Configurer des collecteurs locaux et des collecteurs distants

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique décrit comment configurer des collecteurs locaux et distants.

Lorsque vous déployez Log Collection, vous devez configurer les Log Collectors pour qu'ils collectent les événements de log auprès des diverses sources d'événements, puis pour qu'ils fournissent de manière fiable et sécurisée ces événements au service Log Decoder, dans lequel ils sont décryptés et stockés pour analyse ultérieure.

Vous pouvez configurer un ou plusieurs collecteurs distants pour transmettre les données d'événements à un collecteur local, ou vous pouvez configurer un collecteur local pour extraire les données d'événements d'un ou de plusieurs collecteurs distants.

Cette section explique comment :

  • Configurer un collecteur local pour qu'il extraie des événements d'un collecteur distant

    Si vous souhaitez qu'un collecteur local extraie des événements à partir d'un collecteur distant, configurez ce paramètre dans l'onglet Collecteurs distants de la vue Configuration du collecteur local.

  • Configurer un collecteur distant pour qu'il transmette des événements à des collecteurs locaux

    Si vous souhaitez qu'un collecteur distant extraie des événements à partir d'un collecteur local, configurez ce paramètre dans l'onglet Collecteur local de la vue Configuration du collecteur distant. Dans la configuration de transmission, vous pouvez aussi :

    • Configurer un collecteur local de basculement pour le collecteur distant

      Configurez une destination composée de collecteurs locaux.  Lorsque le collecteur local principal est injoignable, le collecteur distant tente de se connecter à chaque collecteur local de cette destination jusqu'à ce qu'il réussisse à établir la connexion.

    • Configurer la réplication

      Vous configurez plusieurs groupes de destinations afin que NetWitness réplique les données d'événements dans chaque groupe. Si la connexion à l'un des groupes de destinations échoue, vous pouvez restaurer les données requises, car elles sont répliquées dans l'autre groupe de destinations.

    • Configurer le routage de logs pour des protocoles spécifiques

      Vous configurez plusieurs destinations dans un groupe de destinations afin de diriger les données d'événements vers des emplacements spécifiques en fonction du type de protocole.

  • Configurer une chaîne de collecteurs distants

    Vous pouvez configurer une chaîne de collecteurs distants pour transmettre les données d'événements à un collecteur local, ou vous pouvez configurer un collecteur local pour extraire les données d'événements d'une chaîne de collecteurs distants.

    • Vous pouvez configurer un ou plusieurs collecteurs distants pour transmettre les données d'événement à un collecteur distant.
    • Vous pouvez configurer un collecteur distant pour qu'il extraie les données d'événement d'un ou plusieurs collecteurs distants.

Basculement sur incident, réplication et équilibrage de charge

Cette rubrique décrit le basculement sur incident, la réplication et l'équilibrage de travail dans RSA NetWitness Suite.

La figure suivante illustre un collecteur distant configuré pour l'équilibrage de charge, le basculement sur incident et la réplication.

Example illustrates a Remote Collector configured for load balancing, failover, and replication.

  • Le basculement sur incident est obtenu en configurant plusieurs collectors dans la même destination. La destination 1 a un Collector primaire et la seconde, un Collector de basculement sur incident. Cela s'effectue dans NetWitness Suite en ajoutant différents Log Collectors vers la même destination.

    Example shows multiple Log Collector addresses that correspond to the same destination.

    Étant donné que la valeur 10.101.214.8 est répertoriée en première, elle devient le collector primaire et 10.101.214.9 devient le basculement sur incident. Pour faire de 10.101.214.9 le collector primaire, utilisez la flèche vers le haut pour modifier l'ordre.

    Ci-dessous, vous pouvez voir les deux collectors répertoriés pour la destination 1. Le collector primaire (10.101.214.8) est en gras.

      Example shows two Log Collectors listed for Destination 1.

  • La réplication s'effectue en ayant plusieurs groupes de destination : chaque groupe reçoit l'ensemble des données du message.

    Example of replication that is accomplished by having multiple Destination Groups.

    Dans l'écran suivant, vous pouvez voir que les données du message sont envoyées aux collectors du groupe 1 et du groupe 2.

    Example of message data that is sent to collectors in Group 1 and Group 2.

  • L'équilibrage de charge est obtenu en configurant plusieurs destinations dans un groupe.

    Load balancing is achieved by setting up multiple Destinations within a Group.

    Dans l'écran suivant, vous pouvez voir que le groupe 1 a deux destinations, Destination 1 et Destination 2. Les données du message sont équitablement divisées entre les destinations dans le groupe.

    Message data is divided up equally among the Destinations in the group.

    Avec deux destinations, chaque destination reçoit la moitié des données du message. Avec trois destinations, chacune reçoit 1/3 du total des données du message. Continuez d'ajouter des destinations pour réduire davantage la charge sur les collectors dans chaque destination.

Remarque : Vous pouvez également configurer le routage des logs afin que ces données d'événements pour des protocoles spécifiques soient envoyées vers des destinations.

Configurer un collecteur local ou un collecteur distant

Vous choisissez le Log Collector, qui est un collecteur local (LC) ou distant (RC), pour lequel vous souhaitez définir des paramètres de déploiement dans la vue Services. La procédure suivante indique comment accéder à la vue Services, sélectionner un connecteur local ou distant, puis afficher l'interface des paramètres de déploiement pour ce service.

Pour configurer un collecteur local ou un collecteur distant :

  1. Accédez à ADMIN > Services.
  2. Sélectionnez un service de collecte de logs local ou à distance.
  3. Sous Actions, sélectionnez   > Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. En fonction de votre sélection à l'étape 2 :

    • Si vous avez sélectionné un collecteur local, l'onglet Collecteurs distants s'affiche. Sélectionnez les collecteurs distants à partir desquels le collecteur local extrait les événements dans cet onglet.
    • Si vous avez sélectionné un collecteur distant, les Collecteurs locaux s'affichent. Sélectionnez les collecteurs locaux vers lesquels le collecteur distant envoie des événements dans cet onglet.

Onglets Collecteurs distants

La figure suivante illustre l'onglet Collecteurs distants pour un collecteur local qui est configuré pour extraire les événements d'un collecteur distant. NetWitness Suite affiche cet onglet lorsque vous avez sélectionné un collecteur local dans Admin > Services.

Example of the Remote Collectors tab.

Onglet Local Collectors pour un Remote Collector

La figure suivante présente un onglet Collecteurs locaux concernant un collecteur distant configuré pour transmettre des événements à un collecteur local ou à un autre collecteur distant.

Example of the Local Collectors tab.

La figure suivante illustre l'onglet Collecteurs locaux pour un collecteur local qui est configuré pour extraire les événements d'un collecteur distant. NetWitness Suite affiche cet onglet lorsque vous avez sélectionné un collecteur distant dans Admin > Services.

Example of the Remote Collectors tab.

Paramètres

Paramètres de configuration du collecteur distant et du collecteur local

You are here
Table of Contents > Configuration > Ajouter des collecteurs locaux et distants > Configurer les collecteurs locaux et distants

Attachments

    Outcomes