Konfigurieren von Azure-Ereignisquellen

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema erfahren Sie, wie Sie das Azure-Sammlungsprotokoll konfigurieren. Microsoft Azure ist eine Cloud-Computing-Plattform und -Infrastruktur für Aufbau, Bereitstellung und Management von Anwendungen und Services über ein globales Netzwerk von Rechenzentren, die von Microsoft verwaltet werden.

Konfiguration in NetWitness Suite

Ausführliche Informationen zum Konfigurieren von Azure als Ereignisquelle finden Sie im Konfigurationleitfaden für Azure-Ereignisquellen, der auf RSA Link verfügbar ist.

So konfigurieren Sie eine Azure-Ereignisquelle:

  1. Navigieren Sie zu ADMIN > Services vom NetWitness Suite-Menü aus.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.

    Event Sources drop-down menu is displayed.

  1. Wählen Sie in der Registerkarte Ereignisquellen im Drop-down-Menü die Option Plug-ins/Konfigurieren aus.
  2. Klicken Sie in der Symbolleiste des Bereichs Ereigniskategorien auf .

    Das Dialogfeld Verfügbare Ereignisquelltypen wird angezeigt.

  3. Wählen Sie azureaudit aus und klicken Sie auf OK.

    Der neu hinzugefügte Ereignisquelltyp wird im Bereich Ereigniskategorien angezeigt.

  4. Wählen Sie den neuen Typ im Bereich Ereigniskategorien aus und klicken Sie auf in der Symbolleiste Quellen.

    Das Dialogfeld Quelle hinzufügen wird angezeigt.

  5. Definieren Sie die Parameterwerte. Weitere Informationen finden Sie unten stehend unter Konfigurieren von Azure-Ereignisquellen in NetWitness Suite.
  6. Klicken Sie auf Verbindung testen.

    Das Ergebnis des Tests wird im Dialogfeld angezeigt. Wenn der Test nicht erfolgreich ist, bearbeiten Sie die Geräte- oder Serviceinformationen und versuchen Sie es erneut.

    Log Collector braucht etwa 60 Sekunden, um die Testergebnisse zurückzugeben. Wenn das Zeitlimit überschritten wird, wird der Test abgebrochen und NetWitness Suite zeigt eine Fehlermeldung an.

  7. Wenn der Test erfolgreich ist, klicken Sie auf OK.

    Die neue Ereignisquelle wird im Bereich Quellen angezeigt.

Azure-Parameter

In diesem Abschnitt werden die Parameter für die Konfiguration der Azure-Ereignisquelle beschrieben.

Hinweis: Elemente, die durch ein Sternchen (*) gekennzeichnet sind, sind erforderlich.

Basisparameter

                                                       
NameBeschreibung

Name*

Geben Sie einen alphanumerischen, beschreibenden Namen für die Quelle ein. Dieser Wert wird nur für die Anzeige des Namens auf diesem Bildschirm verwendet.

Aktiviert

Aktivieren Sie das Kontrollkästchen, um die Ereignisquellenkonfiguration zu aktivieren und die Sammlung zu starten. Das Kontrollkästchen ist standardmäßig aktiviert.

Client-ID*

Die Client-ID befindet sich auf der Registerkarte „Azure-Anwendungskonfiguration“. Scrollen Sie nach unten, bis Sie sie sehen.

Geheimer Clientschlüssel*

Wenn Sie die Ereignisquelle konfigurieren, wird der geheime Clientschlüssel beim Erstellen eines Schlüssels angezeigt. Wählen Sie eine Gültigkeitsdauer aus.

Sie sollten diesen Schlüssel speichern, da er nur einmal angezeigt wird. Er kann später nicht mehr abgerufen werden.

Basis-URL API-Ressource*

Geben Sie https://management.azure.com/ ein. Achten Sie darauf, den nachgestellten Schrägstrich mit anzugeben (/).

Verbundmetadaten-Endpunkt*

Klicken Sie in der Azure-Anwendung auf die Schaltfläche Endpunkte anzeigen (am unteren Rand des Bereichs).

Es gibt viele Links, die alle mit der gleichen Zeichenfolge beginnen. Vergleichen Sie die URLs und suchen Sie die Zeichenfolge, mit der die meisten von ihnen beginnt. Diese gemeinsame Zeichenfolge ist der Endpunkt, den Sie hier eingeben müssen.

Abonnement-ID*

Sie finden diese im Microsoft Azure-Dashboard: Klicken Sie unten in der Liste auf der linken Seite auf „Abonnements“.

Mandantendomain*

Gehen Sie zu Active Directory und klicken Sie auf das Verzeichnis. In der URL der Mandantendomain befindet die Zeichenfolge direkt hinter manage.windowsazure.com/. Die Mandantendomain ist die Zeichenfolge bis einschließlich dem .com.

Ressourcengruppennamen*

Wählen Sie in Azure im linken Navigationsbereich „Ressourcengruppen“ und dann Ihre Gruppe.

Startdatum*

Wählen Sie das Datum aus, an dem mit der Erfassung begonnen werden soll. Standardwert ist das aktuelle Datum.

Verbindung testen

Überprüft die in diesem Dialogfeld angegebenen Konfigurationsparameter auf ihre Richtigkeit.

Erweiterte Parameter

Klicken Sie auf neben Erweitert, um ggf. die erweiterten Parameter anzuzeigen und zu bearbeiten.

                                   
NameBeschreibung

Polling-Intervall

Intervall (Zeit in Sekunden) zwischen jeder Abfrage. Der Standardwert ist 180.
Wenn Sie beispielsweise 180 angeben, plant der Collector eine Abfrage der Ereignisquelle alle 180 Sekunden. Wenn der vorherige Abfragezyklus noch durchgeführt wird, wartet der Collector, bis dieser Zyklus beendet ist. Wenn eine große Anzahl Ereignisquellen abgefragt wird, kann es länger als 180 Sekunden dauern, bis die Abfrage beginnt, weil die Threads beschäftigt sind.

Max. Abrufdauer

Maximale Dauer eines Abfragezyklus in Sekunden. Der Wert 0 bedeutet keine Begrenzung.

Max. Ereignisse-Abruf

Die maximale Anzahl der Ereignisse pro Abfragezyklus (wie viele Ereignisse pro Abfragezyklus gesammelt werden)

Max. Abruf-Inaktivitätsdauer

Maximale Dauer eines Abfragezyklus in Sekunden. Der Wert 0 bedeutet keine Begrenzung.

Befehlsargumente

Optionale Argumente, die beim Skriptaufruf hinzugefügt werden müssen.

Debug

Achtung: Aktivieren Sie nur dann das Debuggen (legen Sie diesen Parameter auf „Ein“ oder „Ausführlich“ fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggens wirkt sich negativ auf die Performance des Log Collector aus.

Achtung: Aktiviert oder deaktiviert die Debug-Protokollierung für die Ereignisquelle Gültige Werte:

  • Aus = (Standard) deaktiviert
  • Ein = aktiviert
  • Ausführlich = aktiviert im ausführlichen Modus – fügt Thread-Informationen und Quellkontextinformationen zu den Meldungen hinzu

Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich). Die Debug-Protokollierung ist ausführlich. Begrenzen Sie daher die Anzahl der Ereignisquellen, um die Auswirkungen auf die Performance zu minimieren.

You are here
Table of Contents > Sammlungsprotokolle > Konfigurieren von Azure-Ereignisquellen

Attachments

    Outcomes