Listas Ativas no ArcSight, Limpeza Automática. Parte 2

Uma tarefa muito comum para todos os desenvolvedores de conteúdo do ArcSight é limpar listas ativas de forma programada ou sob demanda automaticamente.
No post anterior, descrevi como limpar Listas Ativas de maneira programada usando tendências: https://socprime.com/en/blog/active-lists-in-arcsight-automatic-clearing-part-1/Hoje vou mostrar outras duas maneiras de como isso pode ser alcançado.

Limpeza automática de Listas Ativas com base em comandos de linha de comando no ESM

A ideia principal é que, primeiro, desinstalaremos o pacote de conteúdo e, em seguida, reinstalá-lo a partir da linha de comando.

Primeiro, precisamos criar o pacote de conteúdo no formato ‘export’ e adicionar a este pacote todas as Listas Ativas que você deseja limpar programadamente ou sob demanda e também outros recursos que interagem com essas Listas Ativas. Depois disso, precisamos criar um script bash simples no ESM com os seguintes comandos:

1. O primeiro comando desinstalará o pacote. ‘echo “1” |’ no início da linha escolherá automaticamente a opção ‘1: Criar novo arquivamento para o pacote’ caso o conteúdo do pacote tenha mudado.echo “1” | /opt/arcsight/manager/bin/arcsight package -action uninstall -package “/All Packages/Personal/admin’s Packages/Clear Active Lists” -u adminuser -p password -m esm-hostname
2. O segundo comando reinstalará o pacote:/opt/arcsight/manager/bin/arcsight package -action install -package “/All Packages/Personal/admin’s Packages/Clear Active Lists” -u adminuser -p password -m esm-hostname

Por favor, note que este método não é adequado se você estiver usando tendências no caso de uso, pois após reinstalar o pacote de conteúdo todos os seus dados de tendência serão consultados desde o início a partir do parâmetro de intervalo de tempo da programação da Tendência ‘Start’ e isso pode impactar o desempenho.Quando o script estiver pronto, teste-o primeiro para garantir que está funcionando conforme o esperado e depois agende-o ou adicione como uma ação ‘Executar Comando’ no gatilho da regra.

Limpeza automática com base em regras

Se você precisar, por exemplo, redefinir contadores na Lista Ativa para uma linha específica ou simplesmente excluir essa linha em um novo dia, você precisa adicionar aos campos da Lista Ativa ‘Hora do Último Evento’ e ‘Contagem de Eventos’. No campo ‘Hora do Último Evento’ insira ‘Hora de Término’ do evento, no ‘Contagem de Eventos’ insira ‘Contagem de Eventos Agregados’. Adicione às variáveis da regra para comparar ‘Hora de Término’ (tempo atual do evento) e ‘Hora do Último Evento’ da Lista Ativa com a ajuda de uma variável ‘GetDayOfYear’. No caso de ‘GetDayOfYear(Hora de Término)’ ser maior que ‘GetDayOfYear(Hora do Último Evento)’ então você precisa redefinir os contadores de eventos ou excluir a entrada na Lista Ativa de acordo com os requisitos. Não se esqueça de adicionar uma verificação sobre se o novo ano chegou ou não.

Acredito que há outras maneiras possíveis de limpar automaticamente as Listas Ativas e espero que esses posts lhe proporcionem o entendimento básico das maneiras possíveis e abram novas oportunidades para criar novos casos de uso excelentes.