Logrhythm

Licenties
Verlengen/Installeren van een licentie
Deployment Manager|File|Import License File
Browse nu naar de directorie en selecteer het nieuwe .lic bestand
Je krijgt een pop up met een waarschuwing. Eventueel kun je eerst nog het gewenste uitvoeren. Anders klik op Yes
Als het goed is krijg je nu een scherm dat je licentie succesvol is geïmporteerd.

Licentie gegevens
Help | About Logrhythm
Klik eventueel nog op license report

End of live policy
https://docs.logrhythm.com/docs/enterprise/find-more-information/end-of-life-policy-for-software-and-hardware

Logrhythm algemeen

LogRhythm is kieskeurig en niet consequent
Logrhythm is soms heel kieskeurig met wat je of je wel of niet hebt ingevuld.
Verder zijn de menu opties niet consequent. Dus als je iets zoekt check zowel de opties van de rechtermuisknop maar ook zeker wat er in de menu balk.
Deze soms heeft soms nog verrassende info
check / uncheck
Wanneer je met het rechtermuis menu check /uncheck mogelijkheden krijgt dam is de impact als volgt :
check all : Let op Deze keuze selecteert alles wat binnen de query valt en trekt zich niks aan van eventuele filters die zijn gezet.
Check All Displayed : Selecteert binnen de query alles wat gefilterd is. Ook al is dit groter dan je display.

MPE

MPE = Message Processing Engine

MPE rules.

LET OP : als je een nieuwe rule wilt maken moet je ook echt + button gebruiken. Dus :
Tools | Knowledge |MPE Rule Builder
Klik nu op het + symbool in de menu balk.
Je krijgt nu de vraag of je echt een nieuwe base rule wilt maken Voor de MPE rules heb je 2 plekken waar je rules kunt bewerken. Ieder heeft zijn (on)mogelijkheden.

Via MPE Rule Builder. Hier kun je nieuwe regels maken en testen en aan 1 of meerdere Log Source Type koppelen.
Via tab Log processing Policies. Hier kun je extra zaken voor de rule regelen. Zoals rule enablen, moet er een event worden gegenereerd etc.

Let op : Nieuw aangemaakte rules (geldt zowel voor rules als sub-rules) zijn standaard niet enabled. Als het testen van je regel als een speer gaat en testen via de log source niet doet wat je verwacht dan zou ik maar eens checken of de rule/sub-rule enabled is!
Deployment Manager | Log Processing Policies
Selecteer gewenste Log Source Type
Dubbelklik op de gewenste regel of Rechtsklik | edit
Vink de gewenste rule(s) aan
Rechtsklik|Properties
Je zit nu in het scherm : MPE Policy Rule Editor
Hier kun je volgende instellen:

Enabled
Moet(en) de regel(s) uitgevoerd worden of niet.
Log Data Management Settings
Wil je de setting erven of wil je ze overrulen.
Log Processing Settings
Event Management Settings
Vink deze aan als een event wil genereren. Zo ja, vul dan ook de Risk Rating in.
LET OP: Wil je dat het event ook in Platform Manager komt zorg dan ervoor dat de Risk Rating (RBP, Risk Based Priority) voldoende hoog is.
Zie : Deployment Manager | Platform Manager. Zie Minimum RBP of events to Monitor (voor gekleurde balk).
LogMart Settings
Welke gegevens moeten er in LogMart opgeslagen worden.

Tools | Knowledge | MPE Rule Builder.

Folder symbool (<CTRL>+O)
Je komt nu in het scherm : Rule Browser
selecteer de gewenste Log Message Source Type
Je krijgt nu de regels horende bij dit Log Message Source Type
Je hebt nu de volgende mogelijkheden
- Regel laden
  Dubbelkik op de regel
- Volgorde van verwerking instellen
  Edit | Edit Base-rule Sorting
  Je komt nu in het scherm : Rule Sorter
  Selecteer de gewenste rules en gebruik de pijltjes in de blauwe bolletjes om de rule omhoog of omlaag te verplaatsen
  Klik op ok om te saven
- Meer of minder rules tonen View | en vink rules aan of uit al naar gelang of je ze wilt zien of niet
Kruis
Retire rule
Menu | File
Clone Rule
Export en import
Menu | Edit
Retire Rule
Menu | View
Show Retired Sub-rules

Overzicht van de mpe rules behorende bij een Log Source Type.
Deployment Manager | Log Processing Policies
Dubbelklik op het gewenste Log Source Type of rechtsklik en selecteer edit
Je zit nu in het scherm MPE Policy Editor
Hier werkt dubbelklikken niet en moet rechtsklik|Properties om een aantal properties te kunnen aanpassen (bv enabled).
Je kunt hier niet de reguliere expressies aanpassen dat moet weer via de wizard (zucht)

MPE rules Wizard
Tools | Knowledge | MPE Rule Builder.
Je begin met een blanco rule.
Wil je een rule bewerken klik dan op het map symbooltje.
Je komt dan in het scherm Rule browser
In het vak onder Select log Message Source Type kun je dan zoeken op Log Message Source Type
Klik op 1 van de gevonden Log Message Source Type en je ziet de bijbehorende MPE rules
Dubbelklik op 1 van de getoonde MPE rules en deze wordt geladen. Het leuke is : Nu werkt alleen dubbelklikken. (zucht)

Rules/Subrules
Rules : reguliere expressies aan de hand waarvan wordt bepaald of een regel voldoet aan bepaalde voorwaarden.

Subrules : De subrules zijn eigenlijk een soort van switch/case statement die afhankelijk van de door hoofdrule ingevulde velden selecteert wat voor event er wordt gegenereerd.

De rule zorgt ervoor dat verschillende velden gevuld worden (aan de hand van reguliere expressies). Een veld kan bijvoorbeeld verschillende waarden hebben die verschillende acties vereisen
Bijvoorbeeld bij een login. Dan kan een veld de waarde failure of succes hebben. De hoofdrule zorgt ervoor dat je een selectie hebt betreffende login en vult de velden.
Met de subrule kun je dan op basis van de door de hoofdrule ingevulde waardes voor de velden selecteren wat voor event er wordt gegenereerd.
Als het veld de waarde succes heeft dan wordt een event gegenereerd met een status van niets aan de hand.
Heeft het veld de waarde failure dan kun je bijvoorbeeld een event met de status suspicious genereren.

Aanpassen rule priority van een rule
Dubbelklik op of desbetreffende regel of rechtermuisklik | properties of klik op het blauwe properties symbool (rechs van groene + symbool)
Je zit nu in het scherm AI engine Rule Wizard.
Klik op settings.
in het het 3e blok onder Advances Setting (vet) staat Runtime Priority met een pull down menu.
Navragen wat hiervan de impact is op memory gebruik en of bij grote drukte deze regels worden overgeslagen?

MPE_rules exporteren
Tools|Knowledge|MPE Rule Builder.
Je begin dan met een blanco rule.
Wil je een rule bewerken klik dan op het map symbooltje.
Je komt dan in het scherm Rule browser
In het vak onder Select log Message Source Type kun je dan zoeken op Log Message Source Type
Klik op 1 van de gevonden Log Message Source Type en je ziet de bijbehorende MPE rules
Rechtsklik nu in het scherm met de de MPE rules. Je kunt de geselecteerde regel of alle regels exporteren naar een csv file.

Log sources

LET OP : Bestanden moeten met een lege regel worden afgesloten. Doe je dat niet dan wordt de laatste regel niet ingelezen.

Om een log source aan te maken zijn de volgende dingen noodzakelijk.

log source type (Zie Nieuwe log source type maken als je een eigen log source type wilt gebruiken)
Een agent om een nieuwe log source bij te maken
Evt een directory wanneer files worden ingelezen

Aanmaken Log Source
Ga naar : Deployment Manager | System Monitors
Vink de gewenste agent aan rechtsklik met de muis op de gewenste agent.
Klik op Properties in het menu
Je krijgt nu het scherm System Monitor Agent Properties
Onder de kop Log Message Source Collected by this Agent kun je een nieuwe Log Source toevoegen .
Rechtsklik | New
Let op : Staan hier geen Log Sources die bij deze agent horen en is bijvoorbeeld Host Agent is Installed on leeg dan ben je waarschijnlijk bezig een nieuwe agent aan te maken. Dat is hier niet de bedoeling. Klik op Cancel en voorgaande GOED lezen.

Tab: Agent Settings
Je krijgt nu het scherm Log Message Source Properties
- Tab: Basic Configuration
  Log Source Host : Is al ingevuld.
  Collection Agent : Is al ingevuld.
  Log Message Source Type : Klik op het icoon rechts van de balk en je krijgt het zoekscherm voor log source type. Zoek de juiste op en selecteer deze
  Als je de Log Message Source Type nu kiest dan ligt de MPE Policy ook vast.
  Log Message Source Name : vul daar de naam van de nieuwe Log Source.
  Brief Description : Vul de gewenste omschrijving in.
  Log Message Processing Mode : Kies de gewenste mode.(MPE Processing en Event Forwarding enabled is het meest gebruikelijk)
  Log Message Processing Engine (MPE) Policy : In het pull down menu kun je kiezen uit <No Policy Assigned> of <Policy horende bij Log Source Type>
  Forward Logs to Logrhythm Logmart : Lijkt mij wel handig om dat te doen dus aanvinken.
- Tab: Additional Settings
  Start collection from the beginning of the file : Het lijkt mij wel handig om dit altijd aan te vinken tenzij het heel duidelijk is dat dat niet nodig is.
  Verder geen aanpassingen nodig.
- Log Source Virtualization
  Geen aanpassingen nodig.
- Tab: flat file settings:
  File Path: vul directory / of file naam in
  Date Parsing Format: Selecteer het juiste tijdformaat (klik op ... voor selectie. Hier kun je ook nieuwe tijdformaten aanmaken). Laat je dit oningevuld dan wordt als logging date de datum van het parsen aan.
  Multiline Log Message Settings: Invullen indien nodig.
  Directory Collection: Is Directory aanvinken en recursion Depth op 0 zetten voor alle zekerheid. Inclusions en Exclusions invullen indien nodig.
  Compression Type: Kies wat van toepassing is. Normaal gesproken is dat none.
- Tab: UDLA Settings
  Dit tabblad is voor het geval er een koppeling wordt gemaakt met een database. Dat is hier niet het geval. Daarom zijn hier geen aanpassingen nodig.
- Tab: Additional info
  Hier kan evt extra informatie vermeld worden.
- Button: Advanced
  Wanneer de Log Source nog niet volledig is aangemaakt dan worden de waarden wel getoond maar kunnen deze niet gewijzigd worden.
  Nuttige instellingen:
  MaxMessageCount: Maximale aantal berichten wat in 1x ingelezen mag worden.
  Ook kunnen start en stop tijd voor logging hier ingesteld worden.

Vervolgens moet je nog de import directory opgeven.

Een Log Source heeft Log Source Type en hierbij hoort 1 MPE policy
- Log Source Type aanmaken als deze niet bestaat.
- Custom Log Source Type koppelen aan een agent.

Log source type : Teramind OCR log flat file
Full Name : Teramind OCR logflat file
Abbreviation : OCR-import
Log Format : Text file (je kunt allerlei varianten kiezen maar wij hebben een text file)

Nieuwe logsource type maken

Main toolbar|Deployment Manager (ctrl y)
Tools|Knowledge|Log Source Type Manager

Je komt nu in het scherm Log Source Type Manager
Klik op + om een nieuw Log Source Type aan te maken.
Vul bij Name de gewenste naam in. Deze wordt ook automatisch ingevuld bij Full Name
Vul bij Abbrevation de gewenste afkorting in.

Vul bij Log Format het gewenste type logging in. In ons geval Text File
Sla het Log Source Type op.

Ga nu naar Deployment Manager|Log Processing Policies.
Klik op + om een nieuwe policy aan te maken.
Je krijgt nu het scherm Log Source Type Selector
Vul onder Text Filter de nieuwe aangemaakte Log Source Type en klik op Apply
Dubbelklik nu op de nieuw aangemaakte Log Source Type.

Je krijgt nu het scherm MPE Policy Editor.
Vul onder Name de naam van de policy in.
Klik op Apply en Ok en het Log Source Type is gekoppeld aan de MPE Policy

Er hoeft hoeft nu geen nieuwe Log Source aangemaakt worden want we kunnen van de bestaande gebruik maken.

We kunnen nu door naar de volgende stap. Log Source koppelen aan een agent.

Deployment Manager| System Monitors

Wij hebben maar 1 System Monitor Agent.
Dubbelklik op de agent.

info over het inlees status van een bestand.
Logrhythm houdt de inleesstatus van een bestand bij in een .pos bestand.
<State drive>\Logrhythm\Logrhythm System Monitor\state\<nummer>\<willekeurige naam zo te zien>.pos
<nummer> = Is de log source id van de Log Source zoals die te vinden is in Deployment Manager|Log Sources
Zo'n bestand bestaat uit 3 regels:

Bestandsnaam waar het naar verwijst
Wijst naar de positie in karakters. Dit is inclusief <returns>
Niet duidelijk

LogRhythm console

Aanmaken van een alarm
Klik op Deployment Manager
kies dan tab AI Engine
in de zoekbalk kun typen welke AI Rule je zoekt zodat je een kleinere lijst krijgt.
Dubbelklik op de gewenste rule.

tabblad ai engine
Wanneer er wijzigingen zijn doorgevoerd dan is het een restart van de ai engine server nodig.
Wanneer je die melding krijgt dan is Restart AI Engine Servers niet meer grijs en kun je ze op deze manier herstarten.
Let op: Als de service herstart is dan wordt Restart AI Engine Servers weer grijs maar de tekst Needed in kolom Restart blijft staan.
Om deze te laten verdwijnen moet je of op F5 drukken of op het refresh symbool (links van personal Dashboard) klikken.

De alarmen van het web console zijn ook te zien in het gewone console.
Tools|monitor|Alarm Viewer

Excessive errors warnings aanpassen
De alarmen staan in deployment manager | tab alarm rules
Als je dubbelklikt op de het desbetreffende alarm dan open het scherm Alarm Rule
Ga naar tab Day and Time Criteria
Klik op add Selecteer Sunday en als tijd 01:00 (1 uur ´s nachts) tot Sunday 11:59 PM
Klik op add en de nieuwe regel is al ingevuld maar dan met maandag. Dot die ook voor de andere dagen.

Deze foutmelding is op zich geen probleem omdat het onderhoud van de db is. Dit gebeurt tussen 12 en 1 ´s nachts. Daarom dit tijdstip uitgesloten van de bewaking

ARM = Alarming and Responsing Manager
Bewaartermijnen aanpassen:

Events
Logrhythm Console|Deployment Manager
Tab Platform Manager| Klik op Global System Settings
Zoek TTL_Event en zet daar de gewenste waarde
Min=1, Max=366, default=90
Klik op Apply en daarna op Ok
Alarms
Alarms live in the events database (dus ze hebben dezelfde TTL als events)
Zie Logrhythm : Architecture(life of a log) Guide 7.3(vanaf minuut 5)

Logrhythm Console | Deployment Manager | Global System Settings |
TTL_Event
TTL_Logmart
Deployment manager|AI engine
LogRhythm terminologie : https://fwknowledge.wordpress.com/2013/07/29/log-rhythm-terminology/

		services	Databases
Event Manager (Max 1 per deployment)	Windows Server system	LogRhythm Alarming and Response Manager (ARM) LogRhythm Job Manager	Event Manager (EMDB) Alarms Events LogMart
Log Manager (LM) (1 of meer per deployment)	Windows Server system	Log Manager (LMDB) Restore Archive (RADB)	Mediator Server (Message Processing Engine (MPE) AI Engine Data Provider)
Advanced Intelligence (AI) Engine	Windows Server system	geen	AI Engine Communication Manager AI Engine Server
System Monitor Agent	Verschillende platformen		System Monitor Service
SQL Trace File Converter (TFC)
Console

Opleiding:


305	LRSA	Logrhythm Security Analyst
306	LRPA	Logrhythm Platform Administrator
320	LRSE	Logrhythm Support Engineer
330	LRDE	Logrhythm Deployment Engineer

Opleiding
Waar vind je gegevens wanneer je bent ingeschreven?
login op LR community
Ga naar LR University
Je komt nu op de home page van Logrhythm University
In de kolom My Learning (2e kolom) zie je opleidingen waarvoor je bent ingeschreven (registered).
Klik op VIEW DETAILS
Je krijgt nu een scherm met meer gegevens en activities. Klik op de dag van de cursus op de desbetreffende ATTEND knop.

Openstaande indexfiles opvragen (command line)
Open een command prompt in C:\Program Files\LogRhythm\Data Indexer\tools
curl localhost:9200/_cat/indices?v|findstr logs-2020|sort

curl localhost:9200/_cluster/health?pretty

Installatie en configuratie System Monitor (client en server)System Monitor installer downloaden
Login op de Logrhythm Community
Klik op Logrhythm Community
Klik op tab Documentation & Downloads
Klik op tab Sysmon
Kies de gewenste versie van Sysmon (in ons geval 7.4.8 zodat hij een gelijk level als onze logrhythm versie)
Klik op Windows system Monitor Agents om de download te starten. Wij zijn geen package manager nodig omdat wij maar op systeem Windows System Monitor Agent gaan plaatsen.
Pak het gedownloade bestand uit.
Start de 64 bit versie (_64).
Als microsoft Visual C++ 2010 redistrutables niet is geinstalleerd krijg je pop up en klik dan op install
Je bent nu bij de install Wizard for Logrhythm System Monitor Service. Klik op Next
Klik op I accept .... van scherm License Agreement en vervolgens op Next>.
Je zit nu in het scherm Destination Folder. Klik op Change als je directory wilt wijzigen. Als de directory correct klik op Next>
Scherm : Ready to Install the Program
Klik op install
Scherm : Installing Logrhythm System Monitor Service. Geeft de status van de installatie weer.
Scherm : Install Wizard Completed.
Laat Launch System Monitor Configuration Manager geselecteerd en klik op finish zodat je ook de configuratie kunt instellen.
Je krijgt nu het scherm System Monitor Configuration Manager.
Data Processor Address: Verander CHANGE_THIS naar het adres van het systeem waar je Data Processor draait.
Laat Port op 443 staan. System Monitor IP Address / Indes
Staat nu op 0. Wijzig deze naar het adres van het systeem waar de system Monitor Agent draait.
Laat Port op 0 staan. Doe je dat niet dan kan dat connectie problemen geven.
Host Entity
Laat deze op 0 zodat je een system assigned id krijgt.
Klik op apply zodat de wijzigingen worden doorgevoerd. Doe je dit niet en klik je alleen op OK dan blijven de wijzigingen wel in het scherm staan maar worden ze niet doorgevoer. Dat kan dus behoorlijk misleidend zijn.
Klik op tab Windows Service.
Zet Startup Type op Automatic. (zodat service automatisch start na een reboot)
Klik op Start om service te starten.
Klik op Apply
Ga nu naar tab Log File
Als het goed is zie je onder andere onderstaande meldingen voorbij komen. ... Sent identification to mediator
... Authenticate - Received header
... ***WARNING*** Acceptance pending message received from Data Processor & Indexer
... Pausing .. seconds before attempting reconnect
Als je deze meldingen inderdaad voorbij ziet komen dan betekent dat de installatie en configuratie aan de client succesvol verlopen. Je kunt nu verder met de server kant.
Mocht je deze meldingen niet zien dan is er waarschijnlijk iets nog niet goed. Check ip adressen en poorten en of de services wel loopt.

Server:
Open de client console
Ga na: Deployment Manager|System monitors
Bij New System Monitor Agents (bovenste blok) zie je nu de net geinstalleerde systeem met system monitor en deze heeft de status pending
Vink de regel aan en klik vervolgens met de rechtermuis op de aangevinkte regel
Klik op : Actions | Accept
Je krijgt nu het menu : Accept System Monitor Agent(s)
C:\Users\Albert Pruntel\Documents\LR_Deployment_2\System_monitor_accept_system_monitor_agent.PNG
Alternatieve tekst

In principe staan de gegevens al goed
Het geactiveerde systeem gaat nu naar het 2e blok.
Ga naar : Deployment Manager|Log Sources
Je ziet nu dat er een zestal logsources zijn bijgekomen.
Helaas staat er niet de logsource bij die wij willen gebruiken dus daar moeten we wat aan doen.

Toevoegen van een bestaande logsource.
Ga naar : Deployment Manager | System Monitor
Vink de gewenste Hostname of SystemMonitorName aan en klik vervolgens met de rechtermuis op de regel.
Klik op properties. Je krijgt nu het scherm System Monitor Agent Properties.
Ga naar het blok : Log Message Sources collected by this Agent.
Klik met rechtermuis op een lege blok in het blok.
Klik op : New
Je komt nu in het scherm Log Message Source Properties

Selecteer het gewenste Log Message Source Type (Bijvoorbeeld System: MS Windows Event Logging XML - Security )
Je komt in het scherm Log Source Type:
Type bij Text Filter : security en vervolgens op apply.
Klik nu op het door ons gezochte Log Source Type.
We kunnen eventueel de : Log Message Source Name aanpassen.
We passen verder niks aan omdat dit voor ons voldoende is.
Klik op apply en vervolgens op OK.

AI Engine
Deployment Manager|AI Engine
Hier kun je alarmen laten afgaan op basis van indexed logging. (kan ook bij Alarm rules alleen zijn de mogelijkheden uitgebreider de AI Engine)
Een nieuwe AI Engine Rule aanmaken
Klik op de + in het groen (of <CTRL>n)
Je krijgt nu het openingsscherm van het scherm AI Engine Rule Wizard. Je ziet onderin de onderstaande 5 tabs. Je kunt op een volgende tab klikken of op next (dan doorloop je de tabs in volgorde)

Tab : Rule Blocks
- Log
  Data source: Dit kan of Data Processor Logs (verwerkte/indexed logging) of Advanced Intelligence Engine Events (Events die door de AI Engine zijn gegenereerd)
  Hierbij heb je de volgende tabs. Je kunt een bepaalde tab aanklikken of middels Next de tabs in volgorde doorlopen.
  - Primary Criteria
    Met de plus in de groene cirkel kun je nieuwe velden toevoegen waar je op wilt filteren.
    Je krijgt dan het scherm Log Message Filter.
    Nieuw fields toevoegen aan conditie:
    Bij Add New Field Filter kun je veld kiezen war je op wilt filteren. Als je dan vervolgens op Edit Values krijg je het scherm Field Filter Values.
    Filter mode : Hier kun je aangeven hoe je wilt filteren.
    - = (Filter In (Is)
    - <> (Filter Out (Is Not))
    Door Filter in Null Values? wel of niet aan te vinken kun je aangeven of null values / lege waardes wel of niet wilt meenemen.
    Met Add Item kun je dan specifieke waarden selecteren. Door nog een keer op Add Item te klikken kun je extra waardes toevoegen. Klik op OK om de waardes te accepteren en terug te komen in het scherm Log Message Filter
    Wil je nog extra velden toevoegen dan kun je de stappen van het kopje Nieuw fields toevoegen aan conditie: herhalen.
  - Include Filters
    Wil een regel worden meegenomen in het rule blok dan moet hij aan alle primary criteria voldoen en minstens 1 include filter!
    Volgorde van evalueren : <Day and Time Criteria><Log Source Criteria><Primary Criteria> <Include Filters><Exclude Filters>
  - Exclude Filters
    Wordt voldaan een exlude filter dan wordt de log noet meegenomen in dit rule block.
    Volgorde van evalueren : <Day and Time Criteria><Log Source Criteria><Primary Criteria> <Include Filters><Exclude Filters>
  - Day and Time Criteria
    Geeft aan binnen welke dag en tijd een log moet voorkomen om te worden meegenomen in het dit rule block.
    Geef je hier niks aan dan wordt alles meegenomen Week loop van zondag t/m zaterdag.
  - Log Source Criteria
    Meestal is het verstandig om zo specifiek met de log sources te zijn dus kies voor de 3e optie : Include the Selected Log Sources en klik op Add.
    Je krijg nu het scherm Log Source Criteria Add. Vul Log Source Name de naam in van de gewenste Log Source of klik op Search en zoek dan in de lijst de gewenste Log Source en klik op OK
  - Group By
    Groepeer op de aangevinkte velden indien deze velden identieke waarden hebben
  - AIE Summary Fields
    Deze velden worden ook weergegeven in een Alarm Notification summary.
  - Information
    Een korte beschrijving van wat dit rule doet
- Treshold
  Het treshold rule block heeft 1 extra tab t.o.v. het log Rule block Type. Namelijk de tab Tresholds.
  - Tresholds.
    Behalve Log Count zijn het verder volgens mij allemaal velden die die in de logregel kunnen staan en waarvan de waarde groter moet zijn dan de treshold die je opgeeft.
    Nog wel checken of deze stelling klopt of dat het gevraagde veld gedurende de Time Limit worden opgeteld en dan boven de treshold uitkomt.
- Unique Values
  Het Unique Value rule block heeft 1 extra tab t.o.v. het log Rule block Type. Namelijk de tab Unique Value. Met dit Rule block kun ervoor dat alleen de hoeveelheid unieke waarde van een veld worden geteld. (Is dus heel handig met de Barbie rule. Alleen een alarm genereren wanneer 10 verschillende (unieke) werknemers een klant checken.)
  - Unique Values
    Je kunt hier aangeven van welk veld je hoeveel unieke waardes (occurences) wilt hebben binnen een bepaalde tijd voordat je een alarm laat afgaan.
- Behavioral
  Nog verder uitzoeken
Tab : Settings
- Blok : New Event Settings
  Common Event Name: Ik vind het handigst om deze niet in te vullen maar Sync with rule name aan te vinken. Event krijg dan de naam van AI Engine Rule Name bij tab Information
  Classification : Vul de gewenste classificatie in
  Risk Rating : Selecteer in het pull down menu de gewesnte classificatie.
  Event Suppression : Wanneer een event wordt gegenereerd hoelang moet er gewacht worden voordat een volgend event/alarm wordt gegenereerd.
  AIE Event Forwarding : Vink deze als het doorgezet moet worden naar de Platform. Checken of dan ook de eis geldt dat het berekende risico groter moet zijn dan GBRP
- Blok : New Alarm Settings
  Alarm on event occurence : Aanvinken als er een alarm gegenereerd moet worden. Dat is bij ons meestal wel het geval.
  Automatically drill down and cache results : Deze aanvinken als er een alarm is meestal ook handig zodat data bij in het alarm komt.
- Block : Rule Settings
  False Positive Probability (FPP) : Heeft ook invloed op de berekening van GBRP. Hoe lager de FPP hoe hoger de GBRP.
  Expiration date : Normaal gesproken is er geen expiration dus No expiration moet dan geselecteerd zijn.
  Rule Set : Geen idee waar dat invloed op heeft en standaard kun je alleen de default kiezen.
  Runtime Priority : Deze is wel handig. Deze waarde wordt gebruikt als systeem in de problemen komt met cpu / geheugen. De rules met de minste prioriteit worden dan als eerste gestopt.
  Dat betekent dus wel dat de statistieken van de regels worden weggegooid. Je krijgt daardoor dus wel een data gat omdat niet alles meer wordt meegenomen.
Tab : Notify
Hiermee kun je dus mensen of groepen berichten. Hier maken we nog geen gebruik en moet dus nog verder worden uitgezocht.
Tab : Actions
Hiermee kunnen automatisch acties worden opgestart. Hier maken we nog geen gebruik van en moet dus nog verder worden uitgezocht.
Tab : Information
AI Engine Rule Name : De naam de AIE rule. Deze kan dus ook gebruikt worden om automatisch de naam van het event genereren. Zie tab settings : New Event setting.
Rule Group : Hiermee kunnen rules gegroepeerd worden. Nog niet mee gewerkt dus nog niet duidelijk hoe het precies werkt.
Brief Description : Korte omschrijving van de rule.
Additionele Details : En wat je verder nog allemaal kwijt wil over deze rule.

LET OP: Als je bij een AIE rule tijdsperiode verkort waarbinnen aan een voorwaarde moet worden voldaan (bij gecombineerde rule blocks) dan wordt bij Event Suppression (in tabblad Settings) Suppression Multiple aangepast zodanig dat de Suppression Period gelijk blijft aan de originele waarde. Dat is meestal niet de bedoeling dus dan moet deze dus worden aangepast.

Stappen voor Menzis

Aanmaken van eventuele extra events indien dat nodig is. (Zie ......)
Aanmaken van log source type (Zie .......)
Aanmaken van MPE policy (Zie .......)
Maken van rule / logische expressies en deze koppelen aan het Log Source Type (Zie .......)
Maak een nieuwe directory aan waar de import files komen te staan
Een nieuwe flat file logsource maken (Zie .......)
- Wordt datum goed ingelezen.
  Maak een testbestand met een testregel met een datum die minimaal 1 dag oud is en maximaal 7 dagen
  Lees dit bestand in.
  Ga naar : Deployment Manager | Log Sources.
  Check in de kolom Last Log Messages wat de ingelezen datum wordt.
  Krijg je de datum te zien die het testbestand staat. Gefeliciteerd de datum wordt met succes ingelezen. Nee, je krijgt de datum en tijd van nu. Helaas, de datum/tijd parsing is niet goed gegaan. Je moet verder testen. Je moet het datum formaat van de log source aanpassen (tabblad : Flat File Settings). Zorg ervoor dat nieuwe test datum na de getoonde waarde ligt om er zeker van te zijn dat hij jouw nieuwe datum neemt en niet de oude waarde blijft tonen. Er komt geen nieuwe waarde. <F5> om het scherm verversen.
- Testen van de regels Natuurlijk heb je de regels al getest bij het ontwikkelen. Maar nu nog een laatste definitieve test. Start een tail een op.
  - Een snelle tail (via Deployment Manager | Log Sources en selecteer de te testen log source en rechtsklik met muis | actions | Tails Log Source(s)).
    Log messages mogen niet ouder zijn dan 5 minuten anders worden niet in deze tail getoond.
  - Via tail in de menu balk.
    Als je hier een tail van maakt dan je aangeven hoeveel terug in de tijd hij moet laten zien. Dit geeft je dus iets meer speling.
  Maak een testbestand die de verschillende mogelijke situaties test en laat deze inlezen.
  Controleer of het inlezen de gewenste resultaten laat zien.
Nieuwe AIE alarmeringen maken. (Zie ........)

AIE Rules Simplified : https://www.youtube.com/watch?v=AfepT-7eYjY
AIE Rules Simplified (part 3) : https://www.youtube.com/watch?v=0DzQu8jWpxQ

Rapporten
Creating a Custom Report Template : https://www.youtube.com/watch?v=vzAfnUQUiC0
How to run a Logrhythm report : https://www.youtube.com/watch?v=RpCNbsTahjA
Bridge the information gap with flexible reporting : https://logrhythm.com/use-cases/flexible-reporting/
Report Center : https://docs.logrhythm.com/docs/enterprise/client-console-analyst-guide/report-center

Common event manager
Deployment Manager | Tools | Common Event Manager
. Je zit nu in het scherm Common Event Manager
Opzoeken event :
het gemakkelijkst is type (deel van) naam in TextFilter vak en klik op apply. Dan verschijnt in Common Event vak die aan het zoek filter voldoen.

Nieuw event aanmaken : Klik in Common event manager scherm op : File | New