ArcSight의 액티브 리스트 자동 삭제. 1부

ArcSight 초보자와 경험이 많은 사용자들은 종종 사용 사례에서 액티브 리스트를 자동으로 지워야 하는 상황에 직면합니다. 이러한 시나리오가 있을 수 있습니다: 모든 사용자의 오늘 로그인 횟수를 실시간으로 세거나 지정된 시간에 액티브 리스트에 있는 몇몇 카운터를 초기화합니다.ArcSight가 설득력 있는 이유로 인해 아직 ESM에 이러한 기능을 추가하지 않았다고 믿고 싶습니다.액티브 리스트를 자동으로 지우는 여러 가지 방법이 있습니다:

• 커스텀 스크립트를 사용하는 ssh를 통해;
• 규칙을 사용하여;
• 트렌드를 사용하여. 오늘은 이 방법을 설명하겠습니다.

주요 아이디어는 스케줄된 트렌드를 사용하여 임시 리스트와 규칙을 통해 액티브 리스트의 항목을 삭제하는 것입니다.키 필드가 있는 리스트의 경우:

1. 메인 액티브 리스트(1)에 대한 쿼리(1)를 만듭니다. 쿼리할 키 필드만 선택합니다.
2. 쿼리(1)로 새로운 트렌드를 만듭니다. ‘파티션 유지 기간(일 단위)’ 매개변수를 짧게 설정합니다(며칠). 그리고 매일 예를 들어 23:59:00에 실행되도록 일정 설정을 합니다.
3. 메인 액티브 리스트(1)에서 키 필드와 유사한 필드를 가진 새로운 임시 액티브 리스트(2)를 만듭니다. TTL 매개변수를 1분으로 설정합니다. 이 리스트는 메인 액티브 리스트(1)에서 지워야 할 항목을 위한 버퍼로 사용될 것입니다.
4. 2번에서 생성한 트렌드를 편집합니다. ‘액티브 리스트에 추가’ 액션을 추가하고 ‘임시 액티브 리스트(2)’를 선택합니다.
5. 새로운 규칙을 만들고 다음 조건을 추가합니다:

& AND

디바이스 이벤트 클래스 ID = activelist:104

파일 이름 = 임시 액티브 리스트(2)

타입 = 기초

‘액티브 리스트에서 제거’ 액션을 추가하고 메인 액티브 리스트(1)을 선택하며 키 필드와 일치하는 줄에서 ‘디바이스 커스텀 스트링4’ 필드를 선택합니다.

키 필드가 하나 이상인 경우, ‘디바이스 커스텀 스트링4’ 필드에서 키 값을 나누기 위해 ‘EvaluateVelocityTemplate’ 로컬 변수를 사용해야 합니다.

실시간 규칙을 배포합니다.

따라서 이 트렌드는 매일 23:59:00에 실행되어 메인 액티브 리스트에 있는 모든 항목을 가져오고 이를 임시 액티브 리스트에 추가하게 됩니다. 임시 액티브 리스트에 있는 모든 항목은 1분 안에 만료되고, 규칙은 모든 항목을 포착하여 메인 액티브 리스트에서 제거합니다. 그러므로 새로운 하루가 시작될 때 빈 액티브 리스트를 얻게 됩니다.

자동으로 지워야 하는 각 액티브 리스트에 대한 새로운 트렌드를 만들어야 합니다. 이 방법은 매우 편리하진 않지만 액티브 리스트 자동 정리 작업을 해결합니다. 다음 게시물에서는 이러한 결과를 달성할 수 있는 다른 두 가지 방법을 설명하겠습니다.