Configuration d’ESA : Vérifier la version et l'état des composants ESA

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique fournit des informations contient des instructions sur la consignation des audits et des instructions pour vérifier les versions des composants Event Stream Analysis installés. Ces procédures s’appliquent aux règles de corrélation ESA.

Règles de consignation des audits

La consignation des audits vous permet d’afficher d’autres informations sur les règles qui sont créées et modifiées dans NetWitness Suite.

Pour savoir comment accéder à vos logs d’audit, reportez-vous à la rubrique Emplacements des logs d'audit locaux dans le Guide de Configuration système.

L’exemple suivant montre comment créer, mettre à jour et supprimer un log pour une règle donnée.

  • Exemple de création de log : 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS" category: SYSTEM operation: "CREATE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true, Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR"
  • Exemple de mise à jour de log : 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS" category: SYSTEM operation: "UPDATE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true , Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR
  • Exemple de suppression de log : 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS"category: SYSTEM operation: "DELETE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true , Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR "

Chaque log contient les paramètres suivants :

  • Horodatage : Heure de modification de la règle. Exemple : 2016-03-10 14:19:37,951

  • VersionPériphérique : Version de votre périphérique ESA. Exemple : "10.6.1.0-SNAPSHOT"

  • ServicePériphérique : Exemple : EVENT_STREAM_ANALYSIS

  • Categorie : Exemple : SYSTEM

  • Exemple d’opération : DELETE/CREATE/UPDATE RULE

  • Paramètres : Espace réservé pour les clés suivantes :

  • Identifiant Module EPL : identifiant unique pour la règle. Exemple : 56e1f2adbee8290008241296

  • Instance Esper : Instance Esper sur laquelle la règle est déployée. Exemple : par défaut

  • Règle activée : Indique si la règle est activée ou non. Exemple : Règle activée : true

  • Règle d'évaluation : Indique si la règle est configurée en tant que règle d’évaluation ou non. Exemple : Règle d’évaluation : false

  • Règle EPL : Affiche la syntaxe de la règle. Exemple :

    @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR+ROLE_ESA_ADMINISTRATOR+ROLE_ESA_ADMIN"

  • Identité : Exemple : admin

  • userRole: Exemple : "ROLE_ESA_ADMINISTRATOR"

    Remarque : Lorsqu’une règle est désactivée, deux logs sont générés pour la même règle. Tout d'abord, un journal d'audit de la règle de suppression « Delete Rule » [Rule enabled attribute = true] est créé, suivi d'un journal d'audit de la règle de création « Create Rule » [Rule enabled attribute =false].

Vérifier la version du serveur ESA

Pour vérifier la version du serveur ESA :

  1. Utilisez SSH pour vous connecter au service ESA et connectez-vous en tant qu'utilisateur root.
  2. Saisissez la commande suivante et appuyez sur ENTRÉE :
    rpm -qa | grep rsa-nw-esa-server
    La version du serveur ESA s’affiche.

Vérifier la version de MongoDB

Pour vérifier la version de MongoDB :

  1. Utilisez SSH pour vous connecter au service ESA et connectez-vous en tant qu'utilisateur root.
  2. Saisissez la commande suivante et appuyez sur ENTRÉE :
    mongo --version
    La version MongoDB s'affiche.

Vérifier l'état de MongoDB

Pour vérifier l'état de MongoDB :

  1. Utilisez SSH pour vous connecter au service ESA et connectez-vous en tant qu'utilisateur root.
  2. Saisissez la commande suivante et appuyez sur ENTRÉE :
    systemctl status mongod
  3. Exécutez la commande suivante si MongoDB ne fonctionne pas.
    systemctl start mongod
Next Topic:Références 
You are here
Table of Contents > Procédures des règles de corrélation ESA supplémentaires > Vérifier la version et l'état des composants ESA et audits des logs

Attachments

    Outcomes