Konfigurieren von Netflow-Ereignisquellen

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema wird erläutert, wie Sie das Netflow-Sammlungsprotokoll konfigurieren.

Konfigurieren einer Netflow-Ereignisquelle

So konfigurieren Sie eine Netflow-Ereignisquelle:

  1. Navigieren Sie zu ADMIN > Services vom NetWitness Suite-Menü aus.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.

    Event Sources tab is displayed.

  1. Wählen Sie auf der Registerkarte Ereignisquellen im Drop-down-Menü die Option Netflow/Konfigurieren aus.
  2. Klicken Sie in der Symbolleiste des Bereichs Ereigniskategorien auf .

    Das Dialogfeld Verfügbare Ereignisquelltypen wird angezeigt.

  3. Wählen Sie den Ereignisquelltyp netflow aus und klicken Sie auf OK.

    Available Event Source Types dialog is displayed.

    Der neu hinzugefügte Ereignisquelltyp wird im Bereich Ereigniskategorien angezeigt.

  4. Wählen Sie den neuen Typ im Bereich Ereigniskategorien aus und klicken Sie auf in der Symbolleiste Quellen.

    Das Dialogfeld Quelle hinzufügen wird angezeigt.

  5. Geben Sie eine Portnummer im Feld Port ein und vergewissern Sie sich, dass das Kontrollkästchen „Aktiviert“ aktiviert ist.

    Hinweis: Standardmäßig werden die Ports 2055, 4739, 6343 und 9995 auf der Firewall von NetWitness Suite geöffnet.  Sie können andere Ports für Netflow öffnen, falls erforderlich.

    Weitere Informationen zu anderen Parametern finden Sie unten stehend unter Parameter für Netflow-Sammlung.

  6. Klicken Sie auf OK.

Die neue Ereignisquelle wird in der Liste angezeigt.

Parameter für Netflow-Sammlung

Die folgende Tabelle enthält Beschreibungen der Quellparameter für die Netflow-Sammlung.

                                         
NameBeschreibung
Basis
PortGeben Sie die Portnummer ein, die für die Netflow-Ereignisquelle konfiguriert ist.
NetWitness Suite öffnet standardmäßig die Ports 2055, 4739, 6343 und 9995 für Netflow. Sie können andere Ports für Netflow öffnen, falls erforderlich.
AktiviertAktivieren Sie das Kontrollkästchen, um die Ereignisquellenkonfiguration zu aktivieren und die Sammlung zu starten. Das Kontrollkästchen ist standardmäßig aktiviert.
Erweitert
In Flight-Protokollveröffentlichungsschwellenwert

Legt einen Schwellenwert fest. Wenn er erreicht wird, erzeugt NetWitness Suite eine Protokollnachricht, die Sie beim Beheben von Problemen mit dem Ereignisfluss unterstützt. Der Schwellenwert entspricht der Größe der Netflow-Ereignismeldungen, die gegenwärtig von der Ereignisquelle an NetWitness Suite übertragen werden.

Gültige Werte:

  • 0 (Standard) = Deaktiviert die Protokollmeldung.
  • 100-100000000 = Erzeugt eine Protokollmeldung, wenn diese Log Collector die angegebene Anzahl an Netflow-Ereignissen verarbeitet hat.  Wenn Sie diesen Wert zum Beispiel auf 100 festlegen, erzeugt NetWitness Suite eine Protokollmeldung, wenn 100 Netflow-Ereignisse der angegebenen Netflow-Version (v5 oder v9) verarbeitet wurden.
Debug

Achtung: Aktivieren Sie nur dann das Debuggen (legen Sie diesen Parameter auf „Ein“ oder „Ausführlich“ fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggings wirkt sich negativ auf die Performance des Log Collector aus.

Aktiviert oder deaktiviert die Debug-Protokollierung für die Ereignisquelle.

Gültige Werte:

  • Aus = (Standard) deaktiviert
  • Ein = aktiviert
  • Ausführlich = aktiviert im ausführlichen Modus – fügt Thread-Informationen und Quellkontextinformationen zu den Meldungen hinzu

Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Die Debug-Protokollierung ist ausführlich. Begrenzen Sie daher die Anzahl der Ereignisquellen, um die Auswirkungen auf die Performance zu minimieren.
Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich).

AbbrechenSchließt das Dialogfeld, ohne einen Ereignisquelltyp hinzuzufügen.
OKFügt die Parameter für die Ereignisquelle hinzu.
You are here
Table of Contents > Sammlungsprotokolle > Konfigurieren von Netflow-Ereignisquellen

Attachments

    Outcomes