Workbench : Gérer les collections

Document created by RSA Information Design and Development on Apr 26, 2018
Version 1Show Document
  • View in full screen mode
 

 

Un administrateur peut créer et supprimer des collections Workbench , et afficher les statistiques et logs Workbench . Cette rubrique fournit toutes les procédures et un exemple de procédure de restauration d’une collection pour Reporting et Investigation.

  • Monter des répertoires Archiver
  • Créer une collection
  • Supprimer une collection
  • Enquêter sur une collection
  • Vue Workbench  Collection Statistics
  • Afficher les logs Workbench 
 

Monter des répertoires Archiver

Si les données se trouvent dans un stockage hors ligne ou à froid, vous devez monter les répertoires Archiver afin de restaurer les données à des fins de reporting et de procédure d’enquête :

  1. Accédez à ADMIN > Services.
  2. Sélectionnez un Archiver à partir de la grille Services et sélectionnez  > Vue > Explorer.
    La vue Explorer d'Archiver s'affiche
  3. Cliquez avec le bouton droit de la souris sur le nœud Base de données dans l'arborescence de gauche puis sélectionnez les propriétés Base de données pour les ouvrir dans le volet de droite.
  4. Exécutez la commande manifest pour une période, par exemple du 1er au 10 avril 2017.
    La recherche renvoie tous les fichiers qui ont besoin d'être restaurés pour la requête sélectionnée.

Créer une collection

Les administrateurs peuvent créer des collections de données restaurées à partir d’une sauvegarde ou d’un ensemble existant de données.

Remarque : Vous pouvez indiquer l'emplacement des fichiers de base de données comme chemin source et la commande de restauration les copie vers Workbench. Vous devez monter ces répertoires dans Archiver (où Workbench  est installé) avant de pouvoir créer une collection de restauration.

Pour créer une collection à l'aide de données restaurées à partir des données sauvegardées ou d'un sous-ensemble existant de données :

  1. Accédez à ADMIN> Services.
  2. Dans la vue Services, sélectionnez un Workbench ,  puis cliquez sur > Vue > Config
    .La vue Configuration des services s’affiche avec l’onglet Général ouvert.
    La vue Configuration des services s'ouvre sur l'onglet Général.
  3. Cliquez sur l'onglet Collections.
    La grille Collections s'affiche.
  4. Cliquez sur dans la barre d'outils.

    La boîte de dialogue Collection de restauration s'affiche.

    Exemple de boîte de dialogue Collection de restauration.

  5. Fournissez les informations suivantes :

    • Nom : Nom de la collection Workbench  que vous souhaitez restaurer.
    • Source: Emplacement où les fichiers de base de données Archiver ont été déplacés du stockage à froid.

    Remarque : La cible est l'emplacement où la collection est créée.

  6. Cliquez sur Enregistrer pour restaurer la collection.

    Remarque : Si le chemin source proposé pour créer la collection de restauration n'existe pas, le message d'erreur suivant apparaît :
    The source path does not exist '/xxx/xxx/'.

    Si vous ne disposez pas d'assez de stockage pour restaurer la collection, le message d'erreur suivant s'affiche :
    Error during disk space checking. Insufficient disk space in location '/xxx/xxx'.

    La boîte de dialogue Planifier une tâche s'affiche avec le message suivant :
    Restoring data into a new collection. Check the jobs page for progress.

  7. Cliquez sur l'icône Tâches Exemple de l’icône Tâches. dans la barre d'outils NetWitness Suite pour développer la liste de tâches de la collection de restauration et afficher leur état actuel

Remarque : La restauration d'une collection supérieure à 550 Go peut prendre plusieurs heures à traiter.

Supprimer une collection

Les administrateurs peuvent supprimer des collections à partir du service Workbench .

Procédez comme suit pour supprimer une collection :

  1. Accédez à ADMIN > Services.
  2. Dans la vue Services, sélectionnez un Workbench , puis cliquez sur > Vue > Config.

    La vue Configuration des services s'ouvre en affichant l'onglet Général.

    La vue Configuration des services s'ouvre sur l'onglet Général.

  3. Sélectionnez l'onglet Collections.

    La grille Collections s'affiche.

    Exemple de la grille Collections.

  4. Dans la grille Collections, sélectionnez la collection que vous souhaitez supprimer..
  5. Cliquez sur dans la barre d’outils.

    Une boîte de dialogue d'avertissement demande confirmation.

  6. Si vous voulez supprimer la collection, cliquez sur Oui.

    La collection est supprimée du service Workbench .

Exemple de procédure : Comment restaurer une collection en vue de la création de rapports et de la procédure d'enquête

Les étapes suivantes indiquent comment restaurer des données situées dans un stockage hors ligne ou à froid (données peu actives) en vue de la création de rapports et de la procédure d'enquête. Dans l'exemple suivant, les données sont restaurées pour une période de temps allant du 1er au 10 avril 2015.

Pour restaurer des données à des fins de reporting et d'analyse :

  1. Accédez à ADMIN > Services.
  2. Sélectionnez le service Archiver dans la grille des services.
  3. Naviguez jusqu'à la vue Explorer de l'appliance Archiver en sélectionnant  > Vue > Explorer.
    La vue Explorer d'Archiver s'affiche
  4. Cliquez avec le bouton droit de la souris sur le nœud Base de données dans l'arborescence de gauche puis sélectionnez les propriétés Base de données pour les ouvrir dans le volet de droite.
  5. Exécutez la commande manifest pour la période sélectionnée : du 1er au 10 avril 2015.
    La recherche renvoie tous les fichiers qui ont besoin d'être restaurés pour la requête sélectionnée.

Exemple de recherche :

time1="2015-04-01 00:00:00" time2="2015-04-10 00:00:00" timeFormat=simple

Restauration des données à des fins de procédure d’enquête.

  1. Accédez à ADMIN > Services.
  2. Dans la vue Services, sélectionnez un Workbench , puis cliquez sur 104NavSettingsIcon.png > Vue > Config.

    La vue Configuration des services s'ouvre sur l'onglet Général.

    La vue Configuration des services s'ouvre sur l'onglet Général.

  3. Sélectionnez l'onglet Collections.
  4. Créez une collection de restauration avec le chemin source menant à des fichiers répertoriés dans le résultat de commande de manifeste.
  5. Enregistrez la collection.
    Après avoir réussi la création d'une collection, vous pouvez l'utiliser à des fins de reporting et d'analyse.

Enquêter sur une collection

Pour réaliser une procédure d'enquête sur une collection Workbench :

  1. Sélectionnez  Enquêter.
    La boîte de dialogue Enquêter s'affiche.
    Exemple de la boîte de dialogue Enquêter.

  2. Cliquez sur l'onglet Collections dans la boîte de dialogue Enquêter.
  3. Sélectionnez un service Workbench  dans le volet de gauche.
  4. Sélectionnez la collection que vous souhaitez analyser dans le panneau de droite.
  5. Cliquez sur Naviguer.

La vue Naviguer s’affiche et affiche les données relatives à la collection Workbench  que vous avez sélectionnée.

Exemple de la vue Naviguer.

Remarque : Pour obtenir des informations détaillées sur l’utilisation d’Investigation, reportez-vous au Guide Investigation et Malware Analysis.

Vue Workbench  Collection Statistics

Les mêmes statistiques disponibles pour d'autres services sont fournies pour le service Workbench. La vue Statistiques des services affiche les statistiques clés et les informations système qui se rapportent à votre service Workbench  sélectionné. Les informations s'affichent dans plusieurs sections différentes de la vue Statistiques : Workbench, Jauges, Graphiques chronologiques et Barre de statistiques graphiques. La barre de statistiques graphiques répertorie toutes les statistiques disponibles pour le Workbench .  Toute statistique de la barre de statistiques graphiques peut être affichée sous forme de graphique en jauge ou chronologique.

Procédez comme suit pour afficher les statistiques Workbench :

  1. Accédez à ADMIN > Services.

  2. Dans la vue Services, sélectionnez un Workbench , puis cliquez sur 104NavSettingsIcon.png > Vue > Statistiques.

  3. La vue Statistiques des services s'affiche.
    Exemple de la vue Statistiques des services.

Remarque : Pour plus d'informations sur les statistiques Workbench , reportez-vous à Guide de mise en route de l'hôte et des services.

Afficher les logs Workbench 

Procédez comme suit pour afficher les logs sur un service Workbench  :

  1. Accédez à ADMIN > Services.
  2. Dans la vue Services, sélectionnez un Workbench , puis cliquez sur > Vue > Logs.
    La grille Logs de services s'affiche.

Remarque : Pour plus d'informations sur l’affichage et la configuration des logs d’audit, reportez-vous à la rubrique Configurer la consignation globale des audits dans le Guide de configuration système.

Next Topic:Références
You are here
Table of Contents > Procédures de configuration > Gérer les collections

Attachments

    Outcomes