Datenbanktuning: Manifeste

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema enthält eine Beschreibung der Manifestdateien und ein Beispielmanifest für eine Meta-DB-Datei. Außerdem wird das Durchsuchen von Manifesten beschrieben und ein Beispiel für eine Manifestsuche bereitgestellt.

Manifestdateien werden mit allen Sitzungen, Metadaten, Paket-(Protokoll)-DB-Dateien und Indexsliceverzeichnissen erstellt. Eine Manifestdatei beschreibt verschiedene wichtige Informationen zu den Daten, auf die sie sich bezieht. Manifestdateien werden in Form von JSON-Datensätzen geschrieben. Manifestdateien werden zusammen mit den Daten, die sie darstellen, von einem Tier zum nächsten verschoben. Wenn die zugehörigen Daten gelöscht werden, wird die Manifestdatei außer im folgenden Sonderfall ebenfalls gelöscht. Wenn für den Service in der Datei /database/config/manifest.dir ein gültiges Verzeichnis konfiguriert ist, wird beim Löschen der Manifestdaten eine Kopie der Manifestdatei in dem Verzeichnis abgelegt, auf das in der Datei manifest.dir verwiesen wird. (Wenn das Verzeichnis nicht vorhanden ist, wird es erstellt.) Dadurch wird die in NetWitness Suite bereitgestellte Funktion der historischen Manifestsuche aktiviert.

Durch diesen Prozess sollen historische Manifestdateien über Jahre hinweg an einer Stelle aufbewahrt werden, damit sie für Offline-Abfragen zur Verfügung stehen. Wenn ein Service mehrere Jahre lang ausgeführt wird, kann dies natürlich zu Hunderttausenden von Dateien führen. Das sollte allerdings kein Problem darstellen, da der Service Dateien zur Einsparung von Speicherplatz automatisch in ein einziges Archiv komprimiert, wenn sie zu zahlreich werden. Manifestdateien sind sehr klein und lassen sich gut komprimieren.

Beispielmanifest ( meta-000000023.nwmdb.manifest ) für eine Meta-DB-Datei:

 { "filename" : "meta-000000023.nwmdb", "size" : 185153768, "fileTime" : 1403903940, "id1" : 150814110, "id2" : 159341086, "session1" : 4023382, "session2" : 4250442, "time1" : 1403903879, "time2" : 1404739851 } 
 filename = The filename for the db file the manifest represents size = The size in bytes of the db file fileTime = The time the file was created id1 = The starting id in the file (for this example, the starting meta ID) id2 = The last id in the file (for this example, the last meta ID) session1 = The starting session ID of the first meta in the file session2 = The last session ID of the last meta in the file time1 = The POSIX time of the first "time" meta found in the file time2 = The POSIX time of the last "time" meta found in the file 

Die wichtigsten Felder in diesem Beispielmanifest sind fileTime , time1 und time2 . Alle drei Felder werden in POSIX-Zeit angegeben. time1 und time2 stellen die Anfangs- und Endzeit der in der Meta-DB-Datei meta-000000023.nwmdb festgehaltenen Metadaten dar. Das Feld fileTime gibt insbesondere immer die Zeit an, zu der die Datei erstellt wurde (und nicht den Zeitpunkt der letzten Änderung). time1 und time2 entsprechen dem minimalen und maximalen Bereich der analysierten Daten in der Meta-DB-Datei. Beim Ausführen von zeitbasierten Verlaufssuchen werden die Felder time1 und time2 (sofern vorhanden) dem Feld fileTime vorgezogen. Manifestdateien für die anderen Datenbanken und den Index enthalten einige andere Felder, aber alle Manifestdateien umfassen genügend Informationen zum Ausführen zeitbasierter Abfragen.

Durchsuchen von historischen Manifesten

Wenn Manifeste in dem Verzeichnis gesammelt werden, auf das in der Datei manifest.dir verwiesen wird, wird davon ausgegangen, dass die Daten, auf die sich die Manifeste beziehen, in den Cold Tier kopiert und letztendlich auf einem Offlinespeichermedium gesichert wurden. Da der Service weiterhin auf die historischen Manifeste zugreifen kann, können zeitbasierte Abfragen für Offlinedaten durchgeführt werden. So kann ermittelt werden, welche Daten für einen bestimmten Zeitraum wiederhergestellt werden müssen.

Sie können Manifeste mithilfe des Befehls /database manifest durchsuchen:

 manifest: If a manifest directory is defined, it will allow operations on the manifest files (such as a time based query) for database files in cold storage. security.roles: database.manage parameters: op - <string, optional, {enum-one:query|compress}> The operation to perform (defaults to query) time1 - <date-time, optional> The beginning time (UTC) for matching offline database files time2 - <date-time, optional> The ending time (UTC) for matching offline database files timeFormat - <string, optional, {enum-one:posix|simple}> Specify the time format that is returned (posix, simple), default is posix 

Suchbeispiel:

/database manifest time1="2014-04-20 11:00:00" time2="2014-04-11 11:20:00" timeFormat=simple

Die Suche gibt alle Manifeste zurück, die der Abfrage entsprechen:

 [ filename=meta-000001691.nwmdb size=4843826176 fileTime="2014-Apr-20 11:06:34" id1=301555027452 id2=301733101896 session1=15352020201 session2=15361024200 time1="2014-Apr-20 11:05:34" time2="2014-Apr-20 11:16:34" compression=gzip ] [ filename=session-000001865.nwsdb size=268439552 fileTime="2014-Apr-20 11:06:35" id1=14674145801 id2=14682041000 metaId1=288217522208 metaId2=288370660984 packetId1=11733872441 packetId2=11741745303 ] [ filename=session-000001866.nwsdb size=268439552 fileTime="2014-Apr-20 11:18:31" id1=14682041001 id2=14689936200 metaId1=288370660985 metaId2=288520616949 packetId1=11741745304 packetId2=11749618589 ] 

Anhand der zurückgegebenen Ergebnisse kann abgeleitet werden, welche Dateien für den angegebenen Zeitraum aus dem Backup wiederhergestellt werden sollen. Für NetWitness Suite 10.4 und später kann der Workbench-Service verwendet werden, um die wiederhergestellten Dateien aufzunehmen und eine Abfrageoberfläche für die wiederhergestellten Daten mithilfe von Sammlungen bereitzustellen.

Die Einrichtung des Workbench-Services geht über den Rahmen dieses Dokuments hinaus. Weitere Informationen finden Sie unter „Konfigurieren von Datenbackup und -wiederherstellung“ im Konfigurationsleitfaden zu Archiver .

You are here
Table of Contents > Grundlegende Datenbankkonfiguration > Manifeste

Attachments

    Outcomes