8.1 Descripción general de las reglas

La interfaz de reglas ofrece la posibilidad de definir reglas para evaluar los eventos entrantes y entrega los eventos seleccionados a los canales de salida designados. Por ejemplo, cada evento con gravedad 5 se puede enviar por correo electrónico a una lista de distribución de un analista de seguridad o a un administrador.

NOTA:Todos los eventos también se entregan a la base de datos.

Un evento de entrada se evalúa en comparación con la regla de filtrado en orden hasta que se encuentra una coincidencia y, a continuación, se ejecutan las acciones de entrega asociadas con la regla en cuestión:

Enviar por correo electrónico: enviar el evento a un usuario o usuarios con un relevo SMTP configurado.

Escritura en archivo: escritura del evento en un archivo determinado del servidor Identity Audit.

Envío a Syslog: Remitir el evento a un servidor syslog configurado

SUGERENCIA:las acciones asociadas procesan un evento cada vez. Por tanto, debería considerar las implicaciones de rendimiento al seleccionar el canal de salida al que se envían los eventos. Por ejemplo, la acción "Escritura en archivo" es la menos intensa en lo que respecta a recursos, por tanto, se puede utilizar para probar los criterios de regla a fin de determinar el volumen de datos antes de enviar una gran cantidad de eventos por correo electrónico o por syslog.

Además, al configurar la acción Enviar por correo electrónico, debería tener en cuenta la cantidad de eventos que un destinatario puede manejar de forma efectiva y ajustar el filtrado de la regla según corresponda.

El formato de la salida de eventos es JavaScript Object Notation (JSON), un formato de intercambio de datos de poco volumen. Los eventos se componen de nombres de archivos (como "evt" para el nombre de evento) seguidos de dos puntos y de un valor (como "Iniciar") separados por comas.

{"st":"I","evt":"Start","sev":"1","sres":"Collector","res":"CollectorManager","rv99":"0","rv1":"0","repassetid":"0","rv77":"0","agent":"Novell SecureLogin","obsassetid":"0","vul":"0","port":"Novell SecureLogin","msg":"Proceso iniciado para el colector Novell SecureLogin (ID D892E9F0-3CA7-102B-B5A1-005056C00005).","dt":"1224204655689","id":"751D97B0-7E13-112B-B933-000C29E8CEDE","src":"D892E9F0-3CA7-102B-B5A2-005056C00004"}