Listas Activas en ArcSight, limpieza automática. Parte 1

Los principiantes y usuarios experimentados de ArcSight a menudo se enfrentan a una situación cuando necesitan borrar automáticamente la Lista Activa en un caso de uso. Podría ser el siguiente escenario: contar los inicios de sesión de hoy para cada usuario en tiempo real o reiniciar algunos contadores que están en la Lista Activa a la hora especificada.Quiero creer que ArcSight aún no añadió tal funcionalidad a ESM por razones convincentes.Hay varias formas posibles de lograr el borrado automático de la Lista Activa:

• A través de ssh, usando un script personalizado;
• Usando reglas;
• Usando tendencias. Hoy describiré esta variante.

La idea principal es el uso de una tendencia programada para eliminar entradas en la Lista Activa a través de una lista temporal y una regla.Para listas con campo Clave:

1. Crear Consulta(1) en la Lista Activa Principal(1). Selecciona solo los Campos Clave para consultar.
2. Crear una nueva Tendencia con Consulta(1). Establecer un parámetro corto de ‘Período de Retención de Partición (en días)’ (unos pocos días). Y programarlo para ejecutarse todos los días, por ejemplo, a las 23:59:00.
3. Crear una nueva Lista Activa Temporal(2) con Campos que son similares a los Campos Clave de la Lista Activa Principal(1). Establecer el parámetro TTL a 1 minuto. Esta lista se utilizará como un búfer para las entradas que necesitas borrar de la Lista Activa Principal(1).
4. Editar la Tendencia que se creó en el punto 2. Añadir la Acción ‘Agregar a la Lista Activa’ y elegir ‘Lista Activa Temporal(2)’.
5. Crear una nueva Regla y agregar la condición:

& AND

ID de Clase de Evento del Dispositivo = activelist:104

Nombre de Archivo = Lista Activa Temporal(2)

Tipo = Base

Añadir la Acción ‘Eliminar de la Lista Activa’ y elegir la Lista Activa Principal(1) selecciona el campo ‘Cadena Personalizada del Dispositivo4’ en línea con el campo clave.

Si tienes más de un campo de clave, necesitas usar variables locales ‘EvaluateVelocityTemplate’ para dividir el valor de la clave en el campo ‘Cadena Personalizada del Dispositivo4’.

Desplegar regla en Tiempo Real.

Entonces, esta Tendencia se ejecutará todos los días a las 23:59:00, obtendrá todas las entradas que están en la Lista Activa Principal y las agregará a la Lista Activa Temporal. Todas las entradas en la Lista Activa Temporal expirarán en 1 minuto, y la Regla capturará todas las entradas y las eliminará de la Lista Activa Principal. Por lo tanto, obtendrás una Lista Activa vacía al comienzo de un nuevo día.

Necesitas crear una nueva tendencia para cada lista activa que quieras que se borre automáticamente. Este método no es muy conveniente pero resuelve la tarea del borrado automático de la Lista Activa. En las próximas publicaciones, describiré otras dos formas de lograr tales resultados.