Archiver Definieren der Aufbewahrungsregeln

Document created by RSA Information Design and Development on May 8, 2018
Version 1Show Document
  • View in full screen mode
 

Administratoren können Aufbewahrungsregeln für Protokollspeichersammlungen auf einem Archiver definieren und sortieren. Diese Aufbewahrungsregeln geben den Typ der Protokolle an, die in der Sammlung gespeichert werden sollen. Damit Ihre Protokollsammlungen Protokolldaten erfassen und speichern können, müssen Sie diese mit mindestens einer Aufbewahrungsregel verknüpfen. Wenn Sie eine Aufbewahrungsregel konfigurieren, geben Sie eine Bedingung und eine Sammlung für die Regel an. Die Bedingung (Regeldefinition) bestimmt den Typ der Protokolle, die in der Sammlung gespeichert werden.

Als Bedingung können Sie alles verwenden, das in eine regulären Abfrage-where-Klausel funktioniert.

Zum Abrufen von Protokollen von Compliance Services können Sie beispielsweise die folgende Bedingung verwenden:

device.group='PCI Devices' || device.group='HIPPA Devices'

Nachdem Sie die Aufbewahrungsregeln für Ihre Sammlungen definiert haben, ist es wichtig, dass Sie die Reihenfolge der Aufbewahrungsregeln angeben. NetWitness Suite bewertet die Aufbewahrungsregeln für alle Sammlungen in numerischer Reihenfolge nach der Anzahl in der Spalte „Reihenfolge“ im Abschnitt „Aufbewahrungsregel“ der Registerkarte Datenaufbewahrung des Archiver (ADMIN > Ansicht „Services-Konfiguration“).

Der Abschnitt „Aufbewahrungsregeln“ wird angezeigt.

Achtung: Die Regelreihenfolge ist sehr wichtig. Sie bestimmt die Priorität für die Bewertung der Protokolldaten für die Speicheraufbewahrung.

Voraussetzungen

Führen Sie vor dem Konfigurieren Ihrer Aufbewahrungsregeln Folgendes durch:

  • Konfigurieren des Hot-, Warm- und Cold-Gesamtspeichers
  • Konfigurieren von Protokollspeichersammlungen

Methoden

Definieren einer Aufbewahrungsregel für eine Sammlung

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Archiver-Service und dann ic-actns.png > Ansicht > Konfiguration aus.
    Die Ansicht „Services“ > „Konfiguration“ von Archiver wird angezeigt.
  3. Klicken Sie auf der Registerkarte Datenaufbewahrung im Abschnitt Aufbewahrungsregel
    auf ic-add.png.
    Das Dialogfeld Regeldefinition wird angezeigt.
    Das Dialogfeld „Regeldefinition“ wird angezeigt.
  4. Konfigurieren Sie die Felder im Dialogfeld Regeldefinition wie in der folgenden Tabelle beschrieben:              
    FeldBeschreibung
    Name der RegelGeben Sie einen eindeutigen Namen für Ihre Aufbewahrungsregel an. Er darf keine Leerzeichen enthalten. Beispiel: LowValueWinLogs
    BedingungGeben Sie die Bedingungen für den Typ der Protokolle an, die Sie in die Sammlung einfügen möchten.

    Alle Zeichenfolgenliterale und Zeitstempel müssen in Anführungszeichen gesetzt werden. Zahlenwerte und IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden.

    Beispiel:
    device.type='winevent_nic' && msg.id='security_4648_security'
    SammlungWählen Sie die Sammlung aus, für die Sie diese Regel anwenden möchten. Beispiel: LowValue.
  5. Klicken Sie auf Speichern.
    Die von Ihnen definierte Aufbewahrungsregel wird der ausgewählten Sammlung zugeordnet. Auf der Registerkarte Datenaufbewahrung können Sie im Abschnitt Sammlungen auf ActionsButton.png > Regeln auswählen in der Spalte Aktionen für die ausgewählte Sammlung klicken, um die mit der Sammlung verknüpften Aufbewahrungsregeln im Abschnitt Aufbewahrungsregel anzuzeigen.
    Der Abschnitt „Aufbewahrungsregel“ wird angezeigt.

Angeben der Reihenfolge Ihrer Aufbewahrungsregeln

So priorisieren Sie die vollständige Liste aller Aufbewahrungsregeln:

  1. Wählen Sie im Bereich Aufbewahrungsregel der Registerkarte Datenaufbewahrung eine Aufbewahrungsregel aus und verwenden Sie Drag-and-drop (oder wählen Sie ic-up.png Nach oben verschieben und ic-down.png Nach unten verschieben aus), um die Reihenfolge in der Prioritätenliste zu ändern.

    Der Abschnitt „Aufbewahrungsregeln“ der Registerkarte „Datenaufbewahrung“ wird angezeigt.
  2. Klicken Sie auf Anwenden, um die Reihenfolge der Aufbewahrungsregeln zu speichern.

Achtung: Die Regelreihenfolge ist sehr wichtig. Sie bestimmt die Priorität für die Bewertung der Protokolldaten für die Speicheraufbewahrung.

Nächster Schritt

Fügen Sie Archiver als Datenquelle zur Reporting Engine hinzu.

You are here
Table of Contents > Basiskonfiguration von Archiver > Schritt 3. Konfigurieren des Archiver-Speichers und der Protokollaufbewahrung > Definieren der Aufbewahrungsregeln

Attachments

    Outcomes