Activer l’archivage du logs brut sur un Connector Arcsight
Il est parfois necessaire de garder le log brut ( non parsé ) afin de conserver la valeur de preuve par exemple.
Par défaut les connector arcsight ne le conserve pas après le parsing.
Pour activer cette option, il faut lancer le “connector setup” puis suivre les étapes suivantes :
Aller dans “Add, modify, or remove destinations”
Sélectionner la destination que l’on souhaite modifier
Sélectionner “Modify destination Setting”
Ensuite aller dans les paramètres de processing
Passer le paramétre “Preserve Raw Event” à “Yes”
Puis valider le changement 
Ensuite il ne vous reste plus qu’a redémarrer le connector pour que la modification soit prise en compte.