Rsyslog, Filebeat ou Winlogbeat champs de configuration d’entrée de données

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Description des champs sur les formulaires de configuration d’entrée Rsyslogde données , Filebeat et Winlogbeat.

    Configuration de base

    Tableau 1. Onglet Mise en route
    Champ Description
    Nom de l'entrée de données Nom de la nouvelle entrée de données Ce champ est obligatoire.
    Description Description de l'entrée de données.
    Serveur MID Le Serveur MID auquel les journaux sont diffusés.
    Remarque :
    • Vous pouvez sélectionner uniquement des Serveurs MID avec l'aptitude d'ingestion de journaux qui prennent en charge l'authentification de base. Les Serveurs MID qui prennent en charge mTLS ne sont pas répertoriés.
    • Le nombre maximal par défaut d'entrées de données qui diffusent des journaux vers un seul Serveur MID est de 10. Vous pouvez modifier ce nombre dans les propriétés du MID Server.
    Ce champ est obligatoire.
    Port

    Port du Serveur MID.

    Choisissez un port dans la plage suggérée dans le tableau. Le port ne doit pas être occupé par un autre processus. Assurez-vous que l'équipe de sécurité de votre organisation ouvre le port sélectionné.

    Ce champ est obligatoire.
    Pack de contenu (Linux utilisant Filebeat uniquement) Pack de contenu à utiliser.

    Les packs de contenu contiennent des types de source et des modèles de script de mappage par défaut. Analyse de l'intégrité des journaux Active automatiquement le pack sélectionné et utilise son script de mappage pour mapper les sources d’entrée de données. Pour plus d'informations, consultez Analyse de l'intégrité des journaux Packs de contenu pour un délai de rentabilisation plus rapide.
    Tableau 2. Onglet Mots clés et liaison
    Champ Description
    Chemin d'accès Chemin d'accès complet à partir duquel diffuser les journaux. Vous pouvez utiliser un caractère générique. Ce champ est obligatoire.
    Instance de service Instance de service à laquelle lier les données du journal. Ce champ est obligatoire.
    Remarque :
    Si aucune instance de service pertinente n’existe, Créer un de service et ajoutez-y des CI. Définissez l’état de la nouvelle instance de service sur Opérationnel.
    Composant Type d'appareil ou couche de pile, comme contexte pour les journaux, utilisé pour la détection et la corrélation des anomalies. Par exemple : Tomcat.

    Les composants représentent généralement des CI dans la CMDB. Plusieurs composants sont souvent regroupés dans une seule instance de service.
    Type de source Type de source qui définit la façon dont Analyse de l'intégrité des journaux gère une application spécifique et analyse les données de journal. Par exemple : Tomcat Catalina.

    Chaque entrée de données peut avoir plusieurs types de sources, en fonction de la diversité de ses formats de journal. Les instances de service et les composants peuvent avoir un nombre illimité de types de sources.

    Configuration avancée

    Pour Rsyslog les entrées de données :

    Tableau 3. Formulaire de configuration avancée Rsyslog
    Champ Description Valeurs par défaut
    Utiliser SSL/TLS Option permettant d'utiliser SSL/TLS.
    Rechercher des noms d'hôtes Option permettant d'effectuer une recherche DNS pour résoudre les adresses IP en noms d'hôtes. faux
    Nombre de threads par Boss Nombre de threads qui gèrent les connexions. 1
    Nombre de threads de l'agent Nombre de threads qui géreront les données entrantes 4
    Délai d'expiration de lecture en secondes Délai d'expiration en secondes depuis la dernière lecture. Lorsque le délai expire, le système ferme le canal. 30
    Fuseau horaire par défaut Fuseau horaire par défaut des événements. Le système utilise cette valeur par défaut lorsque le journal ne spécifie pas de fuseau horaire. GMT
    Taux d'abandon du sous-exemple Taux d'événements à abandonner. -1
    Taux de réception du sous-exemple Taux d'événements à recevoir. -1
    Longueur maximale en octets Longueur maximale des messages de journal en octets. 32766
    Codage des caractères Codage des caractères pour cette entrée de données. UTF-8
    Abandonner si la file d'attente est saturée Option permettant de sélectionner l'abandon des journaux s'il y a une charge sur le Serveur MID.

    Pour les entrées de données qui utilisent des Beats agents :

    Tableau 4. Formulaire de configuration avancée de Beats
    Champ Description Valeur par défaut
    Délai d'inactivité du client (secondes) Délai d'expiration, en secondes, pour fermer un canal inactif. 15
    Nombre de threads de l'agent Nombre de threads qui géreront les données entrantes 4
    Fuseau horaire par défaut Fuseau horaire par défaut des événements. Le système utilise cette valeur par défaut lorsque le journal ne spécifie pas de fuseau horaire. GMT
    Taux d'abandon du sous-exemple Taux d'événements à abandonner. -1
    Taux de réception du sous-exemple Taux d'événements à recevoir. -1
    Longueur maximale en octets Longueur maximale des messages de journal, en octets. 32766
    Codage des caractères Codage des caractères pour cette entrée de données. UTF-8
    Abandonner si la file d'attente est saturée Option permettant de sélectionner l'abandon des journaux s'il y a une charge sur le Serveur MID. faux