Guide de configuration de la collecte Windows d'ancienne génération et NetApp

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Ce protocole Windows d'ancienne génération collecte des événements Windows d'ancienne génération (sources d'événements Windows 2003 ou versions antérieures) et des événements d'audit CIFS issus des sources d'événements ONTAP NetApp.

Vous devez déployer Log Collection, un ensemble composé d'un Local Collector et d'un Remote Collector Windows d'ancienne génération, avant de pouvoir configurer le protocole de collecte Windows d'ancienne génération.

Mode de fonctionnement de la collecte Windows d'ancienne génération et NetApp

Utilisez le protocole de collecte Windows d'ancienne génération pour configurer NetWitness Suite afin qu'il collecte les événements issus de :

  • Sources d'événements Microsoft Windows d'ancienne génération (Sources d'événements Windows 2003 et de version antérieure)
  • Sources d'événements NetApp

Sources d'événements Windows 2003 et de version antérieure

Les sources d'événements Windows d'ancienne génération sont antérieures aux versions Windows (telles que Windows 2000 et Windows 2003).  Le protocole de collecte de l'ancienne génération de Windows collecte les sources d'événements de Windows qui sont déjà configurées pour une collecte enVision pour éviter d'avoir à les reconfigurer. Configurez ces sources d'événements sous le type de source d'événement windows. 

Sources d'événements NetApp

Les appliances NetApp exécutant Data ONTAP prennent en charge un framework d'audit natif qui est similaire aux serveurs Windows. Une fois configuré, ce framework d'audit génère et enregistre les événements d'audit au format de fichier Windows .evt. Le protocole de collecte Windows d'ancienne génération prend en charge la collecte des événements tels que les fichiers NetApp.evt.  Configurez ces sources d'événements sous le type de source d'événement netapp_evt. 

L'appliance NetApp Data ONTAP est configurée pour générer des événements d'audit CIFS et les enregistrer périodiquement au format de fichiers as.evt incluant l'horodatage dans le nom de fichier. Pour plus d'informations, reportez-vous au Guide de configuration des sources d'événement de Network Appliance Data ONTAP sur RSA Link. Le protocole de collecte enregistre l'horodatage du dernier nom de fichier au format .evt traité pour suivre l'état de la collecte.

Paramètres spécifiques à NetApp

La plupart des paramètres gérés dans la boîte de dialogue Ajouter ou modifier la source s'appliquent à la fois aux sources d'événements Windows d'ancienne génération et NetApp.

Les deux paramètres suivants sont propres aux sources d'événements NetApp.

  • Chemin d'accès au répertoire d'événements - L'appliance NetApp génère des données d'événements et les enregistre dans des fichiers .evt au sein d'un répertoire qu'il est possible de partager sur l'appliance NetApp. NetWitness Suite nécessite que vous renseigniez ce chemin d'accès au répertoire dans les paramètres de Chemin d'accès au répertoire d'événements.
  • Préfixe des fichiers d'événements - Similaire au Chemin d'accès au répertoire d'événements, NetWitness Suite requiert que vous spécifiiez le préfixe (par exemple, adtlog.) des fichiers .evt de données d'événements afin que NetWitness Suite puisse traiter ces données.

Lors de chaque cycle d'interrogation, NetWitness Suite parcourt le chemin partagé NetApp qui a été configuré pour les fichiers .evt identifiés dans les paramètres Chemin d'accès au répertoire d'événements et Préfixe des fichiers d'événements. NetWitness Suite :

  • Trie les fichiers correspondants au format event-file-prefix.AAMMJJhhmmss.evt dans l'ordre ascendant.
  • Utilise l'horodatage du dernier fichier traité pour déterminer les fichiers qui doivent encore être traités. Si NetWitness Suite trouve un fichier traité partiellement, il ignore les événements déjà traités.

Scénario de déploiement

Le protocole de collecte de l'ancienne génération de Windows collecte les événements de données issus des sources d'événements Windows 2003 ou version antérieure, et de l'appliance NetApp ONTAP. Le collecteur distant de l'ancienne génération de Windows correspond au SA Legacy Windows Collector installé sur un serveur 64 bits physique ou virtuel doté de Windows 2008 dans votre domaine de source d'événement.

Windows Legacy Multi-Domain workflow.

You are here
Table of Contents > Protocole de collecte > Guide de configuration de la collecte Windows d'ancienne génération et NetApp

Attachments

    Outcomes