Archiver: Konfigurieren von Protokollspeichersammlungen

Document created by RSA Information Design and Development Employee on May 8, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

Dieses Thema enthält Anweisungen für Administratoren zur Konfiguration von Protokollspeichersammlungen auf einem Archiver.

NetWitness Suite ermöglicht Ihnen, einzelne Speichersammlungen für verschiedene Protokolltypen zu definieren. Sie können die maximale Größe des von der Sammlung verwendeten Hot- und Warm-Speicherplatzes, eine eventuelle Verwendung von Offlinespeicher (Cold-Speicher), die Anzahl der Tage, für die Protokolle in der Sammlung aufbewahrt werden, und die Datenkomprimierung angeben sowie festlegen, ob ein Hashalgorithmus verwendet werden soll, um die Datenintegrität der gespeicherten Dateien überprüfen zu können. Sie sollten Sammlungen basierend auf Ihre Speicheranforderungen für die Protokollaufbewahrung erstellen. Jede erstellte Sammlung muss mindestens einer Aufbewahrungsregel zugeordnet werden.

Voraussetzungen

Bevor Sie Ihre Speichersammlungen für die Protokollaufbewahrung konfigurieren, konfigurieren Sie den Hot-, Warm- und Cold-Gesamtspeicher.

Konfigurieren einer Protokollspeichersammlung

So konfigurieren eine Speichersammlung für die Protokollaufbewahrung auf einem Archiver:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Archiver-Service und dann ic-actns.png > Ansicht > Konfiguration aus.
    Die Ansicht „Services“ > „Konfiguration“ von Archiver wird angezeigt.
  3. Klicken Sie auf der Registerkarte Datenaufbewahrung im Bereich Sammlungen auf ic-add.png, um eine Sammlung hinzufügen.
    (Wenn Sie Änderungen an einer vorhandenen Sammlung vornehmen möchten, können Sie die Sammlung auswählen und auf ic-edit.png klicken, um die Einstellungen zu ändern.)
    Die Registerkarte „Datenaufbewahrung“ wird angezeigt.
    Das Dialogfeld Sammlung wird angezeigt.
    Das Dialogfeld „Sammlung“ wird angezeigt.

  4. Konfigurieren Sie die Sammlung wie in der folgenden Tabelle beschrieben.                          
    FeldBeschreibung
    Name der SammlungGeben Sie einen eindeutigen Namen für Ihre Sammlung ein, z. B. Compliance, MediumValue oder LowValue.
    Hot-Speicher Geben Sie die maximale Größe oder den Prozentsatz für den in dieser Sammlung zu verwendenden Hot-Speicher ein. Der freie Speicherplatz für den Hot-Speicher und der Hot-Gesamtspeicher werden neben diesem Feld angezeigt.
    Warm-Speicher(Optional) Geben Sie die maximale Größe oder den Prozentsatz für den in dieser Sammlung zu verwendenden Warm-Speicher ein. Der freie Speicherplatz für den Warm-Speicher und der Warm-Gesamtspeicher werdennebendiesem Feld angezeigt.
    Cold-Speicher(Optional) Geben Sie an, ob für diese Sammlung Cold-Speicher verwendet wird. Wenn Sie Cold-Speicher für die Sammlung verwenden, werden Protokolle außerhalb der Speichergrenzen in den Cold-Speicher kopiert, bevor sie aus dem Hot- oder Warm-Speicher gelöscht werden.
    Aufbewahrung(Optional) Geben Sie die Anzahl der Tage an, für die Protokolle aufbewahrt werden, bevor sie entfernt oder per Rollover in den Cold-Speicher verschoben werden.
    Bei Hot- und Warm-Speicher können sich die Einstellungen für die Größe und Aufbewahrungsfrist für eine Sammlung gegenseitig außer Kraft setzen, je nachdem welches Kriterium (Größe oder Zeit) zuerst erfüllt ist.
    KomprimierungGeben Sie den Typ der Komprimierung für Metadaten und unverarbeitete Protokolle in derSammlung an. Sie können die Metadaten und unverarbeiteten Protokolle mithilfe von GZIP oder LZMA komprimieren,um Speicherplatz zu sparen. GZIP ermöglicht eine sehr schnelle Komprimierung und Dekomprimierung, komprimiert jedochnicht so gut sowie LZMA. LZMA bietet eine bessere Komprimierung auf Kosten derDekomprimierungsgeschwindigkeit (ca. dreimal langsamer als GZIP). Komprimierungsverhältnisse sind stark abhängig von Ihren Daten.
    Die Standardkomprimierung ist GZIP.
    HashGeben Sie an, ob Hash aktiviert oder deaktiviert werden soll. Bei Aktivierung wird der Hashalgorithmus verwendet, um die Datenintegrität der zu speichernden Dateien zu gewährleisten. Standardmäßig werden nur Rohdatenprotokolle gehasht und die Hash-Dateien werden im selben Verzeichnis gespeichert wie die Daten.
  5. Klicken Sie auf Speichern.
    Fehler in der Sammlung werden in roter Schrift angezeigt. Eine gepunktete Unterstreichung gibt an, dass eine Kurzinformation mit Informationen zum Fehler verfügbar ist. Der Name Ihrer Sammlung wird in roter Schrift angezeigt, bis mindestens eine Aufbewahrungsregel für Ihre Sammlung definiert ist.
    Wenn Sie eine Sammlung haben, bei der das Bearbeiten deaktiviert (abgeblendet) ist, sehen Sie sich die zugehörige Kurzinformation für weitere Informationen an.

Hinweis: Wenn die Speicherzuweisungen für Sammlungen verringert werden oder die Aufbewahrungszeit verkürzt wird, kann es je nach Menge der zu verschiebenden (Rollout-)Daten mehrere Minuten bis Stunden dauern, bis die Daten verschoben wurden und Speicherplatz verfügbar wird. Die Standardzeiten sind alle 20 Minuten für ein Größen-Rollout und alle sechs Stunden für ein Zeit-Rollout.

Nächster Schritt

Definieren Sie Aufbewahrungsregeln für Ihre Sammlungen.

You are here
Table of Contents > Basiskonfiguration von Archiver > Schritt 3. Konfigurieren des Archiver-Speichers und der Protokollaufbewahrung > Konfigurieren von Protokollspeichersammlungen

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)21 Views
      Last modified on May 8, 2018 11:37 AM
      Ratings: