Présentation de Warehouse Connector

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette section présente Warehouse Connector. Le Warehouse Connector vous permet de collecter les métadonnées et les événements de Decoder et Log Decoder, et de les écrire au format AVRO sur un système informatique distribué Hadoop.

Options d'implémentation

Vous pouvez configurer le Warehouse Connector en tant que service sur votre hôte Log Decoder ou Decoder existant. Il peut être également exécuté en tant qu'appliance virtuelle dans votre environnement virtuel. Le Warehouse Connector est disponible sous la forme d'un fichier de package RPM, mais aussi sous la forme d'un fichier OVA (Open Virtual Appliance).

Composants du Warehouse Connector

Le Warehouse Connector comprend les composants suivants :

  • Source de données
  • Destination
  • Flux de données

Source de données

Une source de données représente le service à partir duquel le Warehouse Connector collecte les données à stocker dans la destination. Les sources de données prises en charge sont les services Log Decoder et Decoder. Le Log Decoder collecte les événements consignés et le Decoder collecte les paquets et les métadonnées exclusivement.

Destination

La destination représente le système informatique distribué, basé sur Hadoop, qui collecte et gère les données de sécurité et permet d'effectuer une analytique et un reporting sur ces mêmes données. Voici les destinations de données prises en charge :

  • Déploiements d’Analytique de RSA Warehouse (MapR)
  • Déploiements RSA Analytics Warehouse (Pivotal)
  • Système informatique distribué Hadoop prenant en charge le montage WebHDFS ou NFS des systèmes de fichiers HDFS. 
    • Exemple : Version commerciale MapR M5 Enterprise Edition pour Apache Hadoop

Flux de données

Un flux de données est une connexion logique entre la source et la destination des données. Vous pouvez avoir plusieurs flux pour différents sous-ensembles de données collectées. Vous pouvez configurer des flux pour ségréger les données de plusieurs services Decoder et Log Decoder. Vous pouvez créer un flux avec plusieurs sources de données et une seule destination ou avec une seule source et destination de données.

Fonctionnalités de Warehouse Connector

Vous trouverez ci-après les fonctionnalités fournies par Warehouse Connector :

  • Agrège les données des sessions et des fichiers log bruts des services Decoder et Log Decoder.
  • Transfère les données agrégées en destinations prises en charge, comme les déploiements basés sur Hadoop.
  • Sérialise les données agrégées qui incluent à la fois le schéma et les données au format AVRO.

Métafiltres

Les métafiltres du Warehouse Connector vous permettent de filtrer les métadonnées qui ont été écrites dans le Warehouse. Pour plus d’informations, voir le Spécifier les métafiltres.

Prendre en charge plusieurs métavaleurs

RSA Analytics Warehouse prend en charge plusieurs métavaleurs. Les métavaleurs multiples représentent le champ des métadonnées avec le type Tableau. Vous pouvez utiliser la bibliothèque des métadonnées pour déterminer les champs de métadonnées de type Tableau et écrire des requêtes Hive avec la syntaxe appropriée aux tableaux. Par défaut, les métadonnées suivantes sont traitées comme des valeurs multiples et sont définies dans le fichier, multivalue-bootstrap.xml à l'emplacement /etc/netwitness/ng dans le Warehouse Connector :

  • alias.host
  • action
  • username
  • alias.ip
  • alias.ipv6
  • courrier électronique

Vous pouvez également définir des métadonnées existantes ou des métadonnées personnalisées considérées comme plusieurs métavaleurs en procédant comme suit :

Attention : La définition de métadonnées existantes à considérer comme des valeurs multiples, peut changer le type de métadonnées et provoquer l'échec des rapports associés.

  1. Créez un fichier avec le nom de fichier multivalue-users.xml dans le répertoire /etc/netwitness/ng.
  2. Ajoutez les entrées suivantes :

    NEWMETANAMEreprésente les métadonnées existantes ou les métadonnées personnalisées à considérer comme des métavaleurs multiples. 

    Attention : Veillez à ne pas ajouter de métadonnées qui sont par défaut traitées par défaut comme des valeurs non multiples.

  1. Rechargez le flux du Warehouse Connector. Pour plus d’informations, voir le Vue Configuration des services - Warehouse Connector.

Validation checksum

Warehouse Connector vous permet de valider l'intégrité des fichiers AVRO qui sont transférés depuis le Warehouse Connector vers les destinations de données. Pour cela, vous devez activer la validation checksum lors de la configuration du Warehouse Connector.

Prise en charge du Lockbox

Le lockbox fournit un fichier chiffré que Warehouse Connector utilise pour stocker et protéger les données sensibles. Vous devez créer le lockbox en fournissant un mot de passe Lockbox lors de la configuration initiale du Warehouse Connector.

You are here
Table of Contents > Présentation de Warehouse Connector

Attachments

    Outcomes