모든 ArcSight 콘텐츠 개발자들에게 아주 일반적인 작업은 예약된 기준이나 요구에 따라 자동으로 활성 리스트를 정리하는 것입니다.
이전 게시물에서는 트렌드를 사용하여 활성 리스트를 정기적으로 정리하는 방법을 설명했습니다: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/오늘은 이것을 달성할 수 있는 두 가지 방법을 더 보여드리겠습니다.
ESM에서 명령줄 명령어를 기반으로 활성 리스트 자동 정리하기
주된 아이디어는 처음에 콘텐츠 패키지를 제거한 다음 명령줄에서 다시 설치하는 것입니다.
먼저 ‘export’ 형식으로 콘텐츠 패키지를 만들고, 이 패키지에 시간표 또는 필요에 따라 정리할 모든 활성 리스트와 이러한 활성 리스트와 상호작용하는 다른 리소스를 추가해야 합니다. 그런 다음 ESM에서 다음 명령어로 간단한 bash 스크립트를 작성해야 합니다:
- 첫 번째 명령어는 패키지를 제거할 것입니다. ‘echo “1” |’ 줄의 시작 부분에 있으면 자동으로 옵션을 선택합니다 ‘1: Create new archive for package’ 패키지 콘텐츠가 변경되었는 경우를 대비해서.echo “1” | /opt/arcsight/manager/bin/arcsight package -action uninstall -package “/All Packages/Personal/admin’s Packages/Clear Active Lists” -u adminuser -p password -m esm-hostname
- 두 번째 명령어는 패키지를 다시 설치할 것입니다:/opt/arcsight/manager/bin/arcsight package -action install -package “/All Packages/Personal/admin’s Packages/Clear Active Lists” -u adminuser -p password -m esm-hostname
다시 콘텐츠 패키지를 설치했을 때 모든 트렌드 자료가 트렌드의 시간 범위 매개변수 ‘Start’에서 다시 쿼리되기 때문에 사용 사례에서 트렌드를 사용할 경우 이 방법이 적합하지 않다는 점에 주의하십시오. 이는 성능에 영향을 줄 수 있습니다.스크립트가 준비되면, 먼저 예상대로 작동하는지 테스트한 후에 예약하거나 작업으로 추가하십시오 ‘명령어 실행’ 규칙 트리거에서.
규칙을 기반으로 한 자동 정리
예를 들어 특정 라인에 대한 활성 리스트의 카운터를 재설정하거나 새로운 날에 이 줄을 삭제해야 하는 경우, 활성 리스트 필드에 ‘마지막 이벤트 시간’과 ‘이벤트 카운트’을 추가해야 합니다. ‘마지막 이벤트 시간’ 필드에 ‘종료 시간’ 을 삽입하고 이벤트에서, ‘이벤트 카운트’ 에 ‘집계된 이벤트 카운트’를 삽입하세요. 변수의 도움으로 활성 리스트와 비교할 규칙 변수에 추가하십시오 ‘종료 시간’ (현재 이벤트 시간)과 ‘마지막 이벤트 시간’ 을 활성 리스트와 비교하십시오. ‘GetDayOfYear’변수를 사용해서. 만약 ‘GetDayOfYear(종료 시간)’ 이 더 크면 ‘GetDayOfYear(마지막 이벤트 시간)’ 은 이벤트 카운터를 재설정하거나 활성 리스트의 항목을 삭제할 필요가 있습니다. 새해가 왔는지 확인하는 것 또한 잊지 마십시오.
활성 리스트 자동 정리의 다른 방법이 있을 수 있다고 생각하며, 이 글들이 가능한 방법에 대한 기본 이해를 제공하고 새로운 훌륭한 사용 사례를 구축하는 기회를 열어줄 것입니다.
