Protokollsammlung – Konfiguration: Gleichzeitiges Importieren, Exportieren und Bearbeiten mehrerer Ereignisquellen

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema wird erläutert, wie Sie mehrere Ereignisquellen gleichzeitig importieren, exportieren, bearbeiten und testen.

Mit der Option zum gleichzeitigen Exportieren können Sie mehrere Ereignisquellendetails der aktuellen Konfiguration exportieren und speichern. Wenn ein Problem mit der aktuellen Konfiguration auftritt und Sie die vorhandenen Ereignisquelldaten benötigen, können diese Daten gleichzeitig importiert werden.

Mit der Funktion zum gleichzeitigen Bearbeiten können Sie mehrere Ereignisquellen gleichzeitig bearbeiten, für die eine bestimmte Änderung erforderlich ist. Sie können alle Quellen auswählen und die Bearbeitungsoption gleichzeitig auf alle anwenden. Damit vermeiden Sie, dass alle einzeln geändert werden müssen.

Gleichzeitiges Importieren mehrerer Ereignisquellen

Warnung: Wenn Sie für die Bearbeitung einer CSV-Datei mit exportierten Ereignisquellen ein Tabellenkalkulationsprogramm verwenden, kann es vorkommen, dass einige Datenfelder wie Zahlen und Datumsangaben in die nativen Feldtypen des Tabellenkalkulationsprogramms umformatiert werden. Dies kann Probleme verursachen, wenn Sie diese Informationen erneut importieren, da einige Datenfelder möglicherweise unlesbar oder falsch formatiert sind. Sie können dies vermeiden, indem Sie die CSV-Datei in das Tabellenkalkulationsprogramm importieren und alle Datenfelder als Textwerte angeben.

So importieren Sie mehrere Ereignisquellen gleichzeitig:

  1. Navigieren Sie zu Admin > Services.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.
  5. Wählen Sie Kontrollpunkt, Datei, Netflow, ODBC, Plug-ins, SDEE (Syslog nur für Remote Collectors), VMware, Windows oder Windows Legacy aus (SNMP verfügt nicht über eine Importfunktion).
  6. Klicken Sie in der Symbolleiste im Bereich Quellen auf Quelle importieren.

    Das Dialogfeld Option zum Massenhinzufügen wird angezeigt.

    Bulk Add Option dialog is displayed.

  7. Wählen Sie entweder CSV-Datei importieren oder CSV-Content einfügen aus. Falls Sie Folgendes ausgewählt haben:

    • CSV-Datei importieren:

      1. Klicken Sie auf Weiter.

        Das Dialogfeld Importieren wird angezeigt.

      2. Klicken Sie auf Hinzufügen und wählen Sie eine CSV-Datei aus dem Netzwerk aus.

        Import dialog is displayed.

      3. Klicken Sie auf Importieren.

        Die Ereignisquellen werden der Liste Ereignisquelle hinzugefügt.

    • CSV-Content einfügen:

      1. Kopieren Sie den Inhalt aus der CSV-Datei und fügen Sie ihn im Dialogfeld ein.

        Bulk Add Option dialog shows.csv option selected.

      2. Klicken Sie auf Importieren.

        Die Ereignisquellen werden der Liste Ereignisquelle hinzugefügt.

Gleichzeitiges Exportieren mehrerer Ereignisquellen

Warnung: Wenn Sie für die Bearbeitung einer CSV-Datei mit exportierten Ereignisquellen ein Tabellenkalkulationsprogramm verwenden, kann es vorkommen, dass einige Datenfelder wie Zahlen und Datumsangaben in die nativen Feldtypen des Tabellenkalkulationsprogramms umformatiert werden. Dies kann Probleme verursachen, wenn Sie diese Informationen erneut importieren, da einige Datenfelder möglicherweise unlesbar oder falsch formatiert sind. Sie können dies vermeiden, indem Sie die CSV-Datei in das Tabellenkalkulationsprogramm importieren und alle Datenfelder als Textwerte angeben.

  1. Navigieren Sie zu Admin > Services.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.
  5. Wählen Sie Kontrollpunkt, Datei, Netflow, ODBC, Plug-ins, SDEE (Syslog nur für Remote Collectors), VMware, Windows oder Windows Legacy aus (SNMP verfügt nicht über eine Exportfunktion).
  6. Wählen Sie im Bereich Quellen eine oder mehrere Ereignisquellen aus und klicken Sie auf Quelle exportieren.

    Das Dialogfeld Massenexport wird angezeigt.

    Bulk Export dialog is displayed.

  7. Je nach Ihrer Auswahl:

    • Alle – NetWitness Suite exportiert alle Ereignisquellen in eine CSV-Datei mit Zeitstempel.
    • Ausgewählte – NetWitness Suite exportiert die ausgewählte(n) Ereignisquelle(n) in eine CSV-Datei mit Zeitstempel.
    • Abbrechen – NetWitness Suite bricht den Export ab.

Im Folgenden ist ein Beispiel für eine CSV-Datei mit Zeitstempel angegeben, die mit den von Ihnen in der Liste ausgewählten Ereignisquellen erzeugt wird.

Example of a time-stamped CSV file.

Gleichzeitiges Bearbeiten mehrerer Ereignisquellen

So bearbeiten Sie mehrere Ereignisquellen gleichzeitig:

  1. Wählen Sie auf der Registerkarte Log Collector-Ereignisquellen die Option Kontrollpunkt, Datei, Netflow, ODBC, Plug-ins, SDEE, Syslog, VMware, Windows oder Windows Legacy aus (SNMP verfügt nicht über eine Bearbeitungsfunktion).
  2. Wählen Sie im Bereich Quellen mehrere Ereignisquellen aus und klicken Sie auf (Bearbeiten-Symbol).

    Für die ausgewählte Ereignisquelle wird das entsprechende Dialogfeld Massenbearbeitung angezeigt. Die folgende Abbildung zeigt ein Beispiel für das Dialogfeld Massenbearbeitung für Quelle für die Ereignisquellenparameter einer Datei.

    Bulk Edit Source dialog shows bulk operation enabled.

  3. Aktivieren Sie das Kontrollkästchen links neben den zu ändernden Feldern (z. B. Debuggen).
  4. Ändern Sie die ausgewählten Parameter (ändern Sie z. B. Debuggen von Aus in Ein).
  5. Klicken Sie auf OK.

    NetWitness Suite wendet die gleiche Parameterwertänderung auf alle ausgewählten Ereignisquellen an.

Gleichzeitiges Testen mehrerer Ereignisquellenverbindungen

So testen Sie mehrere Ereignisquellenverbindungen gleichzeitig:

  1. Navigieren Sie zu Administration > Services.
  2. Wählen Sie im Raster Services einen Log Collector-Service aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Wählen Sie die Registerkarte Ereignisquellen aus. Wählen Sie dort Plug-ins, ODBC oder Windows aus (die anderen Protokolle verfügen nicht über eine Funktion zum gleichzeitigen Testen von Verbindungen).
  5. Wählen Sie eine(n) oder mehrere:

    • Quellen aus dem Bereich Quellen für Plug-ins oder ODBC
    • Hosts aus dem Bereich Hosts für Windows

    Die Schaltfläche Verbindung testen ist aktiviert.

    Example shows test connection selected.

  6. Klicken Sie auf .

    Das Dialogfeld Massentest für Verbindungen wird angezeigt und enthält den aktuellen Status des Tests für die einzelnen Quellen. Der Status kann Warten, Testen, Bestanden oder Fehlgeschlagen sein.

    Wenn Sie den Test schließen, bevor er abgeschlossen ist, wird der Test beendet und das Dialogfeld Massentest für Verbindungen wird geschlossen.

Wenn der Test abgeschlossen ist, wird das Ergebnis im Dialogfeld Massentest für Verbindungen angezeigt.

Siehe auch

Sie können das Modul Ereignisquellen (Administration > Ereignisquellen) verwenden, um Gruppen von Ereignisquellen zu erstellen, die in der Regel aus einer CMDB importiert werden, und um Ereignisquellen basierend auf diesen Gruppen zu überwachen. Weitere Informationen finden Sie unter den folgenden Themen im Leitfaden für das Ereignisquellenmanagement:

  • Importieren von Ereignisquellen
  • Ereignisquellen exportieren
  • Massenbearbeitung von Ereignisquellenattributen
You are here
Table of Contents > Grundlagen zur Protokollsammlung > Gleichzeitiges Importieren, Exportieren, Bearbeiten und Testen mehrerer Ereignisquellen

Attachments

    Outcomes