Configuración de ESA: Verificar las versiones y el estado de los componentes de ESA

Document created by RSA Information Design and Development on Apr 27, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se proporcionan detalles sobre el registro de auditoría e instrucciones para verificar las versiones de los componentes de Event Stream Analysis instalados. Estos procedimientos se aplican a las reglas de correlación de ESA.

Reglas de registro de auditoría

El registro de auditoría permite ver los detalles acerca de las reglas que se crean y se editan en NetWitness Suite.

Para obtener detalles sobre cómo acceder a los registros de auditoría, consulte “Ubicaciones de los registros de auditoría locales” en la Guía de configuración del sistema.

El siguiente ejemplo muestra un registro de creación, actualización y eliminación para una regla determinada.

  • Ejemplo de registro de creación: 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS" category: SYSTEM operation: "CREATE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true, Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR"
  • Ejemplo de registro de actualización: 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS" category: SYSTEM operation: "UPDATE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true , Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR
  • Ejemplo de registro de eliminación: 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS"category: SYSTEM operation: "DELETE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true , Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR "

Cada registro contiene los siguientes parámetros:

  • Time stamp: La hora en que se modificó la regla. Ejemplo: 2016-03-10 14:19:37,951

  • DeviceVersion: Versión del dispositivo ESA. Ejemplo: "10.6.1.0-SNAPSHOT"

  • DeviceService: Ejemplo: EVENT_STREAM_ANALYSIS

  • Category: Ejemplo: SYSTEM

  • Operation: Ejemplo: DELETE/CREATE/UPDATE RULE

  • Parámetros: Marcador de posición para las siguientes claves:

  • Epl Module Identifier: Identificador único de la regla. Ejemplo: 56e1f2adbee8290008241296

  • Esper Instance: Instancia de Esper en la cual se implementa la regla. Ejemplo: default

  • Rule Enabled: Muestra si la regla está o no habilitada. Ejemplo: Rule Enabled: true

  • Trial Rule: Muestra si la regla está o no configurada como una regla de prueba. Ejemplo: Trial Rule: false

  • Epl Rule: Muestra la sintaxis de la regla. Ejemplo:

    @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR+ROLE_ESA_ADMINISTRATOR+ROLE_ESA_ADMIN"

  • Identity: Ejemplo: “admin"

  • userRole: Ejemplo: "ROLE_ESA_ADMINISTRATOR"

    Nota: Cuando una regla está deshabilitada, se generan dos registros para la misma regla. Primero se crea un registro de auditoría “Delete Rule” [atributo Rule enabled = true] y después, un registro de auditoría “Create Rule” [atributo Rule enabled =false].

Verificar la versión del servidor de ESA

Para verificar la versión del servidor de ESA:

  1. Use el protocolo SSH para conectarse al servicio de ESA e iniciar sesión como el usuario raíz.
  2. Escriba el siguiente comando y presione INTRO:
    rpm -qa | grep rsa-nw-esa-server
    Se muestra la versión del servidor de ESA.

Verificar la versión de MongoDB

Para verificar la versión de MongoDB:

  1. Use el protocolo SSH para conectarse al servicio de ESA e iniciar sesión como el usuario raíz.
  2. Escriba el siguiente comando y presione INTRO:
    mongo --version
    Se muestra la versión de MongoDB.

Verificar el estado de MongoDB

Para verificar el estado de MongoDB:

  1. Use el protocolo SSH para conectarse al servicio de ESA e iniciar sesión como el usuario raíz.
  2. Escriba el siguiente comando y presione INTRO:
    systemctl status mongod
  3. Ejecute el siguiente comando si MongoDB no se ejecuta.
    systemctl start mongod
Next Topic:Referencias
You are here
Table of Contents > Procedimientos adicionales de reglas de correlación de ESA > Registros de auditoría y verificar las versiones y el estado de los componentes de ESA

Attachments

    Outcomes