Listes actives dans ArcSight, nettoyage automatique. Partie 2

Une tâche très courante pour tous les développeurs de contenu ArcSight est de nettoyer les listes actives de manière planifiée ou à la demande automatiquement.
Dans le précédent article, j’ai décrit comment effacer les listes actives de manière planifiée en utilisant les tendances : https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Aujourd’hui, je vais vous montrer deux autres façons d’y parvenir.

Nettoyage automatique des listes actives basé sur les commandes en ligne de commande sur l’ESM

L’idée principale est que, dans un premier temps, nous désinstallons le package de contenu et ensuite nous le réinstallons depuis la ligne de commande.

Tout d’abord, nous devons créer le package de contenu au format ‘export’ et ajouter à ce package toutes les listes actives que vous souhaitez nettoyer sur un calendrier ou à la demande, ainsi que d’autres ressources qui interagissent avec ces listes actives. Après cela, nous devons créer un script bash simple sur l’ESM avec les commandes suivantes :

1. La première commande désinstallera le package. ‘echo “1” |’ au début de la ligne choisira automatiquement l’option ‘1: Créer une nouvelle archive pour le package’ au cas où le contenu du package aurait changé.echo « 1 » | /opt/arcsight/manager/bin/arcsight package -action uninstall -package « /All Packages/Personal/admin’s Packages/Clear Active Lists » -u adminuser -p password -m esm-hostname
2. La deuxième commande réinstallera le package :/opt/arcsight/manager/bin/arcsight package -action install -package « /All Packages/Personal/admin’s Packages/Clear Active Lists » -u adminuser -p password -m esm-hostname

Veuillez noter que cette méthode n’est pas appropriée si vous utilisez des tendances dans le cas d’utilisation, car après la réinstallation du package de contenu, toutes vos données de tendance seront interrogées depuis le tout début à partir du paramètre de plage horaire de l’horaire de tendance « Start », ce qui peut avoir un impact sur les performances.Lorsque le script est prêt, testez-le d’abord pour vous assurer qu’il fonctionne comme prévu, puis planifiez-le ou ajoutez-le comme action ‘Exécuter Commande’ dans le déclencheur de règle.

Nettoyage automatique basé sur les règles

Si vous avez besoin, par exemple, de réinitialiser les compteurs dans la liste active pour la ligne spécifique ou simplement de supprimer cette ligne lors d’une nouvelle journée, vous devez ajouter aux champs de la liste active ‘Dernière Heure de l’Événement’ et ‘Nombre d’Événements’. Dans ‘Dernière Heure de l’Événement’ insérer le champ ‘Heure de Fin’ de l’événement, dans ‘Nombre d’Événements’ insérer ‘Nombre d’Événements Agrégés’. Ajouter aux variables de règle pour comparer ‘Heure de Fin’ (heure actuelle de l’événement) et ‘Dernière Heure de l’Événement’ depuis la liste active à l’aide d’une variable ‘GetDayOfYear’. Dans le cas où ‘GetDayOfYear(Heure de Fin)’ est supérieur à ‘GetDayOfYear(Dernière Heure de l’Événement)’ vous devez alors réinitialiser les compteurs d’événements ou supprimer l’entrée dans la liste active selon les besoins. N’oubliez pas de vérifier si la nouvelle année est arrivée ou non.

Je crois qu’il existe d’autres moyens possibles de nettoyage automatique des listes actives et j’espère que ces articles vous donneront une compréhension de base des moyens possibles et ouvriront de nouvelles opportunités pour construire de nouveaux cas d’utilisation excellents.