Modificar uma configuração de entrada de dados

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Modifique a configuração de uma entrada de dados para Análise de logs de integridade adicionando um novo caminho a uma configuração de entrada de dados existente ou alterando o destino e a porta MID Server da entrada de dados.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Todos > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Abra um registro da tabela Entradas de dados.
    3. Modifique a configuração de entrada de dados.
      Coluna Descrição
      Nome Nome da entrada de dados.
      Descrição Descrição da entrada de dados.
      Porta
      A porta no MID Server.
      Nota:
      A porta não deve ser ocupada por outro processo. Certifique-se de que a equipe de segurança da sua organização abra a porta selecionada.
      MID O MID Server para o qual os logs são transmitidos.
      Nota:
      • Você pode selecionar somente MID Servers com capacidade de ingestão de log que ofereça suporte à autenticação básica. MID Servers que oferecem suporte a mTLS não estão listados.
      • O número máximo padrão de registros de fluxo de entradas de dados para um único MID Server é 10. Você pode modificar este número nas propriedades do MID Server.
      Tabela 1. Configurações
      Coluna Descrição
      Caminho O caminho completo do qual os logs serão transmitidos. Você pode usar um curinga.
      Nota:
      Esta coluna não está disponível em Windows sistemas que usam Winlogbeat.
      Serviço de aplicações O serviço de aplicativos ao qual os dados de log serão vinculados.
      Nota:
      Se não existir nenhum serviço de aplicações relevante, Criar um Serviço de aplicações e adicione ICs a ele. Defina o status do novo serviço de aplicativos como Operacional.
      Componente O tipo de dispositivo ou camada de pilha como contexto para os logs que são usados para detecção e correlação de anomalias. Por exemplo, Tomcat.

      Os componentes normalmente representam ICs no CMDB. Vários componentes geralmente são agrupados em um único serviço de aplicativos.
      Tipo de origem O tipo de origem que define como Análise de logs de integridade lida com uma aplicação específica e analisa os dados do log. Por exemplo: Tomcat Catalina.

      Cada entrada de dados pode ter vários tipos de origem, dependendo da diversidade de seus formatos de log. Os serviços de aplicações e componentes podem ter qualquer número de tipos de origem.
      Para lidar com mensagens de várias linhas em sistemas Linux / Windows usando somente o Filebeat:
      Correspondência Especifica como o Filebeat combina linhas correspondentes em um evento, seja após ou antesde .
      Rejeitar Booliano que define se o padrão identificado nas linhas de log é negado. O padrão é falso.
      Regex A expressão regular a ser correspondida.
      Nota:
      Você pode modificar o arquivo de configuração Rsyslog para fazer com que o agente envie logs do sistema, além dos logs da aplicação. Para obter mais informações, consulte o artigo Logs do sistema de envio usando Rsyslog [KB0954507] na Base de conhecimento do Now Support.
    4. Selecione Atualizar.
    5. Para entradas de dados que usam somente agentes Rsyslog ou Beats, recrie o arquivo de configuração do lado do servidor e instale-o no dispositivo de endpoint.
      1. Selecione Recriar arquivo de configuração.

        Análise de logs de integridade O recria o arquivo e o salva na seção Gerenciar anexos. Dependendo do agente usado, o arquivo recriado é salvo como rsyslog.yml, filebeat.ymlou winlogbeat.yml.

        O sistema renomeia automaticamente o arquivo de configuração anterior adicionando um sufixo com a data e a hora em que o arquivo foi recriado ao nome do arquivo.

      2. Instale o arquivo de configuração recriado no endpoint de acordo com o tipo de entrada de dados.
        Tipo de entrada de dados Ação
        Rsyslog
        1. Baixe o arquivo e instale-o no dispositivo de endpoint no diretório /etc/rsyslog.d/rsyslog.conf.
        2. Valide a configuração executando o comando rsyslogd -N1.
        3. Verifique a saída. Se ele contiver erros, verifique o arquivo de log do sistema /var/log/messages em busca de mensagens de erro e corrija os erros.
        4. Reinicie Rsyslog executando o comando sudo systemctl restart rsyslog.
        Linux
        1. Baixe o arquivo e instale-o no dispositivo de endpoint no diretório /etc/filebeat/.
        2. Reinicie o serviço do agente executando o comando sudo service filebeat restart.
        Nota:
        A configuração gerada ignora os arquivos que foram alterados pela última vez há mais de seis horas. Se necessário, você pode alterar esta configuração no arquivo de configuração.
        Windows usando Beats (Filebeat ou Winlogbeat):
        1. Baixe o arquivo e instale-o no dispositivo de endpoint no diretório C:\Arquivos de Programas\.
        2. Reinicie o serviço do agente executando o comando apropriado no PowerShell:
          • Filebeat: PS > Restart-Service filebeat
          • Winlogbeat: PS > Restart-Service winlogbeat
        Nota:
        A configuração gerada ignora os arquivos que foram alterados pela última vez há mais de seis horas. Se necessário, você pode alterar esta configuração no arquivo de configuração.