Aplica A: WatchGuard SIEMFeeder
En la primera ejecución, el asistente de configuración de WatchGuard Event Importer utiliza la información ingresada para actualizar el archivo configuration.json. Puede encontrar este archivo JSON en la carpeta raíz de la instalación de Event Importer.
Una vez completado el asistente de configuración de Event Importer, Event Importer comienza a descargar los archivos de registro de eventos almacenados en la infraestructura de Microsoft Azure. Event Importer dirige los archivos de registro a la ubicación del canal especificada, basándose en la información que contiene el archivo configuration.json.
El archivo configuration.json contiene estos datos:
- Información sobre el usuario propietario de los archivos de registro.
- Información sobre el método utilizado para enviar y almacenar los archivos de registro.
- Información sobre el modo de ejecución de Event Importer (por ejemplo, línea de comandos o servicio).
Los ajustes del archivo configuration.json incluyen:
MessageFormat
Formato del mensaje enviado al servidor de Syslog:
- 0: RFC5424
- 1: RFC3164
MessageDelimiter
El carácter que separa los mensajes enviados al servidor de Syslog:
- 13: CR (Salto de Línea)
- 10: LF (Adelanto de Línea)
- 1310: CRLF (Salto de Línea y Adelanto de Línea)
IterationCount
Contador de mensajes internos utilizado para establecer una pausa en el envío de mensajes al servidor de Syslog.
IterationMs
Pausa medida en milisegundos que se establece después de que se hayan enviado IterationCount mensajes al servidor de Syslog.
MaxBufferSize
Tamaño máximo de los mensajes medidos en bytes que se envían al servidor de Syslog.
Modificar el Archivo Configuration.json
Para cambiar los ajustes de Event Importer, puede modificar el archivo configuration.json. Después de modificar el archivo configuration.json, deberá detener e iniciar el proceso de Event Importer para aplicar los cambios realizados en el archivo.
Siga los pasos de este procedimiento para modificar los ajustes de Event Importer con el asistente de configuración:
- Si se está ejecutando, detenga el proceso de Event Importer. Para detener el proceso de Event Importer, siga los pasos descritos en Iniciar y Detener Event Importer.
- Busque la ubicación de la carpeta raíz de la instalación de Event Importer.
- Ejecute EventsFeederImporter.ConfigAssistant.exe, como se describe en Configurar y Ejecutar Event Importer para Microsoft Windows.
- Ingrese Y, cuando se le solicite:
¿Desea cambiar los ajustes de configuración? [Sí/No]: - En las solicitudes de comando, modifique los ajustes que desee y complete el asistente de configuración.
EventsFeederImporter.Host.exe se inicia en una nueva ventana de comando y comienza a descargar registros de eventos a la ubicación de su canal de entrega.
Complete los pasos de este procedimiento para cambiar los ajustes con el asistente de configuración de Event Importer:
- Si se está ejecutando, detenga el proceso de Event Importer. Para detener el proceso de Event Importer, siga los pasos descritos en Iniciar y Detener Event Importer.
- Busque la ubicación de la carpeta raíz de la instalación de Event Importer.
- Ejecute EventsFeederImporter.Multiplatform.ConfigAssistant, como se describe en Configurar y Ejecutar Event Importer para una distribución Linux.
- Ingrese Y, cuando se le solicite:
¿Desea cambiar los ajustes de configuración? [Sí/No]: - En las solicitudes de comando, modifique los ajustes que desee y complete el asistente de configuración.
EventsFeederImporter.Multiplatform.Host se ejecuta y comienza a descargar los registros de eventos a la ubicación de su canal de entrega.
Para modificar manualmente los ajustes de Event Importer, puede editar el archivo configuration.json con un editor de texto de su elección.
Siga los pasos de este procedimiento para modificar manualmente los ajustes de Event Importer:
- Si se está ejecutando, detenga el proceso de Event Importer. Para detener el proceso de Event Importer, siga los pasos descritos en Iniciar y Detener Event Importer.
- Desde la ubicación de la carpeta raíz de Event Importer, abra el archivo configuration.json con un editor de texto de su elección.
- Guarde los cambios realizados y cierre el archivo configuration.json.
- Inicie Event Importer. Para iniciar el proceso de Event Importer, siga los pasos descritos en Iniciar y Detener Event Importer.
Parámetros Relacionados con los Eventos del Archivo de Registro
Estos parámetros configuration.json determinan cómo Event Importer genera los archivos de registro.
Channels
Indica las características del canal que se utiliza para descargar los archivos de registro.
Type
Tipo de almacenamiento utilizado en el canal.
Name
Nombre del canal.
Configuration
Ajustes del canal (fullPath, fileSizeLimitInBytes, directoryMaxSizeInMB, fileSplitFormat).
fullPath
Ruta absoluta a la carpeta de registro.
fileSizeLimitInBytes
Tamaño máximo de los archivos de registro.
directoryMaxSizeInMB
Tamaño máximo del contenido de la carpeta que almacena los archivos de registro. Cuando Event Importer alcanza el tamaño máximo, elimina el 10 % de los archivos más antiguos.
fileSplitFormat
Intervalo de rotación de los archivos de registro. El nombre del archivo contiene el año(aaaa), mes(MM), día (dd), hora(HH) y minuto (mm) del momento en que Event Importer crea el archivo.
“1h” o vacío
Formato aaaaMMdd-HH. Se genera un archivo cada hora.
"1m"
Formato aaaaMMdd-HHmm. Genera un archivo cada minuto.
"5m"
Formato aaaaMMdd-HHmm. Genera un archivo cada 5 minutos.
"10m"
Formato aaaaMMdd-HHmm. Genera un archivo cada 10 minutos.
"15m"
Formato aaaaMMdd-HHmm. Genera un archivo cada 15 minutos.
"30m"
Formato aaaaMMdd-HHmm. Genera un archivo cada 30 minutos.
MessageFormat
Formato de los mensajes enviados al servidor de syslog.
- 0: RFC5424
- 1: RFC3164
MessageDelimiter
Caracteres delimitadores para los mensajes enviados al servidor de syslog:
- 13: CR
- 10: LF
- 1310: CRLF
IterationCount
Contador interno de mensajes utilizado para pausar los mensajes enviados al servidor de syslog.
IterationMs
Pausa en milisegundos que se realiza cuando se envían mensajes IterationCount al servidor de syslog.
MaxBufferSize
Tamaño máximo en bytes de los mensajes enviados al servidor de syslog.
Parámetros Relacionados con el Registro de Ejecución
Event Importer guarda todas las operaciones que ejecuta en archivos de texto. Almacena los archivos de texto en la carpeta registro de la aplicación.
Estos parámetros del archivo configuration.json deciden cómo genera Event Importer los archivos de texto.
LogsPath
Ruta absoluta o relativa y nombre del archivo. Asegúrese de anteponer el caracter de barra inversa ("\").
Por ejemplo, .\\log\\log.txt.
LogFileSizeLimitKBytes
Rota el archivo de registro cuando alcanza un determinado tamaño en kilobytes, agrega el sufijo – SequenceNumber.
Por ejemplo, log-3.txt.
LogRetainedFileCountLimit
Indica la cantidad máxima de archivos que Event Importer almacena en el dispositivo de almacenamiento. Event Importer borra el archivo más antiguo cuando alcanza este número.
Interval
Intervalo de rotación de los archivos de registro:
0
Sin rotación. El sufijo es nulo. El nombre del archivo es el mismo que el que define el parámetro LogsPath.
1
El archivo rota cada año. El sufijo para el nombre definido en LogsPath es LognameYear(YYYY).
Por ejemplo, log2021.txt.
2
El archivo rota cada mes. LogsPath define el sufijo para el nombre como LognameYearMonth(YYYYMM).
Por ejemplo, log202107.txt.
3
El archivo rota cada día. El sufijo para el nombre definido en LogsPath es LognameYearMonthDay(YYYYMMDD).
Por ejemplo, log20210722.txt.
4
El archivo rota cada hora. El sufijo para el nombre definido en LogsPath es LognameYearMonthDayHour(YYYYMMDDhh).
Por ejemplo, log2021072210.txt.
5
El archivo rota cada minuto. El sufijo para el nombre definido en LogsPath es LognameYearMonthDayHourMinute(YYYYMMDDhhmm).
Por ejemplo, log202107221055.txt.
Para obtener más información acerca de los parámetros del registro de eventos, vaya a Guía de Eventos de WatchGuard SIEMFeeder.