Archiver : Onglet Rétention de données - Archiver

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit l'onglet Rétention de données pour un Archiver. Les administrateurs utilisent cet onglet pour définir les critères de rétention et de stockage des logs.

Dans Administration > Services > Vue Config > onglet Rétention de données d'un Archiver, les administrateurs peuvent définir les critères de rétention et de stockage des logs. En votre qualité d'administrateur, vous pouvez configurer le stockage intensif, à chaud et à froid, ainsi que différentes collections de stockage avec différents emplacements et critères pour conserver les logs. Par exemple, vous pouvez créer une collection de conformité qui stocke les logs pendant une période spécifique, comme il est requis par les réglementations gouvernementales. Vous pouvez créer une autre collection qui stocke les logs de faible valeur dans un stockage intensif avec une période de rétention beaucoup plus courte. La flexibilité de ces collections vous permet d'avoir des besoins de stockage global sensiblement inférieurs.

Les procédures liées à cet onglet sont décrites dans la rubrique Politiques de surveillance. Étape 3. Configurer le stockage et la rétention des logs Archiver.

Cet onglet contient les sections suivantes :

  • Stockage intensif total : Vous permet de configurer la quantité totale de stockage intensif disponible. Vous pouvez sélectionner ou ajouter des points de montage (chemins) pour vos emplacements de stockage intensif. Ces points de montage sont attachés au stockage direct rapide, tel que le stockage Direct-Attached Capacity (DAC) et SAN.
  • Stockage à chaud total : (Facultatif) Vous permet de configurer la quantité totale de stockage à chaud disponible. Vous pouvez sélectionner ou ajouter des points de montage pour vos emplacements de stockage à chaud. Ces points de montage sont attachés au stockage secondaire, par exemple le stockage NAS.
  • Stockage à froid total : (Facultatif) Vous permet de configurer la quantité totale de stockage à froid disponible. Vous pouvez ajouter un point de montage pour un emplacement de stockage à froid pour sauvegarder vos fichiers log. Ce point de montage est attaché à un stockage hors ligne, par exemple un stockage NAS ou un stockage temporaire avant d'archiver la bande. Security Analytics ne gère pas le stockage à froid.  
  • Collections : Vous permet de définir différentes collections de stockage pour différents types de logs. Vous pouvez spécifier la taille maximale de l'espace intensif et à chaud, si le stockage hors ligne (stockage à froid) doit être utilisé, le nombre de jours de rétention des logs dans la collection, la compression des données et si un algorithme de hachage doit être utilisé pour assurer l'intégrité des données des fichiers enregistrés.
  • Règle de rétention : Vous permet de définir des règles pour chacune des collections de stockage de logs. Vous devez définir au moins une règle pour chaque collection. 

Pour accéder à l'onglet Rétention de données pour un Archiver : 

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Archiver et ic-actns.png  > Vue > Config.
  3. Dans la vue Configuration des services pour le service, cliquez sur l'onglet Rétention de données.
    L'onglet Rétention de données pour l'Archiver s'affiche.
    ArcDrTb.png

Stockage total intensif, à chaud et à froid

La section Stockage intensif total indique la quantité totale de stockage intensif disponible et le nombre de points de montage de stockage intensif. La section Stockage intensif total indique la quantité totale de stockage à chaud disponible et le nombre de points de montage de stockage à chaud. La section Stockage à froid total indique la quantité totale de stockage à froid et l'espace libre restant disponible dans le stockage à froid. 

TotalStor.png

Boîtes de dialogue Points de montage de stockage intensif, Points de montage de stockage à chaud et Points de montage de stockage à froid

Dans les boîtes de dialogue Points de montage de stockage intensif, Points de montage de stockage à chaud et Points de montage de stockage à froid, vous pouvez spécifier les points de montage de vos emplacements de stockage. Vous pouvez spécifier les parties de ce stockage à utiliser pour vos collections de stockage de logs.

Pour accéder aux boîtes de dialogue Points de montage de stockage intensif, Points de montage de stockage à chaud et Points de montage de stockage à froid, cliquez sur l'icône ic-settings.png en regard de la section correspondante.

ArcHotDb2.png

Le tableau suivant décrit les fonctionnalités des boîtes de dialogue de stockage intensif, à chaud et à froid.

                               
FonctionnalitéDescription :
ic-add.png Ajoute un point de montage. 
ic-delete.png Supprime un point de montage. Vous ne pouvez pas supprimer un point de montage en cours d'utilisation, sauf si vous supprimez les collections associées.
ic-checkbox.png Sélectionnez les points de montage à inclure pour le intensif, à chaud et à froid total. Vous ne pouvez sélectionner qu'un seul point de montage pour un stockage à froid total. 
Mount PointIndique le chemin vers le stockage physique attaché. Par exemple : /var/netwitness/archiver/database0, qui est l'emplacement du stockage intensif DAC.
N'ajoutez pas de collections ou de sous-répertoires aux points de montage. Security Analytics créera automatiquement les répertoires metadb, packetdb, sessiondb, et index pour chaque collection définie sur l'Archiver :
<storageLocation>/<CollectionName>/metadb
<storageLocation>/<CollectionName>/packetdb
<storageLocation>/<CollectionName>/sessiondb
<storageLocation>/<CollectionName>/index

Par exemple, si votre point de montage de stockage intensif est /var/netwitness/archiver, les répertoires suivants seront créés pour chacune de vos collections :
/var/netwitness/archiver/<CollectionName>/metadb
/var/netwitness/archiver/<CollectionName>/packetdb
/var/netwitness/archiver/<CollectionName>/sessiondb
/var/netwitness/archiver/<CollectionName>/index

Pour le stockage à froid, vous devez inclure le spécificateur du format de nom de collection %n à un emplacement du chemin d'accès au point de montage du stockage à froid pour éviter les collisions de nom de fichier entre les collections.
Taille du stockageIndique la taille du stockage attaché. L'onglet Rétention de données indique la quantité de stockage totale pour votre référence.  

Collections

La section Collections répertorie toutes vos collections de stockage ainsi que l'espace total de stockage pour le stockage intensif et à chaud.

ArcStorCol.png

Le tableau suivant décrit les fonctions de la section Collections. Vous pouvez masquer certaines colonnes en fonction de vos besoins.

                                                                                 
FonctionnalitéDescription :
ic-add.png Ajoute une collection de stockage. Boîte de dialogue Collection fournit des informations supplémentaires.
ic-delete.png Supprime la collection sélectionnée. La suppression de la collection supprime définitivement toutes les données stockées à partir de la collection, mais les répertoires de données vides ne sont pas supprimés.
ic-edit.png Vous permet de modifier la collection sélectionnée. Boîte de dialogue Collection fournit des informations supplémentaires.
 ic-refresh.pngActualise les informations de la collection.
ic-checkbox.png Sélectionne une collection. Par exemple, vous pouvez sélectionner une collection à modifier ou supprimer.
CollectionIndique le nom de votre collection, par exemple Default, Compliance, MediumValue et LowValue. Vous pouvez créer différentes collections avec différents critères de rétention de logs. Si vous ne créez pas de collections, la collecte par défaut est utilisée. 

Si une collection contient des erreurs, le nom de la collection et les colonnes contenant des erreurs sont affichés en texte rouge. 
Utilisation/Stockage intensifIndique l'utilisation du stockage intensif actuel et le stockage intensif maximal pour la collection. Lorsque la taille des logs atteint la quantité de stockage intensif maximale, les logs sont supprimés ou ils passent au niveau de stockage disponible suivant (à chaud ou à froid). 
Utilisation/Stockage à chaudIndique l'utilisation du stockage à chaud actuelle et le stockage à chaud maximal pour la collection. Lorsque la  taille des logs atteint la quantité de stockage à chaud maximale, les logs sont supprimés ou passent dans le stockage à froid. 
Stockage à froidIndique si le stockage à froid est activé ou désactivé. Un cercle vert plein indique que le stockage à froid est activé (). Un cercle blanc vide indique que le stockage à froid est désactivé.
RétentionIndique le nombre de jours pendant lequel ces logs sont conservés avant d'être supprimés ou éventuellement déplacés vers le stockage à froid. Aucune limite indique que la rétention des logs n'est pas limitée à un nombre de jours spécifié.
Pour le stockage intensif et le stockage à chaud, les paramètres de taille et de période de rétention d'une collection peuvent se remplacer mutuellement sur la base du critère (taille ou période) satisfait en premier. 
Vitesse (dernière heure)Indique le nombre de logs capturés au cours de l'heure passée.
Date la plus ancienneAffiche la date et l'heure de la dernière capture de logs.
DuréeIndique depuis combien de jours le dernier log a été capturé. Par exemple : 20 jours
CompressionIndique le type de compression utilisé pour les métadonnées et les données brutes de la collection. 
HachageIndique si le hachage est activé ou désactivé. Lorsque l'algorithme de hachage est activé, il sert à garantir l'intégrité des données des fichiers en cours d'enregistrement. Par défaut, les seules données hachées sont les logs bruts, et les fichiers de hachage sont enregistrés dans le même répertoire que les données. 
Nombre de règlesIndique le nombre de règles appliquées à la collection.
Définissez au moins une règle pour chaque collection. Une collection sans règles associées est repérée par un avertissement sous forme d'un zéro en texte rouge : NoRules.png Le nom de la collection apparaît aussi en texte rouge, ce qui indique une erreur dans la collection.

Attention : Si une collection n'a pas de règle, aucun log ne passe dans celle-ci.

ActionsVous permet de voir les règles associées à une collection dans la section Règle de rétention lorsque vous sélectionnez le <bouton d'actions > > Sélectionner les règles. Dans la section Règle de rétention, vous pouvez changer la priorité générale des règles de collection.
Espace total de stockage Indique l'utilisation de stockage intensif total et le stockage intensif total maximal au bas de la colonne Utilisation/Stockage intensif. Indique aussi l'utilisation de stockage à chaud totale actuelle et le stockage à chaud total maximal au bas de la colonne Utilisation/Stockage à chaud.

Les erreurs présentes dans la collection apparaissent en texte rouge. Un trait de soulignement en pointillés indique qu'une info-bulle est disponible avec des informations relatives à l'erreur.

Les collections dont l'option de modification est désactivée (grisée) ont aussi des info-bulles qui contiennent des informations sur le problème.

Règles de rétention

La section Règles de rétention répertorie toutes les règles de rétention utilisées pour vos collections de stockage répertoriées dans l'ordre d'exécution des règles. 

ArcRetRule.png

Le tableau ci-dessous décrit les fonctions de la section Règle de rétention.

                                                               
FonctionnalitéDescription :
ic-add.png Ajoute une règle de rétention à utiliser dans une collection de stockage. Boîte de dialogue Définition de règle fournit des informations supplémentaires.
ic-delete.png Supprime la règle de rétention sélectionnée. Pour que vos collections de logs recueillent et stockent des données des fichiers log, vous devez les associer à au moins une règle de rétention.
ic-edit.png Permet de modifier la règle de rétention sélectionnée. Boîte de dialogue Définition de règle fournit des informations supplémentaires.
 ic-refresh.pngActualise les informations de la règle de rétention.
ic-up.pngMonter

Déplace la règle de rétention sélectionnée vers le haut dans la liste prioritaire des règles de rétention. L'ordre des règles de rétention est très important. Security Analytics évalue les règles de rétention applicables à toutes les collections dans l'ordre numérique en choisissant le numéro répertorié dans la colonne Ordre de la section Règle de rétention.

Vous pouvez aussi réorganiser les règles de rétention par glisser-déplacer. 

ic-down.pngDescendreDéplace la règle de rétention sélectionnée vers le bas dans la liste prioritaire des règles de rétention. L'ordre des règles de rétention est très important. Security Analytics exécute les règles de rétention applicables à toutes les collections dans l'ordre numérique en choisissant le numéro répertorié dans la colonne Ordre de la section Règle de rétention.
AppliquerEnregistre le changement de l'ordre des règles.
ic-revert.pngRétablirRétablit l'ordre des règles modifié.
ic-checkbox.png Sélectionne ou affiche une règle de rétention sélectionnée.
CommandeAffiche le numéro d'ordre d'une règle de rétention dans la liste générale des règles de rétention.
Nom de la règleAffiche le nom d'une règle, par exemple ComplianceDevices ou GeneralWindowsLogs.
ConditionAffiche les conditions de la règle. Ces conditions spécifient le type de log à inclure dans la collection. 
Instructions relatives aux règles et requêtes présente les instructions pour toutes les requêtes et conditions de règle des services Security Analytics Core.
CollectionAffiche le nom de la collection et le nombre de jours pendant lequel la collection est conservée. Par exemple : MediumValue (30 jours)

 

 

Topics

Previous Topic:Références
You are here
Table of Contents > Références > Onglet Rétention de données - Archiver

Attachments

    Outcomes