Archiver Definieren der Aufbewahrungsregeln

Administratoren können Aufbewahrungsregeln für Protokollspeichersammlungen auf einem Archiver definieren und sortieren. Diese Aufbewahrungsregeln geben den Typ der Protokolle an, die in der Sammlung gespeichert werden sollen. Damit Ihre Protokollsammlungen Protokolldaten erfassen und speichern können, müssen Sie diese mit mindestens einer Aufbewahrungsregel verknüpfen. Wenn Sie eine Aufbewahrungsregel konfigurieren, geben Sie eine Bedingung und eine Sammlung für die Regel an. Die Bedingung (Regeldefinition) bestimmt den Typ der Protokolle, die in der Sammlung gespeichert werden.

Als Bedingung können Sie alles verwenden, das in eine regulären Abfrage-where-Klausel funktioniert.

Zum Abrufen von Protokollen von Compliance Services können Sie beispielsweise die folgende Bedingung verwenden:

device.group='PCI Devices' || device.group='HIPPA Devices'

Nachdem Sie die Aufbewahrungsregeln für Ihre Sammlungen definiert haben, ist es wichtig, dass Sie die Reihenfolge der Aufbewahrungsregeln angeben. NetWitness Suite bewertet die Aufbewahrungsregeln für alle Sammlungen in numerischer Reihenfolge nach der Anzahl in der Spalte „Reihenfolge“ im Abschnitt „Aufbewahrungsregel“ der Registerkarte Datenaufbewahrung des Archiver (ADMIN > Ansicht „Services-Konfiguration“).

Achtung: Die Regelreihenfolge ist sehr wichtig. Sie bestimmt die Priorität für die Bewertung der Protokolldaten für die Speicheraufbewahrung.

Voraussetzungen

Führen Sie vor dem Konfigurieren Ihrer Aufbewahrungsregeln Folgendes durch:

• Konfigurieren des Hot-, Warm- und Cold-Gesamtspeichers
• Konfigurieren von Protokollspeichersammlungen

Methoden

Definieren einer Aufbewahrungsregel für eine Sammlung

1. Navigieren Sie zu ADMIN > Services.
2. Wählen Sie einen Archiver-Service und dann > Ansicht > Konfiguration aus.
   Die Ansicht „Services“ > „Konfiguration“ von Archiver wird angezeigt.
3. Klicken Sie auf der Registerkarte Datenaufbewahrung im Abschnitt Aufbewahrungsregel
   auf .
   Das Dialogfeld Regeldefinition wird angezeigt.
   
   
4. Konfigurieren Sie die Felder im Dialogfeld Regeldefinition wie in der folgenden Tabelle beschrieben:              

   Feld	Beschreibung
   Name der Regel	Geben Sie einen eindeutigen Namen für Ihre Aufbewahrungsregel an. Er darf keine Leerzeichen enthalten. Beispiel: LowValueWinLogs
   Bedingung	Geben Sie die Bedingungen für den Typ der Protokolle an, die Sie in die Sammlung einfügen möchten. Alle Zeichenfolgenliterale und Zeitstempel müssen in Anführungszeichen gesetzt werden. Zahlenwerte und IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden. Beispiel: device.type='winevent_nic' && msg.id='security_4648_security'
   Sammlung	Wählen Sie die Sammlung aus, für die Sie diese Regel anwenden möchten. Beispiel: LowValue.

5. Klicken Sie auf Speichern.
   Die von Ihnen definierte Aufbewahrungsregel wird der ausgewählten Sammlung zugeordnet. Auf der Registerkarte Datenaufbewahrung können Sie im Abschnitt Sammlungen auf > Regeln auswählen in der Spalte Aktionen für die ausgewählte Sammlung klicken, um die mit der Sammlung verknüpften Aufbewahrungsregeln im Abschnitt Aufbewahrungsregel anzuzeigen.
   

Angeben der Reihenfolge Ihrer Aufbewahrungsregeln

So priorisieren Sie die vollständige Liste aller Aufbewahrungsregeln:

1. Wählen Sie im Bereich Aufbewahrungsregel der Registerkarte Datenaufbewahrung eine Aufbewahrungsregel aus und verwenden Sie Drag-and-drop (oder wählen Sie Nach oben verschieben und Nach unten verschieben aus), um die Reihenfolge in der Prioritätenliste zu ändern.
   
   
2. Klicken Sie auf Anwenden, um die Reihenfolge der Aufbewahrungsregeln zu speichern.

Achtung: Die Regelreihenfolge ist sehr wichtig. Sie bestimmt die Priorität für die Bewertung der Protokolldaten für die Speicheraufbewahrung.

Nächster Schritt

Fügen Sie Archiver als Datenquelle zur Reporting Engine hinzu.