Modifier les Paramètres d'Event Importer

S'applique À : WatchGuard SIEMFeeder Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard SIEMFeeder. SIEMFeeder est disponible dans WatchGuard EPDR et WatchGuard EDR.

Lors de la première exécution, l'assistant de configuration de WatchGuard Event Importer utilise les informations saisies pour mettre à jour le fichier configuration.json. Vous pouvez trouver ce fichier JSON dans le dossier racine de l'installation d'Event Importer.

Une fois l'assistant de configuration d'Event Importer terminé, Event Importer commence à télécharger les fichiers journaux d'événements stockés sur l'infrastructure Microsoft Azure. Event Importer achemine les fichiers journaux vers l'emplacement de canal que vous avez spécifié, en fonction des informations contenues dans le fichier configuration.json.

Le fichier configuration.json contient ces données :

• Les informations sur l'utilisateur qui est propriétaire des fichiers journaux.
• Les informations sur la méthode utilisée pour envoyer et stocker les fichiers journaux.
• Les informations sur le mode d'exécution de l'Event Importer (par exemple, ligne de commande ou service).

Les paramètres du fichier configuration.json incluent :

MessageFormat

Format du message envoyé au serveur Syslog :

• 0 : RFC5424
• 1 : RFC3164

MessageDelimiter

Le caractère qui sépare les messages envoyés au serveur Syslog :

• 13 : CR (Carriage Return)
• 10 : LF (Line Feed)
• 1310 : CRLF (Carriage Return and Line Feed)

IterationCount

Compteur de messages interne utilisé pour définir une pause dans l'envoi de messages au serveur Syslog.

IterationMs

Pause mesurée en millisecondes définie après l'envoi des messages IterationCount au serveur Syslog.

MaxBufferSize

Taille maximale du message mesurée en octets qui est envoyé au serveur Syslog.

Modifier le Fichier Configuration.json

Pour modifier les paramètres d'Event Importer , vous pouvez modifier le fichier configuration.json. Après avoir modifié le fichier configuration.json, vous devez arrêter et démarrer le processus d'Event Importer pour appliquer les modifications apportées au fichier.

Paramètres Liés aux Événements du Fichier Journal

Ces paramètres de configuration.json déterminent la manière dont Event Importer génère les fichiers journaux.

Canaux

Indique les caractéristiques du canal utilisé pour télécharger les fichiers journaux.

Type

Type de stockage utilisé dans le canal.

Nom

Nom du canal.

Configuration

Paramètres du canal (fullPath, fileSizeLimitInBytes, directoryMaxSizeInMB, fileSplitFormat).

fullPath

Chemin absolu vers le dossier de journaux.

fileSizeLimitInBytes

Taille maximale des fichiers journaux.

directoryMaxSizeInMB

Taille maximale du contenu du dossier qui stocke les fichiers journaux. Lorsqu'Event Importer atteint la taille maximale, il supprime 10 pour cent des fichiers les plus anciens.

fileSplitFormat

Intervalle de rotation des fichiers journaux. Le nom du fichier contient l'année (aaaa), le mois (MM), le jour (jj), l'heure (HH) et les minutes (mm ) du moment où Event Importer crée le fichier.

“1h” ou vide

format aaaaMMjj-HH. Un fichier est généré toutes les heures.

"1m"

format aaaaMMjj-HHmm. Un fichier est généré toutes les minutes.

"5m"

format aaaaMMjj-HHmm. Un fichier est généré toutes les 5 minutes.

"10m"

format aaaaMMjj-HHmm. Un fichier est généré toutes les 10 minutes.

"15m"

format aaaaMMjj-HHmm. Un fichier est généré toutes les 15 minutes.

"30m"

format aaaaMMjj-HHmm. Un fichier est généré toutes les 30 minutes.

MessageFormat

Format des messages envoyés au serveur syslog.

• 0: RFC5424
• 1: RFC3164

MessageDelimiter

Caractère délimiteur pour les messages envoyés au serveur syslog :

• 13: CR
• 10: LF
• 1310: CRLF

IterationCount

Compteur de messages interne utilisé pour suspendre les messages envoyés au serveur syslog.

IterationMs

Pause en millisecondes effectuée lorsque les messages IterationCount sont envoyés au serveur syslog.

MaxBufferSize

Taille maximale en octets des messages envoyés au serveur syslog.

Paramètres Liés au Journal d'Exécution

Event Importer enregistre toutes les opérations qu'il exécute dans des fichiers texte. Il stocke les fichiers texte dans le dossier log de l'application.

Ces paramètres dans le fichier configuration.json déterminent la manière dont Event Importer génère les fichiers texte.

LogsPath

Chemin absolu ou relatif et nom de fichier. Assurez-vous d'échapper à la barre oblique inverse (« \ »).
Par exemple, .\\log\\log.txt.

LogFileSizeLimitKBytes

Fait tourner le fichier journal lorsqu'il atteint une certaine taille en kilo-octets, ajoute le suffixe – NumérodeSéquence.
Par exemple, log-3.txt.

LogRetainedFileCountLimit

Indique le nombre maximum de fichiers stockés par Event Importer sur le périphérique de stockage. Event Importer supprime le fichier le plus ancien lorsqu'il atteint ce numéro.

Intervalle

Intervalle de rotation des fichiers journaux :

0

Aucune rotation. Le suffixe est nul. Le nom du fichier est le même que celui défini par le paramètre LogsPath.

1

Le fichier tourne chaque année. Le suffixe du nom défini dans LogsPath est LognameYear(YYYY).
Par exemple, log2021.txt.

2

Le fichier tourne chaque mois. LogsPath définit le suffixe du nom comme LognameYearMonth(YYYYMM).
Par exemple, log202107.txt.

3

Le fichier tourne chaque jour. Le suffixe du nom défini dans LogsPath est LognameYearMonthDay(YYYYMMDD).
Par exemple, log20210722.txt.

4

Le fichier tourne toutes les heures. Le suffixe du nom défini dans LogsPath est LognameYearMonthDayHour(YYYYMMDDhh).
Par exemple, log2021072210.txt.

5

Le fichier tourne toutes les minutes. Le suffixe du nom défini dans LogsPath est LognameYearMonthDayHourMinute(YYYYMMDDhhmm).
Par exemple, log202107221055.txt.

Pour plus d'informations sur les paramètres d'un journal des événements, accédez au Guide des Événements WatchGuard SIEMfeeder.

Rubriques Connexes

À Propos de SIEMFeeder

Exigences d'Event Importer

Configurer des Instances Multiples d'Event Importer