SEGUNDO SEC (correlador de eventos simple) es una herramienta que combina el monitoreo del archivo de registro con las instalaciones de correlación de eventos.
Descargar ahora

SEGUNDO Clasificación y resumen

SEGUNDO Etiquetas

simple evento SEGUNDO Correlador de eventos simple herramienta de correlación Correlación de eventos

SEGUNDO Descripción

SEC (correlador de eventos simple) es una herramienta que combina el monitoreo del archivo de registro con las instalaciones de correlación de eventos. SEC es una herramienta de correlación de eventos independiente de código abierto y plataforma que se diseñó para llenar la brecha entre los sistemas de correlación de eventos comerciales y las soluciones de cosecha propia que generalmente comprenden unos pocos scripts de shell simple.SEC acepta la entrada de archivos regulares, con nombre de tuberías y entrada estándar, y así se puede emplear como un correlador de eventos para cualquier aplicación que pueda escribir sus eventos de salida a un flujo de archivos. La configuración de la SEC se almacena en los archivos de texto como reglas, cada regla que especifica una condición de coincidencia de eventos, una lista de acción y, opcionalmente, un Expresión booleana cuyo valor de verdad decide si la regla se puede aplicar en un momento dado. Expresiones regulares, las subrutinas de Perl, etc. se utilizan para definir las condiciones de coincidencia de eventos. SEC puede producir eventos de salida al ejecutar scripts o programas de shell especificados por el usuario (por ejemplo, SNMPTRAP o correo), escribiendo mensajes a tuberías o archivos, y por otros medios. Aquí hay algunas características clave de "SEC": · Correlación de eventos para HP OpenView NNM · Correlación de eventos para HP OpenView Operations Management Server and Agents · Gestión de eventos para Ciscoworks · Gestión de eventos para la patrulla de BMC · Correlación de eventos para Nagios · Consolidación y correlación de eventos para ID de Snort IDS · Monitoreo y análisis de archivos de registro (usado en lugar de Swatch y las operaciones compatibles con las operaciones admitidas: después del evento de correlación de eventos, los tipos de reglas se implementan actualmente en la SEC: · Evento de entrada de una sola coincidencia y ejecute una lista de acción. · Evento de entrada de un solo single. y ejecute una lista de acciones, si un script o programa externo devuelve un cierto. Valor de salida. · Ungingwithsuppress: coincide con el evento de entrada y ejecute una lista de acción, pero ignore los siguientes eventos de coincidencia para los próximos segundos T. · Par - Evento de entrada de pareja, ejecute un acto Lista de iones e ignore los siguientes eventos de coincidencia hasta que llegue algún otro evento de entrada. A la llegada del segundo evento, ejecute otra lista de acción. Si ese evento no se observa dentro de la ventana Tiempo determinada, ejecute una lista de acciones. Si el evento llega a tiempo, ejecute otra lista de acción. · Eventos de entrada que coincidan con un solo conteo de conteo en los segundos y si se excede un umbral dado, ejecute una lista de acción e ignore los siguientes eventos de coincidencia durante la ventana de tiempo restante. La ventana de los segundos de T se desliza. · Ungólogos conlésicos: contar eventos de entrada de coincidencia durante T1 segundos y si se excede un umbral dado, ejecute una lista de acción. Luego, vuelva a iniciar el conteo de eventos coincidentes y si su número por T2 segundos se reduce por debajo del segundo umbral, ejecute otra lista de acción. Ambas ventanas de correlación de eventos están deslizantes. Suprima: suprimir el evento de entrada de coincidencia (usado para evitar que el evento coincida con las reglas posteriores). · Calendario: ejecute una lista de acción en tiempos específicos. RESULTOS Permitir que no solo los comandos de Shell se ejecuten como acciones , pero también pueden: · Crear y eliminar contextos que deciden si una regla en particular se puede aplicar en un momento dado, · Asociar eventos con un contexto y un informe recopilado eventos en un momento posterior (la característica similar es compatible con LogSurfer), generar Nuevos eventos que se ingresarán para otras reglas, · Restablecer las operaciones de correlación que han sido iniciadas por otras reglas, · Evento externo, fallas o módulos de análisis de conocimiento, etc., etc. Esto hace posible combinar varias reglas y formar un evento más complejo. Esquemas de correlación. Lo que está nuevo en esta versión: · Llamadas a SYS :: Las funciones de Syslog ahora están encerradas en Eval {}, para atrapar las llamadas () de esas funciones. · Funciones de coincidencia de patrones modificados. · Los nombres de la fuente de entrada son ahora Así que pasó como parámetros a las funciones de patrón Perlfunc y Nerlfunc.

SEGUNDO Software relacionado