Modifique uma configuração de entrada de dados em Análise de logs de integridade

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Altere a configuração de uma entrada de dados para Análise de logs de integridade adicionando um novo caminho a uma configuração de entrada de dados existente ou modificando as entradas de dados MID Server destino e porto.

    Antes de Iniciar

    Função necessária: evt_mgmt_admin

    Procedimento

    1. Navegar até Tudo > Análise de logs de integridade > Entrada de dados > Entradas de dados.
    2. Abra um registro na tabela Entradas de dados.
    3. Modifique a configuração de entrada de dados.
      Coluna Descrição
      Nome Nome da entrada de dados.
      Descrição Descrição da entrada de dados.
      Porta
      A porta no MID Server.
      Nota:
      A porta não deve ser ocupada por outro processo. Certifique-se de que a equipe de segurança da sua organização abra a porta selecionada.
      MID . MID Server para o qual os logs são transmitidos.
      Nota:
      • Somente você pode selecionar MID Servers com recurso de ingestão de log que oferece suporte à autenticação básica. MID Servers Que oferecem suporte a MTLS não estão listados.
      • O número máximo padrão de entradas de dados que transmitem logs para um único MID Serveré 10. Você pode modificar esse número nas propriedades DO MID Server.
      Tabela 1. Configurações
      Coluna Descrição
      Caminho O caminho completo a partir do qual os logs de fluxo serão transmitidos. Você pode usar um curinga.
      Nota:
      Esta coluna não está disponível em Windows Sistemas que usam Winlogbeat.
      Instância do serviço A instância de serviço à qual vincular os dados de log.
      Nota:
      Se nenhuma instância de serviço relevante existir, Crie um instância de serviço E adicionar ICs a ele. Defina o status da nova instância de serviço como Operacional.
      Componente O tipo de dispositivo ou a camada de pilha como contexto para os logs usados para detecção e correlação de anomalias. Por exemplo, Tomcat.

      Os componentes normalmente representam ICs no CMDB. Muitas vezes, vários componentes são agrupados em cluster em uma única instância de serviço.
      Tipo de Origem O tipo de origem que define como Análise de logs de integridade processa uma aplicação específica e analisa os dados de log. Por exemplo: Tomcat catalina.

      Cada entrada de dados pode ter vários tipos de origem, dependendo da diversidade de seus formatos de log. As instâncias de serviço e os componentes podem ter qualquer número de tipos de origem.
      Para lidar com mensagens de várias linhas em Linux/ Windows Somente sistemas que usam Filebeat:
      Correspondência Especifica como o Filebeat combina linhas correspondentes em um evento após ou antes .
      Rejeitar Booliano que define se o padrão identificado nas linhas de log é negado. O padrão é falso .
      Regex A expressão regular a ser correspondida.
      Nota:
      Você pode modificar o arquivo de configuração rsyslog para fazer com que o agente envie logs do sistema, além dos logs da aplicação. Para obter mais informações, consulte Envio de logs do sistema usando rsyslog [KB0954507] artigo na Base de conhecimento do Now Support.
    4. Selecione Atualizar.
    5. Para entradas de dados que usam Rsyslog ou Beats somente agentes, recriem o arquivo de configuração do lado do servidor e instale-o no dispositivo de endpoint.
      1. Selecione Arquivo de configuração de recriação .

        Análise de logs de integridade Reconstrói o arquivo e o salva na seção Gerenciar anexos. Dependendo do agente usado, o arquivo recriado será salvo como qualquer um rsyslog.yml , filebeat.yml ou winlogbeat.yml .

        O sistema renomeia automaticamente o arquivo de configuração anterior adicionando um sufixo com a data e a hora em que o arquivo foi recriado com o nome do arquivo.

      2. Instale o arquivo de configuração recriado no endpoint de acordo com seu tipo de entrada de dados.
        Tipo de entrada de dados Ação
        Rsyslog
        1. Baixe o arquivo e instale-o no dispositivo de endpoint no /etc/rsyslog.d/rsyslog.conf diretório.
        2. Valide a configuração executando o. Rsyslogan d -n1 comando.
        3. Verifique a saída. Se contiver erros, verifique /var/log/messages arquivo de log do sistema para mensagens de erro e corrija os erros.
        4. Reiniciar Rsyslog executando o. sudo systemctl reiniciar rsyslog comando.
        Linux
        1. Baixe o arquivo e instale-o no dispositivo de endpoint no /etc/filebeat/ diretório.
        2. Reinicie o serviço do agente executando o. reinicialização do filebeat do serviço sudo comando.
        Nota:
        A configuração gerada ignora os arquivos que foram alterados pela última vez há mais de seis horas. Se necessário, você pode mudar esta configuração no arquivo de configuração.
        Windows usando Beats(Filebeat ou Winlogbeat):
        1. Baixe o arquivo e instale-o no dispositivo de endpoint no Arquivos de programas diretório.
        2. Reinicie o serviço do agente executando o comando apropriado no PowerShell:
          • Filebeat: Restart-Service Filebeat
          • Winlogbeat: Reiniciar-Service winlogbeat
        Nota:
        A configuração gerada ignora os arquivos que foram alterados pela última vez há mais de seis horas. Se necessário, você pode mudar esta configuração no arquivo de configuração.