ArcSightのアクティブリスト、自動クリアリング。パート2

すべてのArcSightコンテンツ開発者にとって非常に一般的なタスクは、アクティブリストを定期的またはオンデマンドで自動的にクリアすることです。
前回の投稿では、トレンドを使用してスケジュールベースでアクティブリストをクリアする方法を説明しました：https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/今日は、このタスクを達成する別の2つの方法を紹介します。

コマンドラインコマンドに基づくアクティブリストの自動クリアリング

主な考え方は、最初にコンテンツパッケージをアンインストールし、その後コマンドラインから再インストールすることです。

最初に、『export』形式でコンテンツパッケージを作成し、スケジュールベースまたはオンデマンドでクリアしたいすべてのアクティブリストと、それらのアクティブリストと連携する他のリソースをこのパッケージに追加する必要があります。その後、ESMで次のコマンドを含む簡単なbashスクリプトを作成する必要があります：

1. 最初のコマンドはパッケージをアンインストールします。 「echo “1” |」 行の先頭に置くことでオプションを自動的に選択します 「1: Create new archive for package」 パッケージコンテンツが変更された場合。echo “1” | /opt/arcsight/manager/bin/arcsight package -action uninstall -package “/All Packages/Personal/admin’s Packages/Clear Active Lists” -u adminuser -p password -m esm-hostname
2. 2番目のコマンドはパッケージを再インストールします：/opt/arcsight/manager/bin/arcsight package -action install -package “/All Packages/Personal/admin’s Packages/Clear Active Lists” -u adminuser -p password -m esm-hostname

このメソッドは、利用ケースでトレンドを使用している場合には適していないことに注意してください。コンテンツパッケージを再インストールした後、トレンドデータはトレンドのスケジュール期間パラメーター『開始』から最初からクエリされ、パフォーマンスに影響を与える可能性があります。スクリプトが準備できたら、最初にテストして期待通りに動作することを確認し、その後でスケジュールを立てるか、 「Execute Command」 としてアクションとして追加します。

ルールに基づく自動クリアリング

たとえば、特定の行のカウンターをリセットするか、新しい日にこの行を削除する必要がある場合、アクティブリストにフィールドを追加する必要があります 「最終イベント時間」と「イベントカウント」を 「最終イベント時間」 フィールドに 「終了時間」 をイベントから挿入し、 「イベントカウント」 に 「集計イベントカウント」を挿入します。ルール変数を追加して比較し、 「終了時間」 （現在のイベント時間） 「最終イベント時間」 をアクティブリストで変数を使って 「DayOfYearを取得する」を使用します。もし 「DayOfYear(終了時間)を取得する」 が 「DayOfYear(最終イベント時間)を取得する」 よりも大きい場合、要件に応じてイベントカウンターをリセットするか、アクティブリストの項目を削除する必要があります。新しい年が来たかどうかを確認することを忘れないでください。

アクティブリストの自動クリアリングには他にも可能な方法があると信じており、これらの投稿が可能な方法の基本的な理解を得るのに役立ち、新しい素晴らしいユースケースを構築する新しい機会を開くことを願っています。