Administratoren können sehen, welche Parser von Live heruntergeladen und auf einem Decoder oder Log Decoder bereitgestellt wurden. Sie können außerdem sehen, welche davon aktiviert wurden und Parser und Protokollparser aktivieren oder deaktivieren.
Auf der folgenden Abbildung sind häufig verwendete Einstellungen auf einem Decoder zu sehen. Eine grundlegende, schnell durchführbare Einrichtung mit den wichtigsten Schritten finden Sie in Decoder und Log Decoder – Schnelleinrichtung.
Sie sollten nur benötigte Parser herunterladen und bereitstellen, denn:
- Eine steigende Anzahl an bereitgestellten Parsern hat Auswirkungen auf die Performance.
- Je mehr Parser bereitgestellt werden, desto mehr Metadaten werden erstellt, was Auswirkungen auf die Datenaufbewahrung hat.
- Wenn keine zusätzlichen (unnötigen) Protokollparser bereitgestellt werden, reduziert dies die Wahrscheinlichkeit falsch identifizierter Meldungen.
Der Bereich „Parserkonfiguration“ bietet eine Möglichkeit zur Auswahl des auf dem Decoder zu verwendenden Parsers. Innerhalb einiger Parser können Sie auch die Metadaten, die der Parser erstellt, konfigurieren. Optionen im Bereich „Parserkonfiguration“
Hinweis: Für einen Log Decoder müssen Sie zuvor Protokoll-Parser von Live bereitgestellt haben. Details hierzu finden Sie im Thema Suchen und Bereitstellen von Live-Ressourcen im Handbuch Live-Services-Management. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können.
So aktivieren oder deaktivieren Sie einen Parser oder rufen den Status für einzelne Parser auf:
- Navigieren Sie zu ADMIN > Services.
- Wählen Sie in der Ansicht „Administration Services“ einen Log Decoder oder einen Decoder und anschließend
> Ansicht > Konfiguration aus.
- Suchen Sie im Bereich Parserkonfiguration nach dem Decoder-Parser oder dem Log Decoder-Ereignisquellenparser.
- In der Spalte Konfigurationswert finden Sie den aktuellen Status des Parsers.
Sie können den Status der einzelnen Parser aktualisieren, indem Sie seinen Konfigurationswert auswählen und dann Deaktiviert, Vorübergehend oder Aktiviert im Drop-down-Menü auswählen. Alternativ können Sie Alle aktivieren oder Alle deaktivieren auswählen, um den Status aller Protokollparser gleichzeitig zu ändern.
- Klicken Sie auf Anwenden.
Beachten Sie, dass beim Klicken auf Anwenden alle Parser neu in NetWitness Platform geladen werden. Der Status für jeden Parser wird auf Grundlage Ihrer Auswahl aktualisiert.