Listes actives dans ArcSight, nettoyage automatique. Partie 1

Les débutants et les utilisateurs expérimentés d’ArcSight font très souvent face à une situation où ils ont besoin d’effacer automatiquement la liste active dans un cas d’utilisation. Il pourrait s’agir du scénario suivant : compter les connexions d’aujourd’hui pour chaque utilisateur en temps réel ou réinitialiser certains compteurs qui se trouvent dans la liste active à l’heure spécifiée.Je souhaite croire qu’ArcSight n’a pas encore ajouté une telle fonctionnalité à ESM pour des raisons convaincantes.Il existe plusieurs façons possibles d’effectuer un nettoyage automatique de la liste active :

• Via ssh, en utilisant un script personnalisé ;
• En utilisant des règles ;
• En utilisant des tendances. Aujourd’hui, je vais décrire cette variante.

L’idée principale est d’utiliser une tendance programmée pour supprimer les entrées dans la liste active via une liste temporaire et une règle.Pour les listes avec champ clé :

1. Créer une requête (1) sur la liste active principale (1). Sélectionner uniquement les champs clés à interroger.
2. Créer une nouvelle tendance avec la requête (1). Définir un paramètre court de ‘Période de rétention des partitions (en jours)’ (quelques jours). Et la programmer pour s’exécuter tous les jours par exemple à 23:59:00.
3. Créer une nouvelle liste active temporaire (2) avec des champs similaires aux champs clés de la liste active principale (1). Définir le paramètre TTL à 1 minute. Cette liste sera utilisée comme un tampon pour les entrées que vous devez supprimer de la liste active principale (1).
4. Modifier la tendance créée à l’étape 2. Ajouter l’action ‘Ajouter à la liste active’ et choisir ‘Liste active temporaire (2)’.
5. Créer une nouvelle règle et ajouter la condition :

& AND

ID de classe d’événement de périphérique = activelist:104

Nom de fichier = Liste active temporaire (2)

Type = Base

Ajouter l’action ‘Supprimer de la liste active’ et choisir la liste active principale (1), sélectionner le champ ‘Device Custom String4’ en ligne avec le champ clé.

Si vous avez plus d’un champ clé, vous devez utiliser des variables locales ‘EvaluateVelocityTemplate’ pour diviser la valeur clé dans le champ ‘Device Custom String4’.

Déployer la règle en temps réel.

Ainsi, cette tendance s’exécutera chaque jour à 23:59:00, elle récupérera toutes les entrées présentes dans la liste active principale et les ajoutera à la liste active temporaire. Toutes les entrées de la liste active temporaire expireront en 1 minute, et la règle rattrapera toutes les entrées et les supprimera de la liste active principale. Ainsi, vous obtiendrez une liste active vide au début d’un nouveau jour.

Vous devez créer une nouvelle tendance pour chaque liste active que vous souhaitez nettoyer automatiquement. Cette méthode n’est pas très pratique mais résout la tâche du nettoyage automatique de la liste active. Dans les prochains articles, je décrirai deux autres moyens d’obtenir de tels résultats.