L'interface Règles permet de définir des règles afin d'évaluer tous les événements entrants et d'acheminer les événements sélectionnés vers les canaux de sortie désignés. Par exemple, chaque événement d'un niveau de gravité de 5 peut être envoyer par courrier électronique à une liste de distribution d'analystes de sécurité ou à un administrateur.
REMARQUE :tous les événements sont également acheminés vers la base de données.
Un événement entrant est évalué par rapport à chaque règle de filtre pour que, en cas de correspondance, les opérations d'acheminement associées à cette règle soient déclenchées :
Envoyer un message électronique : envoie l'événement à un ou plusieurs utilisateurs à l'aide d'un relais SMTP configuré.
Consigner dans le fichier : permet d'inscrire l'événement dans un fichier spécifié sur le serveur Identity Audit.
Consigner dans Syslog : permet de transférer l'événement à un serveur syslog configuré.
INDICATION :les événements sont traités individuellement par les opérations associées. De ce fait, ne négligez pas les implications en termes de performances lors de la sélection du canal de sortie pour l'envoi des événements. Par exemple, l'opération Consigner dans le fichier est celle utilisant le moins de ressources ; elle peut donc être utilisée pour tester des critères de règle afin de déterminer le volume de données avant l'envoi d'un flux d'événements par courrier électronique ou via syslog.
De même, lorsque vous configurez l'opération Envoyer un message électronique, vous devez tenir compte du nombre d'événements que le destinataire peut effectivement gérer et régler le filtrage sur la règle de façon appropriée.
La sortie d'événements utilise le format JSON (JavaScript Object Notation), un format d'échange de données léger. Les événements correspondent à des noms de champ (par exemple, "evt" pour le nom de l'événement) suivis de deux-points et d'une valeur (par exemple, "Start") et séparés par des virgules.
{"st":"I","evt":"Start","sev":"1","sres":"Collector","res":"CollectorManager","rv99":"0","rv1":"0","repassetid":"0","rv77":"0","agent":"Novell SecureLogin","obsassetid":"0","vul":"0","port":"Novell SecureLogin","msg":"Processing started for Collector Novell SecureLogin (ID D892E9F0-3CA7-102B-B5A1-005056C00005).","dt":"1224204655689","id":"751D97B0-7E13-112B-B933-000C29E8CEDE","src":"D892E9F0-3CA7-102B-B5A2-005056C00004"}