Workbench: Managen von Sammlungen

Document created by RSA Information Design and Development on May 10, 2018
Version 1Show Document
  • View in full screen mode
 

 

Administratoren können Workbench-Sammlungen erstellen und löschen und Workbench-Statistiken und -Protokolle anzeigen. Dieses Thema enthält alle diese Verfahren und ein Beispiel für die Vorgehensweise zum Wiederherstellen einer Sammlung für Reporting und Investigation.

  • Mounten von Archiver-Verzeichnissen
  • Erstellen einer Sammlung
  • Löschen einer Sammlung
  • Untersuchen einer Sammlung
  • Anzeigen von Workbench-Sammlungsstatistiken
  • Anzeigen von Workbench-Protokollen
 

Mounten von Archiver-Verzeichnissen

Wenn sich Daten in einem Offlinespeicher oder Cold-Tier-Speicher befinden, müssen Sie die Archiver-Verzeichnisse mounten, um die Daten für Berichts- und Ermittlungszwecke wiederherzustellen:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie im Raster „Services“ einen Archiver aus und wählen Sie > Ansicht > Durchsuchen aus.
    Die Ansicht „Explorer“ für den Archiver wird angezeigt.
  3. Klicken Sie im linken Strukturbaum mit der rechten Maustaste auf den Node Datenbank und wählen Sie Datenbankeigenschaften aus, um diese im rechten Bereich zu öffnen.
  4. Führen Sie den Befehl manifest für den Zeitraum vom 1. April 2017 bis 10. April 2017 aus.
    Die Suche gibt alle Dateien zurück, die für die ausgewählte Abfrage wiederhergestellt werden müssen.

Erstellen einer Sammlung

Administratoren können Sammlungen aus wiederhergestellten Daten aus einem Backup oder einem vorhandenen Datensatz erstellen.

Hinweis: Als Quellpfad können Sie den Speicherort der Datenbankdateien angeben. Mit dem Befehl zum Wiederherstellen werden diese dann auf die Workbench kopiert. Bevor eine Wiederherstellungssammlung erstellt werden kann, müssen Sie diese Verzeichnisse in dem Archiver mounten, in dem die Workbench installiert ist.

So erstellen Sie eine Sammlung mithilfe von Daten, die aus den gesicherten Daten oder einer bestehenden Teilmenge der Daten wiederhergestellt wurden:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht „Services“ eine Workbench und wählen Sie dann > Ansicht > Konfiguration aus.
    Die Ansicht „Services-Konfiguration“ wird mit geöffneter Registerkarte „Allgemein“ angezeigt.
    Die Servicekonfigurationsansicht wird mit geöffneter Registerkarte „Allgemein“ angezeigt.
  3. Klicken Sie auf die Registerkarte Sammlungen.
    Das Raster „Sammlungen“ wird angezeigt.
  4. Klicken Sie in der Symbolleiste auf .

    Das Dialogfeld Wiederherstellungssammlung wird angezeigt.

    Beispiel für das Dialogfeld „Wiederherstellungssammlung“.

  5. Stellen Sie folgende Informationen bereit:

    • Name: Der Name der Workbench-Sammlung, die Sie wiederherstellen möchten.
    • Quelle: Der Speicherort, an den die Archiver-Datenbankdateien aus dem Cold-Speicher verschoben wurden.

    Hinweis: Ziel ist der Speicherort, an dem die Sammlung erstellt wird.

  6. Klicken Sie auf Speichern, um die Sammlung wiederherzustellen.

    Hinweis: Wenn der Quellpfad, der für die Erstellung der Wiederherstellungssammlung angegeben wurde, nicht vorhanden ist, wird die folgende Fehlermeldung angezeigt:
    The source path does not exist '/xxx/xxx/'.

    Wenn nicht genügend Speicherplatz vorhanden ist, um Ihre Sammlung wiederherzustellen, wird die folgende Fehlermeldung angezeigt:
    Error during disk space checking. Insufficient disk space in location '/xxx/xxx'.

    Das Dialogfeld „Job planen“ wird mit der folgenden Meldung angezeigt:
    Restoring data into a new collection. Check the jobs page for progress.

  7. Klicken Sie in der NetWitness Suite-Symbolleiste auf das Symbol Jobs Beispiel für das Jobs-Symbol., um die Liste der Jobs zur Wiederherstellungssammlung mit dem jeweiligen aktuellen Status anzuzeigen.

Hinweis: Das Wiederherstellen einer Sammlung, die größer als 550 GB ist, kann mehrere Stunden dauern.

Löschen einer Sammlung

Administratoren können Sammlungen aus dem Workbench-Service löschen.

Führen Sie die folgenden Schritte aus, um eine Sammlung zu löschen:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht Services eine Workbench aus und klicken Sie auf > Ansicht > Konfiguration.

    Die Ansicht „Services-Konfiguration“ wird mit geöffneter Registerkarte Allgemein angezeigt.

    Die Ansicht „Services-Konfiguration“ wird mit geöffneter Registerkarte „Allgemein“ angezeigt.

  3. Wählen Sie die Registerkarte Sammlungen aus.

    Das Raster „Sammlungen“ wird angezeigt.

    Beispiel für das Raster „Sammlungen“

  4. Wählen Sie im Raster „Sammlungen“ die Sammlung aus, die Sie löschen möchten.
  5. Klicken Sie in der Symbolleiste auf .

    In einem Warnmeldungsdialogfeld werden Sie zur Bestätigung aufgefordert.

  6. Wenn Sie die Sammlung löschen möchten, klicken Sie auf Ja.

    Die Sammlung wird aus dem Workbench-Service gelöscht.

Beispiel für die Vorgehensweise: Wiederherstellung einer Sammlung für Berichts- und Ermittlungszwecke

Die folgenden Schritte veranschaulichen, wie Daten, die sich in einem Offlinespeicher oder einem Cold-Tier-Speicher befinden, für Berichts- und Ermittlungszwecke wiederhergestellt werden können. Im folgenden Beispiel werden Daten für den Zeitraum zwischen dem 1. April 2015 und dem 10. April 2015 wiederhergestellt.

So stellen Sie Daten für Berichts- und Ermittlungszwecke wieder her:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie im Raster „Services“ den Archiver aus.
  3. Navigieren Sie zur Ansicht „Explorer“ der Archiver-Appliance, indem Sie > Ansicht > Durchsuchen auswählen.
    Die Ansicht „Explorer“ für den Archiver wird angezeigt.
  4. Klicken Sie im linken Strukturbaum mit der rechten Maustaste auf den Node Datenbank und wählen Sie Datenbankeigenschaften aus, um diese im rechten Bereich zu öffnen.
  5. Führen Sie den Befehl manifest für den ausgewählten Zeitraum vom 1. April 2015 bis 10. April 2015 aus.
    Die Suche gibt alle Dateien zurück, die für die ausgewählte Abfrage wiederhergestellt werden müssen.

Suchbeispiel:

time1="2015-04-01 00:00:00" time2="2015-04-10 00:00:00" timeFormat=simple

Wiederherstellen von Daten für Ermittlungszwecke.

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht „Services“ eine Workbench und wählen Sie dann 104NavSettingsIcon.png > Ansicht > Konfiguration aus.

    Die Ansicht „Services-Konfiguration“ wird mit geöffneter Registerkarte Allgemein angezeigt.

    Die Ansicht „Services-Konfiguration“ wird mit geöffneter Registerkarte Allgemein angezeigt.

  3. Wählen Sie die Registerkarte Sammlungen aus.
  4. Erstellen Sie eine Wiederherstellungssammlung mit dem Quellpfad, der auf die in der Ausgabe des Befehls „manifest“ aufgeführten Dateien verweist.
  5. Speichern Sie die Sammlung.
    Nach der erfolgreichen Erstellung einer Sammlung können Sie diese für Berichts- und Ermittlungszwecke verwenden.

Untersuchen einer Sammlung

So führen Sie eine Untersuchung an einer Workbench-Sammlung durch:

  1. Wählen Sie Untersuchen aus.
    Das Dialogfeld „Untersuchen“ wird angezeigt.
    Beispiel für das Dialogfeld „Untersuchen“.

  2. Klicken Sie auf der Registerkarte Sammlungen auf das Dialogfeld „Untersuchen“.
  3. Wählen Sie im linken Bereich einen Workbench-Service aus.
  4. Wählen Sie im rechten Bereich die Sammlung aus, die Sie untersuchen möchten.
  5. Klicken Sie auf Navigieren.

Die Ansicht „Navigieren“ wird mit Daten in Bezug auf die ausgewählte Workbench-Sammlung angezeigt.

Beispiel der Ansicht „Navigieren“

Hinweis: Detaillierte Informationen zur Verwendung von Investigation finden Sie im Leitfaden Investigation und Malware Analysis.

Anzeigen von Workbench-Sammlungsstatistiken

Für den Workbench-Service sind dieselben Statistiken verfügbar wie für andere Services. In der Ansicht „Services“ > „Statistik“ werden wichtige Statistiken und Systeminformationen im Zusammenhang mit dem ausgewählten Workbench-Service angezeigt. Die Informationen werden in mehreren verschiedenen Abschnitten innerhalb der Ansicht Statistik angezeigt: Workbench, Messdiagramme, Zeitachsendiagramm und Diagrammstatistikbereich. Im Diagrammstatistikbereich werden alle verfügbaren Statistiken für die Workbench aufgelistet.  Jede Statistik im Diagrammstatistikbereich kann in einem Messdiagramm oder in einem Zeitplandiagramm angezeigt werden.

Führen Sie zum Anzeigen von Workbench-Statistiken folgende Schritte durch:

  1. Navigieren Sie zu ADMIN > Services.

  2. Wählen Sie in der Ansicht „Services“ eine Workbench und wählen Sie dann 104NavSettingsIcon.png > Ansicht > Statistiken aus.

  3. Die Ansicht „Services-Statistik“ wird angezeigt.
    Beispiel der Ansicht „Services-Statistik“.

Hinweis: Weitere Informationen über Workbench-Statistiken finden Sie im Leitfaden für die ersten Schritte mit Hosts und Services.

Anzeigen von Workbench-Protokollen

Führen Sie zum Anzeigen von Protokollen zu einem Workbench-Service folgende Schritte durch:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht „Services“ eine Workbench und wählen Sie dann > Ansicht > Protokolle aus.
    Das Raster „Serviceprotokolle“ wird angezeigt.

Hinweis: Weitere Informationen zum Anzeigen und Konfigurieren von Auditprotokollen erhalten Sie in den Themen Konfigurieren der globalen Auditprotokollierung im Systemkonfigurationsleitfaden.

Next Topic:Referenzen
You are here
Table of Contents > Konfigurationsverfahren > Managen von Sammlungen

Attachments

    Outcomes