Archiver: Schritt 2. Hinzufügen von Log Decoder als Datenquelle zu Archiver

Document created by RSA Information Design and Development on May 8, 2018
Version 1Show Document
  • View in full screen mode
 

Um einen Log Decoder als Datenquelle zu Archiver hinzuzufügen, müssen Sie den Archiver-Host in Ihrer Netzwerkumgebung installiert, Log Decoder in Ihrer Netzwerkumgebung installiert und konfiguriert und den Archiver-Hosts zu NetWitness Suite hinzugefügt haben. Vergewissern Sie sich außerdem, dass der Archiver-Service aktiv und lizenziert ist.

Hinzufügen von Log Decoder als Datenquelle zu Archiver

So fügen Sie einen Log Decoder als Datenquelle zu Archiver hinzu:

  1. Navigieren Sie zu ADMIN> Services.
  2. Wählen Sie den Archiver-Service aus.
  3. Wählen Sie in der Spalte Aktionen die Optionen Ansicht > Konfiguration
    aus.
    Die Ansicht „Services“ > „Konfiguration“ von Archiver wird angezeigt.
  4. Klicken Sie auf der Registerkarte Allgemein im Bereich Services aggregieren auf .

    Das Dialogfeld „Verfügbare Services“ wird angezeigt.

    Dialogfeld „Verfügbare Services“ wird angezeigt.

  5. Wählen Sie den Log Decoder-Service aus, den Sie dem Archiver als Datenquelle hinzufügen möchten, und klicken Sie auf OK.
  6. Wenn der Log Decoder ein Vertrauensmodell verwendet, wird das Dialogfeld „Service hinzufügen“ angezeigt:



  7. Geben Sie den Benutzernamen und das Passwort für den Log Decoder ein und konfigurieren Sie die SSL-Einstellungen.
  8. Klicken Sie auf OK.
    Der ausgewählte Log Decoder-Service wird im Bereich Services aggregieren aufgeführt.

Überlegungen zu Archiver-Metaeinstellungen

Zur Maximierung der Aufbewahrungszeit wurden die Metaelemente und der Index des Archiver reduziert (im Vergleich zum Concentrator), um typische Reportinganforderungen zu unterstützen. Das bedeutet, dass Sie standardmäßig möglicherweise nicht alle Berichte ausführen können, die Sie auf dem Concentrator auf dem Archiver ausführen. Sie können eine Liste der aktuell vom Archiver verwendeten Metadaten und Indexelemente an den folgenden Speicherorten anzeigen:

  • Ansicht Explorer: Der Pfad /archiver/devices/<logdecoder>/config/options im Feld metaInclude zeigt die aktuelle Liste der Metaelemente an.
  • Ansicht Konfiguration > Registerkarte Dateien: Die Datei index-archiver.xml zeigt die Standardindexkonfiguration an. Die Datei index-archiver-custom.xml zeigt alle Änderungen an.

Die Metaelemente und der Index des Archiver können zur Unterstützung von kundenspezifischen Reportinganforderungen angepasst werden. Dafür müssen jedoch zusätzlicher Speicher sowie zusätzliche CPU- und Arbeitsspeicherressourcen unterstützt werden. Zudem kann sich das auf die Aufbewahrungszeit auswirken. Wenn mehr Metaelemente zum Archiver hinzugefügt werden, reduziert sich die maximale Aggregationsrate und erhöht sich die Zeit zum Ausführen von Berichten.

Unter (Optional) Konfigurieren von Metafiltern für Aggregation und (Optional) Hinzufügen von Indexeinträgen für Archiver Reporting finden Sie zusätzliche Details.

(Optional) Konfigurieren von Metafiltern für Aggregation

Gehen Sie folgendermaßen vor, um zusätzliche Metaelemente anzuzeigen und dem Archiver hinzuzufügen.

Achtung: Für das Hinzufügen von Metadaten oder Indizes müssen zusätzlicher Speicher sowie zusätzliche CPU- und Arbeitsspeicherressourcen unterstützt werden. Zudem kann sich das Hinzufügen auf die Aufbewahrungszeit auswirken. Wenn mehr Metaelemente zum Archiver hinzugefügt werden, reduziert sich die maximale Aggregationsrate und erhöht sich die Zeit zum Ausführen von Berichten.

  1. Wählen Sie zum Anzeigen der aktuellen Metaelemente im Bereich Services aggregieren den Log Decoder-Service aus und klicken Sie im Feld Enthaltene Metadaten auf ic-info.png.
  2. Wählen Sie zum Hinzufügen zusätzlicher Metaelemente den Log Decoder-Service aus und klicken Sie auf ic-edit.png.


  3. Wählen Sie im Dialogfeld „Aggregierten Service bearbeiten“ die Meta-Elemente aus, die in der Liste der enthaltenen Metadaten enthalten sein sollen. Sie können beispielsweise das Einschließen von „ip.srcport“, „tcp.srcport“, „udp.srcport“, „msg“, „url“, „query“, „bytes“, „alias.host“, „ip.dst“, „ip.dstport“, „ip.src“, „tcp.dstport“, „megabytes“, „time“, „event.desc“ und „word“ in Betracht ziehen.
  4. Klicken Sie auf Speichern und dann auf Schließen.
  5. Unter(Optional) Hinzufügen von Indexeinträgen für Archiver Reportingweiter unten finden Sie Informationen zum Indexieren der zusätzlichen Metaschlüssel.

(Optional) Hinzufügen von Indexeinträgen für Archiver Reporting

Achtung: Für das Hinzufügen von Metadaten oder Indizes müssen zusätzlicher Speicher sowie zusätzliche CPU- und Arbeitsspeicherressourcen unterstützt werden. Zudem kann sich das Hinzufügen auf die Aufbewahrungszeit auswirken. Wenn mehr Metaelemente zum Archiver hinzugefügt werden, reduziert sich die maximale Aggregationsrate und erhöht sich die Zeit zum Ausführen von Berichten.

Die Standardindexkonfiguration des Archiver enthält nur Wertindizes für die folgenden Schlüssel:

  • time
  • Decoder-Quelle (did)
  • Zielbenutzerkonto(user.dst)
  • Warnmeldungs-ID (alert.id)
  • Device-IP-Adresse (device.ip)
  • Quell-IP-Adresse (ip.src)
  • Ziel-IP-Adresse (ip.dst)
  • Beschreibung des Ereignisses (event.desc)
  • Geräteklasse (device.class)
  • medium
  • Objektname (obj.name)
  • Wort (word)

Informationen zur Anpassung dieser Liste finden Sie unter Indexanpassung im Tuningleitfaden für die Core-Datenbank.

You are here
Table of Contents > Basiskonfiguration von Archiver > Schritt 2. Hinzufügen von Log Decoder als Datenquelle zu Archiver

Attachments

    Outcomes