Decoder: Aktivieren und Deaktivieren von Parsern und Protokollparsern

Document created by RSA Information Design and Development Employee on May 9, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 2Show Document
  • Comment0
  • View in full screen mode
 

Administratoren können sehen, welche Parser von Live heruntergeladen und auf einem Decoder oder Log Decoder bereitgestellt wurden. Sie können außerdem sehen, welche davon aktiviert wurden und Parser und Protokollparser aktivieren oder deaktivieren.

Auf der folgenden Abbildung sind häufig verwendete Einstellungen auf einem Decoder zu sehen. Eine grundlegende, schnell durchführbare Einrichtung mit den wichtigsten Schritten finden Sie in Decoder und Log Decoder – Schnelleinrichtung.

Decoder configuration workflow, with Enable and Disable Parsers higlighted

Sie sollten nur benötigte Parser herunterladen und bereitstellen, denn:

  • Eine steigende Anzahl an bereitgestellten Parsern hat Auswirkungen auf die Performance.
  • Je mehr Parser bereitgestellt werden, desto mehr Metadaten werden erstellt, was Auswirkungen auf die Datenaufbewahrung hat.
  • Wenn keine zusätzlichen (unnötigen) Protokollparser bereitgestellt werden, reduziert dies die Wahrscheinlichkeit falsch identifizierter Meldungen.

Der Bereich „Parserkonfiguration“ bietet eine Möglichkeit zur Auswahl des auf dem Decoder zu verwendenden Parsers. Innerhalb einiger Parser können Sie auch die Metadaten, die der Parser erstellt, konfigurieren. Optionen im Bereich „Parserkonfiguration“

                       
OptionBeschreibung
Alle aktivieren
Alle deaktivieren 		Mithilfe dieser Optionen können Sie schnell entweder alle oder keine Parser auswählen.
Name Die Namen der für den Decoder verfügbaren Parser. Ein Pluszeichen gibt an, dass die vom Parser erzeugten Metadaten konfiguriert werden können. Durch Klicken auf das Pluszeichen werden die Metadaten angezeigt, die der Parser erstellen kann.
Konfigurationswert In einer Drop-down-Liste werden die Einstellungen für den Parser oder die Metadaten in Aktiviert, Deaktiviert oder Vorübergehend geändert.
  • Wenn Aktiviert ausgewählt ist, verwendet der Decoder den Parser zum Filtern des Datenverkehrs.
  • Wenn Vorübergehend ausgewählt ist, verwendet der Decoder den Parser zum Filtern des Datenverkehrs und die erzeugten Metadaten werden nicht auf dem Datenträger gespeichert. Die vorübergehenden Metadaten sind für weitere Inhalte (d. h. Parser, Feeds und Anwendungsregeln) im Speicher auf diesem Decoder verfügbar. Damit können Administratoren bestimmte Daten schützen. Dies geschieht in der Regel im Rahmen eines Datenschutzplans (siehe den Leitfaden zum Datenschutzmanagement).
  • Wenn Deaktiviert ausgewählt ist, verwendet der Decoder den Parser nicht.
Wenn die erzeugten Metadaten für den Parser konfigurierbar sind, werden durch Klicken auf das Pluszeichen zum Erweitern des Parsers konfigurierbare Metaschlüssel angezeigt. In derselben Drop-down-Liste werden die Metaschlüssel ausgewählt, die der Parser erstellt.

Hinweis: Für einen Log Decoder müssen Sie zuvor Protokoll-Parser von Live bereitgestellt haben. Details hierzu finden Sie im Thema Suchen und Bereitstellen von Live-Ressourcen im Handbuch Live-Services-Management. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können.

So aktivieren oder deaktivieren Sie einen Parser oder rufen den Status für einzelne Parser auf:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht „Administration Services“ einen Log Decoder oder einen Decoder und anschließend The actions menu > Ansicht > Konfiguration aus.
  3. Suchen Sie im Bereich Parserkonfiguration nach dem Decoder-Parser oder dem Log Decoder-Ereignisquellenparser.
    This is an example of the Parsers Configuration section with a Config Value drop-down open.
  4. In der Spalte Konfigurationswert finden Sie den aktuellen Status des Parsers.

Sie können den Status der einzelnen Parser aktualisieren, indem Sie seinen Konfigurationswert auswählen und dann Deaktiviert, Vorübergehend oder Aktiviert im Drop-down-Menü auswählen. Alternativ können Sie Alle aktivieren oder Alle deaktivieren auswählen, um den Status aller Protokollparser gleichzeitig zu ändern.

  1. Klicken Sie auf Anwenden.

Beachten Sie, dass beim Klicken auf Anwenden alle Parser neu in NetWitness Platform geladen werden. Der Status für jeden Parser wird auf Grundlage Ihrer Auswahl aktualisiert.

You are here
Table of Contents > Konfigurieren von allgemeinen Einstellungen auf einem Decoder > Aktivieren und Deaktivieren von Parsern und Protokollparsern

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)52 Views
      Last modified on Apr 28, 2019 9:55 AM
      Ratings: