Erste Schritte mit Hosts: Allgemeine Konfiguration für Decoder und Log Decoder

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema werden die Konfigurationsparameter aufgelistet und beschrieben, die bei den Packet-Decoder- und Log Decoder-Services identisch sind.

Decoder-Konfigurationseinstellungen

In dieser Tabelle werden die gemeinsamen Konfigurationsparameter für Decoder und Log Decoder aufgeführt und beschrieben.

                                                                                                                                                     
Decoder-Konfigurationspfad/decoder/config
aggregate.buffer.sizeZeigt die Größe des bei jeder Aggregationsrunde verwendeten Puffers an (Standardeinheit ist KB). Größere Puffer verbessern möglicherweise die Aggregationsperformance, könnten aber die Erfassungsperformance beeinträchtigen. Die Änderung wird nach dem Neustart der Erfassung wirksam.
aggregate.precacheBestimmt, ob der Decoder ein Precaching der nächsten Aggregationsrunde für vorgelagerte Services durchführt. Dies kann die Aggregationsperformance verbessern, kann aber die Erfassungsperformance beeinträchtigen. Die Änderung wird sofort wirksam.
assembler.pool.ratioZeigt den Prozentsatz der Poolseiten an, die durch den Assembler gemanagt und für den Assembly-Prozess verwendet werden. Die Änderung wirkt sich beim Serviceneustart aus.
assembler.session.flushLeert Sitzungen, wenn sie beendet sind (1), oder leert Sitzungen, wenn sie analysiert wurden (2). Die Änderung wirkt sich beim Serviceneustart aus.
assembler.session.poolListet die Anzahl der Einträge im Sitzungspool auf. Die Änderung wirkt sich beim Serviceneustart aus.
assembler.size.maxListet die maximale Größe auf, die eine Sitzung erhält. Eine Einstellung von 0 entfernt die Sitzungsgrößenbeschränkung. Die Änderung wird sofort wirksam.
assembler.size.minListet die minimale Größe auf, die eine Sitzung für ihre Persistenz aufweisen muss. Die Änderung wird sofort wirksam.
assembler.timeout.packetListet die Anzahl der Sekunden vor einem Paket-Timeout auf. Die Änderung wird sofort wirksam.
assembler.timeout.sessionListet die Anzahl der Sekunden vor einem Sitzungs-Timeout auf. Die Änderung wird sofort wirksam.
assembler.voting.weightsZeigt die Gewichtungen an, die verwendet werden, um festzulegen, welcher Sitzungsstream als Kunde und Server markiert wird. Die Änderung wird sofort wirksam.
capture.autostartBestimmt, ob die Erfassung automatisch beginnt, wenn der Service gestartet wird. Die Änderung wirkt sich beim Serviceneustart aus.
capture.buffer.sizeZeigt die Zuordnungsgröße des Arbeitsspeicherpuffers für die Erfassung an (Standardeinheit ist MB). Die Änderung wirkt sich beim Serviceneustart aus.
capture.device.params

Zeigt spezifische Parameter des Erfassungsservice an. Die Änderung wirkt sich beim Serviceneustart aus.

Die Parameter, die von diesem Feld verstanden werden, sind für das aktuell ausgewählte Erfassungsgerät spezifisch. Wenn einer der Parameter nicht vom dem aktuellen Erfassungsgerät erkannt wird, wird er ignoriert.

Auf Log Decoders ist nur das Erfassungsgerät für Protokollereignisse vorhanden. Dieses akzeptiert einige optionale Parameter.

  • use-envision-time: Ist dieser Wert auf 1 festgelegt, werden die time-Metadaten für jedes Ereignis aus dem Log Collector-Stream importiert. Wenn dieser Wert auf 0 oder nicht festgelegt ist, wird die importierte Ereigniszeit in den event.time-Metadaten gespeichert.
  • port: Dieser Parameter kann auf einen numerischen Wert festgelegt werden, um den Standard-Syslog-Port-Listener, 514, außer Kraft zu setzen.
capture.selectedZeigt aktuellen Erfassungsservice und -schnittstelle an. Die Änderung wird sofort wirksam.
export.expire.minutesListet die Anzahl der Minuten bis zum Ablauf und zur Leerung von Exportcachedateien auf. Die Änderung wird sofort wirksam.
export.packet.enabledErmöglicht den Export von Paketdaten, sofern aktiviert. Die Änderung wirkt sich beim Serviceneustart aus.
export.packet.local.pathZeigt den lokalen Speicherort zum Cachen exportierter Paketdaten an. Optionale zugewiesene maximale Größe (=#Einheit). Einheiten sind: t für TB; g für GB, m für MB. Die Änderung wirkt sich beim Serviceneustart aus.
export.packet.maxZeigt die maximale Anzahl Pakete pro Exportdatei an. Bei Exportdateitypen, die zwischengespeichert werden, bestimmt dies die Größe des Cachespeichers. Null bedeutet unbeschränkt. Die Änderung wird sofort wirksam.
export.packet.remote.pathListet das Remoteprotokoll (nfs://) und den Speicherort für Exportdaten auf. Die Änderung wirkt sich beim Serviceneustart aus.
export.packet.size.maxZeigt die maximale Anzahl Byte für Pakete pro Exportdatei an. Bei Exportdateitypen, die zwischengespeichert werden, bestimmt dies die Größe des Cachespeichers. Null bedeutet unbeschränkt. Die Änderung wird sofort wirksam.
export.rollupBestimmt das Rollupintervall für exportierte Dateien. Die Änderung wirkt sich beim Serviceneustart aus.
export.session.enabledErmöglicht den Export von Sitzungsdaten, sofern aktiviert. Die Änderung wirkt sich beim Serviceneustart aus.
export.session.formatBestimmt das beim Sitzungsexport verwendete Dateiformat. Die Änderung wirkt sich beim Serviceneustart aus.
export.session.local.pathZeigt den lokalen Speicherort für die Zwischenspeicherung exportierter Sitzungsdaten an. Optionale zugewiesene maximale Größe (=#Einheit). Einheiten sind: t für TB; g für GB, m für MB. Die Änderung wirkt sich beim Serviceneustart aus.
export.session.maxZeigt die maximale Anzahl Sitzungen pro Exportdatei an. Bei Exportdateitypen, die zwischengespeichert werden, bestimmt dies die Größe des Cachespeichers. Null bedeutet unbeschränkt. Die Änderung wird sofort wirksam.
export.session.meta.fieldsBestimmt, welche Metafelder exportiert werden. Kommaliste von Feldern. Stern bedeutet alle Felder. Stern plus Feldliste bedeutet alle Felder mit Ausnahme der aufgelisteten Felder. Nur Feldliste bedeutet, es werden nur diese Felder eingeschlossen. Die Änderung wird sofort wirksam.
export.session.remote.pathZeigt das Remoteprotokoll (nfs://) und den für den Export verwendeten Speicherort an. Die Änderung wirkt sich beim Serviceneustart aus.
export.session.size.maxZeigt die maximale Anzahl Byte für Sitzungen pro Exportdatei an. Bei Exportdateitypen, die zwischengespeichert werden, bestimmt dies die Größe des Cachespeichers. Null bedeutet unbeschränkt. Die Änderung wird sofort wirksam.
export.usage.maxZeigt die maximale Anzahl Byte für Sitzungen pro Exportdatei an. Bei Exportdateitypen, die zwischengespeichert werden, bestimmt dies die Größe des Cachespeichers. Null bedeutet unbeschränkt. Die Änderung wird sofort wirksam.
parse.threadsListet die Anzahl der für das Sitzungs-Parsing verwendeten Parse-Threads auf. Bei einem Wert von null wird dies durch den Server entscheiden. Die Änderung wirkt sich beim Serviceneustart aus.
pool.packet.page.sizeZeigt die Größe einer Paketseite an (Standard ist KB). Die Änderung wirkt sich beim Serviceneustart aus.
pool.packet.pagesListet die Anzahl der Paketseiten auf, die der Decoder zuweist und verwendet. Die Änderung wirkt sich beim Serviceneustart aus.
pool.session.page.sizeZeigt die Größe einer Sitzungsseite an (standardmäßig in KB). Die Änderung wirkt sich beim Serviceneustart aus.
pool.session.pagesListet die Anzahl der Sitzungsseiten auf, die der Decoder zuweist und verwendet. Die Änderung wirkt sich beim Serviceneustart aus.
You are here
Table of Contents > Referenzen > Servicekonfigurationsparameter > Konfigurationsparameter für Decoder und Log Decoder

Attachments

    Outcomes