6.2.3.1. Introduction
Les 'eve-log' du GCap sont les journaux d'analyse du service de détection d'anomalies réseau. Ces événements sont horodatés et ordonnés en fonction du moment de la capture.
La liste des services surveillés est la suivante :
Service |
Fonction |
local-alerts |
Les alertes sont envoyées d'office au GCenter pour traitement de celles-ci avec des outils appropriés.
Le service local-alerts permet de stocker localement les alertes.
Ce service, monopolisant des ressources (CPU + espace disque), ne doit être activé que pour effectuer du
diagnostic avancé en collaboration avec le service support de Gatewatcher.
Ne pas oublier d'arrêter ce service après usage. Ce service n'est pas démarré nativement.
|
eve-generation |
|
eve-compress |
|
eve-upload |
|
file-extraction |
|
file-upload |
|
filter-fileinfo |
Filtrage des fileinfos (event_type: fileinfo dans elasticsearch)
Supprime ou conserve automatiquement les évènements de type fileinfo à propos de fichiers qui ne seraient
pas conservées pour analyse par le GCenter
Le but est de réduire le rapport signal/bruit et limiter la quantité de journaux envoyés au GCenter
Ce sont des réplicas (fileinfo.stored: false dans elasticsearch)
|
Chacun de ces services peut être :
Pour visualiser l'état courant des services, se référer à la commande status.