Listas Ativas no ArcSight, limpeza automática. Parte 1

Iniciantes e usuários experientes de ArcSight frequentemente enfrentam uma situação em que precisam limpar automaticamente a Lista Ativa em um caso de uso. Pode ser o seguinte cenário: contar os logins de hoje para cada usuário em tempo real ou redefinir alguns contadores que estão na Lista Ativa no horário especificado.Quero acreditar que a ArcSight ainda não adicionou tal funcionalidade ao ESM por motivos convincentes.Existem várias maneiras possíveis de alcançar a limpeza automática da Lista Ativa:

• Via ssh, usando script personalizado;
• Usando regras;
• Usando tendências. Hoje eu descreverei esta variante.

A ideia principal é o uso de uma tendência programada para deletar entradas na Lista Ativa através de lista temporária e regra.Para listas com campo de chave:

1. Criar Consulta(1) na Lista Ativa Principal(1). Selecionar apenas Campos de Chave para a consulta.
2. Criar nova Tendência com Consulta(1). Defina o parâmetro curto de ‘Período de Retenção de Partição (em dias)’ (alguns dias). E agende-a para executar todos os dias, por exemplo, às 23:59:00.
3. Criar nova Lista Ativa Temporária(2) com Campos que são semelhantes aos Campos de Chave da Lista Ativa Principal(1). Defina o parâmetro TTL para 1 minuto. Esta lista será usada como um buffer para entradas que precisam ser limpas da Lista Ativa Principal(1).
4. Edite a Tendência que foi criada no ponto 2. Adicione Ação ‘Adicionar à Lista Ativa’ e escolha ‘Lista Ativa Temporária(2)’.
5. Criar nova Regra e adicionar a condição:

& AND

ID de Classe de Evento do Dispositivo = activelist:104

Nome do Arquivo = Lista Ativa Temporária(2)

Tipo = Base

Adicionar Ação ‘Remover da Lista Ativa’ e escolher Lista Ativa Principal(1) selecione o campo ‘String4 Personalizada do Dispositivo’ em linha com o campo chave.

Se você tiver mais de um campo chave, precisa usar variáveis locais ‘EvaluateVelocityTemplate’ para dividir o valor da chave no campo ‘String4 Personalizada do Dispositivo’.

Implemente a regra em Realtime.

Assim, esta Tendência será executada todos os dias às 23:59:00, irá pegar todas as entradas que estão na Lista Ativa Principal e adicioná-las à Lista Ativa Temporária. Todas as entradas na Lista Ativa Temporária expirarão em 1 minuto, e a Regra irá capturar todas as entradas e removê-las da Lista Ativa Principal. Assim, você terá a Lista Ativa vazia no início de um novo dia.

Você precisa criar uma nova tendência para cada lista ativa que deseja ser limpa automaticamente. Este método não é muito conveniente, mas resolve a tarefa de limpeza automática da Lista Ativa. Nos próximos posts, descreverei outras duas maneiras de alcançar tais resultados.