Introducción de hosts: Procedimientos de hosts y servicios

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

Cada servicio requiere un host. Después de configurar un host, puede asignar servicios hacia y desde este host a otros hosts de la implementación de NetWitness Suite.

                           
Tarea generalDescripción
Configurar un host

Realice las siguientes tareas en el orden en que se muestran para configurar un host.

Paso 1. Implementar un host.

Paso 2. Instalar un servicio en un host.

Paso 3. Revisar los puertos SSL para las conexiones de confianza.

Paso 4. Administrar el acceso a un servicio.

Mantener un host: aspectos básicos

Las siguientes tareas de mantenimiento no se requieren y se muestran en orden alfabético.

Mantener un host desde el cuadro de diálogo Lista de tareas del host

El cuadro de diálogo Lista de tareas del host se usa para administrar las tareas relacionadas con un host y sus comunicaciones con la red. Varias opciones de configuración de servicios y hosts están disponibles para los hosts principales. 

Mantener un servicio

Los siguientes procedimientos describen cómo mantener servicios.

Paso 1. Implementar un host

  1. Implementar un host.
    Puede implementar un host físico (dispositivo RSA), un host virtual en las instalaciones, un host virtual en AWS o un host virtual en Azure. Consulte las siguientes guías para obtener instrucciones sobre cómo implementar los hosts.
    • Guía de implementación del host físico de RSA NetWitness® Suite
    • Guía de implementación del host virtual de RSA NetWitness® Suite
    • Guía de implementación de AWS de RSA NetWitness® Suite
    • Guía de implementación de Azure de RSA NetWitness® Suite
  2. Vaya a Administration > Hosts.
    El cuadro de diálogo Nuevos hosts se muestra con los hosts que implementó.
  3. Seleccione los hosts que desea habilitar.
    La opción de menú Habilitar se activa.
  4. Haga clic en Habilitar.
  5. Seleccione el host que habilitó.
    El host se muestra en la vista Hosts. En este punto, puede instalar un servicio en el host.

Paso 2. Instalar un servicio en un host

Cada servicio se modela como un plug-in para habilitarse o deshabilitarse según la función del host.

Requisitos previos

Se deben instalar equipos que puedan ser físicos o virtuales: Servidor de NetWitness, Broker, Concentrator, Decoder, Log Decoder, Archiver, Warehouse, servidor de Malware Analysis o servidor de Event Stream Analysis.

Procedimiento

Realice los siguientes pasos para agregar un servicio a un host:

  1. En NetWitness Suite, vaya a ADMIN > Hosts.
    Se muestra la vista Hosts.
  2. Seleccione el host en el que desea instalar el servicio (por ejemplo, Event Stream Analysis).
  3. Haga clic en (ícono Instalar) en la barra de herramientas.
    Se muestra el cuadro de diálogo Instalar servicios.
  4. Seleccione un servicio en la lista desplegable Tipo de host (por ejemplo, ESA primario).
    (botón del comando Instalar) se activa en el cuadro de diálogo Instalar servicios.
  5. Haga clic en (botón del comando Instalar).


Paso 3. Revisar puertos SSL para conexiones de confianza

Para ofrecer compatibilidad con conexiones de confianza, cada servicio principal tiene dos puertos, un puerto no SSL no cifrado y un puerto SSL cifrado. Las conexiones de confianza requieren el puerto SSL cifrado. 

Requisito previo

Para establecer una conexión de confianza, cada servicio de NetWitness Suite Core se debe actualizar a 10.4 o superior. Las conexiones de confianza no tienen compatibilidad con las versiones de NetWitness Suite Core 10.3.x o anteriores. 

Puertos SSL cifrados

Cuando instala o actualiza a 10.4 o superior, las conexiones de confianza se establecen de manera predeterminada con dos configuraciones:

  1. SSL está activado.
  2. El servicio principal está conectado a un puerto SSL cifrado.

Cada servicio de NetWitness Suite Core tiene dos puertos:

  • Puerto no SSL no cifrado
    Ejemplo:  Archiver 50008
  • Puerto SSL cifrado
    Ejemplo:  Archiver 56008

El puerto SSL es el puerto no SSL + 6000.

En la siguiente tabla se indican todos los servicios de NetWitness Suitecon sus respectivos puertos y se muestra que cada servicio principal tiene dos puertos. Todos los números de puerto señalados son TCP.

                                                                                                                     
ServicioPuerto no SSL
no cifrado
Puerto SSL
cifrado
Notas
Archiver5000856008

 

Broker5000356003 

Cloud Gateway

N/DN/D

 

Concentrator5000556005 
Context HubN/D50022

 

Decoder (Packets)5000456004 

Endpoint

N/D

N/D

 

Entity Behavior AnalysisN/DN/D 
Event Stream AnalysisN/D50030

 

InvestigateN/DN/DSe implementa con el servidor de NW.
Log Collector5000156001 
Log Decoder5000256002

 

Malware AnalysisN/D60007 
Reporting EngineN/DN/DSe implementa con el servidor de NW.

Respond

N/DN/DSe implementa con el servidor de NW.
Warehouse Connector5002056020

 

Workbench5000756007 

 

 

 

 

 

 

 

Paso 4. Administrar el acceso a un servicio

En una conexión de confianza, un servicio confía explícitamente en el Servidor de NW para administrar y autenticar usuarios. Con esta confianza, los servicios en ADMINISTRAR > Servicios ya no requieren credenciales para poder definirse para cada servicio de NetWitness Suite Core. En lugar de eso, los usuarios autenticados por el servidor pueden acceder al servicio sin ingresar otra contraseña.

Probar una conexión de confianza

REQUISITOS PREVIOS

  1. Se debe asignar una función al usuario.
    Para obtener detalles, consulte Agregar un usuario y asignar una función en la Guía de administración de usuarios y seguridad del sistema.
  2. El usuario debe:
    • Iniciar sesión en NetWitness Suite para que el servidor lo autentique
    • Tener acceso al servicio

PROCEDIMIENTO

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
    Se muestra la vista Servicios.

  2. Seleccione el servicio (por ejemplo, un Concentrator) que desea probar y haga clic en The Edit icon.
    Se muestra el cuadro de diálogo Editar servicio.
    Edit Service dialog
  3. Si realizó una instalación nueva de 11.0.0.0, el puerto está correcto. No se requiere ninguna acción en el campo Puerto. Vaya al paso siguiente.
    Si actualizó a 11.0.0.0 o tiene un ambiente mixto de un servidor 11.0.0.0 y hosts 10.3, debe actualizar el puerto mediante la deselección y la selección de SSL. Entonces, el número de puerto cambia al puerto SSL cifrado para el servicio.
  4. Elimine el nombre de usuario para probar la conexión sin credenciales.
  5. Haga clic en Probar conexión.
    Edit Service dialog with success message
    El mensaje La conexión de prueba se estableció correctamente confirma que se estableció la conexión de confianza.
    El usuario previamente autenticado puede acceder al servicio sin escribir el nombre de usuario y la contraseña en el servicio. 
  6. Haga clic en Guardar.

Aplicar actualizaciones de versión a un host

Realice las siguientes tareas para actualizar un host a una nueva actualización de versión.

Puede usar dos métodos para aplicar actualizaciones de versión a un host.

Nota: Si cambió la ubicación del repositorio, consulte Configurar un repositorio externo con actualizaciones de RSA y del SO para obtener instrucciones.

Aplicar actualizaciones desde la vista Hosts (acceso a la Web)

Tarea 1. Completar el repositorio local o configurar un repositorio externo

Cuando configura el servidor de NW, debe seleccionar el repositorio local o un repositorio externo. La vista Hosts recupera las actualizaciones de versión desde el repositorio que se selecciona.

Si seleccionó el repositorio local, no es necesario configurarlo, pero debe asegurarse de que se complete con las actualizaciones de versión más recientes. Consulte Completar el repositorio local para obtener instrucciones sobre cómo completarlo con la actualización de versión.

Nota: Si seleccionó un repositorio externo, debe configurarlo. Consulte Configurar un repositorio externo con actualizaciones de RSA y del SO para obtener instrucciones sobre cómo configurar un repositorio externo.

Tarea 2. Aplicar actualizaciones desde la vista Hosts a cada host

En la vista Hosts se muestran las actualizaciones de versiones de software disponibles en el repositorio de actualización local y se le permite elegir y aplicar las actualizaciones que desea.

Precaución: Si intenta actualizar servidores que no son de NW a parches de 11.0.0.x después de la actualización del servidor de NW a 11.1, la actualización del host de servidores que no son de NW estará en un estado fallido. Consulte “Actualización para <host>”, “Error al preparar el host <hostname> para su actualización a la versión 11.0.0.x. Compruebe los registros.” en Introducción de hosts: Solución de problemas de instalaciones y actualizaciones de versión para obtener más información.

En este procedimiento se indica cómo actualizar un host a una versión nueva de NetWitness Suite. 

Nota: En este tema se utiliza NetWitness Suite 11.0.x.x a 11.1.0.0 como ejemplo.

  1. Inicie sesión en NetWitness Suite.
  2. Vaya a ADMINISTRAR > HOSTS
  3. (Condicional) Busque las actualizaciones más recientes.

  4. Seleccione uno o más hosts.
    En primer lugar, debe actualizar el servidor de NW a la versión más reciente. Puede actualizar los demás hosts en la secuencia que prefiera, pero RSA recomienda seguir las reglas que aparecen en “Ejecución en modo mixto” en la Guía de introducción de hosts y servicios de RSA NetWitness Suite para obtener más información.
    Se muestra Actualización disponible en la columna Estado si hay una actualización de versión en el repositorio de actualización local para los hosts seleccionados.
  5.  Seleccione la versión que desea aplicar en la columna Versión de actualización.

    Si:
    • Si desea actualizar más de un host a esa versión, después de actualizar el host de servidor de NW, seleccione la casilla de verificación a la izquierda de los hosts. Solo se enumeran las versiones de actualización compatibles actualmente.
    • Desea ver un cuadro de diálogo con las principales funciones de la actualización e información sobre las actualizaciones, haga clic en el icono de información () a la derecha del número de versión de actualización. El siguiente es un ejemplo de este cuadro de diálogo.
    • No puede encontrar la versión que desea, seleccione Actualizar > Buscar actualizaciones para buscar las actualizaciones disponibles en el repositorio. Si hay una actualización disponible, se muestra el mensaje “Están disponibles nuevas actualizaciones” y la columna Estado se actualiza automáticamente para mostrar Actualización disponible. De forma predeterminada, solo se muestran las actualizaciones compatibles para el host seleccionado.
  6. Haga clic en Actualizar > Actualizar host en la barra de herramientas.

    Se muestra un cuadro de diálogo con información sobre la actualización seleccionada. Haga clic en Iniciar actualización.

    En la columna Estado se indica lo que está sucediendo en cada una de las siguientes etapas de la actualización:
    • Etapa 1: Descargando paquetes de actualización: Descarga al servidor de NW los artefactos del repositorio que se aplican a los servicios en el host que eligió.
    • Etapa 2: Configurando los paquetes de actualización: Configura los archivos de actualización en el formato correcto.
    • Etapa 3: Actualización en curso: Actualiza el host a la nueva versión.
  7. Cuando vea Actualización en curso, actualice el navegador.
    Esto puede hacer que se dirija a la pantalla Iniciar sesión de NetWitness. Si esto sucede, inicie sesión y regrese a la vista Host.
    Después de la actualización del host, NetWitness Suite le solicita que ejecute la acción Reiniciar host.
  8. Haga clic en Reiniciar host en la barra de herramientas.
    NetWitness Suite muestra el estado como Reiniciando… hasta que el host vuelve a estar en línea. Una vez que el host vuelve a estar en línea, en Estado se muestra Actualizado. Póngase en contacto con Atención al cliente si el host no vuelve a estar en línea.

Nota: Si la STIG de la DISA está habilitada, la apertura de los servicios principales puede tardar aproximadamente entre cinco y 10 minutos. La generación de los nuevos certificados es la causa de este retraso.

Aplicar actualizaciones desde la línea de comandos (sin acceso a la Web)

Si su implementación de RSA NetWitness Suite no tiene acceso a la Web, realice el siguiente procedimiento para aplicar una actualización de versión.

Nota: En el siguiente procedimiento, 11.1.0.0 es la actualización de versión que se usa como ejemplo en las cadenas de código.

  1. Descargue el paquete de actualización de .zip correspondiente a la versión que desea (por ejemplo, netwitness-11.1.0.0.zip) desde RSA Link a un directorio local.
  2. Acceda mediante el protocolo SSH al host del servidor de NW.
  3. Cree un directorio de almacenamiento provisional tmp/upgrade/<version> para la versión que desea (por ejemplo, tmp/upgrade/11.1.0.0).
    mkdir –p /tmp/upgrade/11.1.0.0
  4. Descomprima el paquete en el directorio de almacenamiento provisional que creó (por ejemplo, tmp/upgrade/11.1.0.0).
    cd /tmp/upgrade/11.1.0.0
    unzip /tmp/upgrade/11.1.0.0/netwitness-11.1.0.0.zip

  5. Inicialice la actualización en el servidor de NW.
    upgrade-cli-client --init --version 11.1.0.0 --stage-dir /tmp/upgrade/
  6. Aplique la actualización al servidor de NW.
    upgrade-cli-client --upgrade --host-addr <NW Server IP> --version 11.1.0.0
  7. Inicie sesión en NetWitness Suite y reinicie el host del servidor de NW en la vista Host.
  8. Aplique la actualización a cada uno de los hosts de servidores que no son de NW.
    upgrade-cli-client --upgrade --host-addr <non-NW Server IP address> --version 11.1.0.0
    La actualización está completa cuando finaliza el sondeo.
  9. Inicie sesión en NetWitness Suite y reinicie el host en la vista Host.
    Puede verificar la versión que se aplicó al host mediante el siguiente comando:
    upgrade-cli-client --list

Completar el repositorio de actualización local

NetWitness Suite envía actualizaciones de versión al repositorio de actualización local desde el repositorio de actualización de Live. El acceso al repositorio de actualización de Live requiere y usa las credenciales de la cuenta de Live configuradas en ADMINISTRAR > SISTEMA > Live. Además, debe seleccionar la casilla de verificación Automatically download information about new updates every day en ADMINISTRAR > SISTEMA > Actualizaciones para completar el repositorio local diariamente.

En el siguiente diagrama se ilustra la manera de obtener actualizaciones de versión si la implementación de NetWitness Suite tiene acceso a la Web.

Nota: Cuando establezca la conexión inicial al repositorio de actualización de Live, accederá a todos los paquetes del sistema CentOS 7 y a los paquetes de producción de RSA. Esta descarga de más de 2.5 GB de datos tardará una cantidad indeterminada de tiempo de acuerdo con la conexión a Internet del servidor de NW y el tráfico del repositorio de RSA. El uso del repositorio de actualización de Live NO es obligatorio. Como alternativa, puede usar un repositorio externo como se describe en “Configuración de un repositorio externo”.

Para conectarse al repositorio de actualización de Live, navegue a la vista ADMINISTRAR > SISTEMA, seleccione Live en el panel de opciones y asegúrese de que las credenciales estén configuradas (la luz de Conexión debería ser de color verde). Si no es verde, haga clic en Iniciar sesión y conéctese.

Nota: Si necesita usar un proxy para establecer conexión al repositorio de actualización de Live, puede configurar valores en Host proxy, Nombre de usuario de proxy y Contraseña de proxy. Consulte “Configurar el proxy deNetWitness Suite” en la Guía de configuración del sistema de NetWitness Suite 1.1.Vaya a la Tabla maestra de contenido para NetWitness Logs & Packets 11.x para buscar todos los documentos de NetWitness Suite 11.x.

Consulte “Aplicar actualizaciones desde la línea de comandos” si la implementación de NetWitness Suite no tiene acceso a la Web.

En el siguiente diagrama se ilustra la manera de obtener actualizaciones de versión si la implementación de NetWitness Suite no tiene acceso a la Web.



Configurar un repositorio externo con actualizaciones de RSA y del SO

Nota: En el siguiente procedimiento, 11.1.0.0 es la actualización de versión que se usa como ejemplo en las cadenas de código.

Realice el siguiente procedimiento para configurar un repositorio externo (repositorio).

Nota: 1.) Para realizar este procedimiento, debe estar instalada una utilidad de descompresión en el host. 2.) Debe saber cómo crear un servidor web antes de realizar el siguiente procedimiento.

  1. (Condicional) Complete este paso si tiene un repositorio externo y desea reemplazarlo.
    • Caso 1: Inició el host desde un repositorio externo y desea actualizar con un repositorio local en el servidor de Admin.
      1. Cree el archivo /etc/netwitness/platform/repobase.
        vi /etc/platform/netwitness/repobase
      2. Edite el archivo repobase para que la siguiente dirección URL sea la única información en el archivo.
        https://nw-node-zero/nwrpmrepo
      3. Complete las instrucciones sobre cómo ejecutar la actualización usando la herramienta upgrade-cli-client .
        Consulte para obtener instrucciones.
    • Caso 2: Inició el host desde un repositorio local en el servidor de Admin (host del servidor de NW) y desea usar un repositorio externo para la actualización.
      1. Cree el archivo /etc/netwitness/platform/repobase.
        vi /etc/platform/netwitness/repobase
      2. Edite el archivo repobase para que la siguiente dirección URL sea la única información en el archivo.
        https://<webserver-ip>/<alias-for-repo>
      3. Complete las instrucciones sobre cómo ejecutar la actualización usando la herramienta upgrade-cli-client.
        Las instrucciones se encuentran en “Aplicar actualizaciones desde la línea de comandos” en el tema.
  2. Configure el repositorio externo.
    1. Iniciar sesión en el host del servidor web
    2. Cree el directorio para alojar el repositorio de NW (netwitness-11.1.0.0.zip), por ejemplo ziprepo bajo web-root del servidor web. Por ejemplo, si /var/netwitness es la raíz web, ejecute la siguiente cadena de comandos.
      mkdir -p /var/netwitness/<your-zip-file-repo>
    3. Cree el directorio 11.1.0.0 bajo /var/netwitness/<your-zip-file-repo>.
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0
    4. Cree los directorios OS y RSA bajo /var/netwitness/<your-zip-file-repo>/11.1.0.0.
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA
    5. Descomprima el archivo netwitness-11.1.0.0.zip en el directorio /var/netwitness/<your-zip-file-repo>/11.1.0.0.
      unzip netwitness-11.1.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0
      Con la descompresión de netwitness-11.1.0.0.zip se obtienen dos archivos zip (OS-11.1.0.0.zip y RSA-11.1.0.0.zip) y algunos otros archivos.
    6. Descomprima
      1. OS-11.1.0.0.zip en el directorio /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS.
        unzip /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS-11.1.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS
        En el siguiente ejemplo se ilustra la forma en que aparecerá la estructura de archivos del sistema operativo (SO) después de descomprimir el archivo.

      1. RSA-11.1.0.0.zip en el directorio /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA.
        unzip /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA-11.1.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA
        En el siguiente ejemplo se ilustra la forma en que aparecerá la estructura de archivos de actualización de la versión de RSA después de descomprimir el archivo.

      La dirección URL externa del repositorio es http://<web server IP address>/<your-zip-file-repo>.

    7. (Condicional: para Azure) Siga estos pasos para la actualización de Azure
    1. mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS/other
    2. unzip nw-azure-11.1-extras.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS/other
    3. cd /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS
    4. createrepo .
    1. Use http://<web server IP address>/<your-zip-file-repo> en respuesta al indicador Ingrese la dirección URL base de los repositorios de actualización externos del programa de instalación de NW 11.1.0.0 (nwsetup-tui).

Crear y administrar grupos de hosts

La vista Hosts ofrece opciones para crear y administrar grupos de hosts. La barra de herramientas del panel Grupos incluye opciones para crear, editar y eliminar grupos de hosts. Una vez que se crean los grupos, puede arrastrar hosts individuales desde el panel Hosts a un grupo.

Los grupos pueden reflejar un principio funcional, geográfico, orientado a un proyecto o cualquier principio de la organización que sea útil. Un host puede pertenecer a más de un grupo. Aquí hay algunos ejemplos de posibles agrupamientos:

  • Agrupe diferentes tipos de hosts para facilitar la configuración y el monitoreo de todos los Brokers, Decoders o Concentrators.
  • Agrupe hosts que formen parte del mismo flujo de datos; por ejemplo, un Broker y todos los Concentrators y los Decoders asociados.
  • Agrupe hosts según su región geográfica y su ubicación dentro de la región. Si ocurre una interrupción de energía importante en una ubicación, los hosts posiblemente afectados se pueden identificar fácilmente.

Crear un grupo

  1. Seleccione ADMIN > Hosts.
    Se muestra la vista Hosts.
  2. En la barra de herramientas del panel Grupos, haga clic en The Add icon.
    Se abre un campo para el grupo nuevo con un cursor parpadeante.
    This is an example of a new group field.
  3. Escriba el nombre del grupo nuevo en el campo (por ejemplo, Un grupo nuevo) y presione Intro.
    El grupo se crea como una carpeta en el árbol. El número junto al grupo indica la cantidad de hosts en ese grupo.
    This is an example of a new group.

Cambiar el nombre de un grupo

  1. En el panel Grupos de la vista Hosts, haga doble clic en el nombre de grupo o seleccione el grupo y haga clic en The Edit icon.
    El campo de nombre de abre con un cursor parpadeante.
  2. Escriba el nuevo nombre del grupo y presione Intro.
    El campo de nombre se cierra y el nuevo nombre del grupo se muestra en el árbol.

Agregar un host a un grupo

En el panel Hosts de la vista Hosts, seleccione un host y arrástrelo a una carpeta de grupo del panel Grupos.
El host se agrega al grupo.

Ver los hosts de un grupo

Para ver los hosts de un grupo, haga clic en el grupo en el panel Grupos.
En el panel Hosts se muestran los hosts de ese grupo.

These are the hosts in the All group

Eliminar un host de un grupo 

  1. En el panel Grupos de la vista Hosts, seleccione el grupo que contiene el host que desea eliminar. Los hosts de ese grupo aparecen en el panel Hosts.
  2. En el panel Hosts, seleccione uno o más hosts que desee quitar del grupo y, en la barra de herramientas, seleccione The Delete icon> Eliminar degrupo.
    Los hosts seleccionados se quitan del grupo, pero no se quitan de la interfaz del usuario de NetWitness Suite. La cantidad de hosts en el grupo, que se indica cerca del nombre del grupo, disminuye según la cantidad de hosts eliminados del grupo. El grupo Todo contiene los hosts que se quitaron del grupo.
    En el siguiente ejemplo, el grupo de hosts denominado Un grupo nuevo no contiene ningún host, ya que el host de ese grupo se quitó.
    This is an example of the Groups panel

Eliminar un grupo 

  1. En el panel Grupos de la vista Hosts, seleccione el grupo que desea eliminar. 
  2. Haga clic en The Delete icon.
    El grupo seleccionado se quita del panel Grupos. Los hosts que estaban en el grupo no se quitan de la interfaz del usuario de NetWitness Suite. El grupo Todo contiene los hosts del grupo eliminado.

Buscar hosts

Puede buscar hosts desde una lista de hosts en la vista Hosts. La vista Hosts permite filtrar rápidamente la lista de hosts por Nombre y Host. Pueden estar en uso varios hosts de NetWitness Suite para distintos propósitos. En lugar de desplazarse por la lista de hosts, puede filtrar rápidamente esta lista para localizar los hosts que desea administrar.

En la vista Servicios, puede buscar un servicio y encontrar rápidamente el host que lo ejecuta.

Buscar un host

  1. Seleccione ADMIN > Hosts.
  2. En la barra de herramientas del panel Hosts, escriba un Nombre o el Nombre del host en el campo Filtro.
    This is the unfilled Filter field.
    En el panel Hosts se enumeran los hosts que coinciden con los nombres ingresados en el campo Filtro.

Buscar el host que ejecuta un servicio

  1. Seleccione ADMINISTRAR > Servicios.
  2. En la vista Servicios, seleccione un servicio. El host asociado se muestra en la columna Host de ese servicio.
    This is an example of services with hosts.
  3. Para administrar el host en la vista Hosts, haga clic en el vínculo de la columna Host de ese servicio. El host asociado con el servicio seleccionado se muestra en la vista Hosts.

Ejecutar una tarea de la Lista de tareas del host

  1. Seleccione ADMIN > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio y haga clic en The Actions icon> Ver > Sistema.

    Nota: Los servicios Admin, Config, Orchestration, Security, Investigate y Respond tienen acceso a la vista Sistema. Solo tienen acceso a la vista Explorar.
    Se muestra la vista Sistema del servicio.

    This is an example of the System view for a Broker.

  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Host Tasks.
    This is an example of the Host Task List dialog.
  4. En la Lista de tareas del host, haga clic en el campo Tarea para ver una lista desplegable de las tareas que se ejecutan en un host.
    This is an example of the Task drop-down menu in the Host Task List dialog.
  5. Seleccione una tarea, por ejemplo, haga clic en Detener servicio.
    La tarea aparece en el campo Tarea y la descripción de la tarea, argumentos de ejemplo, funciones de seguridad y parámetros se muestran en el área Información.
    This is an example of the Host Task List dialog with Stop Service selected.
  6. Ingrese argumentos, si es necesario, y haga clic en Ejecutar.
    El comando se ejecuta y el resultado aparece en la sección Salida.

Agregar y eliminar un monitor del sistema de archivos

Cuando desee que un servicio monitoree tráfico en un sistema de archivos específico, puede seleccionar el servicio y, a continuación, especificar la ruta. Security Analytics agrega un monitor del sistema de archivos. Una vez que se agrega un monitor de sistema de archivos a un servicio, el servicio continúa monitoreando el tráfico en esa ruta hasta que el monitor se elimina.

Configurar el monitor de sistema de archivos

  1. Seleccione ADMIN > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio y haga clic en The Actions icon> Ver > Sistema
    Se muestra la vista Sistema del servicio.
  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Tareas de host.
  4. En la Lista de tareas del host, seleccione Agregar monitor de sistema de archivos.
    En el área Información, se muestra una breve explicación de la tarea y sus argumentos.
  5. Para identificar el sistema de archivos que desea monitorear, escriba la ruta en el campo Argumentos. Por ejemplo:
    path=/var/netwitness/decoder/packetdb
    This is an example of the Host Task List for this procedure.
  6. Haga clic en Ejecutar.
    El resultado se muestra en el área Salida. El servicio comienza a monitorear el sistema de archivos y continúa haciéndolo hasta que se elimina.

Eliminar un monitor de sistema de archivos

  1. Navegue al cuadro de diálogo Lista de tareas del host.
  2. En la Lista de tareas del host, seleccione Eliminar monitor de sistema de archivos.
    En el área Información, se muestra una breve explicación de la tarea y sus argumentos.
  3. Para identificar el sistema de archivos que desea dejar de monitorear, escriba la ruta en el campo Argumentos. Por ejemplo:
    path=/var/netwitness/decoder/packetdb
    This is an example of the Host Task List dialog for this procedure.
  4. Haga clic en Ejecutar.
    El resultado se muestra en el área Salida. El servicio deja de monitorear el sistema de archivos.

Reiniciar un host

En ciertas condiciones es necesario reiniciar un host, por ejemplo, después de instalar una actualización de software. Este procedimiento usa un mensaje de la Lista de tareas del host para apagar y reiniciar un host. 

Security Analytics también ofrece otras opciones para apagar un host:

  • Para apagar y reiniciar un host a través de un servicio conectado, vaya a la vista Hosts desde un servicio en la vista Servicios (consulte Buscar hosts) y, a continuación, siga el procedimiento Apagar y reiniciar un host desde la vista Hosts que se indica a continuación.
  • Para apagar el host físico sin reiniciar, consulte Apagar host.

Apagar y reiniciar un host desde la vista Hosts

  1. Seleccione ADMIN > Hosts.
  2. En el panel Hosts, seleccione un host.
  3. Seleccione The Reboot Host icon en la barra de herramientas.

Apagar y reiniciar un host desde la Lista de tareas del host

  1. Seleccione ADMIN > Servicios.
  2. En el panel Servicios, seleccione un servicio y haga clic en The Actions icon> Ver > Sistema.
    Se muestra la vista Sistema del servicio.
  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Tareas de host.
  4. En la Lista de tareas del host, seleccione Reiniciar host en el campo Tarea
    .No se requieren argumentos.
    This is an example of the Host Task List dialog
  5. Haga clic en Ejecutar.
    El host se reinicia y el resultado se muestra en el área Salida.

Definir reloj integrado de host

Después de un apagado o de una falla de la batería, puede ser necesario configurar el reloj local en un host. La tarea Definir reloj integrado de host restablece la hora del reloj.

Configurar la hora en el reloj local

  1. Seleccione ADMIN > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio y The Actions icon> Ver > Sistema
    Se muestra la vista Sistema del servicio.
  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Tareas de host.
  4. En la Lista de tareas del host, seleccione Definir reloj integrado de host. La ayuda para la tarea aparece en el área Información.
  5. Ingrese los argumentos de fecha y hora en el campo Argumentos; por ejemplo, para especificar 31 de octubre de 2017 a las 23:59:59 h, ingrese:
    set=20171031T235959
    This is an example of the Host Task List dialog for the procedure
  6. Haga clic en Ejecutar.
    El reloj se configura en la hora especificada y se muestra un mensaje en el área Salida.

Definir configuración de red

Cuando es necesario cambiar la dirección de un host Core configurado, puede configurar una nueva dirección de red, una máscara de subred y un gateway para el host con el mensaje Definir configuración de red de la Lista de tareas del host

Precaución: El cambio se aplica de inmediato y el host se desconecta de Security Analytics. Debe volver agregar el host a Security Analytics con el uso de la nueva dirección de red.

Especificar la dirección de red para un host

  1. Seleccione ADMIN > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio y haga clic en The Actions icon> Ver > Sistema
    Se muestra la vista Sistema del servicio.
  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Tareas de host.
  4. En la Lista de tareas del host, haga clic en Definir configuración de red.
    La tarea se muestra en el campo Tarea y la ayuda, en el área Información.
  5. Escriba los argumentos en el campo Argumentos. Por ejemplo:
    mode=static address=192.168.0.20 netmask=255.255.255.0 gateway=192.168.0.1
    This is an example of the Host Task List dialog for this procedure
  6. Haga clic en Ejecutar.
    La tarea se ejecuta y el resultado aparece en el área Resultado. El host se desconecta de Security Analytics. Debe volver a agregarlo con la nueva dirección.

Nota: si el modo es DHCP, es posible que no haya manera de determinar la nueva dirección. Es posible que deba conectarse al host directamente para determinarla.

Definir origen de tiempo de red

Cuando configure el origen del reloj para un host, defina el nombre de host o la dirección de un servidor NTP que será el origen del reloj de red para el host. Si el host está utilizando un origen del reloj local, debe especificar local aquí para permitir que se aplique la configuración de Definir el origen del reloj local.

Especificar al origen del reloj de red

  1. Seleccione ADMIN > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio y haga clic en The Actions menuVer > Sistema
    Se muestra la vista Sistema del servicio.
  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Tareas de host.
  4. En la Lista de tareas del host, seleccione Definir origen de tiempo de red.
    This is an example of the Host Task List dialog for this procedure.
  5. Realice una de las siguientes acciones:
  • Ingrese el nombre de host o la dirección del servidor NTP que se usarán como el origen del reloj para este host; por ejemplo: source=tictoc.localdomain
  • Si desea utilizar el reloj del host como un origen del reloj, ingrese:
    source=local
  1. Haga clic en Ejecutar.
    Se define el origen del reloj y aparece un mensaje en el área Resultado.

Nota: Si especificó un origen del reloj NTP local, el reloj del host se usa como el origen del reloj y la hora se configura mediante Definir reloj integrado de host.

Configurar SNMP

La configuración de SNMP en la Lista de tareas del host habilita o deshabilita el servicio SNMP en un host. Para que un host reciba notificaciones de SNMP, el servicio SNMP debe estar habilitado. Si no está utilizando SNMP para notificaciones de NetWitness Suite, no es necesario habilitar el servicio.

Alternar el servicio SNMP en el host

  1. Seleccione ADMIN > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio y haga clic en The Actions icon> Ver > Sistema
    Se muestra la vista Sistema del servicio.
  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Tareas de host.
  4. En la Lista de tareas del host, seleccione setSNMP.
    En el área Información, se muestra una breve explicación de la tarea y sus argumentos.
  5. Realice una de las siguientes acciones:
  • Si desea deshabilitar el servicio, ingrese enable=0 en el campo Argumentos.
    This is an example of the Host Task List dialog for this option.
  • Si desea habilitar el servicio, ingrese enable=1 en el campo Argumentos.
    This is an example of the Host Task List dialog for this option.
  1. Haga clic en Ejecutar.
    El resultado se muestra en el área Salida.

Definir reenvío de syslog

Puede configurar el reenvío de syslog para reenviar los registros del sistema operativo de los hosts de NetWitness Suite a un servidor de syslog remoto. Puede utilizar la tarea Definir reenvío de syslog de la Lista de tareas del host para habilitar o deshabilitar el reenvío de syslog.

Configurar e iniciar el envío de syslog

  1. Seleccione ADMIN > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio y haga clic en The Actions icon> Ver > Sistema.
    Se muestra la vista Sistema del servicio.
  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Tareas de host.
  4. En la Lista de tareas del host, seleccione Definir reenvío de syslog.
    En el área Información, se muestra una breve explicación de la tarea y sus argumentos.
    This is an example of the the Host Task List dialog for this procedure.
  5. En el campo Argumentos, realice una de las siguientes acciones.
    • Para habilitar el reenvío de syslog, especifique cualquiera de los siguientes formatos:
      • host=<loghost>.<localdomain> (por ejemplo, host=syslogserver.local).
      • host=<loghost>.<localdomain>:<port> (por ejemplo, host=syslogserver.local:514).
      • host=<IP> (por ejemplo, host=10.31.244.244).
      • host=<IP>:<port> (por ejemplo, host=10.31.244.244:514).
        En la siguiente tabla se enumeran los parámetros que se usan para habilitar el reenvío de syslog y sus descripciones.
        ParámetroDescripción
        loghostEl nombre de host del servidor de syslog remoto.
        localdomainEl dominio del servidor de syslog remoto.
        puertoDirección IP del servidor de syslog remoto.
        IPEl número de puerto en el cual el servidor de syslog remoto recibe los mensajes de syslog.
    • Para deshabilitar el reenvío de syslog, escriba host=disable.
  6. Haga clic en Ejecutar.
    El resultado se muestra en el área Salida.

Una vez que el reenvío de syslog se habilita o se deshabilita, el archivo /etc/rsyslog.conf se actualiza automáticamente para habilitarlo o deshabilitarlo al destino de syslog remoto y el servicio de syslog se reinicia.

Si habilita el reenvío de syslog, los registros del servicio configurado se reenvían al servidor de syslog definido y el reenvío continúa hasta que se inhabilita.

Nota: Ahora puede iniciar sesión en el servidor de syslog remoto y verificar si se reciben mensajes de los servicios de NetWitness Suite configurados para el reenvío de syslog.

Mostrar estado de puerto de red

La tarea Mostrar estado de puerto de red en la Lista de tareas del host presenta el estado de todos los puertos configurados en el host.

Ver el estado de puerto de red

  1. Seleccione ADMIN > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio y elija The Actions icon> Ver> Sistema.
    Se muestra la vista Sistema del servicio seleccionado.
  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Tareas de host.
  4. En la Lista de tareas del host, haga clic en Mostrar estado de puerto de red
    .La tarea se muestra en el campo Tarea y la información acerca de la tarea, en el área Información.
  5. Para ejecutar la tarea, haga clic en Ejecutar.
    El estado de cada puerto en el host se muestra en el área Salida.
    This is an example of the Host Task List dialog for this procedure.

Mostrar número de serie

La tarea Mostrar número de serie de la Lista de tareas del host permite obtener el número de serie de un host.

Mostrar el número de serie

  1. Seleccione ADMIN > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio y haga clic en The Actions icon> Ver> Sistema.
    Se muestra la vista Sistema del servicio.
  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Tareas de host.
  4. En la Lista de tareas del host, seleccione Mostrar número de serie
    .En el área Información, se muestra una breve explicación de la tarea y sus argumentos.
  5. No se requieren argumentos para esta tarea. Haga clic en Ejecutar.
    El número de serie del host seleccionado se muestra en el área Salida.
    This is an example of the Host Task List dialog for this procedure.

Apagar host

En algunas circunstancias, como una actualización de hardware o una interrupción prolongada de la alimentación que supera la capacidad de alimentación de respaldo, puede ser necesario apagar un host físico. Cuando apaga un host, se detienen todos los servicios que se ejecutan en él y se apaga el host físico.

El host físico no se reinicia automáticamente; se debe reiniciar mediante el switch de encendido. Una vez que se reinicia el host físico, el host y los servicios están configurados para reiniciarse automáticamente.

Reiniciar un host para iniciar y detener un host sin apagarlo.

Apagar el host

  1. En el cuadro de diálogo Lista de tareas del host, seleccione Apagar host en el campo Tarea.
    This is an example of the Host Task List dialog for this procedure.
  2. Para ejecutar la tarea, haga clic en Ejecutar.
    El host se apaga. 

Detener e iniciar un servicio en un host

La Lista de tareas del host tiene dos opciones para detener e iniciar un servicio en un host. Cuando detiene un servicio con el mensaje Detener servicio, todos los procesos del servicio se detienen y se desconecta a los usuarios conectados al servicio. A menos que haya un problema con el servicio, este se reinicia automáticamente. Es igual que la opción Apagar servicio en la vista Sistema de servicios.

Si un servicio no se reinicia automáticamente después de detenerse, puede reiniciarlo manualmente con el mensaje Iniciar servicio.

Detener un servicio en un host

  1. Seleccione ADMIN > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio y haga clic en The Actions icon> Ver> Sistema.
    Se muestra la vista Sistema del servicio.
  3. En la barra de herramientas de la vista Sistema de servicios, haga clic en Tareas de host.
  4. En la Lista de tareas del host, haga clic en Detener servicio.
    La tarea se muestra en el campo Tarea y la información acerca de la tarea, en el área Información.
  5. Especifique el servicio (decoder, concentrator, broker, logdecoder o logcollector) que se detendrá en el campo Argumentos; por ejemplo, service=decoder.
    This is an example of the Host Task List dialog for this procedure.
  6. Para ejecutar la tarea, haga clic en Ejecutar.
    El servicio se detiene y el estado aparece en el área Salida. Todos los procesos del servicio se detienen y se desconecta a todos los usuarios conectados a él. A menos que haya un problema con el servicio, este se reinicia automáticamente.

Iniciar un servicio en un host

  1. En la Lista de tareas del host, seleccione Iniciar servicio en el menú desplegable Tarea.
    La tarea se muestra en el campo Tarea y la información acerca de la tarea, en el área Información.
  2. Especifique el servicio (decoder, concentrator, broker, logdecoder o logcollector) que se iniciará en el campo Argumentos; por ejemplo,
    service=decoder
    This is an example of the Host Task List dialog for this procedure.
  3. Para ejecutar la tarea, haga clic en Ejecutar.
    El servicio se inicia y el estado aparece en el área Resultado.

Agregar, replicar o eliminar un usuario de servicio

Debe agregar un usuario a un servicio para:

  • Agregación
  • Acceso al servicio con:
    • Cliente grueso
    • API REST

Nota: Este tema no se aplica a usuarios que acceden a servicios mediante la interfaz del usuario en el Servidor de NetWitness. Debe agregar estos usuarios al sistema, no a un servicio. Para obtener detalles, consulte el tema Configurar un usuario en Administración de usuarios y de la seguridad del sistema.

Para cada usuario de servicio, puede:

  • Configurar la autenticación de usuario y las propiedades de manejo de consultas para el servicio
  • Hacer al usuario miembro de una función, la que tiene un conjunto de permisos que recibe el usuario
  • Replicar la cuenta de usuario en otros servicios
  • Cambiar la contraseña del usuario en los servicios seleccionados

En Cambiar una contraseña de usuario de servicio se proporcionan instrucciones para cambiar la contraseña del usuario en varios servicios.

Consideraciones de replicación y migración

Cuando se replica un usuario desde un servicio NetWitness Suite 10.5 o superior a un servicio NetWitness Suite 10.4, Tiempo de espera agotado de consulta migra a Nivel de consulta en función del nivel más cercano. Por ejemplo, si un usuario tiene un tiempo de espera agotado de consulta de 15 minutos, este recibe un nivel de consulta de 3 después de la migración. Si un usuario tiene un tiempo de espera agotado de consulta de 35 minutos, este recibe un nivel de consulta de 2 después de la migración. Si un usuario tiene un tiempo de espera agotado de consulta de 45 minutos, este recibe un nivel de consulta de 2 después de la migración.

Cuando un usuario se migra o se replica desde un servicio de NetWitness Suite 10.4 a un servicio de NetWitness Suite 10.5 o superior, el Nivel de consulta migra a Tiempo de espera agotado de consulta en función de las siguientes definiciones:

  • Nivel de consulta 1 = 60 minutos
  • Nivel de consulta 2 = 40 minutos
  • Nivel de consulta 3 = 20 minutos

Procedimientos

ACCEDER A LA VISTA SEGURIDAD

Cada uno de los siguientes procedimientos comienza en la vista Seguridad de servicios.

Para navegar a la vista Seguridad de servicios:

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio y haga clic en The Actions drop-down menu > Ver > Seguridad.
    La vista Seguridad del servicio seleccionado se muestra con la pestaña Usuarios abierta.
    This is an example of a Concentrator Security view.

Nota: En el servicio de NetWitness Suite versión 10.4 y anteriores, en la sección Configuración de usuario, se muestra el campo Nivel de consulta en lugar de Tiempo de espera agotado de consulta de Core.

AGREGAR UN USUARIO DE SERVICIO

  1. En la pestaña Usuarios, haga clic en The Add icon.
  2. Escriba el nombre de usuario para acceder al servicio y, a continuación, presione Intro.
    La sección Información del usuario muestra el nombre de usuario y el resto de los campos están disponibles para su edición.
  3. Escriba la contraseña para iniciar sesión en el servicio en los campos Contraseña y Confirmar contraseña.
  4. (Opcional) Proporcione información adicional:
  • Nombre para iniciar sesión en NetWitness Suite
  • Dirección de Correo electrónico
  • Descripción del usuario
  1. En la sección Configuración de usuario, seleccione la siguiente información: 
  • Tipo de autenticación
    • Si NetWitness Suite autentica al usuario, seleccione NetWitness.
    • Si Active Directory o PAM están configurados en el Servidor de NetWitness para autenticar al usuario, seleccione Externo.

Nota: En 10.4 y superior, las conexiones de confianza hacen que no sea necesario configurar cuentas de usuario externas en el servicio. Toda configuración externa se centraliza en el Servidor de NetWitness. 

  • Tiempo de espera agotado de consulta de Core es la cantidad máxima de minutos que un usuario puede ejecutar una consulta en el servicio. Este campo se aplica al servicio de NetWitness Suite versión 10.5 y superiores y no aparece para la versión 10.4 y anteriores.
  1. (Opcional) Especifique criterios adicionales de consulta:
  • Prefijo de consulta filtra las consultas. Escriba un prefijo para restringir los resultados que ve el usuario.
  • Umbral de sesión controla la forma en que el servicio escanea los valores de metadatos para determinar los conteos de sesiones. Cualquier valor de metadatos con un conteo de sesiones que está por sobre el umbral detiene su determinación del conteo de sesiones verdadero.
  1. En la sección Membresía en función, seleccione cada función para asignar al usuario. Cuando un usuario es un miembro de una función en un servicio, el usuario tiene los permisos asignados a la función.
  2. Para activar el nuevo usuario de servicio, haga clic en Aplicar.

Se agrega el usuario al servicio inmediatamente.

REPLICAR UN USUARIO EN OTROS SERVICIOS

  1. En la pestaña Usuarios, seleccione un usuario y haga clic en The Action drop-down menu > Replicar.
    Se muestra el cuadro de diálogo Replicar usuarios a otros servicios.
    This is an example of the Replicate User to Other Services dialog
  2. Escriba y confirme la contraseña del usuario.
  3. Seleccione cada servicio para los que está replicando el usuario.
  4. Haga clic en Replicar.

Se agrega la cuenta de usuario a cada servicio seleccionado.

ELIMINAR UN USUARIO DE SERVICIO

  1. En la pestaña Usuarios, seleccione el Nombre de usuario y haga clic en The delete icon.
    NetWitness Suite solicita confirmar la intención de eliminar al usuario seleccionado.
  2. Para confirmar, haga clic en .

Se elimina el usuario del servicio inmediatamente.

Agregar una función de usuario de servicio

Existen funciones preconfiguradas en NetWitness Suite que están instaladas en el servidor y en cada servicio. También puede agregar funciones personalizadas. En la siguiente tabla se enumeran las funciones preconfiguradas del sistema y sus permisos.

                                   
FunciónPermiso
AdministradoresAcceso completo al sistema
OperadoresAcceso a configuraciones, pero no a metadatos ni a contenido de sesiones
AnalistasAcceso a metadatos y contenido de sesiones, pero no a configuraciones
SOC_ManagersEl mismo acceso que poseen los analistas, además del permiso adicional para manejar incidentes
Malware_AnalystsAcceso a eventos de malware y a metadatos y contenido de sesiones
Data_Privacy_OfficersAcceso a metadatos y contenido de sesiones, así como a opciones de configuración que administran el ocultamiento y la visualización de datos confidenciales en el sistema (consulte Administración de la privacidad de datos).

Debe agregar una función de servicio cuando ha agregado:

  • Un usuario o usuarios de servicio que requieren un nuevo conjunto de permisos.
  • Una función personalizada en el Servidor de NetWitness, ya que las conexiones de confianza requieren que exista la misma función personalizada en el servidor y en cada servicio al que accederá la función personalizada. Los nombres deben ser idénticos. Por ejemplo, si agrega una función Junior Analysts en el servidor, debe agregar una función Junior Analysts en cada servicio al cual accederá la función. Para obtener más información, consulte el tema Agregar una función y asignar permisos en Administración de usuarios y de la seguridad del sistema.

También hay una función de servicio Agregación preconfigurada. En Función Agregación y Funciones y permisos de los usuarios de servicios se proporciona información adicional.

Procedimiento

Para agregar una función de usuario de servicio y asignarle permisos:

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio y elija The Actions drop-down menu > Ver > Seguridad.
    La vista Seguridad del servicio seleccionado se muestra con la pestaña Usuarios abierta.
  3. Seleccione la pestaña Funciones y haga clic en The Add icon.
    La vista Seguridad de servicios se muestra con cinco funciones preconfiguradas que ya están enumeradas. 
    This is an example of the Roles tab.
  4. Haga clic en The add icon, escriba el Nombre de la función y presione Intro.
    El Nombre de la función se muestra sobre una lista de Permisos de función.
  5. Seleccione cada permiso que tendrá la función en el servicio. 
  6. Haga clic en Aplicar.

La función se agrega inmediatamente al servicio. Puede agregar usuarios de servicio en la pestaña Usuarios.

Cambiar una contraseña de usuario de servicio

Este procedimiento permite que los administradores cambien la contraseña de un usuario de servicios y que repliquen la contraseña nueva a todos los servicios principales en los cuales está definida esa cuenta de usuario. Solo el cambio de contraseña se replica a los servicios principales seleccionados y no la cuenta de usuario completa. Los administradores también pueden cambiar la contraseña de la cuenta de administrador en los servicios principales.

Nota: la opción Cambiar contraseña no se aplica a los usuarios externos.

Para cambiar la contraseña de un usuario de servicios:

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
    Se muestra la vista Servicios de Administration.
  2. Seleccione un servicio y haga clic en The actions drop-down menu > Ver > Seguridad.
    Se muestra la vista Seguridad para los servicios seleccionados.
  3. En la pestaña Usuarios, seleccione un usuario y elija Cambiar contraseña en el ícono de acciones.
    Se muestra el cuadro de diálogo Cambiar contraseña.
    This is an example of the Change Password dialog.
  4. Escriba la contraseña nueva del usuario y confírmela.
  5. Seleccione los servicios en los cuales desea cambiar la contraseña del usuario. 
  6. Haga clic en Cambiar contraseña.
    Se muestra el estado del cambio de contraseña en los servicios seleccionados.

Crear y administrar grupos de servicios

La vista Servicios de Administration proporciona opciones para crear y administrar grupos de servicios. La barra de herramientas de panel Servicios incluye opciones para crear, editar y eliminar grupos de servicios. Una vez que se crean los grupos, puede arrastrar servicios individuales desde el panel Servicios a un grupo.

Los grupos pueden reflejar un principio funcional, geográfico, orientado a un proyecto o cualquier principio de la organización que sea útil. Un servicio puede pertenecer a más de un grupo. Aquí hay algunos ejemplos de posibles agrupamientos.

  • Agrupe diferentes tipos de servicios para facilitar la configuración y el monitoreo de todos los Brokers, Decoders o Concentrators.
  • Agrupe servicios que sean parte del mismo flujo de datos; por ejemplo, un Broker y todos los Concentrators y Decoder asociados.
  • Agrupe servicios según su región y ubicación geográfica dentro de la región. Si ocurre una interrupción de energía importante en una ubicación, los servicios posiblemente afectados son fácilmente identificables.

Crear un grupo

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
    Se muestra la vista Servicios de Administration.
  2. En la barra de herramientas del panel Grupos, haga clic en The Add icon.
    Se abre un campo para el grupo nuevo con un cursor parpadeante.
    This is the Groups panel with a new, unnamed group
  3. Escriba el nombre del grupo nuevo en el campo (por ejemplo, Un grupo nuevo) y presione Intro.
    El grupo se crea como una carpeta en el árbol. El número junto al grupo indica la cantidad de servicios en ese grupo.
    This is the Groups panel with the new group added

Cambiar el nombre de un grupo

  1. En el panel Grupos de la vista Servicios, haga doble clic en el nombre de grupo o seleccione el grupo y haga clic en The edit icon. El campo de nombre se abre con un cursor parpadeante.
  2. Escriba el nuevo nombre del grupo y presione Intro.
    El campo de nombre se cierra y el nuevo nombre del grupo se muestra en el árbol.

Agregar un servicio a un grupo

En el panel Servicios de la vista Servicios, seleccione un servicio y arrástrelo a una carpeta de grupo en el panel de grupos; por ejemplo, Log Collectors.
El servicio se agrega al grupo.

Ver los servicios en un grupo

Para ver los servicios en un grupo, haga clic en el grupo en el panel Grupos.

El panel Servicios indica los servicios en ese grupo.

Eliminar un servicio de un grupo 

  1. En el panel Grupos de la vista Servicios, seleccione el grupo que contiene el servicio que desea eliminar. Los servicios de ese grupo aparecen en el panel Servicios.
  2. En el panel Servicios, seleccione uno o más servicios que desee quitar del grupo y, en la barra de herramientas, seleccione The Delete icon> Eliminar de grupo.
    Los servicios seleccionados se quitan del grupo, pero no se quitan de la interfaz del usuario de NetWitness Suite. La cantidad de servicios en el grupo, que se indica cerca del nombre del grupo, disminuye según la cantidad de servicios eliminados de un grupo. El grupo Todo contiene los servicios que se quitaron del grupo.
    En el siguiente ejemplo, el grupo de servicios llamado Un grupo nuevo no contiene ningún servicio, ya que se quitó el servicio en ese grupo.
    This is an example of a group without services

Eliminar un grupo

  1. En el panel Grupos de la vista Servicios, seleccione el grupo que desea eliminar. 
  2. Haga clic en The delete icon.
    El grupo seleccionado se quita del panel Grupos. Los servicios que estaban en el grupo no se quitan de la interfaz del usuario de NetWitness Suite. El grupo Todo contiene los servicios del grupo eliminado.

Duplicar o replicar una función de servicio

Una forma eficiente de agregar una nueva función de servicio es duplicar una función similar, guardarla con un nuevo nombre y revisar los permisos que ya están asignados. Por ejemplo, podría duplicar la función Analistas. Después, puede guardarla como JuniorAnalysts y modificar los permisos.

La forma rápida de agregar una función existente a otros servicios es replicar la función. Por ejemplo, podría replicar la función JuniorAnalysts que existe en un Broker a un Concentrator y un Log Decoder.

Cada uno de los siguientes procedimientos comienza en la vista Seguridad de servicios.

Para navegar a la vista Seguridad de servicios:

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio y haga clic en The Actions icon > Ver > Seguridad.
    La vista Seguridad del servicio seleccionado se muestra con la pestaña Usuarios abierta.
  3. Seleccione la pestaña Funciones.

Duplicar una función de servicio

  1. En la pestaña Funciones, seleccione la función que desea duplicar.
    This is an example of the Roles tab.
  2. Haga clic en The Duplicate icon toDuplicar función.
  3. Escriba un nombre nuevo y haga clic en Aplicar.
  4. Seleccione la nueva función.
  5. En la sección Permisos de función, seleccione o deseleccione permisos para modificar lo que puede hacer la nueva función.

La función duplicada se agrega de inmediato al servicio.

Replicar una función

  1. En la pestaña Funciones, seleccione la función que desea replicar y haga clic en Replicar.
  2. En el cuadro de diálogo Replicar función a otros servicios, seleccione cada servicio en el cual desea agregar la función.
  3. Haga clic en Replicar.

La función replicada se agrega de inmediato a cada servicio seleccionado.

Editar los archivos de configuración de servicios principales

Los archivos de configuración de los servicios Decoder, Log Decoder, Broker, Concentrator, Archiver y Workbench se pueden editar como archivos de texto. La vista Configuración de servicios > pestaña Archivos permite:

  • Ver y editar un archivo de configuración de servicio que el sistema NetWitness Suite utiliza actualmente.
  • Recuperar y restaurar el respaldo más reciente del archivo que está editando.
  • Migrar el archivo abierto a otros servicios.
  • Guardar cambios realizados en un archivo.

Los archivos disponibles para editar varían según el tipo de servicio que se configura. Los archivos comunes a todos los servicios Core son:

  • El archivo del índice del servicio.
  • El archivo de netwitness.
  • El archivo del generador de informes de fallas.
  • El archivo del programador. 

Además, el Decoder tiene archivos que configuran los analizadores, las definiciones de feed y un adaptador de LAN inalámbrica. 

Nota: Los valores predeterminados en estos archivos de configuración son, por lo general, aptos para las situaciones más comunes. Sin embargo, es necesario realizar tareas de edición para los servicios opcionales, como el generador de informes de fallas generales o el programador. Solo los administradores que comprenden ampliamente las redes y los factores que afectan la forma en que los servicios recopilan y analizan datos deben realizar cambios en estos archivos en la pestaña Archivos.

Para obtener más detalles sobre los parámetros de configuración de servicios, consulte Ajustes de configuración de servicios.

Editar el archivo de configuración de un servicio

Para editar un archivo:

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
  2. En la cuadrícula Servicios, seleccione un servicio.
  3. Seleccione The actions drop-down menu > Ver > Configuración.
    La vista Configuración de servicios se muestra con la pestaña General abierta.
  4. Haga clic en la pestaña Archivos.
    El servicio seleccionado, como Concentrator, aparece en la lista desplegable de la derecha.
  5. (Opcional) Para editar un archivo para el host en lugar del servicio, seleccione Host en la lista desplegable.
  6. Elija un archivo en la lista desplegable Seleccione un archivo a editar.
    El contenido del archivo se muestra en modo de edición.
    Editable Files tab in Config view
  7. Edite el archivo y haga clic en Aplicar.

El archivo actual se sobrescribe y se crea un archivo de respaldo. Los cambios se aplican tras el reinicio del servicio.

Revertir a una versión de respaldo de un archivo de configuración de servicio

Después de hacer cambios en un archivo de configuración, guarde el archivo y reinicie el servicio, un archivo de respaldo está disponible. Para revertir a un respaldo de un archivo de configuración: 

  1. Seleccione un archivo de configuración, para lo cual debe realizar los pasos del 1 al 6 del procedimiento Editar el archivo de configuración de un servicio al principio de este tema.
  2. Haga clic en Get Backup.
    El archivo de respaldo se abre en el editor de texto.
  3. Para revertir a la versión de respaldo, haga clic en Guardar.

Los cambios se aplican tras el reinicio del servicio.

Migrar un archivo de configuración a otros servicios

Después de editar un archivo de configuración de servicio, puede migrar la misma configuración a otros servicios del mismo tipo. 

  1. Seleccione un archivo de configuración, para lo cual debe realizar los pasos del 1 al 6 del procedimiento Editar el archivo de configuración de un servicio al principio de este tema.
  2. Haga clic en The Push icon. Se muestra el cuadro de diálogo Seleccionar servicios.
  3. Seleccione cada servicio para migrar a estos el archivo de configuración.
    Cada servicio debe ser del mismo tipo que el que seleccionó en la vista Servicios.

    Precaución: si decide no migrar el archivo de configuración, haga clic en Cancelar.

  4. Para migrar el archivo de configuración a todos los servicios seleccionados, haga clic en Aceptar.

El archivo se migra a todos los servicios seleccionados. 

CONFIGURAR EL PROGRAMADOR DE TAREAS

Archivo del programador

Puede editar el archivo del programador en la vista Configuración de servicios > pestaña Archivos. Este archivo configura el programador de tarea incorporado de un servicio. El programador de tareas puede enviar mensajes automáticamente a intervalos predefinidos o en momentos específicos del día.

Sintaxis de tareas de programador

Una línea de tarea en el archivo de programador contiene la siguiente sintaxis, donde no tiene espacios:

<ParamName>=<Value>

si <Value> tiene espacios, esta es la sintaxis:

<ParamName>="<Value>"

En cada línea de tarea, se aplican estas reglas:

  • Se requiere el parámetro tiempo o uno de los parámetros de intervalo (segundos, minutos u horas).
  • En los caracteres especiales se debe usar el carácter de escape \ (barra invertida).

Parámetros de línea de tarea

El programador acepta los siguientes parámetros de línea de tarea.

                                                       
SintaxisDescripción
daysOfWeek: <string, optional, {enum-any:sun|mon|tue|wed|thu|fri|sat|all}>Los días de la semana para ejecutar una tarea. El valor predeterminado es all.
deleteOnFinish: <bool, optional>Eliminar la tarea cuando haya finalizado correctamente.
hours: <uint32, optional, {range:1 to 8760}>La cantidad de horas entre ejecuciones.
logOutput: <string, optional>Generar la respuesta en el registro con el uso del nombre de módulo especificado.
minutes: <uint32, optional, {range:1 to 525948}>La cantidad de minutos entre ejecuciones.
msg: <string>El mensaje para enviar el nodo.
params: <string, optional>Los parámetros para el mensaje.
pathname: <string>La ruta del nodo que recibe el mensaje.
seconds: <uint32, optional, {range:1 to 31556926}>El número de segundos entre ejecuciones.
time: <string>La hora de ejecución en formato HH::MM:SS (hora local de este servidor).
timesToRun: <uint32, optional>Cuántas veces se ejecuta desde el inicio del servicio; el valor 0 indica que no hay límite (valor predeterminado).

Mensajes

Las siguientes son las cadenas de mensaje que se utilizan en el parámetro msg del programador de tareas.

                                 
MensajeDescripción
addInterAgrega una tarea para ejecutarse en un intervalo definido. Por ejemplo, este mensaje ejecuta el comando /index save cada 6 horas:

addInter hours=6 pathname=/index msg=save
addMil
 
Agrega una tarea que se ejecutará en un momento específico del día o incluso durante los días de la semana. Por ejemplo, este mensaje ejecuta el comando /index save a la 01:00 h cada día laborable:
addMil time= 01:00:00 pathname=/index
msg=save daysOfWeek=mon,tue,wed,thu,fri
delSchedElimina una tarea programada existente. El parámetro id de la tarea debe recuperarse del mensaje de impresión.
printImprime todas las tareas programadas.
replaceAsigna todas las tareas programadas en un mensaje, eliminando cualquier tarea existente.
saveLe indica a un nodo que guarde

Ejemplo de línea de tarea

El siguiente ejemplo de línea de tarea en el archivo de programador descarga el archivo de paquetes de feeds (feeds.zip) al Decoder seleccionado cada 120 minutos desde el servidor de host de feeds:

minutes=120 pathname=/parsers msg=feed params="type\=wget file\=http://feedshost/nwlive/feeds.zip"

EDITAR UN ARCHIVO DE ÍNDICE DE SERVICIOS

En este tema se proporciona información y reglas importantes para configurar archivos de índice personalizados de servicios, los cuales se pueden editar en la vista Configuración del servicio > pestaña Archivos.

El archivo de índice, junto con otros archivos de configuración, controla la operación de cada servicio principal. El acceso al archivo de índice a través de la vista Configuración de servicios en NetWitness Suite abre el archivo en un editor de texto, donde puede editarlo.

Nota: Solo los administradores con un conocimiento integral y completo de la configuración del servicio principal cumplen los requisitos para realizar cambios en un archivo de índice, que es uno de los archivos de configuración principales para el servicio del dispositivo. Los cambios que se hacen deben ser coherentes en todos los servicios principales. Las entradas no válidas o un archivo configurado erróneamente pueden impedir que se inicie el sistema y es posible que requiera la ayuda de RSA Support para lograr que el sistema vuelva a un estado funcional.

Estos son los archivos de índice: 

  • index-broker.xml y index-brokercustom.xml
  • index-concentrator.xmlindex-concentrator‐custom.xml
  • index-decoder.xmlindex-decodercustom.xml
  • index-logdecoder.xml y index-logdecodercustom.xml
  • index-archiver.xml y index-archiver‐custom.xml
  • index-workbench.xml y index-workbench‐custom.xml

Archivos de índice y archivos de índice personalizados

Todos los cambios de índice específicos del cliente se realizan enindex-<service>-custom.xml. Este archivo reemplaza cualquier ajuste en index-<service>.xml, el cual está bajo el control exclusivo de RSA. 

Nota: Los clientes que usaban versiones de NetWitness Suite anteriores a 10.1 tenían que personalizar los archivos de índice mediante su edición y guardado, y este método dependía de que NetWitness Suite creara un respaldo del archivo de índice actual después del reinicio del servicio. Utilizando este proceso, se sobrescribe el archivo actual y se crea un archivo de respaldo. La opción de la barra de herramientas proporciona una manera de revertir a una versión de respaldo del archivo de índice.
Durante las actualizaciones de software, el archivo index-<service>.xml no se conserva, ya que se sobrescribe con los cambios que hace el equipo de contenido de RSA. Sin embargo, se crea un respaldo en el mismo directorio, el cual se denomina index-<service>.xml.rpm_pre_save. Si es necesario, se puede hacer referencia al archivo index-<service>.xml.rpm_pre_save para crear el archivo index-<service>-custom.xml específico del cliente, lo cual solo es necesario hacer una vez. A partir de ahí, el nuevo sistema permite a RSA realizar cambios de índice sin modificar los cambios específicos existentes del cliente. 

El archivo de índice personalizado, index-<service>‐custom.xml, permite crear definiciones personalizadas o reemplazos de sus propias claves de idioma que no se sobrescriben durante el proceso de actualización.

  • Las claves que se definen en index-<service>‐custom.xml reemplazan a las definiciones que se encuentran en index-<service>.xml.
  • Las claves que se agregan a index-<service>custom.xml y que no se encuentran en index‐<service>.xml se agregan al idioma como una clave nueva.

Algunas aplicaciones comunes para editar el archivo de índice son:

  • Agregar las nuevas claves de metadatos personalizadas para agregar nuevos campos a la interfaz del usuario de NetWitness Suite.
  • Configurar claves de metadatos protegidas como parte de una solución de privacidad de datos, como se describe en la guía Administración de la privacidad de datos.
  • Ajustar el rendimiento de consultas de la base de datos de NetWitness Suite Core, como se describe en la Guía de ajuste de la base de datos de NetWitness Suite Core.

Nota: Para NetWitness Suite 10.1 y superior, no hay necesidad de editar el archivo de índice personalizado de Broker, con excepción de los escenarios de implementación de la privacidad de datos y las funciones del sistema. El Broker combina automáticamente las claves de todos los servicios agregados para crear un idioma integral. Se utiliza el idioma alternativo definido en index‐broker.xml y indexbroker-custom.xml si no hay servicios o si todos los servicios están offline.

Precaución: Nunca configure el nivel de índice en IndexKeys o IndexValues en un Decoder si tiene un Concentrator o un Archiver que realizan agregación desde el Decoder. El tamaño de la partición del índice es demasiado pequeño para ofrecer compatibilidad con cualquier indexación más allá de la clave de metadatos time predeterminada.

HABILITAR EL SERVICIO DEL GENERADOR DE INFORMES DE FALLAS

El generador de informes de fallas es un servicio opcional para servicios de NetWitness Suite. Cuando se activa para cualquiera de los servicios principales, el generador de informes de fallas crea automáticamente un paquete de información que se utilizará para diagnosticar y solucionar el problema que causó la falla en el servicio. El paquete se envía automáticamente a RSA para el análisis. Los resultados se envían al servicio de soporte de RSA para cualquier acción adicional.

El paquete de información que se envía a RSA no contiene datos capturados. Este paquete consta de la siguiente información:

  • Rastreo de paquete de discos
  • Registros
  • Ajustes de configuración
  • Versión de software
  • Información de CPU
  • RPM instalados
  • Geometría de discos

El análisis de fallas generales del generador de informes de fallas generales se puede activar para cualquier producto Core. 

El archivo crashreporter.cfg

Uno de los archivos disponibles para edición en la vista Configuración de servicios > pestaña Archivos es crashreporter.cfg, el archivo de configuración del servidor de cliente del generador de informes de fallas.

El script que comprueba, actualiza y crea informes de fallas generales en el host utiliza este archivo. La lista de productos para monitorear puede incluir Decoders, Concentrators, hosts y Brokers.

En esta tabla se muestran las configuraciones para el archivo crashreporter.cfg.

                                                                                                           
ConfiguraciónDescripción
applicationlist=decoder, concentrator, hostDefinir la lista de productos para monitorear.
sitedir=/var/crashreporterUbicación del directorio de sitio para el informe.
webdir=/usr/share/crashreporter/WebUbicación del directorio web.
devdir=/var/crashreporter/DevUbicación del directorio de desarrollo.
datadir=/var/crashreporter/dataUbicación de los archivos de datos del almacenamiento de directorios.
perldir=/usr/share/crashreporter/perlUbicación de los archivos Perl.
bindir=/usr/share/crashreporter/binUbicación de los archivos ejecutables binarios.
libdir=/usr/share/crashreporter/libUbicación de las bibliotecas binarias.
cfgdir=/etc/crashreporterUbicación de los archivos de configuración.
logdir=/var/log/crashreporterUbicación de los archivos de registro.
scriptdir=/usr/share/crashreporter/scriptsUbicación del directorio que contiene scripts.
workdir=/var/crashreporter/workUbicación del directorio de trabajo de procesos.
sqldir=/var/crashreporter/sqlUbicación donde se sitúan los archivos SQL creados.
reportdir=/var/crashreporter/reportsUbicación donde se crean los informes temporales.
packagedir=/var/crashreporter/packagesUbicación de los archivos de paquete creados.
gdbconfig=/etc/crashreporter/crashreporter.gdbUbicación del archivo de configuración gdb.
corewaittime=30Defina la cantidad de segundos que se deben esperar después de buscar un core para determinar si el core aún se está escribiendo.
cyclewaittime=10Defina la cantidad de minutos que se deben esperar entre los ciclos de búsqueda.
deletecores=1Especifique si los archivos principales se deben eliminar después del informe.

0 = No
1 = Sí

NOTA: Hasta que se elimina, el archivo principal se informa cada vez que se reinicia el generador de informes de fallas.
deletereportdir=1Especifique si el directorio de informes debe eliminarse después del informe. Útil para ver informes principales en el cuadro.

0 = No
1 = Sí

NOTA: Si no se elimina, el directorio se incluirá en cada paquete subsiguiente.
debug=1Especifique si los mensajes de depuración están activados o desactivados en la salida de registro del generador de informes de fallas.

0 = No
1 = Sí
posturl=https://www.netwitnesslive.com/crash…ter/submit.phpDefina la URL de publicación del servidor web.
postpackages=0Especifique si los paquetes deben publicarse en el servidor web.

0 = No
1 = Sí
deletepackages=1Especifique si los paquetes deben eliminarse después de publicarse en el servidor web.

0 = No
1 = Sí

Configurar el servicio del generador de informes de fallas.

Para configurar el servicio del generador de informes de fallas.

  1. Seleccione ADMIN > Servicios.
  2. Seleccione un servicio y haga clic en The Actions icon > Ver > Configuración.
  3. Seleccione la pestaña Archivos.
  4. Edite crashreporter.cfg.
  5. Haga clic en Guardar.
  6. Para mostrar la vista Sistema de servicios, seleccione Configurar > Sistema.
  7. Para reiniciar el servicio, haga clic en The shutdown service icon.
    El servicio se apaga y se reinicia.

Iniciar y detener el servicio del generador de informes de fallas

Para iniciar el servicio de generador de informes de fallas:

  1. Seleccione ADMIN > Servicios.
  2. Seleccione un servicio y haga clic en The Actions icon > Ver > Sistema.
  1. En la barra de herramientas, haga clic en Host Tasks.
    Se muestra la Lista de tareas del host.
  2. En la lista desplegable Tarea, seleccione Iniciar servicio.
  3. En el campo Argumentos, escriba crashreporter y haga clic en Ejecutar
    This is an example of the Host Task List dialog for this procedure.

El servicio de generador de informes de fallas se activa y permanece así hasta que se detiene.

Para detener el servicio del generador de informes de fallas, seleccione Detener servicio en la lista desplegable Tarea.

MANTENER LOS ARCHIVOS DE MAPA DE TABLAS

El archivo de mapeo de tablas que proporciona RSA, table-map.xml, es una parte muy importante de Log Decoder. Es un archivo de definición de metadatos que también mapea las claves que se usan en un analizador de registros a las claves de metadb. 

No edite el archivo table-map.xml. Si desea hacer cambios en el mapa de tablas, hágalos en el archivo table-map-custom.xml. El archivo table-map.xml más reciente está disponible en Live y RSA lo actualiza si es necesario. Si hace cambios en el archivo table-map.xml, estos se pueden sobrescribir durante una actualización de servicio o contenido.

En table-map.xml, algunas claves de metadatos están configuradas en Transient y otras en None. Para almacenar e indexar una clave de metadatos específica, esta se debe configurar en None. Para realizar cambios en el mapeo, debe crear una copia del archivo, denominada table-map-custom.xml, en Log Decoder y configurar las claves de metadatos en None.

Para la indexación de claves de metadatos:

  • Cuando una clave está marcada como None en el archivo table-map.xml en el Log Decoder, está indexada.
  • Cuando una clave está marcada como Transient en el archivo table-map.xml en el Log Decoder, no está indexada. Para indexar la clave, copie la entrada en el archivo table-map-custom.xml y cambie la palabra clave flags="Transient" a flags="None".
  • Si una clave no existe en el archivo table-map.xml, agregue una entrada al archivo table-map-custom.xml en el Log Decoder.

Precaución: No actualice el archivo table-map.xml porque una actualización puede sobrescribirlo. Agregue todos los cambios que desea hacer en el archivo table-map-custom.xml .

Requisitos previos

Si no tiene un archivo table-map-custom.xml en el Log Decoder, cree una copia de table-map.xml y cambie su nombre a table-map-custom.xml.

Procedimiento

Para verificar y actualizar el archivo de mapeo de tablas:

  1. Vaya a ADMINISTRARServicios.
  2. En la cuadrícula Servicios, seleccione un Log Decoder y haga clic en The Actions icon > Ver > Configuración.
  3. Haga clic en la pestaña Archivos y seleccione el archivo table-map.xml.
    This is an example of the Files tab with the relevant line highlighted.
  4. Verifique que las palabras clave flags estén configuradas correctamente en Transient o None.
  5. Si necesita cambiar una entrada, no cambie el archivo table-map.xml . En su lugar, copie la entrada, seleccione el archivo table-map-custom.xml, busque la entrada en el archivo table-map-custom.xml y cambie la palabra clave flags de Transient a None.
    Por ejemplo, la siguiente entrada para la clave de metadatos hardware.id en el archivo table-map.xml no está indexada y la palabra clave flags aparece como Transient:
    <mapping envisionName="hardware_id" nwName="hardware.id" flags="Transient"/>
    Para indexar la clave de metadatos hardware.id, cambie la palabra clave flags de Transient a None en table-map-custom.xml:
    <mapping envisionName="hardware_id" nwName="hardware.id" flags="None"/>
  6. Si una entrada no existe en el archivo table-map.xml, agregue una entrada en el archivo table-map-custom.xml.
  7. Cuando haya hecho los cambios en el archivo table-map-custom.xml, haga clic en Aplicar.

Precaución: Antes de modificar los archivos de mapeo de tablas, considere cuidadosamente el efecto de cambiar el índice de Transient a None, ya que esto puede afectar el almacenamiento disponible y el rendimiento del Log Decoder. Por esta razón, solo ciertas claves de metadatos vienen indexadas. Utilice el archivo table-map-custom.xml para diferentes casos de uso.

Editar o eliminar un servicio

Puede editar la configuración de un servicio, como cambiar el nombre de host o el número de puerto, o eliminar un servicio que ya no necesite.

Cada uno de los siguientes procedimientos comienza en la vista Servicios.

Para navegar a la vista Servicios, en NetWitness Suite, vaya a ADMIN > Servicios.

This is the Services view.

Procedimientos

EDITAR UN SERVICIO

  1. En la vista Servicios, seleccione un servicio y haga clic en The Edit icon o The Actions drop-down menu> Editar.
    Se muestra el cuadro de diálogo Editar servicio. Solo muestra los campos que se aplican al servicio seleccionado.
    This is the Edit Service dialog
  2. Edite los detalles del servicio, para lo cual debe cambiar cualquiera de los siguientes campos:
    • Nombre
    • Puerto: cada servicio principal tiene dos puertos, SSL y no SSL. Para conexiones de confianza, debe usar el puerto SSL.
    • SSL: para conexiones de confianza, debe usar SSL. 
    • Nombre de usuario y Contraseña: Use estas credenciales para probar la conexión a un servicio.
      1. Si usa una conexión de confianza, elimine el nombre de usuario.
        Si no utiliza una conexión de confianza, escriba el nombre de usuario y la contraseña.
      2. Haga clic en Probar conexión.
  3. (Opcional) Si el servicio requiere una licencia, seleccione Conferir autorizaciones al servicio. Esta opción se muestra solo para los servicios que requieren una licencia.
  4. Haga clic en Guardar.

Los cambios se hacen efectivos inmediatamente.

ELIMINAR UN SERVICIO

  1. En la vista Servicios, seleccione uno o más servicios y haga clic en The Delete icon o The actions drop-down menu > Eliminar.
  2. Un cuadro de diálogo solicita confirmación. Para eliminar el servicio, haga clic en .

El servicio eliminado ya no está disponible para los módulos de NetWitness Suite. 

Explorar y editar el árbol de propiedades de servicios

Puede obtener un acceso y un control avanzados de la funcionalidad del servicio en la vista Explorar servicios, que se compone de dos partes. La lista Nodo muestra la funcionalidad de servicio en carpetas en estructura de árbol. El panel Monitor muestra las propiedades de la carpeta o el archivo seleccionado en la lista Nodos.

Cada uno de los siguientes procedimientos comienza en la vista Explorar.

Para navegar hasta la vista Explorar:

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio y elija The Actions drop-down menu  > Ver > Explorar.
    Se muestra la vista Explorar. La lista Nodo está a la izquierda y el panel Monitor está a la derecha.
    This is an example of the Explore view

Procedimientos

MOSTRAR O EDITAR UNA PROPIEDAD DE SERVICIO

Para mostrar una propiedad de servicio:

  1. Haga clic con el botón secundario en un archivo en la lista Nodo o en el panel Monitorear.
  2. Haga clic en Properties.

Para editar el valor de una propiedad de servicio:

  1. En el panel Monitorear, seleccione un valor de propiedad editable.
  2. Escriba un nuevo valor. 

ENVIAR UN MENSAJE A UN NODO

  1. En el cuadro de diálogo Propiedades, seleccione un tipo de mensaje. Las opciones varían de acuerdo con el archivo seleccionado en la lista Nodo.
    Se muestra una descripción del tipo de mensaje seleccionado en el campo Ayuda de mensaje.
  2. (Opcional) si el mensaje así lo requiere, escriba los parámetros
  3. Haga clic en Enviar.
    Se muestra el valor o el formato en el campo Salida de respuesta.

Interrumpir una conexión a un servicio

Puede ver sesiones que estén en ejecución en un servicio en la vista Sistema de servicios. En la lista de sesiones, puede terminar la sesión y finalizar las consultas activas en una sesión.

Finalizar una sesión en un servicio

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
    Se muestra la vista Servicios de Admin.
  2. Seleccione un servicio y elija The Actions icon   > Ver > Sistema.
    Se muestra la vista Sistema de servicios.
    This is an example of the Service System view
  3. En la parte inferior de la cuadrícula Información de sesión, haga clic en un número de sesión.
    Se muestra el siguiente cuadro de diálogo de confirmación.
    This is the Kill Session confirmation dialog
  4. Haga clic en .

La sesión termina y se elimina de la cuadrícula.

Finalizar una consulta activa en una sesión

  1. Desplácese hacia abajo de la cuadrícula Sesiones.
  2. En la columna Consultas activas, haga clic en un conteo distinto de cero de consultas activas de una sesión. No puede hacer clic en él si no hay consultas activas.
    Se mostrará el cuadro de diálogo Consultas activas.
    This is an example of the Active Queries dialog
  3. Seleccione una consulta y haga clic en Cancelar consulta.
    Se detiene la consulta y se actualiza la columna Consultas activas.

Buscar servicios

Puede buscar servicios en la lista de servicios de la vista Servicios. La vista Servicios permite filtrar rápidamente la lista de servicios por nombre, host y tipo de servicio. Puede usar el menú desplegable Filtro y el campo Filtro de forma separada o a la misma vez para filtrar la vista Servicios. 

Además de poder localizar los servicios para un host en la vista Servicios, también puede buscar rápidamente los servicios que se ejecutan en un host en la vista Hosts.

Buscar un servicio

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
  2. En la barra de herramientas del panel Servicios, escriba el Nombre o el Host de un servicio en el campo Filtro.
    This is the Filter field.

    En el panel Servicios se enumeran los servicios que coinciden con los nombres ingresados en el campo Filtro. En el siguiente ejemplo se muestran los resultados de búsqueda una vez que se comienza a escribir log en el campo Filtro.
    This is the Services panel with two results matching a search for log

Filtrar servicios por tipo

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.
  2. En la vista Servicios, haga clic en The Filter icon y seleccione los tipos de servicios que le gustaría que aparezcan en la vista Servicios.


    Los tipos de servicio seleccionados aparecen en la vista Servicios. En el siguiente ejemplo se muestra la vista Servicios filtrada por Concentrator y Log Decoder.

    This is the Services panel filtered for Concentrator and Decoder.

Buscar los servicios en un host

Además de poder localizar los servicios para un host en la vista Servicios, también puede buscar rápidamente los servicios que se ejecutan en un host en la vista Hosts. 

  1. En NetWitness Suite, vaya a ADMIN > Hosts.
  2. En la vista Hosts, seleccione un host y haga clic en el cuadro que contiene un número (el número de servicios) en la columna Servicios.
    Se muestra una lista de los servicios en el host seleccionado.

En el siguiente ejemplo se enumera una lista de tres servicios en el host seleccionado después de que se hace clic en el cuadro que contiene el número 3.
The is an example of the dialog that appears when you click the service count

  1. Puede hacer clic en los vínculos del servicio para ver los servicios en la vista Servicios.

Iniciar, detener o reiniciar un servicio

Estos procedimientos solo se aplican a servicios principales.

Cada uno de los siguientes procedimientos comienza en la vista Servicios. En NetWitness Suite, vaya a ADMINISTRAR > Servicios.

Iniciar un servicio

Seleccione un servicio y haga clic en The Actions drop-down menu > Iniciar.

Detener un servicio

Cuando detiene un servicio, todos los procesos se detienen y los usuarios activos se desconectan de él.

Para detener un servicio:

  1. Seleccione un servicio y haga clic en The Actions drop-down menu > Detener.
  2. Un cuadro de diálogo solicita confirmación. Para detener el servicio, haga clic en .

Reiniciar un servicio

A veces, tiene que reiniciar un servicio para que los cambios surtan efecto. Cuando cambia un parámetro que requiere un reinicio, NetWitness Suite muestra un mensaje.

Para reiniciar un servicio:

  1. Seleccione un servicio y haga clic en The Actions drop-down menu > Reiniciar.
  2. Un cuadro de diálogo solicita confirmación. Para detener el servicio, haga clic en .

El servicio se detiene y se reinicia automáticamente.

Ver detalles de servicios

Puede ver y editar información sobre los servicios mediante las opciones del menú Ver de un servicio.
This is the service View menu

Objetivo de cada vista Servicio

Cada vista muestra una parte funcional de un servicio y se describe detalladamente en su propia sección:

  • En la vista Sistema se muestra un resumen de información de servicio, servicio de dispositivo, usuario del host, licencia y sesión.
  • La vista Estadísticas de servicios proporciona una forma de monitorear las operaciones y el estado de un servicio. 
  • La vista Configuración de servicios permite configurar todos los aspectos de un servicio. 
  • La vista Explorar de servicios permite ver y editar las configuraciones de hosts y servicios.
  • El panel Registro de sistema muestra registros de servicios en los cuales se puede buscar. 
  • La vista Seguridad de servicios es una forma de agregar cuentas de usuario de Security Analytics Core para agregación, usuarios de clientes gruesos y usuarios de la API REST.

Acceder a la vista Servicios

Para acceder a una vista de un servicio:

  1. En NetWitness Suite, vaya a ADMINISTRAR > Servicios
  2. Seleccione un servicio y haga clic en The Actions menu > Ver.

    Aparece el menú Ver.

    This is the View menu

  3. En las opciones de la izquierda, seleccione una vista.

    Esta es una vista Sistema correspondiente a un Broker.

    This is an example of the System view

  4. Use la barra de herramientas para navegar:

    This is the service toolbar

    1. Haga clic en Cambiar servicio para seleccionar otro servicio.
      Se muestra el cuadro de diálogo Administrar servicio.
    2. Seleccione la casilla de verificación a la izquierda del servicio que desea.
    3. Seleccione la vista que desea para el servicio que seleccionó en el menú desplegable Ver.

      This is the View menu

      Se muestra la vista nueva (por ejemplo, Estadísticas) para el servicio que seleccionó.

Next Topic:Referencias
You are here
Table of Contents > Procedimientos de hosts y servicios

Attachments

    Outcomes