Erste Schritte mit Hosts: Log Decoder-Servicekonfigurationsparameter

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • Comment0
  • View in full screen mode
 

In diesem Thema werden die verfügbaren Konfigurationsparameter für RSA NetWitness Suite Log Decoder aufgeführt und beschrieben.

Log Decoder-Konfigurationseinstellungen

In dieser Tabelle werden die Log Decoder-Konfigurationseinstellungen aufgelistet und beschrieben.

                                       
Log Decoder-EinstellungsfeldBeschreibung
Datenbank /database/config, siehe Datenbankkonfigurations-Nodes im NetWitness Suite Core-Datenbank-Tuning-Leitfaden
Decoder /decoder/config, sieheKonfigurationsparameter für Decoder und Log Decoder
Index /index/config, siehe Indexkonfigurations-Nodes im NetWitness Suite Core-Datenbank-Tuning-Leitfaden
Protokolle /logs/config, siehe „Konfiguration der Core-Service-Protokollierung“
REST /rest/config, siehe REST-Schnittstellenkonfiguration
SDK /sdk/config, siehe SDK-Konfigurations-Nodes im NetWitness Suite Core-Datenbank-Tuning-Leitfaden und „Core-Service-system.roles-Modi“
System /sys/config, siehe „Core-Service-Systemkonfiguration“

Konfigurationseinstellungen für den Protokoll-Tokenizer

Der Log Decoder verfügt über einen Satz an Configuration Items, die steuern, wie der automatische Protokoll-Tokenizer Metaelemente aus nicht analysierten Protokollen erstellt. Der Protokoll-Tokenizer wird als ein Satz von integrierten Parsern implementiert, die jeweils nach einer Teilmenge der erkennbaren Tokens scannen. Die Funktion dieser nativen Parser befindet sich in der folgenden Tabelle. Diese word-Elemente bilden einen Volltextindex, wenn sie an die Indexierungs-Engine auf dem Concentrator und Archiver eingespeist werden. Durch die Modifikation des Konfigurationseintrags „parsers.disabled“ können Sie festlegen, welche Protokoll-Tokenizer aktiviert sind.

                                                     
Name des ParsersBeschreibungKonfigurationsparameter
Protokoll-TokensScannt nach der Ausführung von aufeinander folgenden Zeichen, um „word“-Metaelemente zu erzeugen.token.device.types, token.char.classes, token.max.length, token.min.length, token.unicode
IPSCANScannt nach Text, der wie eine IPv4-Adresse aussieht, um „ip.addr“-Metaelemente zu erzeugen.token.device.types
IPV6SCANScannt nach Text, der wie eine IPv6-Adresse aussieht, um „ipv6“-Metaelemente zu erzeugen.token.device.types
URLSCANSucht nach Text, der wie eine URI aussieht, um „alias.host“-, „filename“-, „username“- und „password“-Metaelemente zu erzeugen.token.device.types
DOMAINSCANSucht nach Text, der wo ein Domainname aussieht, um „alias.host“-, „tld“-, „cctld“- und „sld“-Metaelemente zu erzeugen.token.device.types
EMAILSCANScannt nach Text, der wie eine E-Mail-Adresse aussieht, um „email“- und „username“-Metaelemente zu erzeugen.token.device.types
SYSLOGTIMESTAMPSCAN Scannt nach Text, der wie ein Zeitstempel im syslog-Format aussieht. Im syslog-Format fehlt das Jahr und Zeitzone. Wenn solcher Text gefunden wird, wird er in UTC-Zeit normalisiert, um „event.time“-Metaelemente zu erzeugen.token.device.types
INTERNETTIMESTAMPSCANScannt nach Text, der wie ein Zeitstempel im RFC 3339-Format aussieht, um „event.time“-Metaelemente zu erzeugen.token.device.types

Dies sind die Konfigurationsparameter für den Protokoll-Tokenizer.

                               
Einstellungsfeld für den Log Decoder-ParserBeschreibung
token.device.types Der Satz von Gerätetypen, der auf Rohtexttoken gescannt wird. Standardmäßig ist hier unknown festgelegt, was bedeutet, dass nur nicht analysierte Protokolle auf Rohtext gescannt werden. Sie können hier zusätzliche Protokolltypen hinzufügen, um analysierte Protokolle mit Texttokeninformationen zu optimieren.

Wenn dieses Feld leer ist, ist die Protokolltokenisierung deaktiviert.
token.char.classes Dieses Feld steuert den Typ der erzeugten Token. Hier kann eine beliebige Kombination der Werte alpha, digit, space und punct verwendet werden. Der Standardwert ist alpha.
  • alpha: Token können alphabetische Zeichen enthalten.
  • digit: Token können Zahlen enthalten.
  • space: Token können Leerzeichen und Tabulatoren enthalten.
  • punct: Token können Satzzeichen enthalten.
token.max.length Mit diesem Feld wird die Länge der Token begrenzt. Der Standardwert ist 5 Zeichen. Mit der Einstellung für die maximale Länge kann der Log Decoder den für das Speichern der word-Metadaten erforderlichen Speicherplatz begrenzen. Beim Verwenden längerer Token ist mehr Speicherplatz in der Metadatenbank erforderlich, das Suchen nach Rohtext wird aber etwas beschleunigt. Beim Verwenden kürzerer Token muss die Textabfrageauflösung bei Suchen mehr Lesevorgänge aus den Rohdatenprotokolle durchführen, dabei wird jedoch viel weniger Speicherplatz in der Metadatenbank und im Index verwendet.
token.min.length Dies ist die Mindestlänge eines durchsuchbaren Texttokens. Die Mindestlänge für ein Token entspricht die Mindestanzahl von Zeichen, die ein Benutzer in das Suchfeld eingeben kann, um Ergebnisse zu finden. Der der empfohlene Wert ist der Standardwert, 3.
token.unicode Diese boolesche Einstellung steuert, ob bei der Klassifizierung von Zeichen gemäß der Einstellung token.char.classes Unicode-Klassifizierungsregeln angewendet werden. Bei Festlegung dieses Werts auf „true“ wird jedes Protokoll als eine Sequenz von UTF-8-codierten Codepunkten behandelt und Klassifizierung erfolgt nach Durchführung der UTF-8-Decodierung. Bei Festlegung auf „false“ wird jedes Protokoll als ASCII-Zeichen behandelt und nur eine ASCII-Zeichenklassifizierung durchgeführt. Für die Unicode-Zeichenklassifizierung sind mehr CPU-Ressourcen auf dem Log Decoder erforderlich. Wenn Sie keine Indexierung von nicht englischem Text benötigen, können Sie diese Einstellung deaktivieren, um die CPU-Auslastung auf dem Log Decoder zu reduzieren. Der Standard ist aktiviert.
You are here
Table of Contents > Referenzen > Servicekonfigurationsparameter > Log Decoder-Servicekonfigurationsparameter

Attachments

    Outcomes