RsyslogChamps de configuration d’entrée de données , Filebeat ou Winlogbeat

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Description des champs des formulaires de Rsyslogconfiguration d’entrée de données , Filebeat et Winlogbeat.

    Configuration de base

    Tableau 1. Onglet Mise en route
    Champ Description
    Nom de l'entrée de données Nom de la nouvelle entrée de données Ce champ est obligatoire.
    Description Description de l'entrée de données.
    Serveur MID Le Serveur MID auquel les journaux sont diffusés.
    Remarque :
    • Vous pouvez sélectionner uniquement des Serveurs MID avec l'aptitude d'ingestion de journaux qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers un seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
    Ce champ est obligatoire.
    Port

    Port du Serveur MID.

    Choisissez un port dans la plage suggérée dans le tableau. Le port ne doit pas être occupé par un autre processus. Assurez-vous que l'équipe de sécurité de votre organisation ouvre le port sélectionné.

    Ce champ est obligatoire.
    Pack de contenu (Linux utilisant Filebeat uniquement) Pack de contenu à utiliser.

    Les packs de contenu contiennent des types de sources par défaut et des modèles de script de mappage. Analyse de l'intégrité des journaux active automatiquement le pack sélectionné et utilise son script de mappage pour mapper les sources d’entrée de données. Pour plus d'informations, consultez Analyse de l'intégrité des journaux Packs de contenu pour un retour sur investissement plus rapide.
    Tableau 2. Onglet Mots clés et liaison
    Champ Description
    Chemin d'accès Chemin d'accès complet à partir duquel diffuser les journaux. Vous pouvez utiliser un caractère générique. Ce champ est obligatoire.
    Service d'application Service d'application auquel lier les données de journal. Ce champ est obligatoire.
    Remarque :
    S’il n’existe aucun service d’application pertinent, Créer un service d'application et y ajouter des CI. Définissez l'état du nouveau service d'application sur Opérationnel.
    Composant Type d'appareil ou couche de pile, comme contexte pour les journaux, utilisé pour la détection et la corrélation des anomalies. Par exemple : Tomcat.

    Les composants représentent généralement des CI dans la CMDB. Plusieurs composants sont souvent regroupés dans un seul service d'application.
    Type de source Type de source qui définit la façon dont Analyse de l'intégrité des journaux gère une application spécifique et analyse les données de journal. Par exemple : Tomcat Catalina.

    Chaque entrée de données peut avoir plusieurs types de sources, en fonction de la diversité de ses formats de journal. Les services et composants d'application peuvent avoir n'importe quel nombre de types de sources.

    Configuration avancée

    Pour Rsyslog les entrées de données :

    Tableau 3. Formulaire Configuration avancée Rsyslog
    Champ Description Valeurs par défaut
    Utiliser SSL/TLS Option permettant d'utiliser SSL/TLS.
    Rechercher des noms d'hôtes Option permettant d'effectuer une recherche DNS pour résoudre les adresses IP en noms d'hôtes. faux
    Nombre de threads par Boss Nombre de threads qui gèrent les connexions. 1
    Nombre de threads de l'agent Nombre de threads qui géreront les données entrantes 4
    Délai d'expiration de lecture en secondes Délai d'expiration en secondes depuis la dernière lecture. Lorsque le délai expire, le système ferme le canal. 30
    Fuseau horaire par défaut Fuseau horaire par défaut des événements. Le système utilise cette valeur par défaut lorsque le journal ne spécifie pas de fuseau horaire. GMT
    Taux d'abandon du sous-exemple Taux d'événements à abandonner. -1
    Taux de réception du sous-exemple Taux d'événements à recevoir. -1
    Longueur maximale en octets Longueur maximale des messages de journal en octets. 32766
    Codage des caractères Codage des caractères pour cette entrée de données. UTF-8
    Abandonner si la file d'attente est saturée Option permettant de sélectionner l'abandon des journaux s'il y a une charge sur le Serveur MID.

    Pour les entrées de données qui utilisent Beats des agents :

    Tableau 4. Formulaire Configuration avancée de Beats
    Champ Description Valeur par défaut
    Délai d'inactivité du client (secondes) Délai d'expiration, en secondes, pour fermer un canal inactif. 15
    Nombre de threads de l'agent Nombre de threads qui géreront les données entrantes 4
    Fuseau horaire par défaut Fuseau horaire par défaut des événements. Le système utilise cette valeur par défaut lorsque le journal ne spécifie pas de fuseau horaire. GMT
    Taux d'abandon du sous-exemple Taux d'événements à abandonner. -1
    Taux de réception du sous-exemple Taux d'événements à recevoir. -1
    Longueur maximale en octets Longueur maximale des messages de journal, en octets. 32766
    Codage des caractères Codage des caractères pour cette entrée de données. UTF-8
    Abandonner si la file d'attente est saturée Option permettant de sélectionner l'abandon des journaux s'il y a une charge sur le Serveur MID. faux