Protokollsammlung: Dateiparameter

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema werden die Konfigurationsparameter für die Dateisammlung beschrieben.

Workflow

Dieser Workflow beschreibt die grundlegenden Aufgaben, die zum Starten der Erfassung von Ereignissen durch die Protokollsammlung durchgeführt werden müssen.

This workflow illustrates the basic tasks needed to start collecting events through Log Collection.

Was möchten Sie tun?

                                        
RolleZielDokumentation
Administrator

Führen Sie die grundlegende Implementierung der Protokollsammlung durch.

Grundlegende Implementierung
Administratoreine Lockbox zum Verwalten der Lockbox-Einstellungen einrichten.Einrichten einer Lockbox

Administrator

Starten von Protokollsammlungsservices

Starten von Sammlungsservices

Administrator*Konfigurieren Sie Protokollsammlungsprotokolle und Ereignisquellen. Konfigurieren von Sammlungsprotokollen und Ereignisquellen

Administrator

Überprüfen Sie, ob die Protokollsammlung funktioniert.

Überprüfen der ordnungsgemäßen Funktion der Protokollsammlung

*Sie können diese Aufgabe hier durchführen.

Verwandte Themen

Ereignisquellparameter für die Dateisammlung

Die folgende Tabelle enthält Beschreibungen der Quellparameter für die Dateisammlung.

                                                                                                          
NameBeschreibung
Basis
Dateiverzeichnis*

Sammlungsverzeichnis (zum Beispiel Eur_London100), in das die Dateiereignisquelle ihre Dateien platziert. Ein gültiger Wert ist eine Zeichenfolge, die dem folgenden regulären Ausdruck entspricht:

[_a-zA-Z][_a-zA-Z0-9]*


Das bedeutet, dass das Dateiverzeichnis mit einem Buchstaben beginnen muss, auf den Zahlen, Buchstaben und Unterstriche folgen. Dieser Parameter darf nach dem Start der Ereignisdatensammlung nicht geändert werden.

Nach der Erstellung der Sammlung erstellt der Log Collector die Arbeits-, Speicher- und Fehlerunterverzeichnisse unter dem Sammlungsverzeichnis.

Adresse*IP-Adresse der Ereignisquelle. Ein gültiger Wert ist eine IPv4-Adresse, eine IPv6-Adresse oder ein Hostname, der einen vollständig qualifizierten Domainnamen enthält.
DateispezifikationRegulärer Ausdruck. Beispiel: ^.*$ = alles wird verarbeitet.
Dateicodierung

Internationale Dateicodierung. Geben Sie die Dateicodierungsmethode ein. Die folgenden Zeichenfolgen sind Beispiele für gültige Methoden:

  • UTF-8 (Standard)
  • UCS-16LE
  • UCS-16BE
  • UCS-32LE
  • UCS-32BE
  • SHIFT-JIS
  • EBCDIC-US
AktiviertAktivieren Sie das Kontrollkästchen, um die Ereignisquellenkonfiguration zu aktivieren und die Sammlung zu starten. Das Kontrollkästchen ist standardmäßig aktiviert.
Erweitert
Konvertierungsfehler bei
der Codierung ignorieren

Aktivieren Sie dieses Kontrollkästchen, um Konvertierungsfehler bei der Codierung und ungültige Daten zu ignorieren. Das Kontrollkästchen ist standardmäßig aktiviert.

Achtung: Dies kann zu Analyse- und Transformationsfehlern führen.

Dateien-Festplatten-Quota

Legt den Zeitpunkt fest, an dem die Speicherung von Dateien beendet wird, unabhängig von den Einstellungen der Parameter Bei Fehler speichern und Bei Erfolg speichern. Ein Wert von 10 bedeutet beispielsweise: Wenn weniger als 10 % verfügbarer Festplattenspeicher vorhanden ist, beendet der Log Collector die Speicherung von Dateien, um ausreichenden Speicherplatz für die Verarbeitung Ihrer normalen Sammlung zu reservieren.

Achtung: Der verfügbare Speicherplatz bezieht sich auf eine Partition, in der das Basissammlungsverzeichnis gemountet ist. Wenn der Log Decoder-Server über eine 10-TB-Festplatte verfügt und 2 TB für das Basissammlungsverzeichnis reserviert sind, führt eine Einstellung dieses Werts auf 10 dazu, dass die Protokollsammlung beendet wird, wenn weniger als 0,2 TB (10 % von 2 TB) verfügbarer Speicherplatz vorhanden ist. Es bedeutet nicht 10 % von 10 TB.

Ein gültiger Wert ist eine Zahl zwischen 0 und 100. 10 ist der Standardwert.

Sequenzielle Verarbeitung

Flag für sequenzielle Verarbeitung:

  • Aktivieren Sie das Kontrollkästchen (Standard), um die Ereignisquellendateien in der Reihenfolge der Sammlung zu verarbeiten.
  • Aktivieren Sie das Kontrollkästchen nicht, um Ereignisquellendateien parallel zu verarbeiten.
Bei Fehler speichernFlag für Speicherung bei Fehlern. Aktivieren Sie das Kontrollkästchen, um die Datei eventsource collection beizubehalten, wenn der Log Collector einen Fehler feststellt. Das Kontrollkästchen ist standardmäßig aktiviert.
Bei Erfolg speichernSpeichert die Datei eventsource collection nach der Verarbeitung des Flags. Aktivieren Sie das Kontrollkästchen, um die Datei eventsource collection nach ihrer Verarbeitung zu speichern. Dieses Kontrollkästchen ist standardmäßig deaktiviert.
Ereignisquellen-SSH-Schlüssel

Öffentlicher SSH-Schlüssel, der zum Hochladen von Dateien für diese Ereignisquelle verwendet wird. Weitere Anweisungen zum Erzeugen von Schlüsseln finden Sie im Abschnitt Erzeugen des Schlüsselpaars auf der Ereignisquelle und Importieren des öffentlichen Schlüssels in den Log Collector im Handbuch Installieren und Aktualisieren des SFTP-Agent.

Hinweis: Wenn die Dateisammlung beendet wird, aktualisiert NetWitness Suite nicht die Datei „authorized_keys“ mit dem öffentlichen SSH-Schlüssel, den Sie in diesem Parameter hinzufügen oder ändern. Sie müssen die Dateisammlung neu starten, um den öffentlichen Schlüssel zu aktualisieren.
Sie können den Wert des öffentlichen Schlüssels in diesem Parameter in mehreren Dateiereignisquellen hinzufügen oder ändern, ohne dass die Dateisammlung ausgeführt wird. Allerdings aktualisiert NetWitness Suite die Datei authorized_keys erst, wenn die Dateisammlung neu gestartet wurde.

Fehlerdateien verwalten

Standardmäßig verwendet der Log Collector den Parameter Dateien-Festplatten-Quota, um zu gewährleisten, dass die Festplatte nicht mit Fehlerdateien gefüllt wird. Wenn Sie diesen Parameter auf true einstellen, können Sie einen der folgenden Parameter festlegen:

  • Maximal zugewiesener Speicherplatz für Fehlerdateien im Parameter Fehlerdateiengröße
  • Maximal zulässige Anzahl von Fehlerdateien im Parameter Anzahl Fehlerdateien

Eine Reduzierungsprozentzahl wird auch angegeben, die das System anwendet, wenn das Maximum erreicht wurde.

Aktivieren Sie das Kontrollkästchen zum Managen von Fehlerdateien. Dieses Kontrollkästchen ist standardmäßig deaktiviert.

Fehlerdateiengröße

Dieser Wert ist nur gültig, wenn die Parameter Fehlerdateien verwalten und Bei Fehler speichern auf „true“ eingestellt werden.
Gibt an, in welchem Umfang NetWitness Suite Fehlerdateien speichert. Bei dem von Ihnen angegebenen Wert handelt es sich um die maximale Gesamtgröße aller Dateien im Fehlerverzeichnis.

Ein gültiger Wert ist eine Zahl zwischen 0 und 281474976710655. Diese Werte werden in Kilobyte, Megabyte oder Gigabyte angegeben. Der Standardwert lautet 100 Megabyte. Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten.

Anzahl Fehlerdateien

Dieser Wert ist nur gültig, wenn die Parameter Fehlerdateien verwalten und Bei Fehler speichern auf „true“ eingestellt werden. Gibt die maximal zulässige Anzahl von Fehlerdateien im Fehlerverzeichnis an. Ein gültiger Wert ist eine Zahl zwischen 0 und 65536. 65536 ist der Standardwert.

Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten.

Reduzierung Fehlerdateien in %

Der Prozentsatz der Größe oder der Anzahl der Fehlerdateien, die der Log Collector-Service entfernt, wenn die maximale Größe oder die maximale Anzahl erreicht wurde. Der Service löscht die ältesten Dateien zuerst.

Ein gültiger Wert ist eine Zahl zwischen 0 und 100. 10 ist der Standardwert.

Gespeicherte Dateien verwalten

Aktivieren Sie das Kontrollkästchen zum Managen von gespeicherten Dateien. Dieses Kontrollkästchen ist standardmäßig deaktiviert.
Standardmäßig verwendet der Log Collector den Parameter Dateien-Festplatten-Quota, um zu gewährleisten, dass die Festplatte nicht mit gespeicherten Dateien gefüllt wird. Wenn Sie dieses Kontrollkästchen aktivieren, können Sie einen der folgenden Parameter festlegen:

  • Maximal zugewiesener Speicherplatz für gespeicherte Dateien im Parameter Größe gespeicherter Dateien
  • Maximal zulässige Anzahl von gespeicherten Dateien im Parameter Anzahl gespeicherter Dateien

Eine Reduzierungsprozentzahl wird auch angegeben, die das System anwendet, wenn das Maximum erreicht wurde.

Größe gespeicherter Dateien

Dieser Wert ist nur gültig, wenn die Parameter Gespeicherte Dateien verwalten und Bei Erfolg speichern auf „true“ eingestellt werden.
Gibt die maximale Gesamtgröße aller Dateien im Speicherverzeichnis an. Ein gültiger Wert ist eine Zahl zwischen 0 und 281474976710655. Diese Werte werden in Kilobyte, Megabyte oder Gigabyte angegeben. Der Standardwert lautet 100 Megabyte.

Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten.

Anzahl gespeicherter Dateien

Dieser Wert ist nur gültig, wenn die Parameter Gespeicherte Dateien verwalten und Bei Erfolg speichern auf „true“ eingestellt werden. Gibt die maximale Anzahl von gespeicherten Dateien im Speicherverzeichnis an. Ein gültiger Wert ist eine Zahl zwischen 0 und 65536. 65536 ist der Standardwert.

Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten.

Reduzierung gespeicherter Dateien in %

Der Prozentsatz der Größe oder der Anzahl der gespeicherten Dateien, die der Log Collector-Service entfernt, wenn die maximale Größe oder die maximale Anzahl erreicht wurde. Der Service löscht die ältesten Dateien zuerst.

Ein gültiger Wert ist eine Zahl zwischen 0 und 100. 10 ist der Standardwert.

Debug

Achtung: Aktivieren Sie nur dann das Debugging (legen Sie diesen Parameter auf Ein oder Ausführlich fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggings wirkt sich negativ auf die Performance des Log Collector aus.

Aktiviert/deaktiviert die Debug-Protokollierung für die Ereignisquelle.
Gültige Werte:

  • Aus = (Standard) deaktiviert
  • Ein = aktiviert
  • Ausführlich = aktiviert im ausführlichen Modus – fügt Thread-Informationen und Quellkontextinformationen zu den Meldungen hinzu

Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Die Debug-Protokollierung ist ausführlich. Begrenzen Sie daher die Anzahl der Ereignisquellen, um die Auswirkungen auf die Performance zu minimieren.

Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich).

AbbrechenSchließt das Dialogfeld, ohne einen Ereignisquelltyp hinzuzufügen.
OKFügt die Parameter für die Ereignisquelle hinzu.

 

Previous Topic:Kontrollpunktparameter
You are here
Table of Contents > Referenz > Dateiparameter

Attachments

    Outcomes