|
|
|
CA Enterprise Log Manager puede recibir eventos directamente desde orígenes de syslog. La recopilación de syslog es distinta al resto de métodos de recopilación porque varios orígenes de registros pueden enviar eventos a CA Enterprise Log Manager al mismo tiempo. Considere el enrutador de red y el concentrador VPN como dos orígenes de eventos posibles. Ambos pueden enviar eventos a CA Enterprise Log Manager directamente utilizando syslog, pero las estructuras y los formatos de registros son diferentes. Un agente de syslog puede recibir ambos tipos de eventos al mismo tiempo utilizando la escucha de syslog proporcionada.
Por lo general, la recopilación de eventos se divide en dos categorías:
Varios orígenes de eventos syslog puede transmitir eventos a través de un solo conector dado que la escucha recibe todo el tráfico en un puerto especificado. CA Enterprise Log Manager puede escuchar eventos syslog en cualquier puerto (si está ejecutando un agente como un usuario que no es raíz, podría haber restricciones al utilizar los puertos que están por debajo del 1024). Es posible que los puertos estándar reciban un flujo de eventos formado por diversos tipos de eventos syslog como, por ejemplo, UNIX, Linux, Snort, Solaris, CiscoPIX, Check Point Firewall 1, etc. CA Enterprise Log Manager gestiona los eventos syslog utilizando escuchas que están especializadas en un tipo especializado de componente de integración. Cree conectores syslog en función de las escuchas y de las integraciones:
Dado que un solo conector de syslog puede recibir eventos desde varios orígenes de eventos, debe considerar si desea redirigir eventos syslog en función de su tipo u origen. El tamaño y la complejidad de su entorno determinarán como equilibrará la recepción de eventos syslog:
Si un solo conector tiene que procesar eventos de distintos orígenes de syslog, y el volumen de eventos es alto, el conector tiene que analizar todas las integraciones aplicadas (archivos XMP) hasta encontrar un evento. Esto puede provocar un rendimiento inferior dado que el procesamiento que hay que realizar es abundante. Sin embargo, si el volumen de eventos no es demasiado alto, puede bastar con un solo conector en el agente predeterminado para recopilar todos los eventos requeridos para el almacenamiento.
Si configura una serie de conectores únicos para procesar eventos de un solo tipo de syslog, puede aligerar la carga de procesamiento expandiéndola por varios conectores. No obstante, si demasiados conectores se ejecutan en un solo agente, el rendimiento podría verse afectado ya que cada uno es una instancia independiente que requiere un procesamiento individual.
Si su entorno cuenta con un gran volumen de eventos con determinados tipos de eventos syslog, es posible que desee configurar un conector para que sólo recopile ese tipo de eventos. Por lo tanto, podría configurar uno o más conectores para que recopilen varios tipos de eventos syslog que presenten un volumen de eventos inferior en el entorno. De este modo, puede equilibrar la carga de recopilación de eventos syslog en un número más pequeño de conectores por lo que puede obtener un mayor rendimiento.
No es necesario que cree sus propias escuchas de syslog, aunque puede hacerlo si lo considera oportuno. Podría crear escuchas de syslog independientes con distintos valores predeterminados para los puertos, host de confianza, etc. De este modo, puede simplificar la creación de conectores si necesita crear numerosos conectores para cada tipo de evento syslog, por ejemplo.
| Copyright © 2010 CA. Todos los derechos reservados. | Enviar correo electrónico a CA Technologies acerca de este tema |