|
|
|
CA User Activity Reporting Module peut recevoir des événements provenant directement de sources Syslog. La collecte Syslog diffère des autres méthodes de collecte, car plusieurs sources de journaux différentes peuvent envoyer simultanément des événements à CA User Activity Reporting Module. Notez qu'un routeur réseau et un concentrateur VPN sont deux sources d'événement possibles. Ils peuvent tous deux envoyer des événements directement à CA User Activity Reporting Module à l'aide de Syslog, mais les formats et structures des journaux sont différents. Un agent Syslog peut recevoir les deux types d'événements au même moment, à l'aide de l'écouteur Syslog fourni.
En général, la collecte d'événements est composée de deux catégories.
Plusieurs sources d'événement Syslog peuvent transmettre des événements par le biais d'un seul connecteur, puisque l'écouteur reçoit l'ensemble du trafic sur un port spécifié. CA User Activity Reporting Module peut écouter les événements Syslog sur n'importe quel port (si vous exécutez un agent en tant qu'utilisateur non root, l'utilisation de ports inférieurs au port 1024 peut faire l'objet de restrictions). Les ports standard peuvent recevoir un flux d'événements composés de différents types d'événements Syslog. Ceux-ci peuvent inclure UNIX, Linux, Snort, Solaris, CiscoPIX, Check Point Firewall 1, etc. CA User Activity Reporting Module gère les événements Syslog à l'aide d'écouteurs, soit un type spécialisé de composant d'intégration. Vous créez des connecteurs Syslog fondés sur des écouteurs et des intégrations.
Comme un seul connecteur Syslog peut recevoir des événements provenant de plusieurs sources d'événement, vous devez envisager d'acheminer ou non les événements Syslog en fonction de leur type ou de leur source. La taille et la complexité de votre environnement déterminent votre manière d'équilibrer la réception de vos événements Syslog.
Si un seul connecteur doit traiter des événements provenant de différentes sources Syslog et que le volume d'événements est important, le connecteur doit faire son analyse avec l'ensemble des intégrations (fichiers XMP) appliquées jusqu'à ce qu'il trouve une correspondance pour un événement. Les performances risquent d'être amoindries en raison de l'importance de ce traitement. Toutefois, si le volume d'événements n'est pas trop élevé, un seul connecteur sur l'agent par défaut peut être suffisant pour collecter tous les événements requis pour le stockage.
Si vous configurez une série de connecteurs uniques pour traiter les événements provenant d'un seul type Syslog, vous pouvez alléger la charge de traitement en la répartissant sur plusieurs connecteurs. Toutefois, si vous avez beaucoup de connecteurs fonctionnant sur un seul agent, vous risquez de perdre en performances, car chaque connecteur est une instance distincte qui nécessite un traitement individuel.
Si votre environnement affiche un volume d'événements plus élevé pour certains types d'événements Syslog, vous pouvez configurer un connecteur pour collecter uniquement ce type d'événements. Vous pouvez ensuite configurer un ou plusieurs autres connecteurs pour collecter plusieurs types d'événements Syslog affichant un volume d'événements moins important dans votre environnement. De ce fait, vous pouvez équilibrer la charge de collecte d'événements Syslog grâce à un petit nombre de connecteurs, gagnant ainsi en performances.
Vous ne devez pas nécessairement créer vos propres écouteurs Syslog, mais vous pouvez le faire le cas échéant. Vous pouvez créer des écouteurs Syslog distincts avec des valeurs par défaut différentes pour les ports, les hôtes fiables, etc. Vous pouvez ainsi simplifier la création des connecteurs, notamment si vous devez créer plusieurs connecteurs pour chaque type d'événement Syslog.
| Copyright © 2011 CA. Tous droits réservés. | Envoyer un courriel à CA Technologies sur cette rubrique |