Architecture de collecte de logs

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique décrit comment NetWitness Suite effectue la collecte des logs.

Comment déployer Log Collection

Vous pouvez déployer Log Collection selon les besoins et préférences de votre entreprise. Vous pouvez ainsi déployer Log Collection sur plusieurs sites et collecter des données de différents jeux de sources d'événements. Pour cela, vous devez configurer un collecteur local avec un ou plusieurs collecteurs distants.

Composants de Log Collection

La figure suivante illustre l'ensemble des composants impliqués dans la collecte d'événements via NetWitness Suite Log Collector.

Example shows all the components involved in log collection through the NetWitness Suite.

Collecteurs locaux et distants

La figure suivante explique comment les collecteurs locaux et distants interagissent pour collecter des événements auprès de tous vos sites.

Dans ce scénario, la collecte des journaux à partir de différents protocoles comme Windows, ODBC, etc. est effectuée via les services du collecteur distant et Log Collector. Si la collecte des journaux est effectuée par le collecteur local, elle est transmise au service Log Decoder, comme dans le cas d'un déploiement local. Si elle est effectuée par un collecteur distant, elle peut être transmise de deux façons au collecteur local :

  • Par extraction : à partir d'un collecteur local, vous sélectionnez les collecteurs distants desquels extraire les événements.
  • Par transmission : à partir d'un collecteur distant, vous sélectionnez le collecteur local auquel transmettre les événements.

Remarque : l'exemple d'utilisation classique est par transmission. L'extraction est disponible si vous disposez d'une zone démilitarisée dans votre environnement. Les segments réseau moins sécurisés ne peuvent pas établir de connexions avec des segments de réseau plus sécurisés. Avec l'extraction, le Log Collector (ou Virtual Log Collector) sur le réseau sécurisé établit la connexion au VLC sur le réseau moins sécurisé et les logs sont ensuite transférés sans rompre les règles de connexion.

Vous pouvez configurer un ou plusieurs collecteurs distants pour transmettre les données d'événements à un collecteur local, ou vous pouvez configurer un collecteur local pour extraire les données d'événements d'un ou de plusieurs collecteurs distants.

En outre, vous pouvez configurer une chaîne de Remote Collectors pour laquelle vous pouvez configurer :

  • Un ou plusieurs collecteurs distants pour transmettre les données d'événement à un collecteur distant.
  • Un collecteur distant pour extraire les données à partir d'un ou plusieurs collecteurs distants.

Example shows a Remote Collector pulling event data from one or more Remote Collectors.

Windows Legacy Remote Collector

Le Collector RSA NetWitness® Suite  Windows d'ancienne génération est un Remote Log Collector (RC) basé sur Microsoft Windows qui peut être installé sur un domaine Windows.

Il prend en charge :

  • Les sources d'événements Windows 2003 et versions antérieures
  • Les fichiers evt d'hôte NetApp ONTAP

La figure suivante illustre le déploiement requis pour collecter des événements auprès des sources d'événements Windows d'ancienne génération.

Example illustrates the deployment required to collect events from Windows Legacy event sources.

You are here
Table of Contents > Architecture de collecte de logs

Attachments

    Outcomes