Windows-Legacy-Sammlung: Schritt 2. Konfigurieren von Ereignisquellen in SA

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema erfahren Sie, wie Sie Windows-Legacy-Ereignisquellen in NetWitness Suite konfigurieren.

Mit dem Windows-Legacy-Protokoll werden Ereignisdaten aus Ereignisquellen von Windows 2003 oder früher und aus NetApp-Ereignisquellen gesammelt.

Voraussetzungen

Bevor Sie eine Windows-Legacy-Ereignisquelle konfigurieren, müssen folgende Voraussetzungen erfüllt sein:

  1. Der Windows-Legacy-Remote-Collector von NetWitness Suite muss auf einem physischen oder virtuellen 64-Bit-Server mit Windows 2008 installiert sein.
  2. Dieser Windows-Legacy-Remote-Collector muss NetWitness Suite hinzugefügt worden sein.

Hinzufügen einer Windows-Legacy-Ereignisquelle

  1. Wählen Sie zum Zugreifen auf die Ansicht „Services“ im Menü NetWitness Suite die Optionen Administration > Services aus.
  2. Wählen Sie im Raster Services einen Windows Legacy Log Decoder-Service aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.
  5. Wählen Sie auf der Registerkarte Ereignisquellen eine der folgenden Optionen aus dem Drop-down-Menü aus.

    • Windows Legacy/Windows
    • Windows Legacy/NetApp
  6. Konfigurieren des Alias:

    1. Klicken Sie in der Symbolleiste des Bereichs Ereigniskategorien auf .

      Das Dialogfeld Quelle hinzufügen wird angezeigt.

    2. Geben Sie Werte für die Parameter an und klicken Sie auf OK.

      Add source dialog is displayed.

      Hinweis: Das Kontrollkästchen Remoteinitialisierung der Registry verwenden ist standardmäßig aktiviert. Weitere Informationen finden Sie unten stehend unter Remotezugriff auf die Registry.

      Der neu hinzugefügte Windows-Ereignisquelltyp wird im Bereich Ereigniskategorien angezeigt.

  7. Fügen Sie die Ereignisquelle hinzu:

    1. Wählen Sie den neuen Alias im Bereich Ereigniskategorien aus und klicken Sie auf in der Symbolleiste des Bereichs Quelle.

      Das Dialogfeld Quelle hinzufügen wird angezeigt.

    2. Geben Sie Werte für die Ereignisquellparameter an und klicken Sie auf OK.

      Add Source dialog displayed with selected options.

      Weitere Informationen finden Sie unten stehend unter Konfigurationsparameter für Windows Legacy.

      Die neu hinzugefügte Windows-Ereignisquelle wird im Bereich Ereigniskategorien angezeigt.

      Options for Sources dialog.

Remotezugriff auf die Registry

Windows Legacy Collector führt vor der Sammlung der Daten zunächst eine Überprüfung der Ereignisquelle durch. Standardmäßig verwendet die Windows Legacy Collector die Methode Windows Management Instrumentation (WMI), um diese anfängliche Überprüfung durchzuführen. Wenn Sie die Methode des Remotezugriffs auf die Registry aktivieren, führt die Windows Legacy Collector eine Remote-Registry-Abfrage durch, um die Ereignisquelle zu überprüfen.

Konfigurieren von Push oder Pull zwischen Log Collector und Windows Legacy Collector

Sie können den Windows Legacy Collector so konfigurieren, dass Ereignisdaten auf einen Local Collector übertragen werden, oder Sie können einen Local Collector so konfigurieren, dass er Ereignisdaten vom Windows Legacy Collector abruft.

So konfigurieren Sie einen Local Collector oder den Windows Legacy Collector:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Local Collector oder den Windows Legacy Collection-Service aus.
  3. Wählen Sie unter „Aktionen“ > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Führen Sie je nach Ihrer Auswahl in Schritt 2 folgende Schritte durch:

    • Bei Auswahl eines Local Collector wird die Registerkarte Remote Collectors angezeigt. Wählen Sie auf dieser Registerkarte den Windows Legacy Collector aus, von dem der Local Collector Ereignisse abrufen soll.
    • Wenn Sie einen Windows Legacy Collector ausgewählt haben, wird die Registerkarte Local Collectors angezeigt. Wählen Sie auf dieser Registerkarte die Local Collectors aus, auf die der Windows Legacy Collector Ereignisse übertragen soll.

Konfigurationsparameter für Windows Legacy

In der folgenden Tabelle werden die Parameter für eine Windows-Legacy-Ereignisquelle beschrieben.

                                                                         
FunktionBeschreibung
Basic
Name*Der Name der Ereignisquelle. Ein gültiger Wert ist ein Name im Bereich [_a-zA-Z] [_a-zA-Z0-9]*. Sie können einen Trennstrich - als Teil des Namens verwenden.
Ereignisquellenadresse*IP-Adresse der Ereignisquelle. Ein gültiger Wert ist eine IPv4-Adresse, eine IPv6-Adresse oder ein Hostname, der einen vollständig qualifizierten Domainnamen enthält. NetWitness Suite weist standardmäßig 127.0.0.1 zu.
Log Collector konvertiert den Hostnamen in Kleinbuchstaben, um doppelte Einträge zu verhindern.
Ereignisprotokollname

Der Name des Ereignisprotokolls, aus dem Ereignisdaten gesammelt werden (z. B. System, Anwendung oder Sicherheit).
Im Folgenden sehen Sie einige Beispiele für diese Kanäle:

  • System: Anwendungen, die unter Systemservicekonten (installierten Systemservices) ausgeführt werden, Treiber oder eine Komponente oder Anwendung, die Ereignisse bezüglich der Integrität des Systems hat.
  • Anwendung: alle Anwendungen auf Benutzerebene. Dieser Kanal ist ungesichert und für jede beliebige Anwendung offen. Wenn eine Anwendung umfangreiche Informationen enthält, sollten Sie für sie einen anwendungsspezifischen Kanal definieren.
  • Sicherheit: das Windows-Auditprotokoll (Ereignisprotokoll), das ausschließlich für die Windows Local Security Authority verwendet wird.
AktiviertAktivieren Sie dieses Kontrollkästchen, um Daten von dieser Ereignisquelle abzurufen. Wenn Sie dieses Kontrollkästchen nicht aktivieren, ruft der Log Collector keine Ereignisse von dieser Ereignisquelle ab.
Ereignisverzeichnispfad

Verzeichnispfad für EVT- oder EVTX-Dateien in NetApp. Es muss ein UNC-Pfad sein.

NetApp generiert Ereignisdaten und speichert diese in EVT- oder EVTX-Dateien in einem gemeinsam nutzbaren Verzeichnis in der NetApp-Appliance.

  • In jedem Abfragezyklus sucht Log Collector im konfigurierten freigegebenen NetApp-Pfad nach den EVT-Dateien, die Sie über die Parameter Ereignisverzeichnispfad und Ereignisdateipräfix angegeben haben. Log Collector:

    • sortiert Dateien, die dem Format event-file-prefix.JJMMTThhmmss.evt entsprechen, in aufsteigender Reihenfolge.

    • verwendet den Zeitstempel der letzten verarbeiteten Datei, um die Dateien zu bestimmen, die noch verarbeitet werden müssen. Wenn Log Collector eine noch nicht vollständig verarbeitete Datei findet, werden die bereits verarbeiteten Ereignisse übersprungen.
  • In jedem Abfragezyklus sucht Log Collector im konfigurierten freigegebenen NetApp-Pfad nach den EVTX-Dateien, die Sie über die Parameter Ereignisverzeichnispfad und Ereignisdateipräfix angegeben haben. Log Collector:

    • sortiert Dateien, die dem Format event-file-prefix.JJMMTThhmmssms.evtx entsprechen, in aufsteigender Reihenfolge.

    • verwendet den Zeitstempel der letzten verarbeiteten Datei, um die Dateien zu bestimmen, die noch verarbeitet werden müssen. Wenn Log Collector eine noch nicht vollständig verarbeitete Datei findet, werden die bereits verarbeiteten Ereignisse übersprungen.

EreignisdateipräfixPräfix der EVT-Dateien (z. B. adtlog.), die im Ereignisverzeichnispfad gespeichert sind.
Erweitert
Ereignispuffergröße

Maximale Größe der Daten, die der Log Collector bei jeder Abfrage aus der Ereignisquelle abruft.

Ein gültiger Wert ist eine Zahl im Bereich von 0 bis 511 Kilobyte. Dieser Wert wird in Kilobyte angegeben.

Ereignisergebnis zu großTeilt dem Log Collector mit, was zu tun ist, wenn ein Ereignis zu groß für den Ereignispuffer ist.
Ereignisdatenmaximum

Maximale Größe der Ereignisdaten, die in der Ausgabe enthalten sein können. Ein gültiger Wert ist eine Zahl im Bereich von 0 bis 511 Kilobyte. Dieser Wert wird in Kilobyte oder Megabyte angegeben.

  • 1 Kilobyte – 100 Megabyte
  • 0 = Keine Ereignisdaten in der Ausgabe einfügen.
Max. Ereignisse pro ZyklusDie maximale Anzahl der Ereignisse pro Abfragezyklus (wie viele Ereignisse pro Abfragezyklus gesammelt werden)
Polling-Intervall

Intervall (Zeit in Sekunden) zwischen jeder Abfrage. Der Standardwert ist 180.

Wenn Sie beispielsweise 180 angeben, plant der Collector eine Abfrage der Ereignisquelle alle 180 Sekunden. Wenn der vorherige Abfragezyklus noch ausgeführt wird, wird gewartet, bis dieser Zyklus abgeschlossen ist. Wenn eine große Anzahl Ereignisquellen abgefragt wird, kann es länger als 180 Sekunden dauern, bis die Abfrage beginnt, weil die Threads beschäftigt sind.

Debug

Achtung: Aktivieren Sie nur dann das Debuggen (legen Sie diesen Parameter auf „Ein“ oder „Ausführlich“ fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggens wirkt sich negativ auf die Performance des Log Collector aus.

Aktiviert oder deaktiviert die Debug-Protokollierung für die Ereignisquelle. Gültige Werte:

  • Aus = (Standard) deaktiviert
  • Ein = aktiviert
  • Ausführlich = aktiviert im ausführlichen Modus ‐ fügt Thread-Informationen und Quellkontextinformationen zu den Meldungen hinzu.

Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich). Begrenzen Sie die Anzahl der Ereignisquellen, für die Sie ausführliches Debugging verwenden, um Auswirkungen auf die Performance zu minimieren.

AbbrechenSchließt das Dialogfeld ohne die Windows-Legacy-Ereignisquelle hinzuzufügen.
OKFügt die aktuellen Parameterwerte als neue Ereignisquelle hinzu
You are here
Table of Contents > Sammlungsprotokolle > Konfigurationsleitfaden für Windows-Legacy- und NetApp-Sammlung > Konfigurieren von Windows-Legacy- und NetApp-Ereignisquellen in RSA NetWitness

Attachments

    Outcomes