Arquitectura de recopilación de registros

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En este tema se describe cómo NetWitness Suite realiza la recopilación de registros.

Cómo implementar Log Collection

Puede implementar Log Collection según las necesidades y preferencias de su empresa. Esto incluye implementar Log Collection a lo largo de múltiples ubicaciones y recopilar datos de varios conjuntos de orígenes de eventos. Puede hacer esto si configura un Local Collector con uno o varios Remote Collectors.

Componentes de Log Collection

En la siguiente figura se muestran todos los componentes que implica la recopilación de eventos mediante NetWitness Suite Log Collector.

Example shows all the components involved in log collection through the NetWitness Suite.

Local y Remote Collectors

En la siguiente figura se ilustra cómo interactúan Local y Remote Collectors para recopilar eventos desde todas sus ubicaciones.

En este escenario, la recopilación de registros desde varios protocolos, como Windows, ODBC, etc., se ejecuta mediante el Remote Collector y el servicio Log Collector. Si la recopilación de registros se realiza mediante el Local Collector, se reenvía al servicio Log Decoder, al igual que en el escenario de implementación local. Si se realiza mediante un Remote Collector, existen dos métodos a través de los cuales se transfiere al Local Collector:

  • Extraer configuración: En un Local Collector, seleccione los Remote Collectors desde los cuales desea extraer eventos.
  • Migrar configuración: En un Remote Collector, seleccione el Local Collector al cual desea migrar eventos.

Nota: El caso de uso típico es Migrar. La extracción está disponible si tiene una DMZ en su ambiente. No se permite que los segmentos de red menos seguros establezcan conexiones a los segmentos de red más seguros. Con la extracción, el Log Collector (o Virtual Log Collector) en la red segura inicia la conexión al VLC en la red menos segura y, a continuación, se transfieren los registros sin romper las reglas de conexión.

Puede configurar uno o más Remote Collectors para migrar datos de eventos a un Local Collector, o puede configurar un Local Collector para extraer datos de eventos de uno o más Remote Collectors.

Además, puede configurar una cadena de Remote Collectors para la cual puede configurar:

  • Uno o más Remote Collectors para migrar datos de eventos a un Remote Collector.
  • Un Remote Collector para extraer datos de eventos de uno o más Remote Collectors.

Example shows a Remote Collector pulling event data from one or more Remote Collectors.

Remote Collector de Windows existente

El recopilador de Windows existente de RSA NetWitness® Suite es un Remote Log Collector (RC) que se basa en Microsoft Windows y que se puede instalar en un dominio de Windows.

Es compatible con la recopilación desde:

  • Orígenes de eventos de Windows 2003 y versiones anteriores
  • Archivos evt del host ONTAP de NetApp

En la siguiente figura se ilustra la implementación que se requiere para recopilar eventos desde orígenes de eventos de Windows existente.

Example illustrates the deployment required to collect events from Windows Legacy event sources.

You are here
Table of Contents > Arquitectura de recopilación de registros

Attachments

    Outcomes