Architektur der Protokollsammlung

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema wird beschrieben, wie NetWitness Suite eine Protokollsammlung durchführt.

Bereitstellen der Protokollsammlung

Sie können die Protokollsammlung entsprechend den Anforderungen und Präferenzen Ihres Unternehmens bereitstellen. Dazu gehört die Bereitstellung der Protokollsammlung über mehrere Standorte hinweg und die Sammlung von Daten aus verschiedenen Sätzen von Ereignisquellen. Zu diesem Zweck richten Sie einen Local Collector mit einem oder vielen Remote Collectors ein.

Komponenten der Protokollsammlung

Die folgende Abbildung zeigt alle Komponenten, die an der Ereignissammlung durch den NetWitness Suite Log Collector beteiligt sind.

Example shows all the components involved in log collection through the NetWitness Suite.

Local und Remote Collectors

Die folgende Abbildung stellt dar, wie Local und Remote Collectors interagieren, um Ereignisse von allen Ihren Standorten zu sammeln.

In diesem Szenario erfolgt die Protokollsammlung von verschiedenen Protokollen, wie Windows, ODBC usw., sowohl durch den Remote Collector- als auch den Log Collector-Service. Bei der Protokollsammlung durch den Local Collector wird sie dem lokalen Bereitstellungsszenario entsprechend an den Log Decoder-Service weitergeleitet. Bei der Protokollsammlung durch einen Remote Collector gibt es zwei Methoden zur Weiterleitung an den Local Collector:

  • Pull-Konfiguration: Wählen Sie von einem Local Collector die Remote Collectors aus, von denen Sie Ereignisse abrufen möchten.
  • Push-Konfiguration: Wählen Sie von einem Remote Collector den Local Collector aus, an den Sie Ereignisse übertragen möchten.

Hinweis: Das typische Anwendungsbeispiel ist die Übertragung per Push. Pull ist verfügbar, wenn Sie eine DMZ in Ihrer Umgebung haben. Weniger sichere Netzwerksegmente dürfen keine Verbindungen zu sichereren Netzwerksegmenten herstellen. Bei Pull initiiert der Log Collector (oder Virtual Log Collector) im sicheren Netzwerk die Verbindung mit der VLC im weniger sicheren Netzwerk und die Protokolle werden dann übertragen, ohne dass die Verbindungsregeln gebrochen werden.

Sie können einen oder mehrere Remote Collectors konfigurieren, um Ereignisdaten auf einen Local Collector zu übertragen, oder Sie können einen Local Collector konfigurieren, um Ereignisdaten von einem oder mehreren Remote Collectors abzurufen.

Darüber hinaus können Sie eine Kette von Remote Collectors festlegen, für die Sie Folgendes konfigurieren können:

  • Einen oder mehrere Remote Collectors zum Übertragen von Ereignisdaten an einen Remote Collector.
  • Einen Remote Collector zum Abrufen von Ereignisdaten aus einem oder mehreren Remote Collectors.

Example shows a Remote Collector pulling event data from one or more Remote Collectors.

Windows-Legacy-Remote Collector

Der RSA NetWitness® Suite Windows Legacy Collector ist ein Microsoft Windows-basierter Remote Log Collector (RC), der in einer Windows-Domäne installiert werden kann.

Sie unterstützt die Sammlung von :

  • Ereignisquellen aus Windows 2003 und früher
  • NetApp ONTAP-Host-Ereignisdateien

Die folgende Abbildung zeigt die Bereitstellung, die erforderlich ist, um Ereignisse von Windows-Legacy-Ereignisquellen zu sammeln.

Example illustrates the deployment required to collect events from Windows Legacy event sources.

You are here
Table of Contents > Architektur der Protokollsammlung

Attachments

    Outcomes