Decoder: Erstellen benutzerdefinierter Metaschlüssel mithilfe benutzerdefinierter Feeds

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema erfahren Sie, wie Sie benutzerdefinierte Metaschlüssel mithilfe eines benutzerdefinierten Feeds im Log Decoder hinzufügen.

Sie können benutzerdefinierte Metaschlüssel zum Abrufen von Daten und zur Untersuchung und Analyse der Protokolle und Pakete erstellen. Benutzerdefinierte Metaschlüssel ermöglichen Ihnen, den Protokoll- und Paketdaten einen Erweiterungskontext hinzuzufügen. In diesem Dokument werden die Änderungen an der Konfiguration hervorgehoben, die benutzerdefinierte Metaschlüssel im Concentrator, ESA,Archiver, Warehouse Connector und dem Reporting Engine-Schema reflektieren.

Hier ist ein Beispiel für die Erstellung des benutzerdefinierten Metaschlüssels im Log Decoder. In diesem Szenario möchte ein Unternehmen den Speicherort einer Ressource wie einen Drucker verfolgen. Deshalb wird der benutzerdefinierte Metaschlüssel Quellstandort eingeführt, der den Standort der Ressource angibt, z. B. Drucker1, der sich im „fünften Stock in Gebäuteteil A“ befindet. 

Hinweis: Benutzerdefinierte Metaschlüssel können auch im Decoder erstellt werden. Wählen Sie die Datei index-decoder-custom.xml aus, wenn Sie einen benutzerdefinierten Metaschlüssel im Decoder erstellen möchten.

Hinzufügen eines benutzerdefinierten Metaschlüssels im Log Decoder

So fügen Sie benutzerdefinierte Metaschlüssel mithilfe von benutzerdefinierten Feeds hinzu:

  1. Navigieren Sie zu Administration > Services > Log Decoder.
  2. Wählen Sie einen Service aus und klicken Sie auf Menü „Aktionen“> Ansicht > Konfiguration > > Registerkarte „Dateien“ > index-logdecoder-custom.xml.

<Language>
 <?xml version="1.0" encoding="utf-8"?>
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexNone" name="location.src" format="Text"/>
</Language>

  1. Starten Sie den Log Decoder-Service neu. Klicken Sie in der Ansicht „Services“ auf Menü „Aktionen“ > Neu starten.

Bereitstellen eines Log Decoder-Feeds in Live

So stellen Sie den Feed in der Live-Umgebung bereit:

  1. Navigieren Sie zu Konfigurieren > Live-Inhalte.
  2. Wählen Sie eine Gruppe von Ressourcen oder ein zuvor erstelltes Ressourcenpaket aus. So wählen Sie eine Ressource oder Gruppe von Ressourcen aus:
    1. Durchsuchen Sie in der Ansicht „Live-Suche“ die Live-Ressourcen (suchen Sie z. B. nach dem Ressourcentyp Log Collector).
    2. Wählen Sie im Bereich Übereinstimmende Ressourcen die Optionen Ergebnisse anzeigen > Raster.
    3. Aktivieren Sie das Kontrollkästchen links neben den Ressourcen, die Sie bereitstellen möchten.
      Übereinstimmende Ressourcen in der Ressourcenliste
    4. Klicken Sie in der Symbolleiste „Übereinstimmende Ressourcen“ auf Bereitstellen-Symbol
      .
    1. So wählen Sie ein Ressourcenpaket zur Bereitstellung aus:
    1. Wählen Sie in der Symbolleiste Übereinstimmende Ressourcen der Ansicht Live-Suche die Optionen Paket > Bereitstellen aus:
      Die Seite „Paket“ des Assistenten für die Ressourcenpaketbereitstellung wird angezeigt.
      Dialogfeld „Ressourcenpaketbereitstellung“
    2. Klicken Sie auf Durchsuchen und wählen Sie ein Paket in Ihrem Netzwerk aus (z. B. resourceBundle-FeedsParsersContent.zip).
      ResourceBundle3.PNG
    3. Klicken Sie auf Öffnen.
      An diesem Punkt wird unabhängig davon, ob Sie ein Paket oder eine Gruppe von Ressourcen bereitstellen, der Bereitstellungsassistent geöffnet und die Seite „Ressourcen“ angezeigt.
  3. Klicken Sie auf Weiter.
    Die Seite Services wird angezeigt. Sie verfügt über zwei Registerkarten: Services und Gruppen. Diese stellen eine Liste von Services und Servicegruppen bereit, die in der Ansicht „Administration > Services“ konfiguriert werden können. Die Spalten sind eine Untergruppe der Spalten, die in der Ansicht Services verfügbar sind.

    Hinweis: Die Live-Server stellt Ressourcen für Services auf intelligente Weise bereit. So stellt er Log Decodern keine Ressourcen bereit, die mittlere Pakete haben. Das bedeutet, dass nur relevante Inhaltsressourcen für Services bereitgestellt werden.

  4. Wählen Sie die Services aus, für die Sie den Inhalt bereitstellen möchten. Sie können jede beliebige Kombination von Services und Servicegruppen auswählen.
    Verwenden Sie die Registerkarte Services, um einzelne Services, Servicelisten und Servicegruppen auszuwählen, die in der Ansicht „Administration“ > „Services“ konfiguriert sind.
    Wählen Sie Gruppen von Services mithilfe der Registerkarte Gruppen aus.
    DeploymentServices.png
  5. Klicken Sie auf Weiter.
    Die Seite Überprüfung wird angezeigt.
    DeploymentReview.png
    Stellen Sie sicher, dass Sie die korrekten Ressourcen und die Services ausgewählt haben, für die Sie sie bereitstellen möchten.
  6. Klicken Sie auf Bereitstellen.
    Die Seite Bereitstellen wird angezeigt. Die Fortschrittsleiste wird grün, wenn die Ressourcen erfolgreich für die ausgewählten Services bereitgestellt wurden.
    DeploymentDeploy.png
    Wenn Sie versuchen, Ressourcen und Services bereitzustellen, die nicht kompatibel sind, werden in NetWitness Suite die „Fehler“- und „Erneut versuchen“-Schaltflächen angezeigt. Sie können auf diese Schaltflächen klicken, um die Fehler zu überprüfen und die Bereitstellung erneut durchzuführen.
    DeployErrorsRetry2.png
  7. Klicken Sie auf Schließen.

Hinweis: Die Quell-IP sollte indexiert werden, indem der Typ als „IP“ ausgewählt wird, da ip.src und ip.dst das IPv4-Format aufweisen. 

In diesem Szenario wird der benutzerdefinierte Metaschlüssel location.src (Quellstandort) durch Indexierung des Hostnamens (alias.host) hinzugefügt. In diesem Beispiel wird der Hostname des Druckers im Metaschlüssel alias.host ausgefüllt. Wählen Sie also „alias.host“ als Callback-Schlüssel und den Indextyp „Nicht IP“ im Assistenten für Feeds aus, wie nachfolgend dargestellt. Wählen Sie im Abschnitt „Werte definieren“ den benutzerdefinierten Metaschlüssel aus dem Drop-down-Menü aus.

Hinzufügen des benutzerdefinierten Metaschlüsseleintrags zur benutzerdefinierten Concentrator-Indexdatei

So fügen Sie den benutzerdefinierten Metaschlüsseleintrag der benutzerdefinierten Concentrator-Indexdatei hinzu:

  1. Navigieren Sie zu Administration Services > Concentrator.
  2. Klicken Sie auf Menü „Aktionen“ > Ansicht > Konfiguration > Registerkarte „Dateien“  > index-concentrator-custom.xml.
  3. Fügen Sie den benutzerdefinierten Metaschlüsseleintrag zur Concentrator-Indexdatei hinzu.

 <Language>
  <?xml version="1.0" encoding="utf-8"?>
  <Language level="IndexNone" defaultAction="Auto">
  <!-- Reserved Meta key for Feed -->
  <Key description="Source Location"  level="IndexValues" name="location.src" format="Text"                 valueMax="10000" defaultAction="Open"/>
 </Language>

  1. Um den Concentrator-Service neu zu starten, klicken Sie in der Ansicht „Services“ auf Menü „Aktionen“ > Neu starten.

Hinweis: Bei einem Broker wird der Index vom Concentrator abgeleitet, von dem er aggregiert wird. Deshalb müssen Sie keinen benutzerdefinierten Metaschlüssel im Broker erstellen. Wenn Sie den Metaschlüssel nicht im Concentrator indexiert haben, wird der Broker nicht in der Ansicht „Investigation“ angezeigt.

Untersuchen des benutzerdefinierten Metaschlüssels

Hinweis: Sie müssen sich von der NetWitness Suite-Benutzeroberfläche abmelden und wieder anmelden, um den benutzerdefinierten Metaschlüssel in Investigation anzuzeigen.

So zeigen Sie den benutzerdefinierten Metaschlüsselin der Ansicht Investigation an: 

  1. Gehen Sie zu Ermittlung > Navigieren.
  2. Wählen Sie einen Concentrator-Service aus und klicken Sie auf Navigieren

    Dies ist die Investigation-Ausgabe.

Hier ist ein Beispiel für einen Bericht, der auf dem Concentrator ausgeführt wird.

Dies ist die Concentrator-Ausgabe.

Zusätzliche Verfahren

Die folgenden Verfahren müssen ausgeführt werden, wenn Sie Warehouse Connector, Archiver, Reporting Engine und ESA konfiguriert haben.

Aktualisieren des Schemas in ESA 

Bevor Sie das Schema in ESA aktualisieren, sollte der benutzerdefinierte Metaschlüssel im Concentrator indexiert werden.

So aktualisieren Sie die Schema-ESA-Regeln, um die neuen benutzerdefinierten Metaschlüssel verwenden zu können:

  1. Navigieren Sie zu Administration > Services > ESA – Event Stream Analysis > Ansicht > Konfiguration.
  2. Bearbeiten Sie die Concentrator-Datenquelle.
  3. Klicken Sie auf Verbindung testen.

Dies ist das Dialogfeld „Service bearbeiten“ mit einem erfolgreichen Verbindungstest.

  1. Klicken Sie auf Speichern, nachdem die Verbindung erfolgreich hergestellt wurde.
  2. Klicken Sie auf Anwenden.
  3. Navigieren Sie zu Warnmeldungen > Konfigurieren Einstellungen.

Dies ist ein Beispiel für die Registerkarte „Einstellungen“.

  1. Klicken Sie auf die Registerkarte Suche und suchen Sie nach dem Namen des benutzerdefinierten Metaschlüssels.
    Der Name und der Typ des benutzerdefinierten Metaschlüssels werden angezeigt.

Beispiel für Name und Typ des benutzerdefinierten Metaschlüssels

Aktualisieren des Schemas im Archiver

Wenn Sie den Archiver mithilfe der neuen benutzerdefinierten Metaschlüssel konfigurieren möchten, müssen Sie das Archiver-Schema in der Reporting Engine aktualisieren. So aktualisieren Sie das Archiver-Schema in der Reporting Engine:

  1. Navigieren Sie zu Administration > Services > Archiver.
  2. Klicken Sie auf Menü „Aktionen“> Ansicht > Konfiguration > Dateien > index-archiver-custom.xml.
  3. Fügen Sie den benutzerdefinierten Metaschlüsseleintrag zur Archiver-Indexdatei hinzu.

<Language>
 <?xml version="1.0" encoding="utf-8"?> 
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexValues" name="location.src" format="Text"
 valueMax="10000" defaultAction="Open"/>
</Language>

  1. Um den Archiver-Service neu zu starten, klicken Sie auf Menü „Aktionen“ > Neu starten.
    Das Archiver-Schema wird mit dem benutzerdefinierten Metaschlüssel aktualisiert.

Aktualisieren des Schemas im Warehouse Connector

Wenn Sie das Warehouse mit einem benutzerdefinierten Metaschlüssel konfigurieren und diesen in Warehouse-Berichten verwenden möchten, müssen Sie das Warehouse-Schema in der Reporting Engine aktualisieren.

Wenn der Log Decoder oder Decoder, dem der benutzerdefinierte Metaschlüssel hinzugefügt wurde, eine der Quellen im Warehouse Connector-Stream ist, müssen Sie das Schema im Warehouse Connector aktualisieren.

So aktualisieren Sie das Warehouse-Schema in der Reporting Engine:

  1. Navigieren Sie zu Administration > Services Warehouse Connector.
  2. Klicken Sie auf Menü „Aktionen“ > Ansicht > Konfiguration > Registerkarte Dateien > index-logdecoder-custom.xml.
  3. Wählen Sie den Stream aus und klicken Sie auf Neu laden.
    Der Warehouse Connector ruft das Schema von den Downstreamgeräten (Log Decoder/Decoder) ab.

Weitere Informationen über Streams finden Sie unter „Konfigurieren von Streams“ im Warehouse Connector-Konfigurationsleitfaden.

Aktualisieren des Schemas in Reporting Engine

So aktualisieren Sie das Schema in Reporting Engine:

  1. Navigieren Sie zu Administration > Services Reporting Engine.
  2. Klicken Sie auf Menü „Aktionen“ > Neu starten.

Hinweis: Starten Sie die Reporting Engine neu oder warten Sie 30 Minuten lang, bis das Schema aktualisiert wurde.

So zeigen Sie den benutzerdefinierten Metaschlüssel an:

  1. Navigieren Sie zu Berichte> Regeln.
  2. Klicken Sie in der Symbolleiste auf Hinzufügen-Symbol.
  3. Wählen Sie Warehouse-DB aus.
  4. Suchen Sie auf der Registerkarten „Regel erstellen“ im rechten Bereich nach dem benutzerdefinierten Metaschlüssel.
    Der benutzerdefinierte Metaschlüssel wird angezeigt.

Dies ist ein Beispiel der Registerkarte „Regel erstellen“.

You are here
Table of Contents > Konfigurieren von Feeds und Parsern > Erstellen benutzerdefinierter Metaschlüssel mithilfe benutzerdefinierter Feeds

Attachments

    Outcomes