Archiver: Configurar el almacenamiento activo, semiactivo e inactivo

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se proporcionan instrucciones a los administradores para configurar el almacenamiento activo, semiactivo e inactivo total en un Archiver.

En un host de Archiver, el almacenamiento activo está preconfigurado en los valores predeterminados. Los administradores pueden configurar el almacenamiento activo, semiactivo e inactivo total para satisfacer sus requisitos de negocios específicos. En un Archiver, el almacenamiento activo total debe estar configurado, pero las configuraciones de almacenamiento semiactivo e inactivo son opcionales. NetWitness Suite no administra el almacenamiento inactivo.

Requisitos previos

Asegúrese de haber:

  1. Instalado el host de Archiver en el ambiente de red.
  2. Instalado y configurado Log Decoder en el ambiente de red.
  3. Agregado Archiver como un servicio principal en la implementación de NetWitness Suite.
  4. Agregado servicios Log Decoder como un origen de datos para Archiver.
  5. Instalado y configurado DAC u otro almacenamiento físico en el ambiente de red.
  6. Determinado los requisitos de retención y almacenamiento de registros.

Procedimientos

Configurar el almacenamiento activo total para un Archiver

  1. Vaya a ADMIN > Servicios.
  2. Seleccione el servicio Archiver y elija ic-actns.png > Ver > Configuración.

    Se muestra la vista Configuración de servicios de Archiver.

  3. En la pestaña Retención de datos, en la sección Almacenamiento activo total, haga clic en ic-settings.png para configurar el almacenamiento activo total.

    Se muestra la vista Configuración de servicios de Archiver.

  4. En el cuadro de diálogo Puntos de montaje del almacenamiento activo, agregue los puntos de montaje conectados al host de Archiver que desea incluir en Almacenamiento activo total.

    Estas son las rutas al almacenamiento de alto rendimiento, como el almacenamiento DAC y la SAN. No agregue recopilaciones ni subdirectorios a los puntos de montaje.

    Para agregar un punto de montaje, haga clic en ic-add.pngy escriba la ruta al punto de montaje.

    Se muestra el cuadro de diálogo Puntos de montaje del almacenamiento activo.

  5. Verifique que las rutas del punto de montaje estén correctas y haga clic en Guardar.
    NetWitness Suite creará automáticamente los directorios metadb, packetdb, sessiondb e index para cada recopilación definida en el Archiver:
    <storageLocation>/<CollectionName>/metadb
    <storageLocation>/<CollectionName>/packetdb
    <storageLocation>/<CollectionName>/sessiondb
    <storageLocation>/<CollectionName>/index

    Por ejemplo, si el punto de montaje es /var/netwitness/archiver, se crearán los siguientes directorios para cada una de las recopilaciones:
    /var/netwitness/archiver/<CollectionName>/metadb
    /var/netwitness/archiver/<CollectionName>/packetdb
    /var/netwitness/archiver/<CollectionName>/sessiondb
    /var/netwitness/archiver/<CollectionName>/index

    Tras el reinicio del servicio Archiver, los datos comenzarán a guardarse en las recopilaciones definidas. Asegúrese de que las recopilaciones de retención de registros estén correctas antes de reiniciar el servicio Archiver.

Precaución: Una vez que los datos se guardan en un punto de montaje, no se pueden eliminar de la interfaz del usuario.

Configurar el almacenamiento semiactivo total para un Archiver

(Opcional) El procedimiento para configurar el almacenamiento semiactivo total para un Archiver es el mismo que para el almacenamiento activo total, con excepción de que debe hacer clic en ic-settings.png en la sección Almacenamiento semiactivo total y agregar los puntos de montaje que desea usar para el almacenamiento semiactivo, los cuales son las rutas físicas al almacenamiento semiactivo, como el almacenamiento conectado en red (NAS).

Se muestra el cuadro de diálogo Puntos de montaje del almacenamiento semiactivo.

Configurar el almacenamiento inactivo total para un Archiver

(Opcional) El procedimiento para configurar el almacenamiento inactivo total para un Archiver es el mismo que para el almacenamiento activo total, con excepción de que debe hacer clic en ic-settings.png en la sección Almacenamiento inactivo total y que solo debe agregar un punto de montaje para el almacenamiento inactivo. NetWitness Suite no administra el almacenamiento inactivo.

Debe incluir el especificador de formato de nombre de la recopilación %n en alguna parte del nombre de ruta del punto de montaje del almacenamiento inactivo para evitar conflictos de nombre de archivo entre recopilaciones.

Se muestra el cuadro de diálogo Punto de montaje del almacenamiento inactivo.

Se permiten los siguientes especificadores de formato en la ruta:

                                   
Especificador de formatoDescripción
%nnombre de la recopilación (obligatorio)
%yaño en que los datos se transfirieron al almacenamiento inactivo
%mmes
%dday
%hhora
%##rbloque de horas para el día actual. Por ejemplo, si desea tres bloques de ocho horas, puede configurarlo en %8r. Las primeras 8 horas del día devuelven 0, las segundas 8 horas devuelven 1 y las últimas 8 horas del día devuelven 2.

Los cambios se hacen efectivos inmediatamente.

Por ejemplo, si tiene una recopilación llamada compliance y crea la siguiente ruta de almacenamiento inactivo:

/sa-cold-storage/%n/%y-%m-%d/

NetWitness Suite crea un directorio cada día con el siguiente formato:

/sa-cold-storage/compliance/2015-11-20/

Características de almacenamiento en niveles activo, semiactivo e inactivo

En la siguiente tabla se describen las características de los cuadros de diálogo del almacenamiento de los niveles activo, semiactivo e inactivo.

                               
FunciónDescripción
ic-add.png Agrega un punto de montaje.
ic-delete.png Elimina un punto de montaje. No puede eliminar un punto de montaje que esté en uso, a menos que elimine las recopilaciones asociadas.
ic-checkbox.png Seleccione los puntos de montaje que desea incluir para el almacenamiento activo, semiactivo e inactivo total. Solo puede seleccionar un punto de montaje para el almacenamiento inactivo total.
Mount Point

Muestra la ruta al almacenamiento físico conectado. Por ejemplo: /var/netwitness/archiver/database0, que es la ubicación de la DAC del almacenamiento activo.

No se deben agregar recopilaciones o subdirectorios a los puntos de montaje. NetWitness Suite creará automáticamente los directorios metadb, packetdb, sessiondb e index para cada recopilación definida en el Archiver:
<storageLocation>/<CollectionName>/metadb
<storageLocation>/<CollectionName>/packetdb
<storageLocation>/<CollectionName>/sessiondb
<storageLocation>/<CollectionName>/index

Por ejemplo, si el punto de montaje del almacenamiento activo es /var/netwitness/archiver, se crearán los siguientes directorios para cada una de las recopilaciones:
/var/netwitness/archiver/<CollectionName>/metadb
/var/netwitness/archiver/<CollectionName>/packetdb
/var/netwitness/archiver/<CollectionName>/sessiondb
/var/netwitness/archiver/<CollectionName>/index

Para el almacenamiento inactivo, debe incluir el especificador de formato de nombre de la recopilación %n en alguna parte del nombre de ruta del punto de montaje del almacenamiento inactivo para evitar conflictos de nombre de archivo entre recopilaciones.

Tamaño del almacenamientoMuestra el tamaño del almacenamiento conectado. En la pestaña Retención de datos se muestra la cantidad total de almacenamiento para su referencia.

Recopilaciones

En la sección Recopilaciones se enumeran todas las recopilaciones de almacenamiento junto con el almacenamiento total para el almacenamiento activo y semiactivo.

En la sección Recopilaciones se muestran todas las recopilaciones de almacenamiento.

Características de recopilaciones

En la siguiente tabla se describen los íconos y las columnas de la sección Recopilaciones. Puede ocultar algunas de las columnas de acuerdo con sus requisitos.

                                                                                 
FunciónDescripción
ic-add.png Abre el cuadro de diálogo Recopilaciones, en el cual puede agregar una recopilación de almacenamiento.
ic-delete.png Elimina la recopilación seleccionada. La eliminación de la recopilación quita de manera definitiva todos los datos almacenados de la recopilación, pero los directorios de datos vacíos permanecen.
ic-edit.png Abre el cuadro de diálogo Recopilaciones, en el cual puede editar la recopilación seleccionada.
ic-refresh.png Actualiza la información de la recopilación
ic-checkbox.png Selecciona una recopilación. Por ejemplo, puede seleccionar una recopilación para editarla o eliminarla.
Collection

Muestra el nombre de la recopilación, como Default, Compliance, MediumValue y LowValue. Puede crear varias recopilaciones con distintos criterios para la retención de registros. Si no crea ninguna, se utiliza la recopilación Predeterminada.

Si una recopilación tiene errores, el nombre de la recopilación y las columnas con errores aparecen en texto de color rojo.

Uso/almacenamiento activoMuestra el uso del almacenamiento activo actual y el almacenamiento activo máximo para la recopilación. Cuando el tamaño de los registros alcanza la cantidad máxima del almacenamiento activo, los registros se quitan o se transfieren al siguiente nivel de almacenamiento disponible (semiactivo o inactivo).
Uso/almacenamiento semiactivoMuestra el uso del almacenamiento semiactivo actual y el almacenamiento semiactivo máximo para la recopilación. Cuando el tamaño de los registros alcanza la cantidad máxima del almacenamiento semiactivo, los registros se quitan o se transfieren al almacenamiento inactivo disponible.
Almacenamiento inactivoIndica si el almacenamiento inactivo está habilitado o deshabilitado. Un círculo verde indica que el almacenamiento inactivo está habilitado (). Un círculo blanco indica que el almacenamiento inactivo está deshabilitado.
RetenciónMuestra la cantidad de días que se conservan los registros antes de que se quiten o se transfieran de manera opcional al almacenamiento inactivo. Sin límite indica que la retención de registros no se limita a una cantidad especificada de días.
En el caso del almacenamiento activo y semiactivo, los ajustes del tamaño y el período de retención para una recopilación pueden reemplazarse mutuamente en función del criterio que se cumple primero (tamaño o tiempo).
Velocidad (última hora)Muestra la cantidad de registros capturados durante la última hora.
Fecha más antiguaMuestra la fecha y la hora de la última captura de registros.
DuraciónMuestra hace cuántos días se capturó el último registro. Por ejemplo: 20 días.
CompresiónMuestra el tipo de compresión utilizado para los metadatos y los datos crudos en la recopilación.
HashMuestra si hash está habilitado o deshabilitado. Cuando está habilitado, el algoritmo hash se usa para verificar la integridad de los datos de los archivos que se guardan. De forma predeterminada, los únicos datos a los cuales se aplica hash son los registros crudos y los archivos hash se guardan en el mismo directorio que los datos.
# of Rules

Muestra la cantidad de reglas aplicadas a la recopilación.
Defina al menos una regla para cada recopilación. Una recopilación sin reglas asociadas muestra un cero en texto rojo como una advertencia: El nombre de la recopilación también aparece en texto de color rojo, lo cual indica un error en la recopilación.

Precaución: Si una recopilación no tiene una regla, nunca ingresarán registros en ella.

AccionesPermite ver las reglas asociadas con una recopilación en la sección Regla de retención cuando se selecciona <botón acciones> > Seleccionar reglas. En la sección Regla de retención, puede cambiar la prioridad general de las reglas de recopilación.
Almacenamiento total Muestra el uso actual del almacenamiento activo total y el almacenamiento activo total máximo en la parte inferior de la columna Uso/almacenamiento activo. También muestra el uso actual del almacenamiento semiactivo total y el almacenamiento semiactivo total máximo en la parte inferior de la columna Uso/almacenamiento semiactivo.

Los errores en la recopilación aparecen en texto de color rojo. Un subrayado punteado indica que está disponible un mensaje de globo con información sobre el error.

Los errores en la recopilación se muestran en texto de color rojo.

Las recopilaciones con la edición deshabilitada (atenuada) también tienen mensajes de globo que proporcionan información sobre el problema.

Reglas de retención

En la sección Reglas de retención se indican todas las reglas de retención que se utilizan para las recopilaciones de almacenamiento enumeradas en el orden de ejecución de las reglas.

Ejemplo de la sección Reglas de retención.

En la siguiente tabla se describen las funciones de la sección Regla de retención.

                                                               
FunciónDescripción
ic-add.png Abre el cuadro de diálogo Definición de regla, en el cual puede agregar una regla de retención que se usará en una recopilación de almacenamiento.
ic-delete.png Elimina la regla de retención seleccionada. Para que las recopilaciones de registros recopilen y almacenen datos del registro, debe asociarlas al menos con una regla de retención.
ic-edit.png Abre el cuadro de diálogo Definición de regla, en el cual puede editar la regla de retención seleccionada.
ic-refresh.png Actualiza la información de la regla de retención.
ic-up.png Subir

Hace que la regla de retención seleccionada suba en la lista de prioridad de las reglas de retención. El orden de las reglas de retención es muy importante. NetWitness Suite evalúa las reglas de retención para todas las recopilaciones en orden numérico según el número que se indica en la columna Orden de la sección Regla de retención.

También puede usar arrastrar y soltar para cambiar el orden de las reglas de retención.

ic-down.png BajarHace que la regla de retención seleccionada baje en la lista de prioridad de las reglas de retención. El orden de las reglas de retención es muy importante. NetWitness Suite ejecuta las reglas de retención para todas las recopilaciones en orden numérico según el número que se indica en la columna Orden de la sección Regla de retención.
AplicarGuarda el cambio en el orden de las reglas.
ic-revert.png RevertirRevierte el cambio en el orden de las reglas.
ic-checkbox.png Selecciona o muestra una regla de retención seleccionada.
OrdenMuestra el orden de una regla en la lista general de reglas de retención.
Nombre de la reglaMuestra el nombre de la regla, como ComplianceDevices y GeneralWindowsLogs.
Condición

Muestra las condiciones para la regla. Estas condiciones especifican el tipo de registros que se incluirán en la recopilación.

Definir reglas de retención presenta la regla que se aplica a todas las consultas y las condiciones de regla en los servicios principales.

CollectionMuestra el nombre de la recopilación y la cantidad de días que se conserva. Por ejemplo: MediumValue (30 días)

Cuadro de diálogo Recopilación

En ADMIN > Servicios > vista Configuración > pestaña Retención de datos de un Archiver, los administradores pueden definir los criterios para el almacenamiento y la retención de registros. En el cuadro de diálogo Recopilación, al cual se accede desde la sección Recopilaciones, puede definir las recopilaciones de almacenamiento individuales que se usarán para los distintos tipos de registros. Por ejemplo, tal vez desee crear recopilaciones por motivos de cumplimiento de normas o conservar registros importantes de manera selectiva.

Los procedimientos relacionados con este cuadro de diálogo se describen en Configurar el almacenamiento y la retención de registros de Archiver y Configurar recopilaciones de almacenamiento de registros.

Para acceder al cuadro de diálogo Recopilación:

  1. Seleccione ADMIN > Servicios.
  2. Seleccione un servicio Archiver y elija >Ver > Configuración.
  3. En la vista Configuración de servicios correspondiente al servicio, haga clic en la pestaña Retención de datos.
  4. En la sección Recopilaciones, haga clic en ic-add.png para agregar o editar la regla.
    Se muestra el cuadro de diálogo Recopilación.

Se muestra el cuadro de diálogo Recopilación de Archiver.

En la siguiente tabla se describen los campos del cuadro de diálogo Recopilación.

                                   > 
CampoDescripción
Nombre de recopilaciónEspecifique un nombre para la recopilación, como Compliance, MediumValue o LowValue.
Almacenamiento activo Especifique el tamaño máximo o el porcentaje del almacenamiento activo que se usará para esta recopilación. El espacio libre disponible que se usará para el almacenamiento activo y el almacenamiento activo total se muestran junto a este campo.
Cuando el tamaño de los registros alcanza el tamaño máximo del almacenamiento activo, los registros se quitan o se transfieren al siguiente nivel de almacenamiento disponible (semiactivo o inactivo).
Almacenamiento semiactivo(Opcional) Especifique el tamaño máximo o el porcentaje del almacenamiento semiactivo que se usará para esta recopilación. El espacio libre disponible que se usará para el almacenamiento semiactivo y el almacenamiento semiactivo total se muestran junto a este campo.
Cuando los registros alcanzan el tamaño máximo del almacenamiento semiactivo, se quitan o se transfieren al almacenamiento inactivo disponible.
Almacenamiento inactivo(Opcional) Especifique si desea usar almacenamiento inactivo para esta recopilación. Si utiliza almacenamiento inactivo para la recopilación, los registros que superan los límites de tamaño y retención especificados se transfieren al almacenamiento inactivo. Si no lo utiliza, los registros que superan estos límites se quitan.
Retención(Opcional) Especifique la cantidad de días que se conservan los registros antes de que se quiten o se transfieran al almacenamiento inactivo.
En el caso del almacenamiento activo y semiactivo, los ajustes del tamaño y el período de retención para una recopilación pueden reemplazarse mutuamente en función del criterio que se cumple primero (tamaño o tiempo).
CompresiónEspecifique el tipo de compresión que se usará para los metadatos y los registros crudos en la recopilación. Puede comprimir los metadatos y los registros crudos mediante GZIP o LZMA para ahorrar espacio. GZIP es muy rápido para comprimir y descomprimir, pero no comprime tan bien como LZMA. LZMA ofrece una mejor compresión a expensas de la velocidad de descompresión (aproximadamente tres veces más lenta que la de GZIP). Las relaciones de compresión dependen en gran medida de los datos.
La compresión predeterminada es GZIP.
HashEspecifique si desea habilitar o deshabilitar hash. Cuando está habilitado, el algoritmo hash se usa para verificar la integridad de los datos de los archivos que se guardan. De forma predeterminada, los únicos datos a los cuales se aplica hash son los registros crudos y los archivos hash se guardan en el mismo directorio que los datos.

Nota: Cuando se disminuyen las asignaciones de almacenamiento de recopilación o se reduce el tiempo de retención, pueden pasar varios minutos o varias horas antes de que se transfieran los datos y que el espacio esté disponible en función de la cantidad de datos que se transfieren. Los tiempos predeterminados son cada 20 minutos para una transferencia por tamaño y cada seis horas para una transferencia por tiempo.

Cuadro de diálogo Definición de regla

En ADMIN > Servicios > vista Configuración > pestaña Retención de datos de un Archiver, los administradores pueden definir los criterios para el almacenamiento y la retención de registros. En el cuadro de diálogo Definición de regla, al cual se accede desde la sección Reglas de retención, puede definir reglas de retención que se usarán para las recopilaciones de almacenamiento.

Los procedimientos relacionados con este cuadro de diálogo se describen en Configurar el almacenamiento y la retención de registros de Archiver y Definir reglas de retención.

Para acceder al cuadro de diálogo Definición de regla:

  1. Seleccione ADMIN > Servicios.
  2. Seleccione un servicio Archiver y elija >Ver > Configuración.
  3. En la vista Configuración de servicios correspondiente al servicio, haga clic en la pestaña Retención de datos.
  4. En la sección Regla de retención, haga clic en o en .
    Se muestra el cuadro de diálogo Definición de regla.
    Se muestra el cuadro de diálogo Definición de regla.

En la siguiente tabla se describen los campos del cuadro de diálogo Definición de regla.

      >        >   > 
CampoDescripción
NombreEspecifique un nombre único para la regla de retención. Por ejemplo: ComplianceDevices
Condición

Especifique las condiciones para el tipo de registros que desea incluir en la recopilación.

Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP.

Por ejemplo:

device.group='PCI Devices' || device.group='HIPPA Devices'

CollectionSeleccione la recopilación en la cual desea aplicar esta regla. Por ejemplo: Cumplimiento de normas

Paso siguiente

Configurar recopilaciones de almacenamiento de registros.

You are here
Table of Contents > Configuración básica de Archiver > Paso 3. Configurar el almacenamiento y la retención de registros de Archiver > Configurar el almacenamiento activo, semiactivo e inactivo

Attachments

    Outcomes