Konfigurieren von Dateiereignisquellen

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema erfahren Sie, wie Sie das Dateisammlungsprotokoll konfigurieren.

Konfigurieren einer Dateiereignisquelle

So konfigurieren Sie eine Dateiereignisquelle:

  1. Navigieren Sie zu ADMIN > Services vom NetWitness Suite-Menü aus.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.

    Event Sources drop-down menu is displayed.

  1. Wählen Sie auf der Registerkarte Ereignisquellen im Drop-down-Menü die Option Datei/Konfigurieren aus.
  2. Klicken Sie in der Symbolleiste des Bereichs Ereigniskategorien auf .

    Das Dialogfeld Verfügbare Ereignisquelltypen wird angezeigt.

  3. Wählen Sie einen Dateiereignisquelltyp aus und klicken Sie auf OK.

    Der neu hinzugefügte Ereignisquelltyp wird im Bereich Ereigniskategorien angezeigt.

  4. Wählen Sie den neuen Typ im Bereich Ereigniskategorien aus und klicken Sie auf in der Symbolleiste Quellen.

    Das Dialogfeld Quelle hinzufügen wird angezeigt.

  5. Fügen Sie einen Dateiverzeichnisnamen hinzu und ändern Sie bei Bedarf andere Parameter. Weitere Informationen finden Sie unten stehend unter Dateisammlungsparameter.

  6. Um den öffentlichen Schlüssel zu erhalten und ihn in das Dialogfeld einzugeben, führen Sie die folgenden Schritte aus:

    1. Wählen Sie den öffentlichen Schlüssel aus und kopieren Sie ihn von der Ereignisquelle durch Ausführung von: cat ~/.ssh/id_rsa.pub.
    2. Fügen Sie den öffentlichen Schlüssel in das Feld Ereignisquellen-SSH-Schlüssel ein.
  7. Klicken Sie auf OK.

Sie müssen die Dateisammlung neu starten, damit die Änderungen wirksam werden.

Beenden und Neustarten der Dateisammlung

Nachdem Sie eine neue Ereignisquelle hinzugefügt haben, die die Dateisammlung verwendet, müssen Sie den NetWitness Suite-Dateisammlungsservice beenden und neu starten. Dies ist notwendig, um der neuen Ereignisquelle den Schlüssel hinzuzufügen.

Dateisammlungsparameter

Die folgende Tabelle enthält Beschreibungen der Quellparameter für die Dateisammlung.

                                                                                                          
NameBeschreibung
Basis
Dateiverzeichnis*

Sammlungsverzeichnis (zum Beispiel Eur_London100), in das die Dateiereignisquelle ihre Dateien platziert. Ein gültiger Wert ist eine Zeichenfolge, die dem folgenden regulären Ausdruck entspricht:

[_a-zA-Z][_a-zA-Z0-9]*


Das bedeutet, dass das Dateiverzeichnis mit einem Buchstaben beginnen muss, auf den Zahlen, Buchstaben und Unterstriche folgen. Dieser Parameter darf nach dem Start der Ereignisdatensammlung nicht geändert werden.

Nach der Erstellung der Sammlung erstellt der Log Collector die Arbeits-, Speicher- und Fehlerunterverzeichnisse unter dem Sammlungsverzeichnis.

Adresse*IP-Adresse der Ereignisquelle. Ein gültiger Wert ist eine IPv4-Adresse, eine IPv6-Adresse oder ein Hostname, der einen vollständig qualifizierten Domainnamen enthält.
DateispezifikationRegulärer Ausdruck. Beispiel: ^.*$ = alles wird verarbeitet.
Dateicodierung

Internationale Dateicodierung. Geben Sie die Dateicodierungsmethode ein. Die folgenden Zeichenfolgen sind Beispiele für gültige Methoden:

  • UTF-8 (Standard)
  • UCS-16LE
  • UCS-16BE
  • UCS-32LE
  • UCS-32BE
  • SHIFT-JIS
  • EBCDIC-US
AktiviertAktivieren Sie das Kontrollkästchen, um die Ereignisquellenkonfiguration zu aktivieren und die Sammlung zu starten. Das Kontrollkästchen ist standardmäßig aktiviert.
Erweitert
Konvertierungsfehler bei
der Codierung ignorieren

Aktivieren Sie dieses Kontrollkästchen, um Konvertierungsfehler bei der Codierung und ungültige Daten zu ignorieren. Das Kontrollkästchen ist standardmäßig aktiviert.

Achtung: Dies kann zu Analyse- und Transformationsfehlern führen.

Dateien-Festplatten-Quota

Legt den Zeitpunkt fest, an dem die Speicherung von Dateien beendet wird, unabhängig von den Einstellungen der Parameter Bei Fehler speichern und Bei Erfolg speichern. Ein Wert von 10 bedeutet beispielsweise: Wenn weniger als 10 % verfügbarer Festplattenspeicher vorhanden ist, beendet der Log Collector die Speicherung von Dateien, um ausreichenden Speicherplatz für die Verarbeitung Ihrer normalen Sammlung zu reservieren.

Achtung: Der verfügbare Speicherplatz bezieht sich auf eine Partition, in der das Basissammlungsverzeichnis gemountet ist. Wenn der Log Decoder-Server über eine 10-TB-Festplatte verfügt und 2 TB für das Basissammlungsverzeichnis reserviert sind, führt eine Einstellung dieses Werts auf 10 dazu, dass die Protokollsammlung beendet wird, wenn weniger als 0,2 TB (10 % von 2 TB) verfügbarer Speicherplatz vorhanden ist. Es bedeutet nicht 10 % von 10 TB.

Ein gültiger Wert ist eine Zahl zwischen 0 und 100. 10 ist der Standardwert.

Sequenzielle Verarbeitung

Flag für sequenzielle Verarbeitung:

  • Aktivieren Sie das Kontrollkästchen (Standard), um die Ereignisquellendateien in der Reihenfolge der Sammlung zu verarbeiten.
  • Aktivieren Sie das Kontrollkästchen nicht, um Ereignisquellendateien parallel zu verarbeiten.
Bei Fehler speichernFlag für Speicherung bei Fehlern. Aktivieren Sie das Kontrollkästchen, um die Datei eventsource collection beizubehalten, wenn der Log Collector einen Fehler feststellt. Das Kontrollkästchen ist standardmäßig aktiviert.
Bei Erfolg speichernSpeichert die Datei eventsource collection nach der Verarbeitung des Flags. Aktivieren Sie das Kontrollkästchen, um die Datei eventsource collection nach ihrer Verarbeitung zu speichern. Dieses Kontrollkästchen ist standardmäßig deaktiviert.
Ereignisquellen-SSH-Schlüssel

Öffentlicher SSH-Schlüssel, der zum Hochladen von Dateien für diese Ereignisquelle verwendet wird. Weitere Anweisungen zum Erzeugen von Schlüsseln finden Sie im Abschnitt Erzeugen des Schlüsselpaars auf der Ereignisquelle und Importieren des öffentlichen Schlüssels in den Log Collector im Handbuch Installieren und Aktualisieren des SFTP-Agent.

Hinweis: Wenn die Dateisammlung beendet wird, aktualisiert NetWitness Suite nicht die Datei „authorized_keys“ mit dem öffentlichen SSH-Schlüssel, den Sie in diesem Parameter hinzufügen oder ändern. Sie müssen die Dateisammlung neu starten, um den öffentlichen Schlüssel zu aktualisieren.
Sie können den Wert des öffentlichen Schlüssels in diesem Parameter in mehreren Dateiereignisquellen hinzufügen oder ändern, ohne dass die Dateisammlung ausgeführt wird. Allerdings aktualisiert NetWitness Suite die Datei authorized_keys erst, wenn die Dateisammlung neu gestartet wurde.

Fehlerdateien verwalten

Standardmäßig verwendet der Log Collector den Parameter Dateien-Festplatten-Quota, um zu gewährleisten, dass die Festplatte nicht mit Fehlerdateien gefüllt wird. Wenn Sie diesen Parameter auf true einstellen, können Sie einen der folgenden Parameter festlegen:

  • Maximal zugewiesener Speicherplatz für Fehlerdateien im Parameter Fehlerdateiengröße
  • Maximal zulässige Anzahl von Fehlerdateien im Parameter Anzahl Fehlerdateien

Eine Reduzierungsprozentzahl wird auch angegeben, die das System anwendet, wenn das Maximum erreicht wurde.

Aktivieren Sie das Kontrollkästchen zum Managen von Fehlerdateien. Dieses Kontrollkästchen ist standardmäßig deaktiviert.

Fehlerdateiengröße

Dieser Wert ist nur gültig, wenn die Parameter Fehlerdateien verwalten und Bei Fehler speichern auf „true“ eingestellt werden.
Gibt an, in welchem Umfang NetWitness Suite Fehlerdateien speichert. Bei dem von Ihnen angegebenen Wert handelt es sich um die maximale Gesamtgröße aller Dateien im Fehlerverzeichnis.

Ein gültiger Wert ist eine Zahl zwischen 0 und 281474976710655. Diese Werte werden in Kilobyte, Megabyte oder Gigabyte angegeben. Der Standardwert lautet 100 Megabyte. Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten.

Anzahl Fehlerdateien

Dieser Wert ist nur gültig, wenn die Parameter Fehlerdateien verwalten und Bei Fehler speichern auf „true“ eingestellt werden. Gibt die maximal zulässige Anzahl von Fehlerdateien im Fehlerverzeichnis an. Ein gültiger Wert ist eine Zahl zwischen 0 und 65536. 65536 ist der Standardwert.

Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten.

Reduzierung Fehlerdateien in %

Der Prozentsatz der Größe oder der Anzahl der Fehlerdateien, die der Log Collector-Service entfernt, wenn die maximale Größe oder die maximale Anzahl erreicht wurde. Der Service löscht die ältesten Dateien zuerst.

Ein gültiger Wert ist eine Zahl zwischen 0 und 100. 10 ist der Standardwert.

Gespeicherte Dateien verwalten

Aktivieren Sie das Kontrollkästchen zum Managen von gespeicherten Dateien. Dieses Kontrollkästchen ist standardmäßig deaktiviert.
Standardmäßig verwendet der Log Collector den Parameter Dateien-Festplatten-Quota, um zu gewährleisten, dass die Festplatte nicht mit gespeicherten Dateien gefüllt wird. Wenn Sie dieses Kontrollkästchen aktivieren, können Sie einen der folgenden Parameter festlegen:

  • Maximal zugewiesener Speicherplatz für gespeicherte Dateien im Parameter Größe gespeicherter Dateien
  • Maximal zulässige Anzahl von gespeicherten Dateien im Parameter Anzahl gespeicherter Dateien

Eine Reduzierungsprozentzahl wird auch angegeben, die das System anwendet, wenn das Maximum erreicht wurde.

Größe gespeicherter Dateien

Dieser Wert ist nur gültig, wenn die Parameter Gespeicherte Dateien verwalten und Bei Erfolg speichern auf „true“ eingestellt werden.
Gibt die maximale Gesamtgröße aller Dateien im Speicherverzeichnis an. Ein gültiger Wert ist eine Zahl zwischen 0 und 281474976710655. Diese Werte werden in Kilobyte, Megabyte oder Gigabyte angegeben. Der Standardwert lautet 100 Megabyte.

Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten.

Anzahl gespeicherter Dateien

Dieser Wert ist nur gültig, wenn die Parameter Gespeicherte Dateien verwalten und Bei Erfolg speichern auf „true“ eingestellt werden. Gibt die maximale Anzahl von gespeicherten Dateien im Speicherverzeichnis an. Ein gültiger Wert ist eine Zahl zwischen 0 und 65536. 65536 ist der Standardwert.

Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten.

Reduzierung gespeicherter Dateien in %

Der Prozentsatz der Größe oder der Anzahl der gespeicherten Dateien, die der Log Collector-Service entfernt, wenn die maximale Größe oder die maximale Anzahl erreicht wurde. Der Service löscht die ältesten Dateien zuerst.

Ein gültiger Wert ist eine Zahl zwischen 0 und 100. 10 ist der Standardwert.

Debug

Achtung: Aktivieren Sie nur dann das Debugging (legen Sie diesen Parameter auf Ein oder Ausführlich fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggings wirkt sich negativ auf die Performance des Log Collector aus.

Aktiviert/deaktiviert die Debug-Protokollierung für die Ereignisquelle.
Gültige Werte:

  • Aus = (Standard) deaktiviert
  • Ein = aktiviert
  • Ausführlich = aktiviert im ausführlichen Modus – fügt Thread-Informationen und Quellkontextinformationen zu den Meldungen hinzu

Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Die Debug-Protokollierung ist ausführlich. Begrenzen Sie daher die Anzahl der Ereignisquellen, um die Auswirkungen auf die Performance zu minimieren.

Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich).

AbbrechenSchließt das Dialogfeld, ohne einen Ereignisquelltyp hinzuzufügen.
OKFügt die Parameter für die Ereignisquelle hinzu.

 

You are here
Table of Contents > Sammlungsprotokolle > Konfigurieren von Dateiereignisquellen

Attachments

    Outcomes