Highlighted
Absent Member.
Absent Member.
119 views

Est ce que ArcSight supporte des logs multi-lignes?

Est ce que ArcSight supporte le traitement des logs multi-lignes?

Labels (2)
0 Likes
5 Replies
Highlighted
Micro Focus Expert
Micro Focus Expert

Re: Est ce que ArcSight supporte des logs multi-lignes?

Oui.

0 Likes
Highlighted
Absent Member.
Absent Member.

Re: Est ce que ArcSight supporte des logs multi-lignes?

Merci bcp

0 Likes
Highlighted
Honored Contributor.. Honored Contributor..
Honored Contributor..

Re: Est ce que ArcSight supporte des logs multi-lignes?

Oui mais tu dois t'assurer que la connectivité que tu utilises  te permettra de recevoir les lignes de facon contigue afin de ne pas avoir d'intercalage entre plusieurs devices.

Ca fonctionne donc bien si tu lis les lignes d'audit d'un fichier dans lequel une seule techno n'écrit à la fois.

Si tu recois tes logs dans un syslog daemon et qu'ils sont multi-lignes, c'est moins évident car plusieurs devices peuvent te transmettrent en plusieurs parties leurs logs et peuvent aussi s'intercaler. Alors impossible de réassembler avec la fonction multi-ligne d'un smart.

Bref l'implementation d'un smart pour supporter le multi-ligne est de réassembler le message avant de le parsé. Il n'y a pas de notion de réassembler par source, du moins selon ma compréhension.

Si tu te retrouves avec des logs multi-lignes, il est plus facile si tu est sous Linux/Aix d'utiliser rsyslog et omprog pour réassembler les logs directement à la source. Ca prend un peu de programmation mais ca rend l'écriture d'un parser bcp plus facile.

0 Likes
Highlighted
Acclaimed Contributor.
Acclaimed Contributor.

Re: Est ce que ArcSight supporte des logs multi-lignes?

Oui.

Soit Multi line or Merger Flex Connnector peut être utilisé

0 Likes
Highlighted
Absent Member.
Absent Member.

Re: Est ce que ArcSight supporte des logs multi-lignes?

Merci bcp pour vos réponses précieuses mes amis.

0 Likes
The opinions expressed above are the personal opinions of the authors, not of Micro Focus. By using this site, you accept the Terms of Use and Rules of Participation. Certain versions of content ("Material") accessible here may contain branding from Hewlett-Packard Company (now HP Inc.) and Hewlett Packard Enterprise Company. As of September 1, 2017, the Material is now offered by Micro Focus, a separately owned and operated company. Any reference to the HP and Hewlett Packard Enterprise/HPE marks is historical in nature, and the HP and Hewlett Packard Enterprise/HPE marks are the property of their respective owners.