Configuration du Log Writer

Le dossier des fichiers de configuration est placé dans le dossier d’installation du Log Writer. Le dossier contient un exemple de fichier de configuration pour chacune des sources de données disponibles. Vous pouvez les personnaliser en fonction de votre configuration requise.

Le fichier de configuration est disponible à l’emplacement suivant par défaut :

C:\Program Files\Sophos\Reporting Interface\SophosLogWriterConfig.xml.

Pour une liste des sources de données disponibles pour le Log Writer, reportez-vous à la section Sources de données Log Writer.

Pour modifier le fichier de configuration du Log Writer :

1. Modifiez l’élément <connectionString> des paramètres de connexion qui détermine comment le Log Writer contacte la base de données Enterprise Console :

   Dans le fichier de configuration par défaut, l’élément <connectionString> est placé en commentaire (entouré des balises "<!--" et "-->"). Si cet élément est placé en commentaire ou n’est pas présent dans le fichier de configuration, le service tentera de trouver les paramètres appropriés en recherchant dans le registre une chaîne de connexion du service d’administration SEC. Cependant, si le Log Writer est installé sur une machine différente du service d’administration, une chaîne de connexion doit être spécifiée.

   Pour les installations standard, seuls le nom et l’instance de la base de données doivent être modifiées. Si vous avez une configuration de base de données non standard, une description de la façon dont il faut modifier les paramètres de connexion est disponible sur le site Web de Microsoft : http://msdn.microsoft.com/fr-fr/library/system.data.sqlclient.sqlconnection.connectionstring.aspx

   • Si l’élément <connectionString> est présent mais spécifie une chaîne de connexion incorrecte ou vide (comme DataSource=""), le service ne démarrera pas et ne cherchera pas la valeur de registre.
   • Si une connexion à la base de données a été spécifiée, un élément <noOfDays> doit être défini qui détermine le nombre de jours de données d’historiques à récupérer.
   • L’élément <commandTimeout> spécifie le temps que le serveur SQL doit attendre avant qu’une exécution de commande expire. Cet élément est facultatif et le serveur attendra indéfiniment s’il n’est pas spécifié.

   <?xml version="1.0" encoding="utf-8" ?>
     <SophosDatafeed xmlns=
     "http://www.sophos.com/msys/LogWriterConfig.xsd">
      <connection>
          <connectionString>
                Integrated Security = SSPI;
                Persist Security Info = False;
                Initial Catalog = Sophos[SECVersion];
                Data Source = [SERVER]\[INSTANCE]
          </connectionString>
        <commandTimeout>[TIMEOUT IN SECONDS]</commandTimeout>
      </connection>
     <noOfDays>[AGE OF HISTORICAL DATA]</noOfDays>

2. Définissez des sources de données personnalisées pour extraire les informations de la base de données. Nous vous conseillons d’ajouter seulement une source à la fois car cela aide à résoudre les problèmes et réduit la charge sur la base de données. La définition de la source de données est la suivante :
   • Chaque source de données doit spécifier un <tick> unique et l’élément <logFile>. Ils indiquent la fréquence à laquelle il convient de vérifier les nouvelles données dans la base de données et l’emplacement pour enregistrer les données.
   • L’élément <applyLogFormat> prend une valeur de vrai ou de faux et spécifie s’il convient de préfixer chaque ligne par la date et l’heure à laquelle la ligne a été écrite dans le fichier journal. Cela peut être utile si on utilise un outil tiers comme Splunk qui recueille automatiquement la première date de chaque ligne du fichier journal. Si elle n’est pas définie, la date du fichier journal n’est pas préfixée.
   • L’élément <fileSize> limite la taille du fichier journal courant. L’élément <noOfBackupFiles> définit le nombre de fichiers journaux de sauvegarde pouvant être créés avant que d’anciens fichiers ne soient supprimés.

     Exemple : Exemple : si vous avez défini l’élément <fileSize> sur 500 Ko et l’élément <noOfBackupFiles> sur 2, la première fois que le fichier journal atteint 500 Ko, il est renommé et le suffixe ".1" est ajouté. Un nouveau fichier journal est créé sans suffixe pour capturer les nouveaux journaux. Une fois que le nouveau fichier journal atteint 500 Ko, le fichier précédemment suffixé ".1" est renommé sur ".2" et le fichier qui a maintenant atteint 500 Ko est suffixé avec ".1". Un nouveau fichier journal est créé sans suffixe pour capturer les nouveaux journaux. La fois suivante, le fichier suffixé avec ".2" est supprimé et le fichier suffixé avec ".1" est renommé afin qu’il ait un suffixe ".2".

   • Chaque source de données contient un ou plusieurs éléments <call> qui sont identifiés par un attribut callID unique. Log Writer conserve la trace de chaque appel effectué en stockant une balise temporelle pour chaque appel dans un fichier "[CallID].last". Le callID doit être unique.

   <datafeeds>
    <datafeed>
     <tick>[POLL TIME IN SECONDS]</tick>
      <applyLogFormat>true</applyLogFormat>
       <logFile>
         <noOfBackupFiles>[NUMBER OF BACKUP FILES]</noOfBackupFiles>
         <fileSize>[MAX FILE SIZE KB/MB/GB]</fileSize>
         <outputLocataion>[LOG FILE LOCATION]</outputLocation>
         <outputFilename>[LOG FILE NAME]</outputFilename>
       </logFile>
                 
       <call  callID = "[UNIQUE CALL NAME]">
         <dataSource>[DATA SOURCE TO USE]</dataSource>
         <dataConfigurationLocation>[CALL DATA CONFIGFILE LOCATION]</dataConfigurationLocation>
         <dataConfigurationFile>[CALL DATA CONFIG FILENAME]</dataConfigurationFile>
       </call>
         ...
    </datafeed>
    ...
    </datafeeds>
   </SophosDatafeed>

3. Si vous voulez modifier les sources de données, vous pouvez modifier l’élément <call>. Il spécifie la source de données pour extraire les données et l’associe à un fichier de formatage des données qui détermine les colonnes des données disponibles qui devraient être enregistrées. Le fichier de formatage des données peut être créé sous la forme d’une liste dans l’ordre de champs requis comme suit :
   • L’attribut field name peut utiliser n’importe quel nom.
   • L’attribut link doit utiliser un champ Reporting Interface valide pour la source de données.
   • Pour l’attribut enabled, 0 indique que les données ne seront pas extraites et 1 indique que les données seront extraites.

   <?xml version="1.0" encoding="utf-8" ?>
    <LogFile>
     <Events>
      <field name="[FIELDNAME]" link="[FIELDNAME]" enabled="1" />
       ...
     </Events>
    </LogFile>

4. Démarrez le service Sophos Reporting Log Writer.
   • Vous devez redémarrer le service Log Writer pour tout changement de configuration.
   • Avant de démarrer le service Log Writer avec un nouvelle configuration, nous vous conseillons d’arrêter le Sophos Management Service pendant que le Log Writer initialise les nouvelles sources de données et télécharge les données d’historiques de la base de données.