Decoder : Activer et désactiver les analyseurs et les analyseurs de logs

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • Comment0
  • View in full screen mode
 

Les administrateurs peuvent voir les analyseurs qui ont été téléchargés à partir de Live et déployés sur un Decoder ou Log Decoder, voir parmi ces analyseurs ceux qui ont été activés, et activer ou désactiver des analyseurs et analyseurs de logs.

La figure suivante illustre les paramètres les plus utilisés sur un Decoder. Pour une configuration de base rapide avec uniquement les étapes à suivre, reportez-vous à la section Configuration rapide de Decoder et de Log Decoder.

Decoder configuration workflow, with Enable and Disable Parsers higlighted

Vous devez télécharger et déployer uniquement les analyseurs dont vous avez besoin pour les raisons suivantes :

  • Il y a un impact sur les performances car vous augmentez le nombre d'analyseurs déployés.
  • Plus vous déployez d’analyseurs, plus vous créez de métadonnées, ce qui influe sur la conservation des données.
  • Le fait de ne pas avoir déployé d'analyseurs de logs supplémentaires (inutiles) réduit le risque de mauvaise interprétation des messages.

Le panneau Configuration des analyseurs vous permet de sélectionner les parsers à utiliser dans Decoder. Dans certains parsers, vous pouvez également configurer les métadonnées créées par le parser. Voici les options du panneau Configuration des analyseurs.

                       
OptionDescription
Activer tout
Désactiver tout 		Ces options donnent la possibilité de sélectionner rapidement la totalité des parsers ou aucun d'entre eux.
Nom Noms des parsers disponibles pour Decoder. Le signe plus indique que les métadonnées générées par l'analyseur sont configurables. Lorsque vous cliquez sur le signe plus, les métadonnées que l'analyseur peut créer s'affichent.
Valeur de configuration Une liste déroulante vous permet de modifier la configuration du parser ou des métadonnées via les options Activé, Désactivé ou Transitoire.
  • Lorsque l'option est Activé, le Decoder utilise le parser pour filtrer le trafic.
  • Lorsque l'option est Transitoire, le Decoder utilise le parser pour filtrer le trafic. Les métadonnées générées ne sont pas stockées sur disque. Les métadonnées transitoires sont disponibles en mémoire pour le contenu supplémentaire (parsers, flux et règles d'application) sur ce Decoder. Cela permet aux administrateurs de protéger certaines données. Elles sont généralement mises en œuvre dans le cadre d'un plan de confidentialité des données (reportez-vous au Guide de gestion de la confidentialité des données).
  • Lorsque l'option est Désactivée, le Decoder n'utilise pas le parser.
Si les métadonnées générées pour le parser sont configurables, le fait de cliquer sur le signe plus pour développer les parsers entraîne l'affichage des clés méta configurables. La même liste déroulante sélectionne la clé méta que le parser va créer.

Remarque : Pour un Log Decoder, vous devez avoir déjà déployé des analyseurs de log depuis Live. Consultez la rubrique Trouver et déployer des ressources Live dans Gestion des services Live pour obtenir plus d'informations. Accédez à la Table des matières principale pour rechercher tous les documents sur NetWitness Platform Logs & Network 11.x.

Pour activer ou désactiver un analyseur, ou pour afficher l'état de chaque analyseur :

  1. Accédez àADMIN > Services.
  2. Dans la Vue Services d'administration, sélectionnez un Log Decoder ou un Decoder, puis The actions menu >Vue > Config.
  3. Dans le panneau Configuration des analyseurs, recherchez l’analyseur du Decoder ou l’analyseur de source d’événement du Log Decoder.
    This is an example of the Parsers Configuration section with a Config Value drop-down open.
  4. Dans la colonne Valeur de configuration, notez l'état actuel de votre analyseur.

Vous pouvez mettre à jour l’état de tout analyseur individuel en sélectionnant sa Valeur de configuration et en sélectionnant Désactivé, Transitoire ou Activé dans le menu contextuel. Vous pouvez également sélectionner Activer tout ou Désactiver tout pour mettre à jour l’état de tous vos analyseurs de logs à la fois.

  1. Cliquez sur Appliquer.

Lorsque vous cliquez sur Appliquer, notez que tous les analyseurs sont rechargés dans NetWitness Platform. L'état de chaque analyseur de log est mis à jour, en fonction de vos sélections.

You are here
Table of Contents > Configurer les paramètres communs sur un Decoder > Activer et désactiver les analyseurs et les analyseurs de logs

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (French)64 Views
      Last modified on Apr 28, 2019 3:29 PM
      Ratings: