Konfigurieren von Local und Remote Collectors

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • Comment0
  • View in full screen mode
 

In diesem Thema wird beschrieben, wie Sie Local und Remote Collectors konfigurieren.

Wenn Sie Protokollsammlung bereitstellen, müssen Sie die Log Collectors so konfigurieren, dass diese die Protokollereignisse von unterschiedlichen Ereignisquellen sammeln und diese Ereignisse verlässlich und sicher an den Log Decoder-Service weitergeben. Dort werden die Ereignisse dann analysiert und für weitere Analysen gespeichert.

Sie können einen oder mehrere Remote Collectors konfigurieren, um Ereignisdaten auf einen Local Collector zu übertragen, oder Sie können einen Local Collector konfigurieren, um Ereignisdaten von einem oder mehreren Remote Collectors abzurufen.

In diesem Thema wird Folgendes beschrieben:

  • Konfigurieren des Local Collector für den Abruf von Ereignissen vom Remote Collector

    Wenn Sie möchten, dass der Local Collector Ereignisse vom Remote Collector abruft, richten Sie dies auf der Registerkarte „Remote Collectors“ in der Konfigurationsansicht des Local Collector ein.

  • Konfigurieren des Remote Collector für die Übertragung von Ereignissen an Local Collectors

    Wenn Sie möchten, dass ein Remote Collector Ereignisse an einen Local Collector überträgt, richten Sie dies auf der Registerkarte „Local Collector“ in der Konfigurationsansicht des Remote Collector ein. In der Übertragungskonfiguration können Sie auch Folgendes tun:

    • Konfigurieren des Failover Local Collector für den Remote Collector

      Sie richten ein Ziel ein, das aus Local Collectors besteht.  Ist der primäre Local Collector nicht erreichbar, versucht der Remote Collector, mit jedem Local Collector an diesem Ziel eine Verbindung aufzubauen, bis eine erfolgreiche Verbindung hergestellt werden konnte.

    • Replikation konfigurieren

      Sie können mehrere Zielgruppen einrichten, sodass NetWitness die Ereignisdaten in jeder Gruppe repliziert. Wird die Verbindung zu einer der Zielgruppen unterbrochen, können Sie die erforderlichen Daten wiederherstellen, da sie in einer anderen Zielgruppe repliziert wurden.

    • Konfigurieren der Protokollweiterleitung für bestimmte Protokolle

      Sie können mehrere Ziele in einer Zielgruppe einrichten, sodass Ereignisdaten je nach Protokolltyp an bestimmte Ziele weitergeleitet werden.

  • Konfigurieren einer Kette von Remote Collectors

    Sie können eine Kette von Remote Collectors konfigurieren, um Ereignisdaten auf einen Local Collector zu übertragen, oder Sie können einen Local Collector konfigurieren, um Ereignisdaten von einer Kette von Remote Collectors abzurufen.

    • Sie können einen oder mehrere Remote Collectors zum Übertragen von Ereignisdaten an einen Remote Collector konfigurieren.
    • Sie können einen Remote Collector zum Abrufen von Ereignissen von einem oder mehreren Remote Collectors konfigurieren.

Failover, Replikation und Lastenausgleich

In diesem Abschnitt wird die Funktionsweise von Failover, Replikation und Lastenausgleich in RSA NetWitness Suite beschrieben.

Die folgende Abbildung veranschaulicht einen für Lastenausgleich, Failover und Replikation konfigurierten Remote Collector.

Example illustrates a Remote Collector configured for load balancing, failover, and replication.

  • Failover wird erreicht, indem mehrere Collectors auf demselben Ziel eingerichtet werden. Ziel 1 verfügt über einen primären Collector und einen zweiten Collector, den Failover-Collector. Dies wird in NetWitness Suite durch Hinzufügen mehrerer Log Collectors zum gleichen Ziel erreicht.

    Example shows multiple Log Collector addresses that correspond to the same destination.

    Da 10.101.214.8 zuerst aufgeführt ist, wird diese Adresse der primäre Collector und 10.101.214.9 wird der Failover-Collector. Um 10.101.214.9 zum primären Collector zu machen, ändern Sie die Reihenfolge mithilfe des Nach-oben-Pfeils.

    Im Folgenden sehen Sie, wie die zwei Collectors beide für Ziel 1 aufgeführt sind. Der primäre Collector (10.101.214.8) ist fett markiert.

      Example shows two Log Collectors listed for Destination 1.

  • Replikation wird mithilfe mehrerer Zielgruppen erreicht: Jede Gruppe erhält den gesamten Satz an Nachrichtendaten.

    Example of replication that is accomplished by having multiple Destination Groups.

    Auf dem folgenden Bildschirm können Sie sehen, dass Nachrichtendaten an die Collectors in Gruppe 1 und Gruppe 2 gesendet werden.

    Example of message data that is sent to collectors in Group 1 and Group 2.

  • Lastenausgleich wird erreicht, indem mehrere Ziele innerhalb einer Gruppe eingerichtet werden.

    Load balancing is achieved by setting up multiple Destinations within a Group.

    Im folgenden Bildschirm können Sie sehen, dass die Gruppe 1 zwei Ziele hat, Ziel 1 und Ziel 2. Die Nachrichtendaten werden gleichmäßig auf die Ziele in der Gruppe verteilt.

    Message data is divided up equally among the Destinations in the group.

    Bei zwei Zielen erhält jedes Ziel die Hälfte der Nachrichtendaten. Bei drei Zielen würde jedes Ziel jeweils 1/3 der gesamten Nachrichtendaten erhalten. Fügen Sie weitere Ziele hinzu, um die Last auf den Collectors in jedem Ziel zu verringern.

Hinweis: Sie können auch eine Protokollweiterleitung einrichten, sodass Ereignisdaten für bestimmte Protokolle an bestimmte Ziele gesendet werden.

Konfigurieren eines Local oder Remote Collector

Sie wählen den Log Collector aus, also einen Local Collector (LC) oder Remote Collector (RC), für den Sie in der Ansicht „Services“ die Bereitstellungsparamater definieren möchten. Im folgenden Verfahren wird gezeigt, wie Sie zur Ansicht Services gelangen, einen Local oder Remote Collector auswählen und die Bereitstellungsparameteroberfläche für diesen Service aufrufen.

So konfigurieren Sie einen Local oder Remote Collector:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Local- oder Remote-Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.

  4. Führen Sie je nach Ihrer Auswahl in Schritt 2 folgende Schritte durch:

    • Bei Auswahl eines Local Collector wird die Registerkarte Remote Collectors angezeigt. Wählen Sie auf dieser Registerkarte die Remote Collectors aus, von denen der Local Collector Ereignisse abruft.
    • Wenn Sie einen Remote Collector ausgewählt haben, werden die Local Collectors angezeigt. Wählen Sie auf dieser Registerkarte die Local Collectors aus, an die der Remote Collector Ereignisse überträgt.

Registerkarte „Remote Collectors“

In der folgenden Abbildung ist die Registerkarte Remote Collectors für einen Local Collector dargestellt, der zum Abrufen von Ereignissen aus einem Remote Collector konfiguriert ist. NetWitness Suite zeigt diese Registerkarte an, wenn Sie einen Local Collector in Administration > Services ausgewählt haben.

Example of the Remote Collectors tab.

Registerkarte „Local Collectors“ für einen Remote Collector

In der folgenden Abbildung ist die Registerkarte Local Collectors für einen Remote Collector dargestellt, der zum Übertragen von Ereignissen an einem Local Collector oder einen anderen Remote Collector konfiguriert ist.

Example of the Local Collectors tab.

In der folgenden Abbildung ist die Registerkarte „Local Collectors“ für einen Remote Collector dargestellt, der zum Abrufen von Ereignissen aus einem Remote Collector konfiguriert ist. NetWitness Suite zeigt diese Registerkarte an, wenn Sie einen Remote Collector in Administration > Services ausgewählt haben.

Example of the Remote Collectors tab.

Parameter

Konfigurationsparameter für Remote/Local Collectors

You are here
Table of Contents > Setup > Hinzufügen von Local und Remote Collectors > Konfigurieren des LC/RC

Attachments

    Outcomes