In diesem Thema werden die Konfigurationsparameter für die Dateisammlung beschrieben.
Workflow
Dieser Workflow beschreibt die grundlegenden Aufgaben, die zum Starten der Erfassung von Ereignissen durch die Protokollsammlung durchgeführt werden müssen.
Was möchten Sie tun?
Rolle | Ziel | Dokumentation |
---|---|---|
Administrator | Führen Sie die grundlegende Implementierung der Protokollsammlung durch. | Grundlegende Implementierung |
Administrator | eine Lockbox zum Verwalten der Lockbox-Einstellungen einrichten. | Einrichten einer Lockbox |
Administrator | Starten von Protokollsammlungsservices | |
Administrator | *Konfigurieren Sie Protokollsammlungsprotokolle und Ereignisquellen. | Konfigurieren von Sammlungsprotokollen und Ereignisquellen |
Administrator | Überprüfen Sie, ob die Protokollsammlung funktioniert. | Überprüfen der ordnungsgemäßen Funktion der Protokollsammlung |
*Sie können diese Aufgabe hier durchführen.
Verwandte Themen
Ereignisquellparameter für die Dateisammlung
Die folgende Tabelle enthält Beschreibungen der Quellparameter für die Dateisammlung.
Name | Beschreibung |
---|---|
Basis | |
Dateiverzeichnis* | Sammlungsverzeichnis (zum Beispiel Eur_London100), in das die Dateiereignisquelle ihre Dateien platziert. Ein gültiger Wert ist eine Zeichenfolge, die dem folgenden regulären Ausdruck entspricht: [_a-zA-Z][_a-zA-Z0-9]* Nach der Erstellung der Sammlung erstellt der Log Collector die Arbeits-, Speicher- und Fehlerunterverzeichnisse unter dem Sammlungsverzeichnis. |
Adresse* | IP-Adresse der Ereignisquelle. Ein gültiger Wert ist eine IPv4-Adresse, eine IPv6-Adresse oder ein Hostname, der einen vollständig qualifizierten Domainnamen enthält. |
Dateispezifikation | Regulärer Ausdruck. Beispiel: ^.*$ = alles wird verarbeitet. |
Dateicodierung | Internationale Dateicodierung. Geben Sie die Dateicodierungsmethode ein. Die folgenden Zeichenfolgen sind Beispiele für gültige Methoden:
|
Aktiviert | Aktivieren Sie das Kontrollkästchen, um die Ereignisquellenkonfiguration zu aktivieren und die Sammlung zu starten. Das Kontrollkästchen ist standardmäßig aktiviert. |
Erweitert | |
Konvertierungsfehler bei der Codierung ignorieren | Aktivieren Sie dieses Kontrollkästchen, um Konvertierungsfehler bei der Codierung und ungültige Daten zu ignorieren. Das Kontrollkästchen ist standardmäßig aktiviert. Achtung: Dies kann zu Analyse- und Transformationsfehlern führen. |
Dateien-Festplatten-Quota | Legt den Zeitpunkt fest, an dem die Speicherung von Dateien beendet wird, unabhängig von den Einstellungen der Parameter Bei Fehler speichern und Bei Erfolg speichern. Ein Wert von 10 bedeutet beispielsweise: Wenn weniger als 10 % verfügbarer Festplattenspeicher vorhanden ist, beendet der Log Collector die Speicherung von Dateien, um ausreichenden Speicherplatz für die Verarbeitung Ihrer normalen Sammlung zu reservieren. Achtung: Der verfügbare Speicherplatz bezieht sich auf eine Partition, in der das Basissammlungsverzeichnis gemountet ist. Wenn der Log Decoder-Server über eine 10-TB-Festplatte verfügt und 2 TB für das Basissammlungsverzeichnis reserviert sind, führt eine Einstellung dieses Werts auf 10 dazu, dass die Protokollsammlung beendet wird, wenn weniger als 0,2 TB (10 % von 2 TB) verfügbarer Speicherplatz vorhanden ist. Es bedeutet nicht 10 % von 10 TB. Ein gültiger Wert ist eine Zahl zwischen 0 und 100. 10 ist der Standardwert. |
Sequenzielle Verarbeitung | Flag für sequenzielle Verarbeitung:
|
Bei Fehler speichern | Flag für Speicherung bei Fehlern. Aktivieren Sie das Kontrollkästchen, um die Datei eventsource collection beizubehalten, wenn der Log Collector einen Fehler feststellt. Das Kontrollkästchen ist standardmäßig aktiviert. |
Bei Erfolg speichern | Speichert die Datei eventsource collection nach der Verarbeitung des Flags. Aktivieren Sie das Kontrollkästchen, um die Datei eventsource collection nach ihrer Verarbeitung zu speichern. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
Ereignisquellen-SSH-Schlüssel | Öffentlicher SSH-Schlüssel, der zum Hochladen von Dateien für diese Ereignisquelle verwendet wird. Weitere Anweisungen zum Erzeugen von Schlüsseln finden Sie im Abschnitt Erzeugen des Schlüsselpaars auf der Ereignisquelle und Importieren des öffentlichen Schlüssels in den Log Collector im Handbuch Installieren und Aktualisieren des SFTP-Agent. Hinweis: Wenn die Dateisammlung beendet wird, aktualisiert NetWitness Suite nicht die Datei „authorized_keys“ mit dem öffentlichen SSH-Schlüssel, den Sie in diesem Parameter hinzufügen oder ändern. Sie müssen die Dateisammlung neu starten, um den öffentlichen Schlüssel zu aktualisieren. |
Fehlerdateien verwalten | Standardmäßig verwendet der Log Collector den Parameter Dateien-Festplatten-Quota, um zu gewährleisten, dass die Festplatte nicht mit Fehlerdateien gefüllt wird. Wenn Sie diesen Parameter auf true einstellen, können Sie einen der folgenden Parameter festlegen:
Eine Reduzierungsprozentzahl wird auch angegeben, die das System anwendet, wenn das Maximum erreicht wurde. Aktivieren Sie das Kontrollkästchen zum Managen von Fehlerdateien. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
Fehlerdateiengröße | Dieser Wert ist nur gültig, wenn die Parameter Fehlerdateien verwalten und Bei Fehler speichern auf „true“ eingestellt werden. Ein gültiger Wert ist eine Zahl zwischen 0 und 281474976710655. Diese Werte werden in Kilobyte, Megabyte oder Gigabyte angegeben. Der Standardwert lautet 100 Megabyte. Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten. |
Anzahl Fehlerdateien | Dieser Wert ist nur gültig, wenn die Parameter Fehlerdateien verwalten und Bei Fehler speichern auf „true“ eingestellt werden. Gibt die maximal zulässige Anzahl von Fehlerdateien im Fehlerverzeichnis an. Ein gültiger Wert ist eine Zahl zwischen 0 und 65536. 65536 ist der Standardwert. Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten. |
Reduzierung Fehlerdateien in % | Der Prozentsatz der Größe oder der Anzahl der Fehlerdateien, die der Log Collector-Service entfernt, wenn die maximale Größe oder die maximale Anzahl erreicht wurde. Der Service löscht die ältesten Dateien zuerst. Ein gültiger Wert ist eine Zahl zwischen 0 und 100. 10 ist der Standardwert. |
Gespeicherte Dateien verwalten | Aktivieren Sie das Kontrollkästchen zum Managen von gespeicherten Dateien. Dieses Kontrollkästchen ist standardmäßig deaktiviert.
Eine Reduzierungsprozentzahl wird auch angegeben, die das System anwendet, wenn das Maximum erreicht wurde. |
Größe gespeicherter Dateien | Dieser Wert ist nur gültig, wenn die Parameter Gespeicherte Dateien verwalten und Bei Erfolg speichern auf „true“ eingestellt werden. Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten. |
Anzahl gespeicherter Dateien | Dieser Wert ist nur gültig, wenn die Parameter Gespeicherte Dateien verwalten und Bei Erfolg speichern auf „true“ eingestellt werden. Gibt die maximale Anzahl von gespeicherten Dateien im Speicherverzeichnis an. Ein gültiger Wert ist eine Zahl zwischen 0 und 65536. 65536 ist der Standardwert. Nach dem Ändern des Parameters wird die Änderung erst wirksam, wenn Sie die Sammlung oder den Log Collector-Service erneut starten. |
Reduzierung gespeicherter Dateien in % | Der Prozentsatz der Größe oder der Anzahl der gespeicherten Dateien, die der Log Collector-Service entfernt, wenn die maximale Größe oder die maximale Anzahl erreicht wurde. Der Service löscht die ältesten Dateien zuerst. Ein gültiger Wert ist eine Zahl zwischen 0 und 100. 10 ist der Standardwert. |
Debug | Achtung: Aktivieren Sie nur dann das Debugging (legen Sie diesen Parameter auf Ein oder Ausführlich fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggings wirkt sich negativ auf die Performance des Log Collector aus. Aktiviert/deaktiviert die Debug-Protokollierung für die Ereignisquelle.
Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Die Debug-Protokollierung ist ausführlich. Begrenzen Sie daher die Anzahl der Ereignisquellen, um die Auswirkungen auf die Performance zu minimieren. Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich). |
Abbrechen | Schließt das Dialogfeld, ohne einen Ereignisquelltyp hinzuzufügen. |
OK | Fügt die Parameter für die Ereignisquelle hinzu. |