Listas Activas en ArcSight, Limpieza Automática. Parte 2

Una tarea muy común para todos los desarrolladores de contenido de ArcSight es limpiar listas activas de forma programada o bajo demanda automáticamente.
En el post anterior he descrito cómo limpiar Listas Activas de forma programada usando tendencias: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Hoy te mostraré otras dos formas de lograrlo.

Limpieza automática de Listas Activas basada en comandos de línea de comandos en el ESM

La idea principal es que primero desinstalaremos el paquete de contenido y después lo reinstalaremos desde la línea de comandos.

Primero, necesitamos crear el paquete de contenido con formato ‘exportar’ y añadir a este paquete todas las Listas Activas que quieras limpiar de forma programada o bajo demanda y también otros recursos que interactúen con estas Listas Activas. Después de eso, necesitamos crear un simple script bash en el ESM con los siguientes comandos:

1. El primer comando desinstalará el paquete. ‘echo “1” |’ al comienzo de la línea elegirá automáticamente la opción ‘1: Crear nuevo archivo para el paquete’ en caso de que haya cambiado el contenido del paquete.echo «1» | /opt/arcsight/manager/bin/arcsight package -action uninstall -package «/All Packages/Personal/admin’s Packages/Clear Active Lists» -u adminuser -p password -m esm-hostname
2. El segundo comando reinstalará el paquete:/opt/arcsight/manager/bin/arcsight package -action install -package «/All Packages/Personal/admin’s Packages/Clear Active Lists» -u adminuser -p password -m esm-hostname

Por favor, ten en cuenta que este método no es adecuado si estás usando tendencias en el caso de uso, ya que después de reinstalar el paquete de contenido todos tus datos de tendencia se consultarán desde el principio del parámetro de rango de tiempo ‘Inicio’ de la programación de la Tendencia y esto puede afectar el rendimiento.Cuando el script esté listo, pruébalo primero para asegurarte de que funciona como se espera y después programa o añádelo como una acción ‘Ejecutar Comando’ en el disparador de regla.

Limpieza automática basada en reglas

Si necesitas, por ejemplo, restablecer contadores en la Lista Activa para la línea específica o simplemente eliminar esta línea en un nuevo día, necesitas añadir a los campos de la Lista Activa ‘Último Tiempo de Evento’ y ‘Contador de Eventos’. En ‘Último Tiempo de Evento’ inserta ‘Hora de Fin’ del evento, en ‘Contador de Eventos’ inserta ‘Contador de Eventos Agregados’. Añade a variables de regla para comparar ‘Hora de Fin’ (hora actual del evento) y ‘Último Tiempo de Evento’ de la Lista Activa con la ayuda de una variable ‘ObtenerDíaDelAño’. En caso de que ‘ObtenerDíaDelAño(Hora de Fin)’ sea mayor que ‘ObtenerDíaDelAño(Último Tiempo de Evento)’ entonces necesitas restablecer los contadores de eventos o eliminar la entrada en la Lista Activa dependiendo de los requisitos. No olvides añadir una comprobación de si ha llegado el nuevo año o no.

Creo que hay otras formas posibles de limpieza automática de Listas Activas y espero que estos posts te den el entendimiento básico de maneras posibles y abran nuevas oportunidades para construir nuevos casos de uso excelentes.