ESA-Konfiguration: Überprüfen der ESA-Komponentenversionen und Status

Document created by RSA Information Design and Development on May 10, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema enthält Details zur Auditprotokollierung und Anweisungen zur Überprüfung der Versionen der installierten Event Stream Analysis-Komponenten. Diese Verfahren gelten für ESA-Korrelationsregeln.

Regeln für Auditprotokolle

Auditprotokollierung ermöglicht es, Details zu den Regeln anzuzeigen, die in NetWitness Suite erstellt und bearbeitet werden.

Informationen zum Zugriff auf Ihre Auditprotokolle finden Sie unter „Lokale Speicherorte für Auditprotokolle“ im Systemkonfigurationsleitfaden.

Das folgende Beispiel zeigt ein Erstellen-, Aktualisieren- und Löschprotokoll für eine bestimmte Regel.

  • Beispiel für ein Erstellen-Protokoll: 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS" category: SYSTEM operation: "CREATE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true, Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR"
  • Beispiel für ein Aktualisieren-Protokoll: 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS" category: SYSTEM operation: "UPDATE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true , Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR
  • Beispiel für ein Löschprotokoll: 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS"category: SYSTEM operation: "DELETE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true , Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR "

Jedes Protokoll enthält die folgenden Parameter:

  • Zeitstempel: Zeit, zu der die Regel geändert wurde. Beispiel: 2016-03-10 14:19:37,951

  • DeviceVersion: Version des ESA-Geräts. Beispiel: „10.6.1.0-SNAPSHOT“

  • DeviceService: Beispiel: EVENT_STREAM_ANALYSIS

  • Kategorie: Beispiel: SYSTEM

  • Operation: Beispiel: REGEL LÖSCHEN/ERSTELLEN/AKTUALISIEREN

  • Parameter: Platzhalter für die folgenden Schlüssel:

  • EPL-Modul-ID: eindeutige Kennung für die Regel. Beispiel: 56e1f2adbee8290008241296

  • Esper-Instanz: Esper-Instanz, auf der die Regel bereitgestellt wurde. Beispiel: Standard

  • Aktivierte Regel: Zeigt an, ob die Regel aktiviert ist oder nicht. Beispiel: Aktivierte Regel: true

  • Testregel: Zeigt an, ob die Regel als Testregel konfiguriert ist oder nicht. Beispiel: Testregel: false

  • EPL-Regel: Zeigt die Regelsyntax an. Beispiel:

    @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR+ROLE_ESA_ADMINISTRATOR+ROLE_ESA_ADMIN"

  • Identity: Beispiel: „admin“

  • userRole: Beispiel: „ROLE_ESA_ADMINISTRATOR“

    Hinweis: Wenn eine Regel deaktiviert ist, werden für dieselbe Regel zwei Protokolle erzeugt. Erst wird ein Auditprotokoll „Regel löschen“ [Attribut „Aktivierte Regel“ = True] erstellt, gefolgt von einem Auditprotokoll „Regel erstellen“ [Attribut „Aktivierte Regel“ = False].

Überprüfen der ESA Server-Version

So überprüfen Sie die ESA Server-Version:

  1. Verbinden Sie sich über ssh mit dem ESA-Service und melden Sie sich als Root-Benutzer an.
  2. Geben Sie den folgenden Befehl ein und drücken Sie die EINGABETASTE:
    rpm -qa | grep rsa-nw-esa-server
    Die ESA-Serverversion wird angezeigt.

Überprüfen der MongoDB-Version

So überprüfen Sie die MongoDB-Version:

  1. Verbinden Sie sich über ssh mit dem ESA-Service und melden Sie sich als Root-Benutzer an.
  2. Geben Sie den folgenden Befehl ein und drücken Sie die EINGABETASTE:
    mongo --version
    Die MongoDB-Version wird angezeigt.

Überprüfen des MongoDB-Status

So überprüfen Sie den MongoDB-Status:

  1. Verbinden Sie sich über ssh mit dem ESA-Service und melden Sie sich als Root-Benutzer an.
  2. Geben Sie den folgenden Befehl ein und drücken Sie die EINGABETASTE:
    systemctl status mongod
  3. Führen Sie den folgenden Befehl aus, wenn MongoDB nicht ausgeführt wird:
    systemctl start mongod
Next Topic:Referenzen
You are here
Table of Contents > Zusätzliche Verfahren für ESA-Korrelationsregeln > Auditprotokolle und Überprüfen der ESA-Komponentenversionen und -status

Attachments

    Outcomes