Protokollsammlung: Grundlegendes Verfahren für alle Protokolle

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Das grundlegende Verfahren gilt für alle unterstützten Sammlungsprotokolle.

  1. Richten Sie die Ereignisquelle für die Sammlung ein. Für jede unterstützte Ereignisquelle gibt es ein Konfigurationsdokument im Bereich „Von RSA unterstützte Ereignisquellen“ auf RSA Link.

    1. Navigieren Sie zum Bereich Von RSA unterstützte Ereignisquellen auf RSA Link.
    2. Suchen Sie die Anweisungen für Ihre Ereignisquelle.

      Auf der Übersichtsseite werden alle aktuell unterstützten Ereignisquellen sowie Informationen zur Sammlungsmethode, Geräteklasse und unterstützten Versionen angezeigt.

    3. Laden Sie die Konfigurationsanweisungen für Ihre Ereignisquelle herunter und befolgen Sie diese.
  2. Konfigurieren der Sammlung auf RSA  NetWitness Suite . Der Konfigurationsleitfaden für die Ereignisquelle enthält diese Anweisungen. Dieser Leitfaden enthält jedoch je nach Sammlungsmethode, die von Ihrer Ereignisquelle verwendet wird, auch diese Anweisungen. Nähere Informationen finden Sie unter Sammlungsprotokolle.
  3. Starten Sie den Service für Ihre Sammlungsmethode. Normalerweise müssen Sie diese Schritte nur für die erste Ereignisquelle ausführen, die diese Sammlungsmethode verwendet. So müssen Sie möglicherweise den Dateiservice in NetWitness Suite starten, wenn Sie zum ersten Mal eine Ereignisquelle konfigurieren, die die Dateisammlung verwendet.
  4. Stellen Sie sicher, dass die Sammlung für Ihre Ereignisquelle funktioniert.

Im weiteren Verlauf dieses Themas werden die Schritte 2, 3 und 4 ausführlicher erläutert.

Konfigurieren der Sammlung in RSA NetWitness Suite

Der Prozess zum Konfigurieren von Ereignisquellen hängt von der Sammlungsmethode ab, die sie verwenden. Beachten Sie jedoch, dass sie sehr ähnlich sind. Das folgende Verfahren ist allgemein gehalten: Weitere Details für einzelne Sammlungsmethoden finden Sie in Themen, welche die Details für die jeweilige Sammlungsmethode behandeln.

  1. Navigieren Sie im Menü NetWitness Suite zu ADMIN> Services.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.

    Event Sources tab is displayed.

  1. Wählen Sie auf der Registerkarte Ereignisquellen des Log Collector Ihre Sammlungsmethode aus dem Drop-down-Menü aus.
  2. Klicken Sie in der Symbolleiste des Bereichs Ereigniskategorien auf .

    Das Dialogfeld „Verfügbare Ereignisquelltypen“ wird angezeigt.

  3. Wählen Sie einen Ereignisquelltyp aus und klicken Sie auf OK.

    Der neu hinzugefügte Ereignisquelltyp wird im Bereich Ereigniskategorien angezeigt.

  4. Wählen Sie den neuen Typ im Bereich Ereigniskategorien aus und klicken Sie auf in der Symbolleiste „Quellen“.

    Das Dialogfeld Quelle hinzufügen wird angezeigt.

  5. Geben Sie Werte für die verfügbaren Parameter ein.

    Nähere Informationen finden Sie im Abschnitt „Parameter“ der jeweiligen Sammlungsmethode, die Sie konfigurieren.

  6. Klicken Sie auf OK.

Starten des Service für Ihre Sammlungsmethode

Gehen Sie folgendermaßen vor, um den Service für Ihre Sammlungsmethode zu starten:

  1. Navigieren Sie zu Admin > Services.
  2. Wählen Sie einen Log Collector und dann > Ansicht > System aus.
  3. Klicken Sie auf Sammlung > Protokoll> Starten,

    wobei Protokoll das Protokoll ist, das Sie starten möchten, z. B. Netflow.

Sicherstellen, dass die Sammlung für Ihre Ereignisquelle funktioniert

Ob eine Sammlung funktioniert, prüfen Sie über Administration > Integrität und Zustand > Registerkarte „Ereignisquellenüberwachung“.

So stellen Sie sicher, dass die Sammlung für eine Ereignisquelle funktioniert:

  1. Navigieren Sie zu ADMIN > Integrität und Zustand
  2. Klicken Sie auf die Registerkarte Ereignisquellenüberwachung.
  3. Suchen Sie im Raster nach Log Decoder, Ereignisquelle und Ereignisquelltyp.
  4. Suchen Sie bei einer Ereignisquelle in der Spalte Zähler nach einer Aktivität, um sicherzustellen, dass die Sammlung Ereignisse annimmt.
You are here
Table of Contents > Grundlagen zur Protokollsammlung > Grundlegendes Verfahren

Attachments

    Outcomes