|
|
|
Il CEG è diviso in sei sezioni, ciascuna delle quale è ulteriormente suddivisa nel modo descritto di seguito. Per la riuscita del mapping, alcune delle informazioni provenienti da ciascuna delle sottosezioni specificate dev'essere fornita secondo la designazione riportata sopra. I campi indicati in grassetto sono obbligatori per ciascuna sezione per ricevere la valutazione PASS se designata come primaria. I campi indicati in grassetto-corsivo sono i campi alternativi. Solo uno dei campi alternativi è obbligatorio perché la sezione riceva la valutazione PASS se designata come primaria.
|
Informazioni |
Informazioni campo |
|---|---|
|
Origine - Informazioni sull'utente |
source_domainname, source_username, source_uid |
|
Origine - Informazioni sull'host |
source_hostname, source_address, source_mac_address, source_hostdomainname, source_port |
|
Origine - Informazioni sull'oggetto |
source_objectname, source_objectid, source_objectattr, source_objectclass, source_objectvalue |
|
Origine - Informazioni sul processo |
source_processname |
|
Origine - Informazioni sul gruppo |
source_groupname, source_gid |
|
Dest - Informazioni sull'utente |
dest_domainname, dest_username, dest_uid |
|
Dest - Informazioni sull'host |
dest_hostname, dest_address, dest_mac_address, dest_hostdomainname, dest_port |
|
Dest - Informazioni sull'oggetto |
dest_objectname, dest_objectid, dest_objectattr, dest_objectclass, dest_objectvalue |
|
Dest - Informazioni sul processo |
dest_processname |
|
Dest - Informazioni sul gruppo |
dest_groupname, dest_gid |
|
Agente - Informazioni |
agent_name, agent_version, agent_id, agent_group, agent_connector_name |
|
Agente - Informazioni sull'host |
agent_hostname, agent_address, agent_hostdomainname |
|
Origine evento - Informazioni sull'host |
event_source_hostname, event_source_address, event_source_hostdomainname |
|
Origine evento - Informazioni |
event_source_processname |
|
Evento - Informazioni |
event_protocol, event_logname, event_euuid, event_count, event_summarized, event_duration, event_time_gmt, event_timezone, event_sequence, event_action, event_id, event_category, event_class, ideal_model, event_severity |
|
Risultato - Informazioni |
event_result, result_string, result_signature, result_code, result_version, result_priority, result_scope, result_severity |
Le ultime due sezioni del CEG sono obbligatorie per tutte le azioni.
Per ciascuna azione le informazioni del CEG sono descritte come di livello Primario, Secondario o Terziario. Le informazioni primarie sono disponibili dalla maggior parte delle origini evento e sono richieste affinché l'evento sia considerato mappato. Le informazioni secondarie sono disponibili da alcune delle origini evento e sono desiderabili affinché l'evento sia considerato mappato. Infine, le informazioni di livello terziario potrebbero essere disponibili da alcune origini evento, e in tal caso dovrebbero essere mappate.
Ad esempio, l'azione Creazione account cerca la risposta alla domanda seguente: chi ha creato un determinato account su un determinato host e su quale host sono state espresse queste informazioni evento? Una risposta potrebbe arrivare nella forma di: l'amministratore ha creato UtenteA su HostA e l'evento è stato espresso da HostA. Queste informazioni contengono valori per Origine - Informazioni sull'utente, Destinazione - Informazioni sull'host, Destinazione - Informazioni sull'utente. Inoltre, le informazioni su ciascun evento CEG dovrebbero contenere su quale agente ha registrato l'evento e da quale host l'evento è stato espresso. L'inserimento di queste informazioni in una tabella appare così:
|
Informazioni |
Livello |
|---|---|
|
Origine - Informazioni sull'utente |
Primario |
|
Origine - Informazioni sull'host |
Secondario |
|
Origine - Informazioni sull'oggetto |
Terziario |
|
Origine - Informazioni sul processo |
Terziario |
|
Origine - Informazioni sul gruppo |
Terziario |
|
Dest - Informazioni sull'utente |
Primario |
|
Dest - Informazioni sull'host |
Primario |
|
Dest - Informazioni sull'oggetto |
Secondario |
|
Dest - Informazioni sul processo |
Terziario |
|
Dest - Informazioni sul gruppo |
Terziario |
|
Agente - Informazioni |
Primario |
|
Agente - Informazioni sull'host |
Primario |
|
Origine evento - Informazioni sull'host |
Primario |
|
Origine evento - Informazioni |
Terziario |
|
Evento - Informazioni |
Primario |
|
Risultato - Informazioni |
Primario |
Per ciascuna azione viene fornita questa tabella con le informazioni descritte di conseguenza. Di seguito vengono riportate le istruzioni da seguire quando si osservano le informazioni negli eventi.
Per gli eventi di Tipo 1:
Per gli eventi di Tipo 2:
Per gli eventi di Tipo 3:
Per gli eventi di Tipo 4:
| Copyright © 2011 CA. Tutti i diritti riservati. | Contatta CA Technologies |