Archiver Configurer le stockage intensif, à chaud et à froid

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique fournit des instructions pour les administrateurs sur la façon de configurer le stockage total intensif, à chaud et à froid sur un service Archiver.

Un hôte Archiver dispose d'un stockage intensif pré-configuré avec les valeurs par défaut. Les administrateurs peuvent configurer la quantité totale de stockage intensif, à chaud et à froid afin de répondre aux besoins spécifiques de leur entreprise. La quantité totale du stockage intensif doit être définie pour un service Archiver, mais les configurations de stockage à chaud et à froid sont facultatives.NetWitness Suite ne gère pas le stockage à froid.

Conditions préalables

Assurez-vous d'avoir :

  1. installé l'hôte Archiver dans votre environnement réseau.
  2. installé et configuré Log Decoder dans votre environnement réseau.
  3. ajouté Archiver en tant que service Core à votre déploiement NetWitness Suite.
  4. Ajouté des services Log Decoder en tant que source de données pour Archiver.
  5. Installé et configuré un DAC ou d'autres types de stockage physiques dans votre environnement réseau.
  6. Déterminé vos besoins en rétention et stockage de logs.

Procédures

Configurer la quantité totale de stockage intensif pour un service Archiver

  1. Accédez à ADMIN > Services.
  2. Sélectionnez le service Archiver, puis ic-actns.png > Vue > Config.

    La vue Configuration des services d'Archiver s'affiche.

  3. Sous l'onglet Rétention de données, dans la section Stockage intensif total, cliquez sur ic-settings.png pour configurer la quantité totale de stockage intensif.

    La vue Configuration des services d'Archiver s'affiche.

  4. Dans la boîte de dialogue Points de montage de stockage intensif, ajoutez les points de montage associés à l'hôte Archiver que vous souhaitez inclure à la quantité totale de stockage intensif.

    Il s'agit des chemins d'accès au stockage hautes performances, tel que DAC ou SAN. N'ajoutez pas de collections ou de sous-répertoires aux points de montage.

    Pour ajouter un point de montage, cliquez sur ic-add.pnget saisissez le chemin d'accès au point de montage.

    La boîte de dialogue Points de montage de stockage intensif s’affiche.

  5. Vérifiez que vos chemins de point de montage sont corrects et cliquez sur Enregistrer.
    NetWitness Suite crée alors automatiquement les répertoires metadb, packetdb, sessiondb et index pour chaque collection définie dans le service Archiver :
    <storageLocation>/<CollectionName>/metadb
    <storageLocation>/<CollectionName>/packetdb
    <storageLocation>/<CollectionName>/sessiondb
    <storageLocation>/<CollectionName>/index

    Par exemple, si votre point de montage est /var/netwitness/archiver, les répertoires suivants sont créés pour chacune de vos collections :
    /var/netwitness/archiver/<CollectionName>/metadb
    /var/netwitness/archiver/<CollectionName>/packetdb
    /var/netwitness/archiver/<CollectionName>/sessiondb
    /var/netwitness/archiver/<CollectionName>/index

    Après le redémarrage du service Archiver, les données commencent à être enregistrées dans vos collections définies. Vérifiez que vos collections de rétention des logs sont correctes avant de redémarrer le service Archiver.

Attention : Une fois que les données sont sauvegardées sur un point de montage, elles ne peuvent plus être supprimées de l'interface utilisateur.

Configurer la quantité totale de stockage à chaud pour un service Archiver

(Facultatif) La procédure de configuration du stockage à chaud total pour un service Archiver est la même que pour le stockage intensif total, sauf que vous cliquez sur ic-settings.png dans la section Stockage à chaud total et que vous ajoutez les points de montage que vous souhaitez utiliser pour le stockage à chaud, qui sont les chemins physiques d’accès au stockage à chaud, tel qu'un stockage rattaché au réseau (NAS).

La boîte de dialogue Points de montage de stockage à chaud s’affiche.

Configurer la quantité totale de stockage à froid pour un service Archiver

(Facultatif) La procédure de configuration de la quantité totale du stockage à froid pour un service Archiver est la même que pour la quantité totale du stockage intensif, sauf que vous cliquez sur ic-settings.png dans la section Stockage à froid total et que vous ajoutez un seul point de montage pour le stockage à froid.NetWitness Suite ne gère pas le stockage à froid.

Vous devez inclure le spécificateur du format de nom de collection %n à un emplacement du chemin d'accès au point de montage du stockage à froid pour éviter les collisions de nom de fichier entre les collections.

La boîte de dialogue Point de montage de stockage à froid s’affiche.

Les spécificateurs de format suivants sont autorisés dans le chemin d'accès :

                                   
Spécificateur de formatDescription
%nnom de collection (obligatoire)
%yannée à laquelle les données ont été déplacées vers le stockage à froid
%mmois
%dday
%hhour
%##rbloc d'heures pour le jour en cours. Par exemple, si vous souhaitez trois blocs de 8 heures, vous pouvez définir la configuration %8r. Les 8 premières heures du jour renvoient 0, le second bloc de 8 heures renvoie 1 et les 8 dernières heures du jour renvoient 2.

Les modifications prennent effet immédiatement.

Par exemple, si vous avez une collection nommée conformité et que vous créez le chemin d'accès au stockage à froid suivant :

/sa-cold-storage/%n/%y-%m-%d/

NetWitness Suite crée un répertoire tous les jours au format suivant :

/sa-cold-storage/compliance/2015-11-20/

Fonctions de stockage de niveau intensif, à chaud et à froid

Le tableau suivant décrit les fonctionnalités des boîtes de dialogue de stockage intensif, à chaud et à froid.

                               
FonctionnalitéDescription
ic-add.png Ajoute un point de montage.
ic-delete.png Supprime un point de montage. Vous ne pouvez pas supprimer un point de montage en cours d'utilisation, sauf si vous supprimez les collections associées.
ic-checkbox.png Sélectionnez les points de montage à inclure pour le intensif, à chaud et à froid total. Vous ne pouvez sélectionner qu'un seul point de montage pour un stockage à froid total.
Mount Point

Indique le chemin vers le stockage physique attaché. Par exemple : /var/netwitness/archiver/database0, qui est l'emplacement du stockage intensif DAC.

N’ajoutez pas de collections ou sous-répertoires aux points de montage. NetWitness Suite crée automatiquement les répertoires metadb, packetdb, sessiondb et index pour chaque collection définie sur le service Archiver :
<storageLocation>/<CollectionName>/metadb
<storageLocation>/<CollectionName>/packetdb
<storageLocation>/<CollectionName>/sessiondb
<storageLocation>/<CollectionName>/index

Par exemple, si votre point de montage de stockage intensif est /var/netwitness/archiver, les répertoires suivants sont créés pour chacune de vos collections :
var/netwitness/archiver/<CollectionName>/metadb
/var/netwitness/archiver/<CollectionName>/packetdb
/var/netwitness/archiver/<CollectionName>/sessiondb
/var/netwitness/archiver/<CollectionName>/index

Pour le stockage à froid, vous devez inclure le spécificateur du format de nom de collection %n à un emplacement du chemin d'accès au point de montage du stockage à froid pour éviter les collisions de nom de fichier entre les collections.

Taille du stockageIndique la taille du stockage attaché. L'onglet Rétention de données indique la quantité de stockage totale pour votre référence.

Collections

La section Collections répertorie toutes vos collections de stockage ainsi que l'espace total de stockage pour le stockage intensif et à chaud.

La section Collections affiche toutes vos collections de stockage.

Fonctions collections

Le tableau suivant décrit les icônes et les colonnes de la section Collections. Vous pouvez masquer certaines colonnes en fonction de vos besoins.

                                                                                 
FonctionnalitéDescription
ic-add.png Ouvre la boîte de dialogue Collections, dans laquelle vous pouvez ajouter une collection de stockage
ic-delete.png Supprime la collection sélectionnée. La suppression de la collection supprime définitivement toutes les données stockées à partir de la collection, mais les répertoires de données vides ne sont pas supprimés.
ic-edit.png Ouvre la boîte de dialogue Collections, dans laquelle vous pouvez modifier la collection sélectionnée.
ic-refresh.png Actualise les informations de la collection.
ic-checkbox.png Sélectionne une collection. Par exemple, vous pouvez sélectionner une collection à modifier ou supprimer.
Collection

Indique le nom de votre collection, par exemple Default, Compliance, MediumValue et LowValue. Vous pouvez créer différentes collections avec différents critères de rétention de logs. Si vous ne créez pas de collections, la collection Default est utilisée.

Si une collection contient des erreurs, le nom de la collection et les colonnes contenant des erreurs sont affichés en texte rouge.

Utilisation/Stockage intensifIndique l'utilisation du stockage intensif actuel et le stockage intensif maximal pour la collection. Lorsque la taille des logs atteint la quantité de stockage intensif maximale, les logs sont supprimés ou ils passent au niveau de stockage disponible suivant (à chaud ou à froid).
Utilisation/Stockage à chaudIndique l'utilisation du stockage à chaud actuelle et le stockage à chaud maximal pour la collection. Lorsque la taille des logs atteint la quantité de stockage à chaud maximale, les logs sont supprimés ou passent dans le stockage à froid.
Stockage à froidIndique si le stockage à froid est activé ou désactivé. Un rond coloré en vert indique que le stockage à froid est activé (). Un rond blanc vide indique que le stockage à froid est désactivé.
RétentionIndique le nombre de jours pendant lequel ces logs sont conservés avant d'être supprimés ou éventuellement déplacés vers le stockage à froid. Aucune limite indique que la rétention des logs n'est pas limitée à un nombre de jours spécifié.
Pour le stockage intensif et le stockage à chaud, les paramètres de taille et de période de rétention d'une collection peuvent se remplacer mutuellement sur la base du critère (taille ou période) satisfait en premier.
Vitesse (dernière heure)Indique le nombre de logs capturés au cours de l'heure passée.
Date la plus ancienneAffiche la date et l'heure de la dernière capture de logs.
DuréeIndique depuis combien de jours le dernier log a été capturé. Par exemple : 20 jours
CompressionIndique le type de compression utilisé pour les métadonnées et les données brutes de la collection.
HachageIndique si le hachage est activé ou désactivé. Lorsque l'algorithme de hachage est activé, il sert à garantir l'intégrité des données des fichiers en cours d'enregistrement. Par défaut, les seules données hachées sont les logs bruts, et les fichiers de hachage sont enregistrés dans le même répertoire que les données.
Nombre de règles

Indique le nombre de règles appliquées à la collection.
Définissez au moins une règle pour chaque collection. Une collection sans règles associées est repérée par un avertissement sous forme d'un zéro en texte rouge : Le nom de la collection apparaît aussi en texte rouge, ce qui indique une erreur dans la collection.

Attention : Si une collection n'a pas de règle, aucun log ne passe dans celle-ci.

ActionsVous permet de voir les règles associées à une collection dans la section Règle de rétention lorsque vous sélectionnez le bouton d'actions > Sélectionner les règles. Dans la section Règle de rétention, vous pouvez changer la priorité générale des règles de collection.
Espace total de stockage Indique l'utilisation de stockage intensif total et le stockage intensif total maximal au bas de la colonne Utilisation/Stockage intensif. Indique aussi l'utilisation de stockage à chaud totale actuelle et le stockage à chaud total maximal au bas de la colonne Utilisation/Stockage à chaud.

Les erreurs présentes dans la collection apparaissent en texte rouge. Un trait de soulignement en pointillés indique qu'une info-bulle est disponible avec des informations relatives à l'erreur.

Les erreurs présentes dans la collection s’affichent en texte rouge.

Les collections dont l'option de modification est désactivée (grisée) ont aussi des info-bulles qui contiennent des informations sur le problème.

Règles de rétention

La section Règles de rétention répertorie toutes les règles de rétention utilisées pour vos collections de stockage répertoriées dans l'ordre d'exécution des règles.

Exemple de section Règles de rétention.

Le tableau ci-dessous décrit les fonctions de la section Règle de rétention.

                                                               
FonctionnalitéDescription
ic-add.png Ouvre la boîte de dialogue Définition de règle dans laquelle vous pouvez ajouter une règle de rétention à utiliser dans une collection de stockage.
ic-delete.png Supprime la règle de rétention sélectionnée. Pour que vos collections de logs recueillent et stockent des données des fichiers log, vous devez les associer à au moins une règle de rétention.
ic-edit.png Ouvre la boîte de dialogue Définition de règle dans laquelle vous pouvez modifier la règle de rétention sélectionnée.
ic-refresh.png Actualise les informations de la règle de rétention.
ic-up.png Monter

Déplace la règle de rétention sélectionnée vers le haut dans la liste prioritaire des règles de rétention. L'ordre des règles de rétention est très important. NetWitness Suite évalue les règles de rétention applicables à toutes les collections dans l'ordre numérique en choisissant le numéro répertorié dans la colonne Ordre de la section Règle de rétention.

Vous pouvez aussi réorganiser les règles de rétention par glisser-déplacer.

ic-down.png DescendreDéplace la règle de rétention sélectionnée vers le bas dans la liste prioritaire des règles de rétention. L'ordre des règles de rétention est très important. NetWitness Suite exécute les règles de rétention applicables à toutes les collections dans l'ordre numérique en choisissant le numéro répertorié dans la colonne Ordre de la section Règle de rétention.
AppliquerEnregistre le changement de l'ordre des règles.
ic-revert.png RétablirRétablit l'ordre des règles modifié.
ic-checkbox.png Sélectionne ou affiche une règle de rétention sélectionnée.
CommandeAffiche le numéro d'ordre d'une règle de rétention dans la liste générale des règles de rétention.
Nom de la règleAffiche le nom d'une règle, par exemple ComplianceDevices ou GeneralWindowsLogs.
Condition

Affiche les conditions de la règle. Ces conditions spécifient le type de log à inclure dans la collection.

La rubrique Définir les règles de rétention présente les instructions relatives à toutes les requêtes et conditions de règle des services Core.

CollectionAffiche le nom de la collection et le nombre de jours pendant lequel la collection est conservée. Par exemple : MediumValue (30 jours)

Boîte de dialogue Collection

Dans l’onglet ADMIN > Services > Vue Config > Rétention de données d’un service Archiver, les administrateurs peuvent définir les critères de rétention et de stockage des logs. Dans la boîte de dialogue Collection, qui est accessible à partir de la section Collections, vous pouvez définir des collections de stockage individuelles à utiliser pour différents types de logs. Par exemple, vous pouvez créer des collections pour des raisons de conformité ou pour conserver de manière sélective des logs critiques.

Les procédures associées à cette boîte de dialogue sont décrites dans les rubriques Configurer le stockage et la rétention des logs Archiver et Configurer les collections de stockage de logs.

Pour accéder à la boîte de dialogue Collection :

  1. Sélectionnez ADMIN > Services.
  2. Sélectionnez un service Archiver et >Vue > Config.
  3. Dans la vue Configuration des services pour le service, cliquez sur l'onglet Rétention de données.
  4. Dans la section Collections, cliquez sur ic-add.png pour ajouter ou modifier la règle.
    La boîte de dialogue Collection s'affiche.

La boîte de dialogue Collection d’Archiver s'affiche.

Le tableau suivant décrit les champs de la boîte de dialogue Collection.

                                   > 
ChampDescription
Nom de la collectionAttribuez un nom à votre collection, par exemple, Conformité, ValeurMoyenne ou ValeurFaible.
Stockage intensif Indiquez la taille maximale ou le pourcentage maximal de stockage intensif à utiliser pour cette collection. L'espace libre disponible à utiliser pour le stockage intensif et le stockage intensif total est affiché en regard de ce champ.
Lorsque la taille des logs atteint la taille maximale du stockage intensif, les logs sont supprimés ou transférés vers le niveau de stockage disponible qui suit (stockage à chaud ou à froid).
Stockage à chaud(Facultatif) Spécifiez la taille maximale ou le pourcentage de stockage à chaud à utiliser pour cette collection. L'espace libre disponible à utiliser pour le stockage à chaud et le stockage à chaud total est affiché en regard de ce champ.
Lorsque la taille des logs atteint la taille maximale du stockage à chaud, les logs sont supprimés ou transférés vers le niveau de stockage à froid disponible.
Stockage à froid(Facultatif) Indiquez si vous souhaitez utiliser le stockage à froid pour cette collection. Si vous utilisez le stockage à froid pour la collection, les logs dépassant les limites de taille et de rétention spécifiées passent directement en stockage à froid. Si vous n'utilisez pas le stockage à froid, ces logs seront supprimés.
Rétention(Facultatif) Spécifiez le nombre de jours de rétention des logs avant leur suppression ou déplacement vers le stockage à froid.
Pour le stockage intensif et le stockage à chaud, les paramètres de taille et de période de rétention d'une collection peuvent se remplacer mutuellement sur la base du critère (taille ou période) satisfait en premier.
CompressionSpécifiez le type de compression à utiliser pour les méta et les logs bruts de la collection. Vous pouvez compresser les méta et les logs bruts à l'aide de GZIP ou LZMA pour économiser de l'espace. GZIP est très rapide en matière de compression et de décompression des données, mais il ne compresse pas aussi bien que LZMA. LZMA offre une meilleure compression mais avec une vitesse de décompression plus faible (environ trois fois plus lente que GZIP). Les taux de compression sont fortement dépendants de vos données.
La compression par défaut est de type GZIP.
HachageIndiquez si le hachage doit être activé ou désactivé. En cas d'activation, l'algorithme de hachage garantit l'intégrité des données des fichiers en cours de sauvegarde. Par défaut, les seules données hachées sont les logs bruts, et les fichiers de hachage sont enregistrés dans le même répertoire que

Remarque : En cas de diminution des allocations de stockage de la collection ou de la réduction de la période de rétention de la collection, il peut prendre plusieurs minutes à plusieurs heures pour que les données soient déplacées et que l'espace devienne disponible en fonction de la quantité de données transférées. Un intervalle de 20 minutes est appliqué par défaut à un déploiement des tailles et un intervalle de six heures est appliqué par défaut à un déploiement des heures.

Boîte de dialogue Définition de règle

Dans l’onglet ADMIN > Services > Vue Config > Rétention de données d’un service Archiver, les administrateurs peuvent définir les critères de rétention et de stockage des logs. Dans la boîte de dialogue Définition de règle, qui est accessible à partir de la section Rétention, vous pouvez définir les règles de rétention permettant d'utiliser vos collectes de stockage.

Les procédures associées à cette boîte de dialogue sont décrites dans les rubriques Configurer le stockage et la rétention des logs Archiver et Définir les règles de rétention.

Pour accéder à la boîte de dialogue Définition de règle :

  1. Sélectionnez ADMIN > Services.
  2. Sélectionnez un service Archiver et >Vue > Config.
  3. Dans la vue Configuration des services pour le service, cliquez sur l'onglet Rétention de données.
  4. Dans la section Rétention de données, cliquez sur ou .
    .La boîte de dialogue Définition de règle s’affiche.
    La boîte de dialogue Définition de règle s'affiche.

Le tableau suivant décrit les champs de la boîte de dialogue Définition de règle.

      >        >   > 
ChampDescription
NomSpécifiez un nom unique pour votre règle de rétention. Par exemple : ComplianceDevices
Condition

Spécifiez les conditions du type de logs à inclure dans la collection.

Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets.

Par exemple :

device.group='PCI Devices' || device.group='HIPPA Devices'

CollectionSélectionnez la collection à laquelle vous souhaitez appliquer cette règle. Par exemple : Conformité

Étape suivante

Configurer les collections de stockage de logs

You are here
Table of Contents > Configuration de base d'Archiver > Étape 3. Configurer le stockage et la rétention des logs Archiver > Configurer le stockage intensif, à chaud et à froid

Attachments

    Outcomes