Configurazione del Log Writer

La cartella dei file di configurazione si trova nella cartella di installazione del Log Writer. Nella cartella è presente un file di configurazione delle fonti dei dati disponibili come esempio. A seconda delle esigenze è possibile personalizzarli.

Per impostazione predefinita, il file di configurazione si trova nel seguente percorso:

C:\Program Files\Sophos\Reporting Interface\SophosLogWriterConfig.xml.

Per consultare un elenco delle fonti dei dati per il Log Writer, andare alla sezione Fonti dei dati di Log Writer.

Per apportare modifiche al file di configurazione del Log Writer:

1. Modificare l'elemento <connectionString> delle impostazioni di connessione che stabilisce in che modo il Log Writer si collega al database di Enterprise Console:

   Nel file di configurazione predefinito, l'elemento <connectionString> include commenti (racchiuso fra le tag "<!--" e "-->"). Se questo elemento include commenti o non è presente nel file di configurazione, il servizio cercherà di trovare le impostazioni adeguate sottoponendo a scansione il registro, alla ricerca della stringa di connessione del servizio di gestione di SEC. Se però il Log Writer è installato in un computer diverso da quello in cui si trova il servizio di gestione, sarà invece necessario indicare una stringa di connessione.

   Per installazioni ordinarie, è necessario modificare solo il nome del server del database e l'istanza. Se l'impostazione del database non è standard, sarà possibile trovare le istruzioni necessarie su come modificare i parametri di connessione nel sito web di Microsoft, alla seguente pagina: http://msdn.microsoft.com/it-it/library/system.data.sqlclient.sqlconnection.connectionstring.aspx

   • Se l'elemento <connectionString> è presente, ma riporta una stringa di connessione errata o vuota (quale DataSource=""), il servizio non riuscirà a cercare e rilevare valori di registro.
   • Se è stata specificata la connessione al database, l'elemento <noOfDays> deve essere definito, indicando dopo quanti giorni rimuovere i dati dalla cronologia.
   • L'elemento <commandTimeout> indica quanto deve attendere il server SQL prima di considerare scaduta l'esecuzione di un comando. Si tratta di un'impostazione opzionale, che se non specificata porterà il server ad attendere a tempo indeterminato.

   <?xml version="1.0" encoding="utf-8" ?>
     <SophosDatafeed xmlns=
     "http://www.sophos.com/msys/LogWriterConfig.xsd">
      <connection>
          <connectionString>
                Integrated Security = SSPI;
                Persist Security Info = False;
                Initial Catalog = Sophos[SECVersion];
                Data Source = [SERVER]\[INSTANCE]
          </connectionString>
        <commandTimeout>[TIMEOUT IN SECONDS]</commandTimeout>
      </connection>
     <noOfDays>[AGE OF HISTORICAL DATA]</noOfDays>

2. Definire feed dati personalizzati per poter estrarre informazioni dal database. È consigliabile aggiungere un feed alla volta; in questo modo la risoluzione di eventuali problemi avverrà in modo più rapido e il database non sarà sottoposto a carico eccessivo. La definizione del feed dei dati è la seguente:
   • Ogni feed dati deve specificare un solo <tick> e l'elemento <logFile>. Indicano la frequenza con cui verificare il database alla ricerca di dati nuovi e del percorso in cui salvarli.
   • L'elemento <applyLogFormat> prende in considerazione i valori true o false e specifica se aggiungere un prefisso a ogni riga, indicante data e ora in cui la riga è stata trascritta nel file di log. Ciò può essere utili se viene utilizzato un tool prodotto da terzi, quale Splunk, che rileva automaticamente la prima data presente in ogni riga del file di log. Se questo elemento non viene impostato, la data non verrà inclusa come prefisso nel file di log.
   • L'elemento <fileSize> limita le dimensioni del file di log corrente. L'elemento <noOfBackupFiles> imposta il numero di backup dei file di log creati prima che i file meno recenti vengano cancellati.

     Esempio: Se l'elemento <fileSize> è stato impostato sul valore di 500 KB e l'elemento <noOfBackupFiles> su 2, la prima volta che il file di log raggiunge i 500 KB viene rinominato con l'aggiunta del suffisso ".1” e viene creato un nuovo file di log che non include tale suffisso, al fine di acquisire nuovi log. Quando il nuovo file di log raggiunge, a sua volta, le dimensioni di 500KB, il file a cui era stato aggiunto il suffisso ".1" viene rinominato col suffisso ".2", mentre quello che ha raggiunto i 500KB riceve il suffisso ".1". Viene creato un nuovo file di log senza suffissi per accogliere i log nuovi. La prossima volta che si verificherà la medesima situazione, il file avente il suffisso ".2" verrà cancellato, mentre quello col suffisso ".1" verrà rinominato e includerà il suffisso ".2".

   • Tutti i feed dati contengono uno o più elementi <call> identificati in modo distintivo dall'attributo callID. Il Log Writer registra la data e l'ora di tutte le chiamate fatte nel file "[CallID].last". Il callID deve essere unico.

   <datafeeds>
    <datafeed>
     <tick>[POLL TIME IN SECONDS]</tick>
      <applyLogFormat>true</applyLogFormat>
       <logFile>
         <noOfBackupFiles>[NUMBER OF BACKUP FILES]</noOfBackupFiles>
         <fileSize>[MAX FILE SIZE KB/MB/GB]</fileSize>
         <outputLocataion>[LOG FILE LOCATION]</outputLocation>
         <outputFilename>[LOG FILE NAME]</outputFilename>
       </logFile>
                 
       <call  callID = "[UNIQUE CALL NAME]">
         <dataSource>[DATA SOURCE TO USE]</dataSource>
         <dataConfigurationLocation>[CALL DATA CONFIGFILE LOCATION]</dataConfigurationLocation>
         <dataConfigurationFile>[CALL DATA CONFIG FILENAME]</dataConfigurationFile>
       </call>
         ...
    </datafeed>
    ...
    </datafeeds>
   </SophosDatafeed>

3. Se si desidera modificare le fonti dei dati, è possibile apportare tali modifiche all'elemento <call>. Indica la fonte da cui estrarre i dati e la associa a un file di formattazione dei dati in cui vengono determinate le colonne dei dati disponibili da salvare. Il file di formattazione dei dati può essere organizzato come elenco ordinato di campi specifici, come mostrato qui di seguito:
   • L'attributo field name può utilizzare qualsiasi tipo di nome.
   • L'attributo link deve utilizzare un campo di Reporting Interface valido per la fonte dati a cui si riferisce.
   • Per l'attributo enabled, il valore 0 indica che i dati non verranno estratti, mentre 1 indica che verranno estratti.

   <?xml version="1.0" encoding="utf-8" ?>
    <LogFile>
     <Events>
      <field name="[FIELDNAME]" link="[FIELDNAME]" enabled="1" />
       ...
     </Events>
    </LogFile>

4. Avviare il servizio Sophos Reporting Log Writer.
   • Tutte le modifiche apportate alla configurazione richiedono di riavviare il servizio Log Writer.
   • Prima di riavviare il servizio Log Writer per rendere effettiva una nuova configurazione, si consiglia di bloccare il Sophos Management Service mentre il Log Writer crea nuovi feed dati e scarica quelli già presenti dal database.