Erste Schritte mit Hosts: Log Decoder-Servicekonfigurationsparameter

Document created by RSA Information Design and Development on May 14, 2018•Last modified by RSA Information Design and Development on Jul 10, 2019

Version 6Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

In diesem Thema werden die verfügbaren Konfigurationsparameter für RSA NetWitness Platform Log Decoder aufgeführt und beschrieben.

Log Decoder-Konfigurationseinstellungen

In dieser Tabelle werden die Log Decoder-Konfigurationseinstellungen aufgelistet und beschrieben.

Log Decoder-Einstellungsfeld	Beschreibung
Datenbank	/database/config, siehe Datenbankkonfigurations-Nodes im NetWitness Platform Core-Datenbank-Tuning-Leitfaden
Decoder	/decoder/config, sieheKonfigurationsparameter für Decoder und Log Decoder
Index	/index/config, siehe Indexkonfigurations-Nodes im NetWitness Platform Core-Datenbank-Tuning-Leitfaden
Protokolle	/logs/config, siehe „Konfiguration der Core-Service-Protokollierung“
REST	/rest/config, siehe REST-Schnittstellenkonfiguration
SDK	/sdk/config, siehe SDK-Konfigurations-Nodes im NetWitness Platform Core-Datenbank-Tuning-Leitfaden und „Core-Service-system.roles-Modi“
System	/sys/config, siehe „Core-Service-Systemkonfiguration“

Konfigurationseinstellungen für den Protokoll-Tokenizer

Der Log Decoder verfügt über einen Satz an Configuration Items, die steuern, wie der automatische Protokoll-Tokenizer Metaelemente aus nicht analysierten Protokollen erstellt. Der Protokoll-Tokenizer wird als ein Satz von integrierten Parsern implementiert, die jeweils nach einer Teilmenge der erkennbaren Tokens scannen. Die Funktion dieser nativen Parser befindet sich in der folgenden Tabelle. Diese word-Elemente bilden einen Volltextindex, wenn sie an die Indexierungs-Engine auf dem Concentrator und Archiver eingespeist werden. Durch die Modifikation des Konfigurationseintrags „parsers.disabled“ können Sie festlegen, welche Protokoll-Tokenizer aktiviert sind.

Name des Parsers	Beschreibung	Konfigurationsparameter
Protokoll-Tokens	Scannt nach der Ausführung von aufeinander folgenden Zeichen, um „word“-Metaelemente zu erzeugen.	token.device.types, token.char.classes, token.max.length, token.min.length, token.unicode
IPSCAN	Scannt nach Text, der wie eine IPv4-Adresse aussieht, um „ip.addr“-Metaelemente zu erzeugen.	token.device.types
IPV6SCAN	Scannt nach Text, der wie eine IPv6-Adresse aussieht, um „ipv6“-Metaelemente zu erzeugen.	token.device.types
URLSCAN	Sucht nach Text, der wie eine URI aussieht, um „alias.host“-, „filename“-, „username“- und „password“-Metaelemente zu erzeugen.	token.device.types
DOMAINSCAN	Sucht nach Text, der wo ein Domainname aussieht, um „alias.host“-, „tld“-, „cctld“- und „sld“-Metaelemente zu erzeugen.	token.device.types
EMAILSCAN	Scannt nach Text, der wie eine E-Mail-Adresse aussieht, um „email“- und „username“-Metaelemente zu erzeugen.	token.device.types
SYSLOGTIMESTAMPSCAN	Scannt nach Text, der wie ein Zeitstempel im syslog-Format aussieht. Im syslog-Format fehlt das Jahr und Zeitzone. Wenn solcher Text gefunden wird, wird er in UTC-Zeit normalisiert, um „event.time“-Metaelemente zu erzeugen.	token.device.types
INTERNETTIMESTAMPSCAN	Scannt nach Text, der wie ein Zeitstempel im RFC 3339-Format aussieht, um „event.time“-Metaelemente zu erzeugen.	token.device.types

Dies sind die Konfigurationsparameter für den Protokoll-Tokenizer.

Einstellungsfeld für den Log Decoder-Parser	Beschreibung
token.device.types	Der Satz von Gerätetypen, der auf Rohtexttoken gescannt wird. Standardmäßig ist hier unknown festgelegt, was bedeutet, dass nur nicht analysierte Protokolle auf Rohtext gescannt werden. Sie können hier zusätzliche Protokolltypen hinzufügen, um analysierte Protokolle mit Texttokeninformationen zu optimieren. Wenn dieses Feld leer ist, ist die Protokolltokenisierung deaktiviert.
token.char.classes	Dieses Feld steuert den Typ der erzeugten Token. Hier kann eine beliebige Kombination der Werte alpha, digit, space und punct verwendet werden. Der Standardwert ist alpha. alpha: Token können alphabetische Zeichen enthalten. digit: Token können Zahlen enthalten. space: Token können Leerzeichen und Tabulatoren enthalten. punct: Token können Satzzeichen enthalten.
token.max.length	Mit diesem Feld wird die Länge der Token begrenzt. Der Standardwert ist 5 Zeichen. Mit der Einstellung für die maximale Länge kann der Log Decoder den für das Speichern der word-Metadaten erforderlichen Speicherplatz begrenzen. Beim Verwenden längerer Token ist mehr Speicherplatz in der Metadatenbank erforderlich, das Suchen nach Rohtext wird aber etwas beschleunigt. Beim Verwenden kürzerer Token muss die Textabfrageauflösung bei Suchen mehr Lesevorgänge aus den Rohdatenprotokolle durchführen, dabei wird jedoch viel weniger Speicherplatz in der Metadatenbank und im Index verwendet.
token.min.length	Dies ist die Mindestlänge eines durchsuchbaren Texttokens. Die Mindestlänge für ein Token entspricht die Mindestanzahl von Zeichen, die ein Nutzer in das Suchfeld eingeben kann, um Ergebnisse zu finden. Der der empfohlene Wert ist der Standardwert, 3.
token.unicode	Diese boolesche Einstellung steuert, ob bei der Klassifizierung von Zeichen gemäß der Einstellung token.char.classes Unicode-Klassifizierungsregeln angewendet werden. Bei Festlegung dieses Werts auf „true“ wird jedes Protokoll als eine Sequenz von UTF-8-codierten Codepunkten behandelt und Klassifizierung erfolgt nach Durchführung der UTF-8-Decodierung. Bei Festlegung auf „false“ wird jedes Protokoll als ASCII-Zeichen behandelt und nur eine ASCII-Zeichenklassifizierung durchgeführt. Für die Unicode-Zeichenklassifizierung sind mehr CPU-Ressourcen auf dem Log Decoder erforderlich. Wenn Sie keine Indexierung von nicht englischem Text benötigen, können Sie diese Einstellung deaktivieren, um die CPU-Auslastung auf dem Log Decoder zu reduzieren. Der Standard ist aktiviert.