Descargar Registros de Eventos a Múltiples Ubicaciones

Aplica A: WatchGuard SIEMFeeder Este tema se aplica al módulo de seguridad de endpoints de WatchGuard, SIEMFeeder. SIEMFeeder está disponible con WatchGuard EPDR y WatchGuard EDR.

WatchGuard Event Importer puede descargar simultáneamente archivos de registro a múltiples ubicaciones. Para descargar archivos de registro a múltiples ubicaciones, Event Importer utiliza un método de canales, donde el canal contiene información acerca del tipo de almacenamiento que utiliza y otros ajustes de configuración para que Event Importer importe archivos de registro.

Cuando un método de canal se actualiza, elimina una entrada de registro de la cola de descarga. Si se producen errores mientras se lleva a cabo la recopilación de registros, las distintas ubicaciones podrían tener una cantidad diferente de registros al finalizar el proceso.

Siga los pasos de este procedimiento para configurar Event Importer para que descargue archivos de registro en varias ubicaciones:

1. Instale Event Importer. Para obtener información detallada, vaya a Configurar y Ejecutar Event Importer para Microsoft Windows.
2. Detenga Event Importer. Para obtener información detallada, vaya a Iniciar y Detener Event Importer.
3. Desde la ubicación de la carpeta raíz de Event Importer, en el archivo configuration.json, agregue manualmente un canal de entrega a la colección actual de canales. Encontrará el archivo JSON en la carpeta raíz que contiene los archivos de programa de Event Importer.
   La sintaxis de los parámetros para agregar un canal es:
   "Channels":[{ channel 1 parameters},{channel 2 parameters}, …]
   
4. Guarde el archivo JSON y, a continuación, inicie Event Importer. Para obtener información detallada, vaya a Iniciar y Detener Event Importer.

Este es un ejemplo del archivo configuration.json que implementa dos canales almacenados localmente en una computadora con Windows. Cada canal indica el tipo de almacenamiento que se utilizará para guardar los archivos de registro y sus ajustes asociados. El primer canal guarda los archivos de registro en la carpeta Log1 y el segundo canal guarda los archivos de registro en la carpeta Log2.

C"Channels": [

{

	"Type": "LocalDisk",

	"Name": "LD1",

	"Configuration": {

		"fullPath": "C:\\Logs1",

		"fileSplitFormat": "1m",

		"fileSizeLimitInBytes": 102400,

		"directoryMaxSizeInMb": 1024

		}

}, {

	"Type": "LocalDisk",

	"Name": "LD2",

	"Configuration": {

		"fullPath": "C:\\Logs2",

		"fileSplitFormat": "1m",

	"fileSizeLimitInBytes": 102400,

	"directoryMaxSizeInMb": 1024

	}

   },

]

Para obtener información sobre los parámetros en el archivo configuration.json, vaya a Parámetros Relacionados con los Eventos del Archivo de Registro.

Temas Relacionados

Acerca de SIEMFeeder

Acerca de Event Importer

Configurar Múltiples Instancias de Event Importer