Protokollsammlung: AWS-Parameter

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Dieses Thema enthält eine Übersicht über die Konfigurationsparameter der AWS-Sammlung für die Bereitstellung eines Remote-Protokollsammlungsservices (VLC) in einer Amazon Web Services (AWS)-Umgebung.

Workflow

Dieser Workflow beschreibt die grundlegenden Aufgaben, die zum Starten der Erfassung von Ereignissen durch die Protokollsammlung durchgeführt werden müssen.

This workflow illustrates the basic tasks needed to start collecting events through Log Collection.

Was möchten Sie tun?

                                        
RolleZielDokumentation
Administrator

Führen Sie die grundlegende Implementierung der Protokollsammlung durch.

Grundlegende Implementierung
Administratoreine Lockbox zum Verwalten der Lockbox-Einstellungen einrichten.Einrichten einer Lockbox

Administrator

Starten von Protokollsammlungsservices

Starten von Sammlungsservices

Administrator*Konfigurieren Sie Protokollsammlungsprotokolle und Ereignisquellen. Konfigurieren von Sammlungsprotokollen und Ereignisquellen

Administrator

Überprüfen Sie, ob die Protokollsammlung funktioniert.

Überprüfen der ordnungsgemäßen Funktion der Protokollsammlung

*Sie können diese Aufgabe hier durchführen.

Verwandte Themen

In der folgenden Tabelle werden die verfügbaren Konfigurationsparameter für die AWS-Sammlung beschrieben.

                                                                                                             
ParameterBeschreibung
ParameterBeschreibung
Basis
Name*Name der Ereignisquelle
Aktiviert Aktivieren Sie das Kontrollkästchen, um die Ereignisquellenkonfiguration zu aktivieren und die Sammlung zu starten. Das Kontrollkästchen ist standardmäßig aktiviert.
Konto-ID*Kontoidentifikationscode des S3 Bucket
S3 Bucketname*

Name des AWS (CloudTrail) S3 Bucket

Die Namen von Amazon S3 Buckets sind global eindeutig, unabhängig von der AWS (CloudTrail)-Region, in der der Bucket erstellt wurde. Sie geben den Namen zum Zeitpunkt der Erstellung des Bucket an.

Bucket-Namen müssen die DNS-Benennungskonventionen einhalten. Die Regeln für DNS-konforme Bucket-Namen lauten:

  • Bucket-Namen müssen zwischen 3 und 63 Zeichen lang sein.
  • Bucket-Namen müssen eine Folge aus einer oder mehreren Bezeichnungen sein. Aneinander grenzende Bezeichnungen werden durch einen einzelnen Punkt getrennt „.“. Bucket-Namen dürfen Kleinbuchstaben, Zahlen und Bindestriche enthalten. Jede Bezeichnung muss mit einem Kleinbuchstaben oder einer Zahl beginnen und enden.
  • Bucket-Namen dürfen nicht wie eine IP-Adresse formatiert sein (z. B. 192.168.5.4).

Die folgenden Beispiele sind gültige Bucket-Namen:

  • myawsbucket
  • my.aws.bucket
  • myawsbucket.1

Die folgenden Beispiele sind ungültige Bucket-Namen:

  • .myawsbucket – Bucket-Namen dürfen nicht mit einem Punkt „.“ beginnen.
  • myawsbucket. – Bucket-Namen dürfen nicht mit einem Punkt „.“ enden.
  • my..examplebucket – Zwischen Bezeichnungen darf nur ein Punkt stehen.
Zugangsschlüssel*

Schlüssel für den Zugriff auf den S3 Bucket. Zugriffsschlüssel werden für sichere REST- oder Abfrageprotokollanforderungen an die AWS-Service API verwendet.  Weitere Informationen zu Zugriffsschlüsseln erhalten Sie auf der Amazon Web Services-Support-Website unter Manage User Credentials.

Geheimer Schlüssel*Geheimer Schlüssel für den Zugriff auf den S3 Bucket
Region*Region des S3-Bucket. us-east-1 ist der Standardwert.
Region-Endpunkt

Gibt den AWS CloudTrail-Hostnamen an.

Zum Beispiel wäre für eine AWS-Public-Cloud für die Region „us-east“ der Region-Endpunkt „s3.amazonaws.com“. Weitere Informationen finden Sie unter http://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region. Dieser Parameter ist erforderlich, um CloudTrail-Protokolle von AWS-Government- oder Private-Clouds zu sammeln.

Proxy verwenden

Aktivieren Sie Proxy verwenden, um den Proxy für AWS-Server festzulegen. Diese Option ist standardmäßig deaktiviert.

Proxyserver

Geben Sie den Namen des Proxys ein, mit dem Sie eine Verbindung für den Zugriff auf den AWS-Server herstellen möchten.

Proxyport

Geben Sie die Portnummer ein, die sich mit dem Proxyserver verbindet, um auf den

AWS-Server zuzugreifen.

Proxy-Benutzer

Geben Sie den Benutzername zur Authentifizierung mit dem Proxyserver ein.

Proxypasswort

Geben Sie das Passwort zur Authentifizierung beim Proxyport ein.

Startdatum* Startet die AWS (CloudTrail)-Sammlung von der angegebenen Anzahl Tagen in der Vergangenheit, gemessen vom aktuellen Zeitstempel. Der Standardwert ist 0, also beginnend ab heute. Der Bereich ist 0 bis 89 Tage.
Protokolldateipräfix

Präfix der zu verarbeitenden Datei

Hinweis: Wenn Sie bei der Einrichtung des CloudTrail-Service ein Präfix festlegen, müssen Sie in diesem Parameter dasselbe Präfix eingeben.

Erweitert
Debug

Achtung: Aktivieren Sie nur dann das Debuggen (legen Sie diesen Parameter auf „Ein“ oder „Ausführlich“ fest), wenn Sie ein Problem mit einer Ereignisquelle haben und Sie dieses Problem untersuchen müssen. Die Aktivierung des Debuggens wirkt sich negativ auf die Performance des Log Collector aus.

Aktiviert oder deaktiviert die Debug-Protokollierung für die Ereignisquelle.

Gültige Werte:

  • Aus = (Standard) deaktiviert
  • Ein = aktiviert
  • Ausführlich = aktiviert im ausführlichen Modus – fügt Thread-Informationen und Quellkontextinformationen zu den Meldungen hinzu

Dieser Parameter ist für das Debugging und die Überwachung isolierter Probleme bei der Ereignisquellensammlung ausgelegt. Die Debug-Protokollierung ist ausführlich. Begrenzen Sie daher die Anzahl der Ereignisquellen, um die Auswirkungen auf die Performance zu minimieren.

Wenn Sie diesen Wert ändern, tritt die Änderung sofort in Kraft (kein Neustart erforderlich).

BefehlsargumenteArgumente, die dem Skript hinzugefügt wurden
Polling-Intervall

Intervall (Zeit in Sekunden) zwischen jeder Abfrage. Der Standardwert ist 60.

Wenn Sie beispielsweise 60 angeben, plant der Collector eine Abfrage der Ereignisquelle alle 60 Sekunden. Wenn der vorherige Abfragezyklus noch ausgeführt wird, wird gewartet, bis dieser Zyklus abgeschlossen ist. Wenn eine große Anzahl Ereignisquellen abgefragt wird, kann es länger als 60 Sekunden dauern, bis die Abfrage beginnt, weil die Threads beschäftigt sind.

SSL aktiviert

Aktivieren Sie für die Kommunikation per SSL das Kontrollkästchen. Die Sicherheit der Datenübertragung erfolgt durch Verschlüsselung von Informationen und die Bereitstellung von Verfahren zur Authentifizierung mit SSL-Zertifikaten.

Das Kontrollkästchen ist standardmäßig aktiviert.

Verbindung testen

Überprüft, ob die in diesem Dialogfeld angegebenen Konfigurationsparameter korrekt sind.  Mit dem folgenden Test wird beispielsweise überprüft, ob:

  • NetWitness mithilfe der in diesem Dialogfeld angegebenen Anmeldedaten eine Verbindung zu dem S3-Bucket in AWS herstellen kann.
  • NetWitness eine Protokolldatei von dem Bucket herunterladen kann. (Der Verbindungstest würde fehlschlagen, wenn keine Protokolldateien für den gesamten Bucket vorhanden wären. Dies wäre aber sehr unwahrscheinlich.)
AbbrechenDas Dialogfeld wird ohne Hinzufügen des AWS (CloudTrail) geschlossen.
OKFügt die aktuellen Parameterwerte als neuen AWS (CloudTrail) hinzu.
Next Topic:Azure-Parameter
You are here
Table of Contents > Referenz > AWS-Parameter

Attachments

    Outcomes