Having problems with your account or logging in?
A lot of changes are happening in the community right now. Some may affect you. READ MORE HERE
DenisLa Absent Member.
Absent Member.
272 views

Создание Дашборда для Хостов, подключенных через коннектор Syslog Daemon.

Jump to solution

Добрый день.

Нужно контролировать поступление данных от хостов, подключенных к системе ArcSight через коннектор Syslog Daemon.

Например, на UDP порт 514 сервера, где запущен коннектор Syslog Daemon поступают сообщения от 100 серверов по протоколу Syslog.

Надо создать Дашборд на котором будет выведено 10 серверов. В случае если от какого-то из серверов не поступают данные больше 2-х часов, сервер на дашборде должен становится красным.

Подскажите, пожалуйста, с чего начать, может кто-то знает в ключевых моментах, логику создания дашборда такого рода?

Заранее благодарю!


Tags (2)
0 Likes
1 Solution

Accepted Solutions
Highlighted
Rodion Super Contributor.
Super Contributor.

Re: Создание Дашборда для Хостов, подключенных через коннектор Syslog Daemon.

Jump to solution

Добрый день!

Можно использовать следующую логику:

  1. Создаём ActiveList c TTL Hours = 2
  2. Создаём правило, добавляющее DeviceAddress для каждого из 10 серверов в созданный ActiveList/
  3. Создаём правило, реагирующее на истечение срока жизни записи в AL: activelist:104 An entry has expired in an active list. (См. ArcSight™ Console User’s Guide)
  4. Создаём DataMonitor типа LastState и мапируем на зелёный статус события правила из п.2, а на красный статус события срабатывания правила из п.3
  5. Повторяем п.4 для каждого сервера.
  6. Создаём один дашборд для всех DataMonitor
  7. Profit!
0 Likes
5 Replies
Highlighted
Rodion Super Contributor.
Super Contributor.

Re: Создание Дашборда для Хостов, подключенных через коннектор Syslog Daemon.

Jump to solution

Добрый день!

Можно использовать следующую логику:

  1. Создаём ActiveList c TTL Hours = 2
  2. Создаём правило, добавляющее DeviceAddress для каждого из 10 серверов в созданный ActiveList/
  3. Создаём правило, реагирующее на истечение срока жизни записи в AL: activelist:104 An entry has expired in an active list. (См. ArcSight™ Console User’s Guide)
  4. Создаём DataMonitor типа LastState и мапируем на зелёный статус события правила из п.2, а на красный статус события срабатывания правила из п.3
  5. Повторяем п.4 для каждого сервера.
  6. Создаём один дашборд для всех DataMonitor
  7. Profit!
0 Likes
bondarets Absent Member.
Absent Member.

Re: Создание Дашборда для Хостов, подключенных через коннектор Syslog Daemon.

Jump to solution

Денис, привет.

Есть вот такой вот пекедж (см. вложение) для отслеживания девайсов, его нетрудно допилить до твоей задачи, нужно лишь поправить время жизни Active List'а (либо создать новый) и создать Last State дата-монитор на основе фильтра по имени правила.

Но имей в виду, что для каких-нибудь роутеров-коммутаторов такой интервал (2 часа) будет генерить много ложных срабатываний, ведь сислог-сообщения они (по умолчанию) генерят только когда им плохо или когда их кто-то настраивает.

0 Likes
DenisLa Absent Member.
Absent Member.

Re: Создание Дашборда для Хостов, подключенных через коннектор Syslog Daemon.

Jump to solution

Спасибо большое, за ответы! Буду разбираться потихоньку.

0 Likes
DenisLa Absent Member.
Absent Member.

Re: Создание Дашборда для Хостов, подключенных через коннектор Syslog Daemon.

Jump to solution

Для реализации использовал Lightweight Rule. Обошёлся по одному Rule на каждый хост.

Сейчас ломаю голову, как отправлять Email в случае изменения статуса любого из хостов на дашборде.

0 Likes
DenisLa Absent Member.
Absent Member.

Re: Создание Дашборда для Хостов, подключенных через коннектор Syslog Daemon.

Jump to solution

Пакет интересный, но насколько я разобрался, в нем отсутствует компонент, отвечающий за пополнение Active List'а.

Больше подходит для отчетов.

0 Likes
The opinions expressed above are the personal opinions of the authors, not of Micro Focus. By using this site, you accept the Terms of Use and Rules of Participation. Certain versions of content ("Material") accessible here may contain branding from Hewlett-Packard Company (now HP Inc.) and Hewlett Packard Enterprise Company. As of September 1, 2017, the Material is now offered by Micro Focus, a separately owned and operated company. Any reference to the HP and Hewlett Packard Enterprise/HPE marks is historical in nature, and the HP and Hewlett Packard Enterprise/HPE marks are the property of their respective owners.