Descripción general de Warehouse Connector

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporciona una descripción general de Warehouse Connector. Warehouse Connector permite recopilar metadatos y eventos de Decoder y Log Decoder, y escribirlos en formato Avro en un sistema de cómputo distribuido basado en hadoop.

Opciones de implementación

Puede configurar Warehouse Connector como un servicio en los hosts de Log Decoder o Decoder existentes o se puede ejecutar como un dispositivo virtual en el ambiente virtual. Warehouse Connector está disponible como archivo de paquete de RPM y también como archivo Open Virtual Appliance (OVA) file.

  • Use el archivo de paquete de RPM para configurar Warehouse Connector como un servicio en los hosts de Log Decoder o Decoder existentes; consulte Instalar el servicio Warehouse Connector en Log Decoder o Decoder.
  • Use el archivo OVA para configurar el dispositivo virtual de Warehouse Connector; consulte Guía de instalación de hosts virtuales.

Componentes de Warehouse Connector

Warehouse Connector tiene los siguientes componentes:

  • Origen de datos
  • Destino
  • Flujo de datos

Origen de datos

Un origen de datos es el servicio desde el cual Warehouse Connector recopila datos para almacenar en el destino. Los orígenes de datos compatibles son servicios de Log Decoder y Decoder. Log Decoder recopila eventos de registro y Decoder recopila exclusivamente paquetes y metadatos.

Destino

El destino es el sistema de cómputo distribuido basado en hadoop que recopila, administra y activa la analítica y la creación de informes sobre los datos de seguridad. Los destinos compatibles son los siguientes:

  • Implementaciones de RSA Analytics Warehouse (MapR)
  • Implementaciones de RSA Analytics Warehouse (Pivotal)
  • Cualquier sistema de cómputo distribuido basado en hadoop compatible con el montaje de WebHDFS o NFS de los sistemas de archivos HDFS. 
    • Ejemplo: MapR M5 Enterprise Edition comercial para Apache Hadoop

Flujos de datos

Un flujo de datos es una conexión lógica entre el origen y el destino de los datos. Puede tener varios flujos para diferentes subconjuntos de datos recopilados. Puede configurar flujos para separar datos de varios servicios de Decoder y Log Decoder. Puede crear un flujo con varios orígenes de datos y un único destino o con un único origen y destino de datos.

Funciones de Warehouse Connector

Warehouse Connector proporciona las siguientes funciones:

  • Agrega datos de registros de sesiones y crudos desde Decoders y Log Decoders.
  • Transfiere los datos agregados a destinos compatibles como implementaciones basadas en hadoop.
  • Serializa los datos agregados, que incluyen esquemas y datos, en formato AVRO.

Filtros de metadatos

Los filtros de metadatos en Warehouse Connector permiten filtrar los metadatos que se deben escribir en Warehouse. Para obtener más información, consulte Especificar filtros de metadatos.

Soporte para metadatos de múltiples valores

RSA Analytics Warehouse es compatible con metadatos de múltiples valores. Los metadatos de múltiples valores son el campo de metadatos con el tipo de arreglo. Puede utilizar la biblioteca de metadatos para determinar los campos de metadatos de arreglo de tipo y escribir consultas Hive con la sintaxis correcta para los arreglos. De forma predeterminada, los siguientes metadatos se tratan como metadatos de múltiples valores y se definen en el archivo multivalue-bootstrap.xml que se ubica en /etc/netwitness/ng en Warehouse Connector:

  • alias.host
  • acción
  • username
  • alias.ip
  • alias.ipv6
  • correo electrónico

También puede definir un metadato existente o uno personalizado para tratarlo como metadato de múltiples valores mediante las siguientes acciones:

Precaución: Cuando se define un metadato existente para tratarlo como metadato de múltiples valores, puede cambiar el tipo de datos del metadato y hacer que fallen los informes asociados.

  1. Cree un archivo nuevo con el nombre de archivo multivalue-users.xml en el directorio /etc/netwitness/ng.
  2. Agregue las siguientes entradas:

    Donde NEWMETANAMEson los metadatos existentes que se tratarán como metadatos de múltiples valores. 

    Precaución: Asegúrese de no agregar metadatos que de forma predeterminada se tratan como metadatos sin múltiples valores.

  1. Recargue el flujo de Warehouse Connector. Para obtener más información, consulte Vista Configuración de servicios: Warehouse Connector.

Validación de la suma de comprobación

Warehouse Connector permite validar la integridad de los archivos AVRO que se transfieren desde Warehouse Connector a los destinos de datos. Debe activar la validación de suma de comprobación mientras configura Warehouse Connector.

Compatibilidad con Lockbox

Un Lockbox proporciona un archivo cifrado que Warehouse Connector utiliza para almacenar y proteger datos confidenciales. Para crear el Lockbox debe proporcionar una contraseña de Lockbox cuando configura Warehouse Connector por primera vez.

You are here
Table of Contents > Descripción general de Warehouse Connector

Attachments

    Outcomes