Liste Attive in ArcSight, pulizia automatica. Parte 1

I principianti e gli utenti esperti di ArcSight spesso si trovano in una situazione in cui è necessario cancellare automaticamente l’Active List in un caso d’uso. Potrebbe essere il seguente scenario: contare i login di oggi per ogni utente in tempo reale o resettare alcuni contatori che sono nell’Active List all’orario specificato.Voglio credere che ArcSight non abbia ancora aggiunto tale funzionalità a ESM per motivi convincenti.Ci sono diversi modi per ottenere la cancellazione automatica dell’Active List:

• Attraverso ssh, utilizzando uno script personalizzato;
• Utilizzando le regole;
• Utilizzando i trend. Oggi descriverò questa variante.

L’idea principale riguarda l’uso di un trend programmato per eliminare le voci nell’Active List attraverso una lista temporanea e una regola.Per liste con campo chiave:

1. Crea Query(1) sulla Main Active List(1). Seleziona solo i campi chiave per la query.
2. Crea un nuovo Trend con Query(1). Imposta il parametro breve ‘Partition Retention Period (in giorni)’ (pochi giorni). E programmarlo per essere eseguito ogni giorno, ad esempio alle 23:59:00.
3. Crea una nuova Temporary Active List(2) con campi simili ai campi chiave della Main Active List(1). Imposta il parametro TTL a 1 minuto. Questa lista sarà utilizzata come buffer per le voci che è necessario cancellare dalla Main Active List(1).
4. Modifica il Trend creato al punto 2. Aggiungi l’azione ‘Add to Active List’ e scegli ‘Temporary Active List(2)’.
5. Crea una nuova Regola e aggiungi la condizione:

& AND

Device Event Class ID = activelist:104

File Name = Temporary Active List(2)

Type = Base

Aggiungi l’azione ‘Remove From Active List’ e scegli la Main Active List(1), seleziona il campo ‘Device Custom String4’ in linea con il campo chiave.

Se hai più di un campo chiave, hai bisogno di utilizzare le variabili locali ‘EvaluateVelocityTemplate’ per dividere il valore chiave nel campo ‘Device Custom String4’.

Distribuisci la regola in Realtime.

Quindi questo Trend verrà eseguito ogni giorno alle 23:59:00, raccoglierà tutte le voci che sono nella Main Active List e le aggiungerà alla Temporary Active List. Tutte le voci nella Temporary Active List scadranno in 1 minuto, e la Regola raccoglierà tutte le voci e le rimuoverà dalla Main Active List. Pertanto, avrai l’Active List vuota all’inizio di un nuovo giorno.

Devi creare un nuovo trend per ogni active list che desideri cancellare automaticamente. Questo metodo non è molto conveniente ma risolve il compito di cancellare automaticamente l’Active List. Nei prossimi post, descriverò gli altri due modi per ottenere tali risultati.