Archiver : Étape 2. Ajouter un service Log Decoder en tant que source de données à un service Archiver

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Pour ajouter un Log Decoder comme source de données à Archiver, vous devez avoir installé l’hôte Archiver dans votre environnement réseau, installé et configuré un Log Decoder dans votre environnement réseau, ajouté l’hôte Archiver à NetWitness Suite et vérifié que le service Archiver se présente comme étant actif et sous licence.

Ajouter un service Log Decoder en tant que source de données à un service Archiver

Pour ajouter un service Log Decoder comme source de données à un service Archiver :

  1. Accédez à ADMIN > Services.
  2. Sélectionnez le service Archiver.
  3. Dans la colonne Actions , sélectionnez Vue > Config.
    La vue Configuration des services d'Archiver s'affiche.
  4. Sous l'onglet Général, dans le panneau Services agrégés, cliquez sur .

    La boîte de dialogue Services disponibles s'affiche.

    La boîte de dialogue Services disponibles s'affiche.

  5. Sélectionnez le service Log Decoder à ajouter en tant que source de données au service Archiver, puis cliquez sur OK.
  6. Si le service Log Decoder utilise le modèle de confiance, une boîte de dialogue Ajouter un service s'affiche.



  7. Saisissez le nom d'utilisateur et le mot de passe du service Log Decoder, puis configurez les paramètres SSL.
  8. Cliquez sur OK.
    Le service Log Decoder sélectionné est répertorié dans le panneau Services agrégés.

Éléments à prendre en compte pour les paramètres méta d'Archiver

Pour augmenter la durée de rétention, les éléments méta et l'index du service Archiver ont été réduits (par rapport au service Concentrator) pour répondre aux besoins de rapports communs. Par défaut, cela signifie que vous ne pourrez peut-être pas exécuter tous les rapports sur le service Archiver comme vous les exécutez sur le service Concentrator. Vous pouvez afficher la liste des éléments méta et d'index actuels utilisés par le service Archiver aux emplacements suivants :

  • Vue Explorer : le chemin d'accès /archiver/devices/<logdecoder>/config/options au champ metaInclude affiche la liste des éléments méta actuels.
  • Vue Config > Onglet Fichiers : Le fichier index-archiver.xml affiche la configuration d'index par défaut. Le fichier index-archiver-custom.xml ne contient aucune modification.

Les éléments méta et d'index du service Archiver peuvent être personnalisés pour répondre à des besoins d'information client spécifiques, mais cela nécessite une prise en charge supplémentaire en stockage, en ressources CPU et en ressources mémoire pour éviter tout impact sur le délai de rétention. Au fur et à mesure que les éléments méta sont ajoutés au service Archiver, le taux maximal d'agrégation se réduit et le temps d'exécution des rapports augmente.

Pour plus de détails, reportez-vous aux rubriques (Facultatif) Configurer des filtres méta pour l'agrégation et (Facultatif) Ajouter des entrées d'index pour Archiver Reporting.

(Facultatif) Configurer des filtres méta pour l'agrégation

Suivez cette procédure pour afficher et ajouter des éléments méta supplémentaires au service Archiver.

Attention : L'ajout de méta ou d'index nécessite une prise en charge supplémentaire en stockage, en ressources CPU et en ressources mémoire pour éviter tout impact sur le délai de rétention. Au fur et à mesure que les éléments méta sont ajoutés au service Archiver, le taux maximal d'agrégation se réduit et le temps d'exécution des rapports augmente.

  1. Pour afficher les éléments méta actuels, dans le panneau Services agrégés, sélectionnez le service Log Decoder, puis cliquez sur ic-info.png dans le champ Inclure des métadonnées.
  2. Pour ajouter des éléments méta supplémentaires, sélectionnez le service Log Decoder, puis cliquez sur ic-edit.png.


  3. Dans la boîte de dialogue Modifier le service agrégé, sélectionnez les éléments méta à inclure à la liste Inclure des métadonnées. Par exemple, vous pouvez choisir d'inclure les méta ip.srcport, tcp.srcport, udp.srcport, msg, url, query, bytes, alias.host, ip.dst, ip.dstport, ip.src, tcp.dstport, megabytes, time, event.desc et word.
  4. Cliquez sur Enregistrer, puis sur Appliquer.
  5. Pour plus d'informations sur le mode d'indexation des clés méta supplémentaires, reportez-vous à la rubrique (Facultatif) Ajouter des entrées d'index pour Archiver Reporting ci-dessous.

(Facultatif) Ajouter des entrées d'index pour Archiver Reporting

Attention : L'ajout de méta ou d'index nécessite une prise en charge supplémentaire en stockage, en ressources CPU et en ressources mémoire pour éviter tout impact sur le délai de rétention. Au fur et à mesure que les éléments méta sont ajoutés au service Archiver, le taux maximal d'agrégation se réduit et le temps d'exécution des rapports augmente.

La configuration de l'index par défaut du service Archiver inclut uniquement les index de valeurs pour ces clés :

  • temps
  • source de décodeur (did)
  • compte d'utilisateur de destination (user.dst),
  • ID d'alerte (alert.id)
  • IP de périphérique (device.ip)
  • adresse IP source (ip.src)
  • adresse IP de destination (ip.dst)
  • description d'événement (event.desc)
  • classe de périphérique (device.class)
  • moyen
  • nom d'objet (obj.name)
  • mot

Pour obtenir des informations sur la personnalisation de cette liste, reportez-vous à la rubrique Personnalisation d'index dans le Guide d'optimisation de base de données principale.

You are here
Table of Contents > Configuration de base d'Archiver > Étape 2. Ajouter un service Log Decoder en tant que source de données à un service Archiver

Attachments

    Outcomes