In diesem Thema wird beschrieben, wie Sie Local und Remote Collectors konfigurieren.
Wenn Sie Protokollsammlung bereitstellen, müssen Sie die Log Collectors so konfigurieren, dass diese die Protokollereignisse von unterschiedlichen Ereignisquellen sammeln und diese Ereignisse verlässlich und sicher an den Log Decoder-Service weitergeben. Dort werden die Ereignisse dann analysiert und für weitere Analysen gespeichert.
Sie können einen oder mehrere Remote Collectors konfigurieren, um Ereignisdaten auf einen Local Collector zu übertragen, oder Sie können einen Local Collector konfigurieren, um Ereignisdaten von einem oder mehreren Remote Collectors abzurufen.
In diesem Thema wird Folgendes beschrieben:
-
Konfigurieren des Local Collector für den Abruf von Ereignissen vom Remote Collector
Wenn Sie möchten, dass der Local Collector Ereignisse vom Remote Collector abruft, richten Sie dies auf der Registerkarte „Remote Collectors“ in der Konfigurationsansicht des Local Collector ein.
-
Konfigurieren des Remote Collector für die Übertragung von Ereignissen an Local Collectors
Wenn Sie möchten, dass ein Remote Collector Ereignisse an einen Local Collector überträgt, richten Sie dies auf der Registerkarte „Local Collector“ in der Konfigurationsansicht des Remote Collector ein. In der Übertragungskonfiguration können Sie auch Folgendes tun:
-
Konfigurieren des Failover Local Collector für den Remote Collector
Sie richten ein Ziel ein, das aus Local Collectors besteht. Ist der primäre Local Collector nicht erreichbar, versucht der Remote Collector, mit jedem Local Collector an diesem Ziel eine Verbindung aufzubauen, bis eine erfolgreiche Verbindung hergestellt werden konnte.
-
Replikation konfigurieren
Sie können mehrere Zielgruppen einrichten, sodass NetWitness die Ereignisdaten in jeder Gruppe repliziert. Wird die Verbindung zu einer der Zielgruppen unterbrochen, können Sie die erforderlichen Daten wiederherstellen, da sie in einer anderen Zielgruppe repliziert wurden.
-
Konfigurieren der Protokollweiterleitung für bestimmte Protokolle
Sie können mehrere Ziele in einer Zielgruppe einrichten, sodass Ereignisdaten je nach Protokolltyp an bestimmte Ziele weitergeleitet werden.
-
-
Konfigurieren einer Kette von Remote Collectors
Sie können eine Kette von Remote Collectors konfigurieren, um Ereignisdaten auf einen Local Collector zu übertragen, oder Sie können einen Local Collector konfigurieren, um Ereignisdaten von einer Kette von Remote Collectors abzurufen.
- Sie können einen oder mehrere Remote Collectors zum Übertragen von Ereignisdaten an einen Remote Collector konfigurieren.
- Sie können einen Remote Collector zum Abrufen von Ereignissen von einem oder mehreren Remote Collectors konfigurieren.
Failover, Replikation und Lastenausgleich
In diesem Abschnitt wird die Funktionsweise von Failover, Replikation und Lastenausgleich in RSA NetWitness Suite beschrieben.
Die folgende Abbildung veranschaulicht einen für Lastenausgleich, Failover und Replikation konfigurierten Remote Collector.
-
Failover wird erreicht, indem mehrere Collectors auf demselben Ziel eingerichtet werden. Ziel 1 verfügt über einen primären Collector und einen zweiten Collector, den Failover-Collector. Dies wird in NetWitness Suite durch Hinzufügen mehrerer Log Collectors zum gleichen Ziel erreicht.
Da 10.101.214.8 zuerst aufgeführt ist, wird diese Adresse der primäre Collector und 10.101.214.9 wird der Failover-Collector. Um 10.101.214.9 zum primären Collector zu machen, ändern Sie die Reihenfolge mithilfe des Nach-oben-Pfeils.
Im Folgenden sehen Sie, wie die zwei Collectors beide für Ziel 1 aufgeführt sind. Der primäre Collector (10.101.214.8) ist fett markiert.
-
Replikation wird mithilfe mehrerer Zielgruppen erreicht: Jede Gruppe erhält den gesamten Satz an Nachrichtendaten.
Auf dem folgenden Bildschirm können Sie sehen, dass Nachrichtendaten an die Collectors in Gruppe 1 und Gruppe 2 gesendet werden.
-
Lastenausgleich wird erreicht, indem mehrere Ziele innerhalb einer Gruppe eingerichtet werden.
Im folgenden Bildschirm können Sie sehen, dass die Gruppe 1 zwei Ziele hat, Ziel 1 und Ziel 2. Die Nachrichtendaten werden gleichmäßig auf die Ziele in der Gruppe verteilt.
Bei zwei Zielen erhält jedes Ziel die Hälfte der Nachrichtendaten. Bei drei Zielen würde jedes Ziel jeweils 1/3 der gesamten Nachrichtendaten erhalten. Fügen Sie weitere Ziele hinzu, um die Last auf den Collectors in jedem Ziel zu verringern.
Hinweis: Sie können auch eine Protokollweiterleitung einrichten, sodass Ereignisdaten für bestimmte Protokolle an bestimmte Ziele gesendet werden.
Konfigurieren eines Local oder Remote Collector
Sie wählen den Log Collector aus, also einen Local Collector (LC) oder Remote Collector (RC), für den Sie in der Ansicht „Services“ die Bereitstellungsparamater definieren möchten. Im folgenden Verfahren wird gezeigt, wie Sie zur Ansicht Services gelangen, einen Local oder Remote Collector auswählen und die Bereitstellungsparameteroberfläche für diesen Service aufrufen.
So konfigurieren Sie einen Local oder Remote Collector:
- Navigieren Sie zu ADMIN > Services.
- Wählen Sie einen Local- oder Remote-Protokollsammlungsservice aus.
- Wählen Sie unter „Aktionen“
> Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
-
Führen Sie je nach Ihrer Auswahl in Schritt 2 folgende Schritte durch:
- Bei Auswahl eines Local Collector wird die Registerkarte Remote Collectors angezeigt. Wählen Sie auf dieser Registerkarte die Remote Collectors aus, von denen der Local Collector Ereignisse abruft.
- Wenn Sie einen Remote Collector ausgewählt haben, werden die Local Collectors angezeigt. Wählen Sie auf dieser Registerkarte die Local Collectors aus, an die der Remote Collector Ereignisse überträgt.
Registerkarte „Remote Collectors“
In der folgenden Abbildung ist die Registerkarte Remote Collectors für einen Local Collector dargestellt, der zum Abrufen von Ereignissen aus einem Remote Collector konfiguriert ist. NetWitness Suite zeigt diese Registerkarte an, wenn Sie einen Local Collector in Administration > Services ausgewählt haben.
Registerkarte „Local Collectors“ für einen Remote Collector
In der folgenden Abbildung ist die Registerkarte Local Collectors für einen Remote Collector dargestellt, der zum Übertragen von Ereignissen an einem Local Collector oder einen anderen Remote Collector konfiguriert ist.
In der folgenden Abbildung ist die Registerkarte „Local Collectors“ für einen Remote Collector dargestellt, der zum Abrufen von Ereignissen aus einem Remote Collector konfiguriert ist. NetWitness Suite zeigt diese Registerkarte an, wenn Sie einen Remote Collector in Administration > Services ausgewählt haben.