Protokollsammlung: Konfigurationsparameter für Remote/Local Collectors

Document created by RSA Information Design and Development on May 11, 2018•Last modified by RSA Information Design and Development on Oct 19, 2018

Version 3Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

Wenn Sie die Protokollsammlung bereitstellen, müssen Sie die Log Collectors so konfigurieren, dass diese die Protokollereignisse von unterschiedlichen Ereignisquellen erfassen und diese Ereignisse verlässlich und sicher an den Log Decoder-Host weitergeben. Dort werden die Ereignisse dann analysiert und für weitere Analysen gespeichert.

In diesem Thema werden die Funktionen der Ansicht Services-Konfiguration > Registerkarte Remote-Collectors/Local Collectors erläutert.

Workflow

Dieser Workflow beschreibt die grundlegenden Aufgaben, die zum Starten der Erfassung von Ereignissen durch die Protokollsammlung durchgeführt werden müssen.

Was möchten Sie tun?

Rolle	Ziel	Dokumentation
Administrator	Führen Sie die grundlegende Implementierung der Protokollsammlung durch.	Grundlegende Implementierung
Administrator	eine Lockbox zum Verwalten der Lockbox-Einstellungen einrichten.	Einrichten einer Lockbox
Administrator	Starten von Protokollsammlungsservices	Starten von Sammlungsservices
Administrator	*Konfigurieren Sie Protokollsammlungsprotokolle und Ereignisquellen.	Konfigurieren von Sammlungsprotokollen und Ereignisquellen
Administrator	Überprüfen Sie, ob die Protokollsammlung funktioniert.	Überprüfen der ordnungsgemäßen Funktion der Protokollsammlung

*Sie können diese Aufgabe hier durchführen.

Verwandte Themen

Ansicht „Service-Konfiguration“

In der Ansicht „Service-Konfiguration“ pflegen Sie alle Parameter für die Protokollsammlung. Die in diesem Leitfaden behandelten Bereitstellungsparameter werden auf der Registerkarte Remote/Local Collectors verwaltet:

Wenn Sie einen Local Collector konfigurieren, zeigt NetWitness Suite die Registerkarte Remote Collectors an, auf der Sie den Local Collector zum Abrufen von Ereignissen aus Remote Collectors konfigurieren können.
Wenn Sie einen Remote Collector konfigurieren, zeigt NetWitness Suite die Registerkarte Local Collectors an, auf der Sie den Remote Collector zum Übertragen von Ereignissen an einen Local Collector konfigurieren können.

Registerkarte „Remote Collectors“

Bei einem Local Collector bietet der Bereich „Remote Collectors“ die Möglichkeit, Remote Collectors hinzuzufügen oder zu löschen, aus denen der Local Collector Ereignisse abrufen soll.

Spalte	Beschreibung
	Das Dialogfeld Quelle hinzufügen wird angezeigt. Hier können Sie die Remote Collectors auswählen, von denen der Local Collector Ereignisse abfragen soll.
	Löscht den Remote Collector aus dem Local Collector Remote Controllers-Bereich.
	Zeigt das Dialogfeld Quelle bearbeiten für den ausgewählten Remote Collector an.
	Wählt Remote Collectors aus.
Name	Namen der Remote Collectors, von denen der Local Collector aktuell Ereignisse abfragt.
Adresse	IP-Adressen der Remote Collectors, von denen der Local Collector aktuell Ereignisse abfragt.
Sammlungen	Wählen Sie die Sammlungsprotokolle aus, die der Remote Collector an einen Local Collector überträgt. Sie können eine beliebige Kombination von Protokollen auswählen. Wenn Sie kein Protokoll auswählen, wählt NetWitness Suite alle Protokolle aus.

Registerkarte „Local Collector“

Bei einem Remote Collector können Sie im Local Collector-Bereich die Local Collectors hinzufügen oder löschen, an die der Remote Collector Ereignisse übertragen soll.

Wählen Sie im Drop-down-Menü Konfiguration auswählen die Option Ziel oder Quelle aus.

Wenn Sie Ziel auswählen, wird das Dialogfeld Remoteziel hinzufügen angezeigt.
Wenn Sie „Quelle“ auswählen, wird das Dialogfeld Quelle hinzufügen angezeigt.

In der folgenden Tabelle wird das Dialogfeld „Quelle hinzufügen“ beschrieben.

Spalte	Beschreibung
	Das Dialogfeld Quelle hinzufügen wird angezeigt. Hier können Sie die Remote Collectors auswählen, von denen der Local Collector Ereignisse abfragen soll.
	Löscht den Remote Collector aus dem Local Collector Remote Controllers-Bereich.
	Zeigt das Dialogfeld Quelle bearbeiten für den ausgewählten Remote Collector an.
	Wählt Remote Collectors aus.
Name	Namen der Remote Collectors, von denen der Local Collector aktuell Ereignisse abfragt.
Adresse	IP-Adressen der Remote Collectors, von denen der Local Collector aktuell Ereignisse abfragt.

In der folgenden Tabelle wird der Bereich „Local Collectors“ beschrieben.

Spalte	Beschreibung
	Zeigt das Dialogfeld Remoteziel hinzufügen für die ausgewählte Gruppe an. Für diese Gruppe fügen Sie die Local Collectors als Ziele hinzu, an die der Remote Collector Ereignisse übertragen soll.
	Löscht den als Ziel ausgewählten Log Collector aus der Gruppe.
	Zeigt das Dialogfeld Remoteziel bearbeiten für den als Ziel ausgewählten Local Collector an.
	Wählt einen als Ziel ausgewählten Local Collector aus.
Zielname	Zeigt den Namen des als Ziel ausgewählten Local Collector an.
Adresse	Zeigt die IP-Adresse des als Ziel ausgewählten Local Collector an.
Sammlungen	Wählen Sie die Sammlungsprotokolle aus, die der Local Collector aus einem Remote Collector abrufen soll. Sie können eine beliebige Kombination von Protokollen auswählen. Wenn Sie kein Protokoll auswählen, wählt NetWitness Suite alle Protokolle aus.