Decoder: Aktivieren und Deaktivieren von Parsern und Protokollparsern

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Administratoren können sehen, welche Parser von Live heruntergeladen und auf einem Decoder oder Log Decoder bereitgestellt wurden. Sie können außerdem sehen, welche davon aktiviert wurden und Parser und Protokollparser aktivieren oder deaktivieren.

Auf der folgenden Abbildung sind häufig verwendete Einstellungen auf einem Decoder zu sehen. Eine grundlegende, schnell durchführbare Einrichtung mit den wichtigsten Schritten finden Sie in Decoder und Log Decoder – Schnelleinrichtung.

Decoder-Konfiguration-Workflow. „Aktivieren und Deaktivieren von Parsern“ ist hervorgehoben.

Sie sollten nur benötigte Parser herunterladen und bereitstellen, denn:

  • Eine steigende Anzahl an bereitgestellten Parsern hat Auswirkungen auf die Performance.
  • Je mehr Parser bereitgestellt werden, desto mehr Metadaten werden erstellt, was Auswirkungen auf die Datenaufbewahrung hat.
  • Wenn keine zusätzlichen (unnötigen) Protokollparser bereitgestellt werden, reduziert dies die Wahrscheinlichkeit falsch identifizierter Meldungen.

Der Bereich „Parserkonfiguration“ bietet eine Möglichkeit zur Auswahl des auf dem Decoder zu verwendenden Parsers. Innerhalb einiger Parser können Sie auch die Metadaten, die der Parser erstellt, konfigurieren. Optionen im Bereich „Parserkonfiguration“

                       
OptionBeschreibung
Alle aktivieren
Alle deaktivieren
Mithilfe dieser Optionen können Sie schnell entweder alle oder keine Parser auswählen.
Name Die Namen der für den Decoder verfügbaren Parser. Ein Pluszeichen gibt an, dass die vom Parser erzeugten Metadaten konfiguriert werden können. Durch Klicken auf das Pluszeichen werden die Metadaten angezeigt, die der Parser erstellen kann.
Konfigurationswert In einer Drop-down-Liste werden die Einstellungen für den Parser oder die Metadaten in Aktiviert, Deaktiviert oder Vorübergehend geändert.
  • Wenn Aktiviert ausgewählt ist, verwendet der Decoder den Parser zum Filtern des Datenverkehrs.
  • Wenn Vorübergehend ausgewählt ist, verwendet der Decoder den Parser zum Filtern des Datenverkehrs und die erzeugten Metadaten werden nicht auf dem Datenträger gespeichert. Die vorübergehenden Metadaten sind für weitere Inhalte (d. h. Parser, Feeds und Anwendungsregeln) im Speicher auf diesem Decoder verfügbar. Damit können Administratoren bestimmte Daten schützen. Dies geschieht in der Regel im Rahmen eines Datenschutzplans (siehe den Leitfaden zum Datenschutzmanagement).
  • Wenn Deaktiviert ausgewählt ist, verwendet der Decoder den Parser nicht.
Wenn die erzeugten Metadaten für den Parser konfigurierbar sind, werden durch Klicken auf das Pluszeichen zum Erweitern des Parsers konfigurierbare Metaschlüssel angezeigt. In derselben Drop-down-Liste werden die Metaschlüssel ausgewählt, die der Parser erstellt.

Hinweis: Für einen Log Decoder benötigen Sie vorher von Live bereitgestellte Protokollparser. Weitere Informationen finden Sie im Thema Suchen und Bereitstellen von Live-Ressourcen im Leitfaden zum Live-Servicemanagement.Navigieren Sie zu Master Table of Contents für Version 11.0, um Dokumente zu NetWitness Suite 11.0 zu suchen.

So aktivieren oder deaktivieren Sie einen Parser oder rufen den Status für einzelne Parser auf:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht „Administration Services“ einen Log Decoder oder einen Decoder und anschließend Menü „Aktionen“ > Ansicht > Konfiguration aus.
  3. Suchen Sie im Bereich Parserkonfiguration nach dem Decoder-Parser oder dem Log Decoder-Ereignisquellenparser.
    Beispiel des Abschnitts „Parserkonfiguration“ mit offenem „Konfigurationswert“-Drop-down-Menü
  4. In der Spalte Konfigurationswert finden Sie den aktuellen Status des Parsers.

Sie können den Status der einzelnen Parser aktualisieren, indem Sie seinen Konfigurationswert auswählen und dann Deaktiviert, Vorübergehend oder Aktiviert im Drop-down-Menü auswählen. Alternativ können Sie Alle aktivieren oder Alle deaktivieren auswählen, um den Status aller Protokollparser gleichzeitig zu ändern.

  1. Klicken Sie auf Anwenden.

Beachten Sie, dass beim Klicken auf Anwenden alle Parser neu in NetWitness Suite geladen werden. Der Status für jeden Parser wird auf Grundlage Ihrer Auswahl aktualisiert.

You are here
Table of Contents > Konfigurieren von allgemeinen Einstellungen auf einem Decoder > Aktivieren und Deaktivieren von Parsern und Protokollparsern

Attachments

    Outcomes