Mengelola parser bawaan dan kustom
Dokumen ini menjelaskan cara menggunakan fitur pengelolaan parser untuk membuat parser kustom atau memilih untuk ikut serta atau tidak dalam update parser bawaan yang dimulai oleh Chronicle.
Chronicle merilis update ke parser bawaan dengan ritme rilis reguler. Update ini akan diterapkan ke parser Anda dalam 15 hari sejak tanggal rilis. Fitur pengelolaan parser memungkinkan Anda memeriksa dan menguji update selama periode 15 hari. Anda dapat melihat daftar perubahan sebelumnya pada parser bawaan dan juga melihat perubahan mendatang dalam ritme rilis. Kemudian, Anda dapat memilih untuk menerima atau tidak menerima update tersebut. Jika tidak ada tindakan yang dilakukan, pembaruan akan diterapkan ke parser Anda setelah 15 hari.
Chronicle juga memberi Anda fleksibilitas dalam membuat parser kustom untuk jenis log yang tidak memiliki parser bawaan. Anda dapat membuat parser yang benar-benar baru langsung dari log mentah atau menggunakan parser yang ada sebagai dasar untuk parser kustom baru. Anda dapat memperluas petunjuk pemetaan dengan membuat ekstensi parser untuk parser bawaan atau kustom.
Berbagai jenis parser adalah sebagai berikut:
| Jenis parser | Deskripsi |
|---|---|
| Telah di-build | Parser yang dibuat oleh Chronicle dan berisi petunjuk pemetaan data bawaan untuk mengubah data log asli ke kolom UDM. |
| Bawaan diperluas | Parser bawaan yang dibuat oleh pelanggan dengan petunjuk pemetaan tambahan untuk mengekstrak data tambahan dari log mentah asli dan memasukkannya ke dalam data UDM. |
| Khusus | Parser yang dibuat oleh pelanggan dengan petunjuk pemetaan data kustom untuk mengubah data log asli ke kolom UDM. |
| Kustom diperluas | Parser kustom yang dibuat oleh pelanggan dengan petunjuk pemetaan tambahan menggunakan ekstensi parser untuk mengekstrak data tambahan dari log mentah asli dan memasukkannya ke dalam data UDM. |
Sebelum memulai
Dokumen berikut menjelaskan konsep prasyarat yang penting untuk mengelola update parser:
Membuat parser kustom berdasarkan petunjuk pemetaan
Anda dapat membuat parser kustom dengan menulis kode yang mengonversi log mentah asli ke data UDM. Untuk struktur parser, lihat Ringkasan penguraian log dan Referensi sintaksis parser untuk mengetahui informasi tentang sintaksis. Saat membuat parser, pastikan petunjuk pemetaan data mengisi kolom UDM yang penting sebanyak mungkin.
Pada menu navigasi, pilih Settings > SIEM Settings.
Klik Create Parser.
Pilih sumber log yang sesuai dari daftar Log Source.
Pilih Start with Raw Logs Only untuk membuat parser baru sesuai dengan kebutuhan Anda.
Klik Create.
Ketik kode di Terminal Kode Parser. Untuk mengetahui informasi selengkapnya, lihat Membuat petunjuk pemetaan cuplikan kode.
Opsional: Klik untuk mengedit atau menyalin log mentah yang sudah ada.
Opsional: Klik untuk memuat log mentah terbaru.
Klik Preview untuk melihat output UDM. Pesan error akan ditampilkan jika kode salah.
Dalam pratinjau, Anda dapat menggunakan plugin filter statedump untuk memvalidasi status internal parser. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi data menggunakan plugin statedump.
Klik Validasi untuk memvalidasi parser kustom.
Proses validasi mungkin memerlukan waktu beberapa menit, jadi sebaiknya Anda melihat pratinjau parser kustom terlebih dahulu, membuat perubahan jika diperlukan, lalu memvalidasi Parser kustom.
Klik Submit.
Parser dipilih untuk normalisasi setelah 20 menit.
Membuat parser kustom dari parser yang ada
Anda dapat menggunakan parser yang ada sebagai template untuk membuat parser baru. Anda dapat membuat parser kustom hanya dengan menggunakan pendekatan kode. Untuk membuat parser kustom dari parser yang ada, ikuti langkah-langkah berikut:
Dari menu aplikasi , pilih Settings > Parsers.
Klik Create Parser.
Pilih sumber log yang sesuai dari daftar Log Source.
Pilih Start with an Existing Prebuilt Parser untuk menggunakan parser yang ada sebagai dasar untuk membuat parser kustom baru.
Klik Create.
Edit kode di Terminal Kode Parser. Untuk mengetahui informasi selengkapnya, lihat Membuat petunjuk pemetaan cuplikan kode.
Opsional: Klik untuk mengedit log mentah.
Opsional: Klik untuk memuat ulang log mentah.
Saat menambahkan kode untuk membuat parser, klik Preview untuk melihat output UDM. Pesan error akan ditampilkan jika kode salah.
Dalam pratinjau, Anda dapat menggunakan plugin filter statedump untuk memvalidasi status internal parser. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi data menggunakan plugin statedump.
Klik Validasi untuk memvalidasi parser kustom.
Proses validasi mungkin memerlukan waktu beberapa menit, jadi sebaiknya Anda melihat pratinjau parser kustom terlebih dahulu, membuat perubahan jika diperlukan, lalu memvalidasi parser kustom.
Klik Submit.
Parser dipilih untuk normalisasi setelah 20 menit.
Mengelola update parser bawaan
Saat Chronicle merilis update ke parser, update akan berada dalam status tertunda selama 15 hari. Untuk ikut serta atau tidak dalam update parser, periksa perbedaan antara versi parser sebelumnya dan yang lebih baru dengan melakukan hal berikut:
Login ke instance Chronicle.
Dari menu aplikasi , pilih Settings > Parsers.
Klik Filter.
Pilih Prebuilt, Active, dan Prebuilt Extended dari daftar.
Parser bawaan yang aktif akan ditampilkan. Parser bawaan adalah parser default yang dirilis oleh Chronicle. Jika kolom Update berisi Pending sebagai status, ini menunjukkan bahwa parser memiliki update yang dapat Anda periksa.
Klik Menu, lalu pilih Lihat update tertunda dari daftar.
Halaman Bandingkan parsers akan muncul. Di sini, Anda dapat melihat hal berikut:
Perbedaan kode antara versi parser saat ini dan yang akan datang
Log perubahan di tab Change logs
Peristiwa UDM yang dihasilkan untuk log mentah yang diambil sampelnya
Anda dapat memilih untuk menerima pembaruan lebih awal, menunggu hingga diterapkan otomatis dalam 15 hari, atau memilih tidak ikut.
Memilih lebih awal untuk update parser
Fitur pengelolaan parser memungkinkan Anda memilih untuk menerima update parser lebih awal dan mengujinya. Anda dapat ikut serta lebih awal untuk update parser hanya jika menggunakan parser bawaan. Setelah mengaktifkan lebih awal, Anda dapat mengembalikan parser ke versi sebelumnya dalam 15 hari sejak rilis update. Untuk memilih ikut serta lebih awal untuk update, ikuti langkah-langkah berikut:
Di halaman Compare parsers, klik Make parser update active.
Dialog Confirm parser update akan muncul.
Klik Confirm.
Parser dipilih untuk normalisasi setelah 20 menit.
Memilih tidak ikut serta dalam pembaruan parser
Untuk memilih tidak menerima update parser saat ini dan mendatang, buat parser kustom. Anda dapat menggunakan parser versi saat ini atau yang telah diperbarui sebagai parser kustom. Semua update mendatang pada parser kustom akan terlihat oleh Anda, tetapi tidak akan diterapkan kecuali jika Anda mengaktifkannya. Untuk memilih tidak mengikuti update saat ini atau mendatang, ikuti langkah-langkah berikut:
Di halaman Compare parsers, klik Skip update.
Jendela Skip update and create custom parser akan muncul.
Klik Create custom parser.
Untuk menetapkan versi parser default sebagai parser kustom, pilih parser bawaan. Untuk menetapkan versi yang diperbarui sebagai parser kustom, pilih Pending Parser Update.
Klik Create.
Versi yang dipilih dipilih untuk normalisasi setelah 20 menit. Parser akan muncul sebagai Custom dan Active dalam daftar parser di halaman Parsers. Versi bawaan sebelumnya muncul sebagai Bawaan dan Tidak aktif.
Mengelola update parser kustom
Jika Anda memilih untuk tidak menerima update parser bawaan, parser kustom akan dibuat. Parser kustom terlihat dalam daftar parser sebagai entri baru.
Menonaktifkan parser kustom
Dari menu aplikasi , pilih Settings > Parsers.
Klik Menu pada parser yang ingin Anda nonaktifkan, lalu pilih Make inactive dari daftar.
Dialog Make parser disabled akan muncul.
Klik Nonaktifkan.
Parser kustom dinonaktifkan dan versi parser default diaktifkan setelah 20 menit. Artinya, parser kustom menjadi parser bawaan. Jika Anda telah membuat parser kustom dari parser bawaan dengan update, update akan hilang saat Anda mengembalikan Parser kustom ke parser bawaan. Anda harus kembali memilih untuk menerima update parser.
Menghapus parser kustom
Dari menu aplikasi , pilih Settings > Parsers.
Klik Menu pada parser yang ingin Anda hapus, lalu pilih Delete dari daftar.
Dialog Delete custom parser akan muncul.
Klik Delete.
Parser kustom akan dihapus dan versi parser default diaktifkan setelah 20 menit. Artinya, parser kustom menjadi parser bawaan. Jika Anda telah membuat parser kustom dari parser bawaan dengan update, update akan hilang saat Anda mengembalikan Parser kustom ke parser bawaan. Anda harus kembali memilih untuk menerima update parser.
Membuat ekstensi
Anda dapat memperluas parser kustom atau bawaan dengan menentukan petunjuk pemetaan kustom untuk mengekstrak data tambahan dari log mentah asli. Anda dapat memasukkan data ke data UDM yang dihasilkan oleh parser kustom. Anda tidak dapat membuat parser baru menggunakan ekstensi parser.
Untuk informasi tentang cara membuat ekstensi parser, lihat Menggunakan ekstensi parser.
Mengembalikan update awal parser bawaan
Jika telah memilih ikut serta lebih awal untuk update parser, Anda dapat kembali ke versi sebelumnya dalam periode 15 hari. Untuk beralih kembali ke versi parser sebelumnya, ikuti langkah-langkah berikut:
Dari menu aplikasi , pilih Settings > Parsers.
Klik Menu terhadap parser yang ingin Anda kembalikan.
Klik View.
Halaman View prebuilt parser akan muncul.
Klik Kembalikan ke versi sebelumnya.
Dialog Revert to previous akan muncul. Anda dapat mengklik Compare Parsers pada dialog untuk melihat perbedaan antara versi saat ini dan sebelumnya.
Klik Confirm untuk mengembalikan parser ke versi sebelumnya.
Parser akan dikembalikan ke versi sebelumnya setelah 20 menit.
Mengontrol akses ke pengelolaan parser
Secara default, pembaruan parser dapat dikelola oleh pengguna dengan peran Administrator dan Editor. Izin baru dapat diberikan untuk mengontrol siapa yang dapat melihat dan mengelola update parser. Untuk mengetahui informasi selengkapnya tentang cara mengelola pengguna dan grup, atau menetapkan peran, lihat panduan pengguna kontrol akses berbasis peran.