l'agent expédie les journaux système en plus des journaux d'application. Pour plus d'informations, consultez l'article Expédier des journaux système à l'aide de Rsyslog [KB0954507] de la base de connaissances Now Support.
    4. Sélectionnez Mettre à jour.
    5. Pour les entrées de données qui utilisent des agents Rsyslog ou Beats uniquement, reconstruisez le fichier de configuration côté serveur et installez-le sur le point de terminaison.
      1. Sélectionner Reconstruire le fichier de configuration.

        Analyse de l'intégrité des journaux reconstruit le fichier et l'enregistre dans la section Gérer les pièces jointes. Selon l'agent utilisé, le fichier reconstruit est enregistré sous rsyslog.yml, filebeat.yml ou winlogbeat.yml.

        Le système renomme automatiquement le fichier de configuration précédent en ajoutant au nom du fichier un suffixe avec la date et l'heure auxquelles le fichier a été reconstruit.

      2. Installez le fichier de configuration reconstruit sur le point de terminaison en fonction de votre type d'entrée de données.
        Type d'entrée de données Action
        Rsyslog
        1. Téléchargez le fichier de configuration et installez-le sur le point de terminaison, dans le répertoire /etc/rsyslog.d/rsyslog.conf.
        2. Validez la configuration en exécutant la commande rsyslogd -N1.
        3. Vérifiez le résultat. S'il contient des erreurs, consultez le fichier journal système /var/log/messages pour rechercher les messages d'erreur et corriger les erreurs.
        4. Redémarrez Rsyslog en exécutant la commande sudo systemctl restart rsyslog.
        Linux
        1. Téléchargez le fichier et installez-le sur le point de terminaison, dans le répertoire /etc/filebeat/.
        2. Redémarrez le service d'agent en exécutant la commande sudo service filebeat restart.
        Remarque :
        La configuration générée ignore les fichiers qui ont été modifiés pour la dernière fois il y a plus de six heures. Si nécessaire, vous pouvez modifier ce paramètre dans le fichier de configuration.
        Windows avec Beats (Filebeat ou Winlogbeat) :
        1. Téléchargez le fichier et installez-le sur le point de terminaison, dans le répertoire C:\Program Files\.
        2. Redémarrez le service d'agent en exécutant la commande appropriée dans PowerShell :
          • Filebeat : PS > filebeat Restart-Service
          • Winlogbeat : PS > winlogbeat Restart-Service
        Remarque :
        La configuration générée ignore les fichiers qui ont été modifiés pour la dernière fois il y a plus de six heures. Si nécessaire, vous pouvez modifier ce paramètre dans le fichier de configuration.