Maintenance sys : Conseils divers

Document created by RSA Information Design and Development on Apr 26, 2018
Version 1Show Document
  • View in full screen mode
 

Renforcer le compte administrateur

Le Guide du renforcement STIG présent dans la NetWitness SuiteDocumentation sur RSA Link (https://community.rsa.com/docs/DOC-64211) comprend ces informations.

Messages du log d'audit

Il peut être utile de voir quelles actions de l'utilisateur génèrent des types de messages logs dans le fichier de messages /var/log/.

La feuille de calcul des catégories d'événements incluses dans le package d'analyseurs de logs de l'archive NetWitness Suite Parser v2.0.zip répertorie les catégories d'événements et les lignes de l'analyseur d'événements pour faciliter la génération de rapports, d'alertes et de requêtes.

NwConsole pour Intégrité

RSA a ajouté la commande logParse à NwConsole. Cette commande prend en charge l'analyse de logs, une méthode permettant de vérifier l'analyseur de logs sans configurer l'intégralité du système pour l'analyse des logs. Pour plus d’informations sur la commande logParse, dans la ligne de commande, tapez help logParse.

Erreur de client Thick : entrée du périphérique de contenu distant introuvable

Erreur :« L'entrée du périphérique de contenu distant est introuvable », générée pour une règle de corrélation appliquée à un service Concentrator.

Problème : dans le module Investigation, si vous cliquez sur la valeur méta correlation-rule-name dans la métaclé Alerte, vous n'obtenez aucune information de session.

Solution : Au lieu d'utiliser des règles de corrélation sur les Decoders et les Concentrators, utilisez des règles ESA. Ces règles enregistrent les sessions de corrélation correspondant à la règle ESA.

Afficher les analyseurs d'exemple

Comme les analyseurs flex et lua sont chiffrés quand ils sont livrés par Live, il est difficile d'en consulter le contenu.

Toutefois, certains exemples en texte brut sont disponibles ici :https://community.emc.com/docs/DOC-41108.

Configurer les sources d'événements WinRM

L'article Inside EMC suivant contient une vidéo qui présente la procédure de configuration de la collecte Windows RM (Remote Management) :https://inside.emc.com/docs/DOC-122732.

Par ailleurs, il contient deux scripts permettant d'accéder rapidement aux procédures décrites dans le « Guide de configuration des sources d'événements Windows ».

Next Topic:NwLogPlayer
You are here
Table of Contents > Résoudre les problèmes de NetWitness Suite > Conseils divers

Attachments

    Outcomes