Guía de configuración de la recopilación de Windows existente y NetApp

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

Este protocolo de Windows existente recopila eventos de Windows existente (orígenes de eventos de Windows 2003 o versiones anteriores) y eventos de auditoría de CIFS desde orígenes de eventos de NetApp ONTAP.

Debe implementar la recopilación de registros, es decir, configurar un Local Collector y un Remote Collector de Windows existente, antes de poder configurar el protocolo de recopilación de Windows existente.

Cómo funciona la recopilación de Windows existente y NetApp

El protocolo de recopilación de Windows existente se utiliza para configurar NetWitness Suite con el fin de que recopile eventos desde:

  • Orígenes de eventos de Microsoft Windows existentes (orígenes de eventos de Windows 2003 y versiones anteriores)
  • Orígenes de eventos de NetApp

Orígenes de eventos de Windows 2003 y versiones anteriores

Los orígenes de eventos de Windows existentes son versiones anteriores de Windows (como Windows 2000 y Windows 2003).  El protocolo de recopilación de Windows existente recopila de orígenes de eventos de Windows que ya están configurados para la recopilación de enVision sin tener que volver a configurarlos. Puede configurar estos orígenes de eventos en el tipo de origen de eventos ventanas . 

Orígenes de eventos de NetApp

Los dispositivos de NetApp que ejecutan Data ONTAP son compatibles con un marco de trabajo de auditoría nativo similar a Windows Servers. Cuando se configura, este marco de trabajo de auditoría genera y guarda eventos de auditoría en el formato de archivo .evt de Windows. El protocolo de recopilación de Windows existente es compatible con la recopilación de eventos desde dichos archivos .evt de NetApp.  Puede configurar estos orígenes de eventos en el tipo de origen de eventos netapp_evt. 

El dispositivo de Data ONTAP de NetApp está configurado para generar eventos de auditoría de CIFS y guardarlos periódicamente como archivos .evt en un formato que incluye el registro de fecha y hora en el nombre de archivo. Consulte la Guía de configuración de origen de eventos de ONTAP de datos de dispositivo de red en RSA Link para obtener más información. El protocolo de recopilación guarda el registro de fecha y hora del último nombre de archivo .evt procesado para hacer un seguimiento del estado de recopilación.

Parámetros específicos de Net App

La mayoría de los parámetros que mantiene en el cuadro de diálogo Agregar/Editar origen se aplican a orígenes de eventos tanto de Windows existente como de NetApp.

Los siguientes dos parámetros son únicos para los orígenes de eventos de NetApp.

  • Ruta de directorio de eventos: El dispositivo NetApp genera datos de eventos y los guarda en archivos .evt en un directorio que se puede compartir en el dispositivo NetApp. NetWitness Suite requiere que especifique esta ruta de directorio en el parámetro Ruta de directorio de eventos
  • Prefijo de archivo de evento: De manera similar a la ruta de directorio de eventos, NetWitness Suite requiere que especifique el prefijo (por ejemplo, adtlog.) de los archivos .evt de datos de eventos de modo que NetWitness Suite pueda procesar estos datos.

En cada ciclo de sondeo, NetWitness Suite navega por la ruta compartida de NetApp configurada para los archivos .evt que identificó con los parámetros Ruta de directorio de eventos y Prefijo de archivo de evento. NetWitness Suite:

  • Clasifica los archivos que coinciden con el formato event-file-prefix.YYMMDDhhmmss.evt en orden ascendente.
  • Usa el registro de fecha y hora del último archivo procesado para determinar los archivos que aún requieren procesamiento. Si NetWitness Suite encuentra un archivo procesado parcialmente, omite los eventos ya procesados.

Escenario de implementación

El protocolo de recopilación de Windows existente recopila datos de eventos de Windows 2003 o versiones anteriores, y orígenes de datos del dispositivo ONTAP de NetApp. El Remote Collector de Windows existente es el recopilador de Windows existente de SA instalado en un servidor Windows 2008 de 64 bits físico o virtual en su dominio de origen de eventos.

Windows Legacy Multi-Domain workflow.

You are here
Table of Contents > Protocolos de recopilación > Guía de configuración de la recopilación de Windows existente y NetApp

Attachments

    Outcomes