|
|
|
CA User Activity Reporting Module può ricevere eventi direttamente da fonti syslog. La raccolta di syslog si differenzia dagli altri metodi di raccolta perché molte fonti di registri diverse possono inviare eventi a CA User Activity Reporting Module contemporaneamente. Considerare un router di rete e un concentratore VPN come due possibili fonti di eventi. Entrambi possono inviare eventi direttamente a CA User Activity Reporting Module utilizzando syslog, ma i formati del registro e le strutture sono diversi. Un agente syslog può ricevere entrambi i tipi di eventi allo stesso tempo utilizzando il listener syslog fornito.
In linea di massima, la raccolta di eventi rientra in due categorie:
Più di una fonte di eventi syslog può trasmettere eventi attraversi un unico connettore, poiché il listener riceve tutto il traffico su una porta specifica. CA User Activity Reporting Module può essere in ascolto per eventi syslog su ogni porta (se si sta eseguendo un agente come utente non principale possono essere presenti limitazioni sull'utilizzo delle porte inferiori alla porta 1024). Le porte standard possono ricevere un flusso di eventi composto da molti tipi diversi di eventi syslog. Essi possono includere UNIX, Linux, Snort, Solaris, CiscoPIX, Check Point Firewall 1 e altri. CA User Activity Reporting Module gestisce gli eventi syslog utilizzando listener che costituiscono un tipo specializzato di componente di integrazione. Si realizzano connettori syslog in base ai listener e alle integrazioni:
Poiché un unico connettore syslog può ricevere eventi da molte fonti di eventi, si deve considerare se instradare gli eventi syslog in base al loro tipo o fonte. La dimensione e la complessità dell'ambiente determina come bilanciare la ricezione degli eventi syslog:
Se un unico connettore deve elaborare eventi da diverse fonti syslog e il volume di eventi è elevato, il connettore deve analizzare tutte le integrazioni applicate (file XMP) fino a quando rileva una corrispondenza per un evento. Questo può provocare un rallentamento delle prestazioni poiché la quantità di dati da elaborare è molto più elevata. Tuttavia, se il volume di eventi non è troppo elevato, un unico connettore sull'agente predefinito potrebbe essere sufficiente per raccogliere tutti gli eventi richiesti per l'archiviazione.
Se si configura una serie di connettori singoli per elaborare eventi da un unico tipo syslog, è possibile snellire il carico di elaborazione distribuendolo su diversi connettori. Tuttavia, anche avere troppi connettori in esecuzione su un unico agente può ridurre le prestazioni, poiché ognuno corrisponde a un'istanza separata che richiede un'elaborazione individuale.
Se l'ambiente ha un volume di eventi più consistente per alcuni tipi di eventi syslog, è possibile configurare un connettore per raccogliere solo tale tipo. Quindi è possibile configurare uno o più connettori diversi per raccogliere più di un tipo di eventi syslog con un volume di eventi inferiore nell'ambiente. In questo modo, è possibile bilanciare il carico della raccolta degli eventi syslog su un numero inferiore di connettori garantendo prestazioni migliori.
Non si devono necessariamente creare listener syslog personalizzati, anche se è possibile farlo se necessario. È possibile creare listener syslog personalizzati con valori predefiniti per porte, host sicuri e altro ancora. Ciò può aiutare a semplificare la creazione di connettori se si dispone di molti connettori da creare per ogni tipo di evento syslog, ad esempio.
| Copyright © 2011 CA. Tutti i diritti riservati. | Contatta CA Technologies |