Activer l’archivage du logs brut sur un Connector Arcsight

Il est parfois necessaire de garder le log brut ( non parsé ) afin de conserver la valeur de preuve par exemple.

Par défaut les connector arcsight ne le conserve pas après le parsing.

Pour activer cette option, il faut lancer le “connector setup” puis suivre les étapes suivantes :

Aller dans “Add, modify, or remove destinations”modifydestination

Sélectionner la destination que l’on souhaite modifierchoose which destination

Sélectionner “Modify destination Setting”modifysettings

Ensuite aller dans les paramètres de processingchoosewitchsetting

Passer le paramétre “Preserve Raw Event” à “Yes”rawevent

Puis valider le changement rawevent2

Ensuite il ne vous reste plus qu’a redémarrer le connector pour que la modification soit prise en compte.

Leave a Reply

© 2024 Evollu.fr. All Rights Reserved.
WordPress theme by Blogging Tips