Archiver: Schritt 3. Konfigurieren des Archiver-Speichers und der Protokollaufbewahrung

Document created by RSA Information Design and Development on May 8, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema enthält Anweisungen für Administratoren zur Konfiguration des Speichers und der Protokollaufbewahrung auf einem Archiver.

Aus Gründen der Compliance ist es häufig erforderlich, einige Protokolle länger als andere aufzubewahren. Einige Protokolle sind rechtlich sensibel und dürfen nicht für einen langen Zeitraum aufbewahrt werden. Andere Protokollen müssen für viele Jahre aufbewahrt werden. Zusätzlich zur Compliance sind einige Protokolle nützlich für die Verlaufsforensik, während andere Protokolle wenig oder keinen sicherheits- oder betriebsbezogenen Wert haben und nach kurzer Zeit gelöscht werden können.

Da die geschäftlichen Anforderungen variieren, können Sie mit NetWitness Suite Sammlungen konfigurieren, die Protokollaufbewahrungssätze für das Speichern von Protokolldaten sind. Sie können für jede Sammlung angeben, wie viel des gesamten Speicherplatzes verwendet werden soll und für wie viele Tage die Protokolle in der Sammlung aufbewahrt werden. Zum Angeben des Protokolltyps für die Sammlung definieren Sie Aufbewahrungsregeln, die Sammlungen zugeordnet werden. Aufbewahrungsregeln für alle Sammlungen werden sequenziell in einer von Ihnen definierten Reihenfolge ausgeführt.

Dafür müssen Sie zunächst den gesamten physischen Speicherplatz für Ihre Sammlungen definieren. Mit NetWitness Suite können Sie drei Arten von Speicher definieren:

  • Hot-Tier-Speicher: DieserSpeicher enthält Protokolldaten, die als Teil des Geschäftsprozesses aktiv verwendet werden. Benutzer können auf diese Protokolle schneller als auf andere Arten von Speicher zugreifen und sie können die Protokolle für Reporting- und andere Aufgaben verwenden. Hot-Speicher ist in der Regel SAN- oder DAC-Speicher (Direct Access Capacity).
  • Warm-Tier-Speicher: (Optional) Dieser Speicher enthält ältere Protokolldaten, die von Archiver aggregiert werden. Der Zugriff auf Protokolldaten ist langsamer als beim Hot-Speicher. Benutzer können diese Protokolle ebenfalls für Reporting- und andere Aufgaben verwenden. Warm-Speicher ist in der Regel Network Attached Storage(NAS).
  • Cold-Tier-Speicher: (Optional) Dieser Speicher enthält die ältesten Protokolldaten, die entweder für den Betrieb des Unternehmens benötigt werden oder gemäß behördlicher Auflagen erforderlich sind. Die Protokolle sind offline und Archiver kann auf diese Protokolle nicht für Reporting- oder andere Aufgaben zugreifen. Wenn Sie allerdings auf diese Protokolldaten zugreifen möchten, können Sie sie in den Sammlungen wiederherstellen, die im Archiver-Service erstellt wurden, und sie dann für das Reporting verwenden. Cold-Speicher ist in der Regel Offlinespeicher wie NAS oder temporärer Speicher vor der Archivierung auf Band. Sobald die Daten an den Cold Tier verschoben wurden, werden diese Daten nicht mehr von Archiver verwaltet. Nach der Verschiebung sind externe Prozesse dafür zuständig, die Daten zu sichern oder diesen Cold-Tier-Speicherplatz so zu verwalten, dass die Kapazität nicht zu 100 % ausgelastet wird. Wenn die Kapazität erreicht ist, beendet Archiver die Aggregation, bis das Problem behoben ist.

Archivers verwenden per Vorkonfiguration verfügbaren Hot-Speicher und eine Standardprotokollsammlung. Das bedeutet, dass Sie Archiver-Speicher und die Protokollaufbewahrung nur dann konfigurieren müssen, wenn Sie komplexe Anforderungen an die Protokollaufbewahrung haben.

Protokolle können auf folgende Weise von einer Art von Speicher auf eine andere verschoben werden:

  • Hot-Speicher > Cold-Speicher
  • Hot-Speicher > Warm-Speicher > Cold-Speicher

Die Abbildung zeigt die Verbindung zwischen Hot-, Warm- und Cold-Speicher.

Wenn eine Sammlung die Aufbewahrungsfristen für Hot- und Warm-Speicher erreicht hat, löscht NetWitness Suite die Protokolldaten aus diesen Speichern. Wenn ein Cold-Speicher konfiguriert wurde, wird eine Kopie darin abgelegt, bevor die Protokolle aus dem Hot- oder Warm-Speicher gelöscht werden. Wenn Sie beispielsweise eine Sammlung mit 1 TB Hot-Speicher, 1 TB Warm-Speicher und aktiviertem Cold-Speicher haben und die Protokolldaten 1 TB Hot-Speicher erreichen, werden die ältesten Protokolldaten in den Warm-Speicher verschoben. Wenn die Protokolldaten im Warm-Speicher 1 TB erreichen, werden die ältesten Protokolldaten vom Warm-Speicher in den Cold-Speicher kopiert, bevor sie aus dem Warm-Speicher entfernt werden.

Bei Hot- und Warm-Speicher können sich die Einstellungen für die Größe und Aufbewahrungsfrist für eine Sammlung gegenseitig außer Kraft setzen, je nachdem welches Kriterium (Größe oder Zeit) zuerst erfüllt ist. Wenn Sie beispielsweise eine Sammlung mit 1 TB Hot-Speicher, keinem Warm- oder Cold-Speicher und einer Aufbewahrungsfrist von 20 Tagen haben und die Protokolldaten nach 11 Tagen 1 TB überschreiten, werden die ältesten Protokolle über 1 TB gelöscht, obwohl die Sammlung eine Aufbewahrungsfrist von 20 Tagen hat.

Nach der Erstellung des Hot-, Warm- und Cold-Speichers konfigurieren Sie Ihre Speichersammlungen für die Protokollaufbewahrung. Sie können die maximale Größe des Hot- und Warm-Speichers für die Sammlung, eine eventuelle Verwendung von Cold-Speicher, die Anzahl der Tage, für die Protokolle in der Sammlung aufbewahrt werden, und die Datenkomprimierung angeben sowie festlegen, ob ein Hashalgorithmus verwendet werden soll, um die Datenintegrität der gespeicherten Dateien überprüfen zu können.

Nach der Konfiguration Ihrer Sammlungen definieren Sie Aufbewahrungsregeln für Ihre Sammlung. Diese Regeln geben den Typ der Protokolle an, die in der Sammlung gespeichert werden sollen. Jeder Sammlung muss mindestens eine Aufbewahrungsregel zugeordnet werden, damit sie Protokolldaten speichern kann.

Verfahren

Führen Sie die folgenden Aufgaben in der gezeigten Reihenfolge durch, um den Speicher und die Protokollaufbewahrung zu konfigurieren.

                       
AufgabeReferenz
1. Konfigurieren Sie den Hot-, Warm- und Cold-Gesamtspeicher. Weitere Informationen finden Sie unter Konfigurieren des Hot-, Warm- und Cold-Speichers.
2. Konfigurieren Sie die Speichersammlungen für die Protokollaufbewahrung. Weitere Informationen finden Sie unter Konfigurieren von Protokollspeichersammlungen.
3. Definieren Sie Aufbewahrungsregeln für die Sammlungen und legen Sie die Reihenfolge der Ausführung der gesamten Liste von Aufbewahrungsregeln fest. Weitere Informationen finden Sie unter Definieren der Aufbewahrungsregeln.

 

You are here
Table of Contents > Basiskonfiguration von Archiver > Schritt 3. Konfigurieren des Archiver-Speichers und der Protokollaufbewahrung

Attachments

    Outcomes