Aktive Listen in ArcSight, automatische Bereinigung. Teil 2

Eine sehr häufige Aufgabe für alle ArcSight-Content-Entwickler ist das regelmäßige oder bedarfsorientierte, automatische Bereinigen von aktiven Listen.
Im vorherigen Beitrag habe ich beschrieben, wie man Active Lists auf planmäßiger Basis mit Trends bereinigt: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Heute zeige ich Ihnen zwei weitere Möglichkeiten, wie dies erreicht werden kann.

Automatisches Bereinigen von Active Lists basierend auf Befehlszeilenbefehlen auf dem ESM

Die Hauptidee ist, dass wir zuerst das Inhaltspaket deinstallieren und danach von der Befehlszeile neu installieren.

Zuerst müssen wir das Inhaltspaket mit dem ‚Export‘-Format erstellen und alle Active Lists, die Sie nach Plan oder auf Abruf bereinigen möchten, sowie andere Ressourcen, die mit diesen Active Lists interagieren, zu diesem Paket hinzufügen. Danach müssen wir ein einfaches Bash-Skript auf dem ESM mit folgenden Befehlen erstellen:

1. Der erste Befehl deinstalliert das Paket. ‚echo “1” |‘ am Anfang der Zeile wird automatisch die Option auswählen ‚1: Neues Archiv für Paket erstellen‘ falls sich der Paketinhalt geändert hat.echo „1“ | /opt/arcsight/manager/bin/arcsight package -action uninstall -package „/All Packages/Personal/admin’s Packages/Clear Active Lists“ -u adminuser -p password -m esm-hostname
2. Der zweite Befehl wird das Paket neu installieren:/opt/arcsight/manager/bin/arcsight package -action install -package „/All Packages/Personal/admin’s Packages/Clear Active Lists“ -u adminuser -p password -m esm-hostname

Bitte beachten Sie, dass diese Methode nicht geeignet ist, wenn Sie Trends im Anwendungsfall verwenden, da nach der Neuinstallation des Inhaltspakets alle Trenddaten vom Anfang an des Zeitbereichsparameters ‚Start‘ der Trendplanung abgefragt werden und dies die Leistung beeinträchtigen kann.Wenn das Skript fertig ist, testen Sie es zuerst, um sicherzustellen, dass es wie erwartet funktioniert, und planen Sie es danach oder fügen Sie es als Aktion hinzu ‚Command ausführen‘ im Regeltrigger.

Automatisches Bereinigen basierend auf Regeln

Wenn Sie beispielsweise Zähler in der Active List für die spezifische Zeile zurücksetzen oder diese Zeile an einem neuen Tag einfach löschen möchten, müssen Sie die Felder zur Active List hinzufügen ‚Letzte Ereigniszeit‘ und ‚Ereigniszählung‘.. In ‚Letzte Ereigniszeit‘ Feld einfügen ‚Endzeit‘ vom Ereignis, in ‚Ereigniszählung‘ einfügen ‚Aggregierte Ereigniszählung‘.Hinzufügen zu Regelvariablen zum Vergleichen ‚Endzeit‘ (aktuelle Ereigniszeit) und ‚Letzte Ereigniszeit‘ von der Active List mit Hilfe einer Variablen ‚GetDayOfYear‘.Falls ‚GetDayOfYear(Endzeit)‘ größer ist als ‚GetDayOfYear(Letzte Ereigniszeit)‘ dann müssen Sie die Ereigniszähler zurücksetzen oder den Eintrag in der Active List je nach Anforderungen löschen. Vergessen Sie nicht, zu prüfen, ob das neue Jahr begonnen hat oder nicht.

Ich glaube, dass es andere mögliche Wege gibt, Active Lists automatisch zu bereinigen, und ich hoffe, dass diese Beiträge Ihnen das grundlegende Verständnis der möglichen Wege vermitteln und neue Möglichkeiten zur Erstellung neuer, exzellenter Anwendungsfälle eröffnen.