Aktive Listen in ArcSight, automatische Bereinigung. Teil 1

Anfänger und erfahrene Benutzer von ArcSight stehen sehr oft vor der Situation, dass sie in einem Use Case die Active List automatisch leeren müssen. Es könnte sich um folgendes Szenario handeln: die heutigen Anmeldungen für jeden Benutzer in Echtzeit zählen oder einige Zähler zurücksetzen, die sich zu einem bestimmten Zeitpunkt in der Active List befinden.Ich möchte glauben, dass ArcSight aus überzeugenden Gründen eine solche Funktionalität noch nicht zu ESM hinzugefügt hat.Es gibt mehrere mögliche Wege, um das automatische Leeren der Active List zu erreichen:

• Über ssh, mit einem benutzerdefinierten Skript;
• Durch Verwendung von Regeln;
• Durch Verwendung von Trends. Heute werde ich diese Variante beschreiben.

Die Hauptidee ist die Verwendung eines geplanten Trends, um Einträge in der Active List durch eine temporäre Liste und Regel zu löschen.Für Listen mit Schlüsselfeld:

1. Erstellen Sie eine Abfrage(1) zur Haupt-Active-List(1). Wählen Sie nur die Schlüsselfelder zur Abfrage aus.
2. Erstellen Sie einen neuen Trend mit Abfrage(1). Setzen Sie einen kurzen Parameter für die ‚Partition Retention Period (in Tagen)‘ (ein paar Tage). Und planen Sie ihn, beispielsweise jeden Tag um 23:59:00 Uhr auszuführen.
3. Erstellen Sie eine neue Temporäre Active List(2) mit Feldern, die den Schlüsselfeldern der Haupt-Active-List(1) ähneln. Setzen Sie den TTL-Parameter auf 1 Minute. Diese Liste wird als Puffer für Einträge verwendet, die Sie aus der Haupt-Active-List(1) löschen müssen.
4. Bearbeiten Sie den Trend, der in Punkt 2 erstellt wurde. Fügen Sie die Aktion ‚Hinzufügen zur Active List‘ hinzu und wählen Sie ‚Temporary Active List(2)‘.
5. Erstellen Sie eine neue Regel und fügen Sie die Bedingung hinzu:

& AND

Device Event Class ID = activelist:104

Dateiname = Temporary Active List(2)

Typ = Base

Fügen Sie die Aktion ‚Von Active List entfernen‘ hinzu und wählen Sie die Haupt-Active-List(1), wählen Sie das ‚Device Custom String4‘-Feld in Übereinstimmung mit dem Schlüsselfeld.

Wenn Sie mehr als ein Schlüsselfeld haben, müssen Sie lokale Variablen ‚EvaluateVelocityTemplate‘ verwenden, um den Schlüsselwert im ‚Device Custom String4‘-Feld zu teilen.

Veröffentlichen Sie die Regel im Realtime.

Dieser Trend wird also jeden Tag um 23:59:00 Uhr ausgeführt, er wird alle Einträge, die sich in der Haupt-Active-List befinden, abrufen und sie zur Temporäre-Active-List hinzufügen. Alle Einträge in der Temporäre-Active-List laufen in 1 Minute ab, und die Regel wird alle Einträge erfassen und sie aus der Haupt-Active-List entfernen. Dadurch erhalten Sie eine leere Active List zu Beginn eines neuen Tages.

Sie müssen für jede Active List, die Sie automatisch löschen möchten, einen neuen Trend erstellen. Diese Methode ist nicht sehr bequem, löst aber die Aufgabe der automatischen Leerung der Active List. In den nächsten Beiträgen werde ich zwei weitere Möglichkeiten beschreiben, um solche Ergebnisse zu erzielen.