Archiver: Paso 2. Agregar Log Decoder como un origen de datos en Archiver

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Para agregar un Log Decoder como un origen de datos en Archiver, debe haber instalado el host de Archiver en el ambiente de red, haber instalado y configurado un Log Decoder en su ambiente de red y haber agregado el host de Archiver en NetWitness Suite, y debe asegurarse de que el servicio Archiver se muestre como activo y con licencia.

Agregar Log Decoder como un origen de datos en Archiver

Para agregar un Log Decoder como un origen de datos en un Archiver:

  1. Vaya a ADMIN > Servicios.
  2. Seleccione el servicio Archiver.
  3. En la columna Acciones , seleccione Ver > Configuración.
    Se muestra la vista Configuración de servicios de Archiver.
  4. En la pestaña General, panel Servicios agregados, haga clic en .

    Se muestra el cuadro de diálogo Servicios disponibles.

    Se muestra el cuadro de diálogo Servicios disponibles.

  5. Seleccione el servicio Log Decoder que desea agregar como un origen de datos en Archiver y haga clic en Aceptar.
  6. Si el Log Decoder está utilizando el modelo de confianza, aparece un cuadro de diálogo Agregar servicio.



  7. Escriba el nombre de usuario y la contraseña del Log Decoder y configure los ajustes de SSL.
  8. Haga clic en Aceptar.
    El servicio de Log Decoder seleccionado se muestra en el panel Servicios agregados.

Consideraciones de configuración de metadatos de Archiver

Para maximizar el tiempo de retención, los elementos de metadatos y el índice del Archiver se redujeron (en comparación con el Concentrator) con el fin de apoyar las necesidades comunes de creación de informes. Esto significa que, de forma predeterminada, tal vez no pueda ejecutar en el Archiver todos los informes que ejecuta en el Concentrator. Puede ver una lista de elementos de metadatos e índice actuales que utiliza el Archiver en las siguientes ubicaciones:

  • Vista Explorador: En la ruta /archiver/devices/<logdecoder>/config/options en el campo Inclusión de metadatos se muestra la lista actual de elementos de metadatos.
  • Vista Configuración > pestaña Archivos: El archivo index-archiver.xml muestra la configuración predeterminada del índice. El archivo index-archiver-custom.xml muestra las modificaciones.

Los elementos de metadatos y el índice de Archiver se pueden personalizar para apoyar necesidades de creación de informes específicas del cliente, sin embargo esto requerirá el soporte de almacenamiento, recursos de CPU y recursos de memoria adicionales y puede afectar el tiempo de retención. A medida que se agregan más elementos de metadatos al Archiver, disminuirá la tasa de agregación máxima y aumentará el tiempo de ejecución de los informes.

Consulte (Opcional) Configurar filtros de metadatos para agregación y (Opcional) Agregar entradas de índice para la creación de informes de Archiver para obtener información adicional.

(Opcional) Configurar filtros de metadatos para agregación

Siga este procedimiento para ver y agregar elementos de metadatos adicionales al Archiver.

Precaución: La adición de metadatos o índices requerirá el soporte de almacenamiento, recursos de CPU y recursos de memoria adicionales y puede afectar el tiempo de retención. A medida que se agregan más elementos de metadatos al Archiver, disminuirá la tasa de agregación máxima y aumentará el tiempo de ejecución de los informes.

  1. Para ver los elementos de metadatos actuales, en el panel Servicios agregados, seleccione el servicio Log Decoder y haga clic en ic-info.png en el campo Inclusión de metadatos.
  2. Para agregar elementos de metadatos adicionales, seleccione el servicio Log Decoder y haga clic en ic-edit.png.


  3. En el cuadro de diálogo Editar servicio agregado, seleccione los elementos de metadatos que se incluirán en la lista Inclusión de metadatos. Por ejemplo, puede considerar la inclusión de ip.srcport, tcp.srcport, udp.srcport, msg, url, query, bytes, alias.host, ip.dst, ip.dstport, ip.src, tcp.dstport, megabytes, time, event.desc y word.
  4. Haga clic en Guardar y, a continuación, en Aplicar.
  5. Consulte (Opcional) Agregar entradas de índice para la creación de informes de Archiver, a continuación, para obtener información sobre cómo indexar las claves de metadatos adicionales.

(Opcional) Agregar entradas de índice para la creación de informes de Archiver

Precaución: La adición de metadatos o índices requerirá el soporte de almacenamiento, recursos de CPU y recursos de memoria adicionales y puede afectar el tiempo de retención. A medida que se agregan más elementos de metadatos al Archiver, disminuirá la tasa de agregación máxima y aumentará el tiempo de ejecución de los informes.

La configuración predeterminada del índice del Archiver solo incluye índices de valores de las siguientes claves:

  • time
  • origen de Decoder (did)
  • cuenta de usuario de destino (user.dst)
  • ID de alerta (alert.id)
  • dirección IP de dispositivo (device.ip)
  • dirección IP de origen (ip.src)
  • dirección IP de destino (ip.dst)
  • descripción de evento (event.desc)
  • clase de dispositivo (device.class)
  • medium
  • nombre de objeto (obj.name)
  • palabra

Para obtener información sobre cómo personalizar esta lista, consulte Personalización del índice de la Guía de ajuste de la base de datos de Core.

You are here
Table of Contents > Configuración básica de Archiver > Paso 2. Agregar Log Decoder como un origen de datos en Archiver

Attachments

    Outcomes