Erste Schritte mit Hosts: Hosts und Services – Verfahren

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Jul 10, 2019
Version 6Show Document
  • View in full screen mode
 

Jeder Service erfordert einen Host. Nach dem Einrichten eines Hosts können Sie diesem Host und von diesem Host aus anderen Hosts in der NetWitness Platform-Bereitstellung Services zuweisen.

                           
Allgemeine AufgabenBeschreibung
Einrichten eines Hosts

Führen Sie die folgenden Schritte aus, um einen Host einzurichten.

Schritt 1. Bereitstellen eines Hosts

Schritt 2. Installieren eines Services auf einem Host

Schritt 3. Überprüfen von SSL-Ports auf vertrauenswürdige Verbindungen

Schritt 4. Managen des Zugriffs auf einen Service

Warten eines Hosts – Grundlagen

Die folgenden Wartungsaufgaben werden in alphabetischer Reihenfolge angezeigt.

Warten eines Hosts über das Dialogfeld „Hostaufgabenliste“

Sie können das Dialogfeld Hostaufgabenliste verwenden, um Aufgaben zu managen, die im Zusammenhang mit einem Host und dessen Kommunikation mit dem Netzwerk stehen. Für Core-Hosts sind mehrere Service- und Hostkonfigurationsoptionen verfügbar. 

Verwalten eines Service

Anhand der folgenden Abläufe wird beschrieben, wie Services verwaltet werden.

Schritt 1. Bereitstellen eines Hosts

Achtung: Wenn Sie „.“ in einen Hostnamen einfügen, muss dieser auch einen gültigen Domainnamen enthalten.

  1. Stellen Sie einen Host bereit.

    Sie können einen physischen Host (RSA Appliance), einen virtuellen Host lokal, einen virtuellen Host in AWS oder einen virtuellen Host in Azure bereitstellen. In den folgenden Leitfäden finden Sie Anweisungen zur Bereitstellung von Hosts.

    • RSA NetWitness® Platform – Leitfaden zur Bereitstellung eines physischen Hosts
    • RSA NetWitness® Platform Handbuch zur Installation virtueller Hosts
    • RSA NetWitness® Platform AWS-Installationshandbuch
    • RSA NetWitness® Platform Azure-Installationshandbuch
  2. Navigieren Sie zu Administration > Hosts.

    Das Dialogfeld Neue Hosts mit den bereitgestellten Hosts wird angezeigt.

  3. Wählen Sie die Hosts aus, die Sie aktivieren möchten.

    Die Menüoption Aktivieren wird aktiv.

  4. Klicken Sie auf Aktivieren.

  5. Wählen Sie den Host aus, den Sie aktiviert haben.

    Der Host wird in der Ansicht „Hosts“ angezeigt. An diesem Punkt können Sie einen Service auf dem Host installieren.

Schritt 2. Installieren eines Services auf einem Host

Führen Sie die folgenden Schritte aus, um einen Service auf einem Host zu installieren.

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Hosts.

    Die Ansicht Hosts wird angezeigt.

  2. Wählen Sie den Host aus, auf dem Sie den Service installieren möchten (z. B Event Stream Analysis).
  3. Klicken Sie in der Symbolleiste auf .

    Das Dialogfeld Services installieren wird angezeigt.

  4. Wählen Sie in der Drop-down-Liste Hosttyp einen Service aus (ESA Primary).

    wird im Dialogfeld Services installieren aktiv.

  5. Klicken Sie auf .


Schritt 3. Überprüfen von SSL-Ports auf vertrauenswürdige Verbindungen

Um vertrauenswürdige Verbindungen zu unterstützen, besitzt jeder Core-Service zwei Ports: einen unverschlüsselten Nicht-SSL-Port und einen verschlüsselten SSL-Port. Vertrauenswürdige Verbindungen setzen einen verschlüsselten SSL-Port voraus. 

Verschlüsselte SSL-Ports

Wenn Sie die Version 10.4 oder höher installieren oder ein Upgrade auf diese Version durchführen, werden vertrauenswürdige Verbindungen standardmäßig mit zwei Einstellungen hergestellt:

  • SSL ist aktiviert.
  • Der Core-Service ist mit einem verschlüsselten SSL-Port verbunden.

Jeder NetWitness Platform Core-Service verfügt über zwei Ports:

  • Unverschlüsselter Nicht-SSL-Port
    Beispiel: Archiver 50008
  • Verschlüsselter SSL-Port
    Beispiel: Archiver 56008

Der SSL-Port ist der Nicht-SSL-Port + 6000.

In der folgenden Tabelle werden alle NetWitness Platform-Servicesmit den entsprechenden Ports aufgelistet und es wird gezeigt, dass jeder Core-Service über zwei Ports verfügt. Alle aufgelisteten Portnummern sind TCPs.

                                                                                                                                        
KategorieServicesUnverschlüsselter
Nicht-SSL-Port
Verschlüsselter
SSL-Port
Hinweise

Admin-Server

Admin
Konfig
Content
Integration
Untersuchen
Lizenz
Orchestrierung
Reporting Engine
Reagieren
Sicherheit

N/A
N/A
N/A
N/A
N/A
N/A
N/A
51113
N/A
N/A

N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A

Implementiert mit dem NW-Server
Implementiert mit dem NW-Server
Implementiert mit dem NW-Server
Implementiert mit dem NW-Server
Implementiert mit dem NW-Server
Implementiert mit dem NW-Server
Implementiert mit dem NW-Server

Implementiert mit dem NW-Server
Implementiert mit dem NW-Server

Archiver Archiver
Workbench
50008
50007
56008
56007

 

 

Broker

Broker

5000356003Core-Service

Cloud Gateway

Cloud Gateway

--

 

Concentrator

Concentrator

5000556005Core-Service

Endpoint Broker

Endpoint Broker

-

-

 

Endpoint Log HybridLog Collector
Log Decoder
Endpoint Server
Concentrator
50001
50002
-
50005
56001
56002
-
56005
 
ESA PrimaryEntity Behavior Analytics
Contexthub
ESA Correlation
-
-
-

-
50030
 
ESA SecondaryEntity Behavior Analytics
ESA Correlation
-
-
-
-
 
Log Collector

Log Collector

5000156001 

Log Decoder

Log Collector
Log Decoder

50001
50002

56001
56002

 

Log HybridLog Collector
Log Decoder
Concentrator

50001
50002
50005

56001
56002
56005

 

Malware Analysis

Malware Analysis
Broker

-

60007

 

Network DecoderDecoder5000456004 

Network Hybrid

Concentrator
Decoder

50005

56005

 

UEBA

UEBA

-

-

 

Warehouse Connector

Warehouse Connector

5002056020

Befehlszeileninstallation

 

Schritt 4. Managen des Zugriffs auf einen Service

In einer vertrauenswürdigen Verbindung überlässt ein Service explizit NW-Server das Managen und Authentifizieren von Nutzern. Mit dieser vertrauenswürdigen Verbindung können Services in ADMIN >Services ohne Anmeldedaten für alle NetWitness Platform Core-Services definiert werden. Stattdessen können Nutzer, die vom Server authentifiziert wurden, auf den Service zugreifen, ohne ein anderes Passwort eingeben zu müssen.

Testen einer vertrauenswürdigen Verbindung

Voraussetzungen

  1. Dem Nutzer muss ein Rolle zugewiesen sein.
    Weitere Informationen finden Sie im Thema Hinzufügen eines Nutzers und einer Rolle im Handbuch „Systemsicherheit und Benutzerverwaltung“.
  2. Der Nutzer muss:
    • Melden Sie sich bei NetWitness Platform an, damit der Server den Nutzer authentifizieren kann.
    • Zugriff auf den Service haben.

Verfahren

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
    Die Ansicht-Services wird angezeigt.

  2. Wählen Sie den zu testenden Service (z. B. einen Concentrator) aus und klicken Sie auf The Edit icon.
    Das DialogfeldService bearbeiten wird angezeigt.
    Edit Service dialog
  3. Entfernen Sie den Nutzernamen, um die Verbindung ohne Anmeldedaten zu testen.
  4. Klicken Sie auf Verbindung testen.
    Edit Service dialog with success message
    Die Meldung Verbindungstest erfolgreich bestätigt, dass die vertrauenswürdige Verbindung hergestellt wurde.
    Ein zuvor authentifizierter Nutzer kann auf den Service zugreifen, ohne beim Service einen Nutzernamen und ein Passwort einzugeben. 
  5. Klicken Sie auf Speichern.

Anwenden von Versionsaktualisierungen auf einen Host

Führen Sie die folgenden Aufgaben aus, um einen Host auf eine neue Version zu aktualisieren.

Es gibt zwei Methoden, Versionsaktualisierungen auf einen Host anzuwenden.

Hinweis: Wenn Sie das Verzeichnis für das Repository geändert haben, finden Sie weitere Anweisungen unter Einrichten eines externen Repository mit RSA und Betriebssystemupdates.

Anwenden von Aktualisierungen über die Ansicht „Hosts“ (Webzugriff)

Aufgabe 1. Auffüllen des lokalen Repository oder Einrichten eines externen Repository

Wenn Sie Ihren NW-Server einrichten, wählen Sie das lokale Repository oder ein externes Repository aus. Die Ansicht „Hosts“ ruft Versionsaktualisierungen aus dem ausgewählten Repository ab.

Wenn Sie das lokale Repository ausgewählen, müssen Sie dieses nicht einrichten, aber Sie müssen sicherstellen, dass es die neuesten Aktualisierungen enthält. Anweisungen zum Auffüllen des Repository mit einer Versionsaktualisierung finden Sie unter Auffüllen des lokalen Update-Repository.

Hinweis: Wenn Sie ein externes Repository ausgewählt haben, müssen Sie es einrichten. Weitere Informationen dazu, wie es mit einer Versionsaktualisierung aufgefüllt wird, finden Sie unter Einrichten eines externen Repository mit RSA und Betriebssystemupdates.

Aufgabe 2. Anwenden von Aktualisierungen über die Ansicht „Hosts“ auf einzelne Hosts

In der Ansicht „Hosts“ werden die in Ihrem lokalen Repository für Aktualisierungen verfügbaren Softwareversionsaktualisierungen angezeigt und Sie wählen die gewünschten Aktualisierungen über die Ansicht „Hosts“ aus und wenden diese an.

In diesem Verfahren erfahren Sie, wie Sie einen Host auf eine neue Version von NetWitness Platform aktualisieren. 

Hinweis: In diesem Thema wird die Aktualisierung von NetWitness Platform 11.0.x.x auf 11.1.0.0 als Beispiel verwendet.

  1. Melden Sie sich bei NetWitness Platform an.
  2. Navigieren Sie zu ADMIN > Hosts
  3. (Bedingungsabhängig) Überprüfen Sie die neuesten Aktualisierungen.


  4. Wählen Sie einen Host oder Hosts aus.

    Sie müssen zunächst den NW-Server auf die neueste Version aktualisieren. Sie können die anderen Hosts in beliebiger Reihenfolge aktualisieren, aber RSA empfiehlt, dass Sie die Richtlinien unter Ausführen im gemischten Modus befolgen.
    Aktualisierung verfügbar wird in der Spalte Status angezeigt, wenn Sie eine Versionsaktualisierung in Ihrem lokalen Repository für Aktualisierungen für die ausgewählten Hosts haben.

  5. Wählen Sie die Version, die Sie anwenden möchten, aus der Spalte Update-Version aus.

    Gehen Sie in folgenden Fällen wie folgt vor:

    • Wenn Sie mehr als einen Host auf diese Version aktualisieren möchten, dann aktivieren Sie nach der Aktualisierung des NW-Serverhosts das Kontrollkästchen links neben den Hosts. Es sind nur Versionen von Aktualisierungen aufgelistet, die derzeit unterstützt werden.
    • Wenn Sie ein Dialogfeld mit den wichtigsten Funktionen der Aktualisierung anzeigen möchten, klicken Sie auf das Symbol rechts neben der Versionsnummer der Aktualisierung. Nachfolgend finden Sie ein Beispiel für das Dialogfeld.

    • Wenn Sie die gewünschte Version nicht finden können, wählen Sie Aktualisieren > Nach Updates suchen aus, um das Repository auf alle verfügbaren Aktualisierungen zu prüfen. Wenn eine Aktualisierung verfügbar ist, wird die Meldung „Es sind neue Hostaktualisierungen verfügbar“ angezeigt, und die Spalte Status wird automatisch aktualisiert und zeigt Aktualisierung verfügbar an. Standardmäßig werden nur die unterstützten Aktualisierungen für den ausgewählten Host angezeigt.
  6. Klicken Sie in der Symbolleiste auf Aktualisieren > Host aktualisieren.

      Ein Dialogfeld wird mit Informationen über die ausgewählte Aktualisierung wird angezeigt. Klicken Sie auf Update beginnen.

    Die Spalte Status informiert Sie darüber, was in jeder der folgenden Phasen der Aktualisierung geschieht:

    • Phase 1: Aktualisierungspakete werden heruntergeladen – lädt die Repository-Artefakte auf den NW-Server für die Services auf dem ausgewählten Host herunter.
    • Phase 2: Aktualisierungspakete werden konfiguriert – konfiguriert die Aktualisierungsdateien im richtigen Format.
    • Phase 3: Aktualisierung wird durchgeführt – aktualisiert den Host auf die neue Version.
  7. Wenn Aktualisierung wird durchgeführt angezeigt wird, aktualisieren Sie den Browser.

    Daraufhin wird möglicherweise der Anmeldebildschirm von NetWitness angezeigt, über den Sie sich erneut anmelden und zurück zur Host-Ansicht navigieren.

    Nachdem der Host aktualisiert wurde, zeigt NetWitness Platform die Aufforderung Host neu starten an.

  8. Klicken Sie auf Host neu starten in der Symbolleiste.

    NetWitness Platform zeigt den Status Wird neu gestartet... an, bis der Host wieder online ist und der Status Auf dem neuesten Stand angezeigt wird. Wenden Sie sich an die Kundenbetreuung, wenn der Host nicht wieder online geschaltet wird.

Hinweis: Wenn der Defense Information Systems Agency Security Technical Implementation Guide (DISA STIG) aktiviert ist, kann das Öffnen der Kerndienste etwa 5 bis 10 Minuten dauern. Grund für diese Verzögerung ist das Erstellen neuer Zertifikate.

Anwenden von Aktualisierungen über die Befehlszeile (Kein Webzugriff)

Wenn Ihre Bereitstellung von NetWitness Platform keinen Webzugriff hat, schließen Sie das folgende Verfahren ab, um eine Versionsaktualisierung anzuwenden.

Hinweis: Im folgenden Verfahren ist 11.1.0.0 die Versionsaktualisierung, die als Beispiel in den Codezeichenfolgen verwendet wird.

  1. Laden Sie das Aktualisierungspaket .zip für die gewünschte Version (z. B. netwitness-11.1.0.0.zip) von RSA Link in ein lokales Verzeichnis herunter.
  2. Stellen Sie über SSH eine Verbindung mit dem NW-Serverhost her.
  3. Erstellen Sie ein Bereitstellungsverzeichnis /tmp/upgrade/<version> für die gewünschte Version (z. B. tmp/upgrade/11.1.0.0).
    mkdir –p /tmp/upgrade/11.1.0.0
  4. Kopieren Sie das .zip-Updatepaket in ein anderes Verzeichnis als das Stagingverzeichnis auf dem NW-Server (z. B. das /tmp-Verzeichnis).

  5. Entpacken Sie das Paket in das Staging-Verzeichnis, das Sie erstellt haben (z. B. /tmp/upgrade/11.1.0.0).
    unzip /<download-location>/netwitness-11.1.0.0.zip -d /tmp/upgrade/11.1.0.0
  6. Initialisieren Sie die Aktualisierung auf dem NW-Server.
    upgrade-cli-client --init --version 11.1.0.0 --stage-dir /tmp/upgrade/
  7. Wenden Sie die Aktualisierung auf den NW-Server an.
    upgrade-cli-client --upgrade --host-addr <NW Server IP> --version 11.1.0.0
  8. Melden Sie sich bei NetWitness Platform an und starten Sie den NW-Serverhost in der Ansicht „Host“.
  9. Wenden Sie die Aktualisierung auf jeden Nicht-NW-Serverhost an.
    upgrade-cli-client --upgrade --host-addr <non-NW Server IP address> --version 11.1.0.0
    Die Aktualisierung ist abgeschlossen, wenn der Abruf abgeschlossen ist.
  10. Melden Sie sich bei NetWitness Platform an und starten Sie den Host in der Ansicht „Host“ neu.
    Sie können mit dem folgenden Befehl überprüfen, welche Version auf den Host angewendet wurde:
    upgrade-cli-client --list

Auffüllen des lokalen Repository für Aktualisierungen

NetWitness Platform sendet Versionsaktualisierungen aus dem Live-Update-Repository in das lokale Update-Repository. Für den Zugriff auf das Live-Update-Repository ist die Eingabe der Anmeldedaten des Live-Kontos erforderlich, die unter ADMIN > SYSTEM > Live konfiguriert werden. Darüber hinaus müssen Sie das Kontrollkästchen Automatically download information about new updates every day unter ADMIN > SYSTEM  > Aktualisierungen aktivieren, um das lokale Repository täglich aufzufüllen.

Das folgende Diagramm zeigt, wie Sie Versionsaktualisierungen erhalten, wenn Ihre NetWitness Platform-Bereitstellung über Webzugriff verfügt.

Hinweis: Wenn Sie erstmalig eine Verbindung mit dem Live-Update-Repository herstellen, können Sie auf alle CentOS 7-Systempakete und die RSA-Produktionspakete zugreifen. Je nach Internetverbindung Ihres NW-Servers und Datenverkehr des RSA-Repository kann der Download dieser Daten von mehr als 2,5 GB längere Zeit in Anspruch nehmen. Es ist nicht obligatorisch, das Live-Update-Repository zu verwenden. Alternativ können Sie ein externes Repository verwenden, wie beschrieben in Appendix C. Set Up External Repo beschrieben.

Zur Verbindung mit dem Live-Update-Repository navigieren Sie zu der Ansicht „ADMIN“ > „System“, wählen Sie im Optionsbereich Live-Services aus und vergewissern Sie sich, dass die Anmeldedaten konfiguriert sind (Verbindung sollte grün markiert sein). Wenn es nicht grün ist, klicken Sie auf Anmelden und stellen Sie eine Verbindung her.

Hinweis: Wenn Sie Proxys zum Kommunizieren mit dem Live-Update-Repository benötigen, können Sie den Proxy-Host, den Proxynutzernamen und das Proxypasswort konfigurieren. Weitere Informationen finden Sie unter „Konfigurieren des Proxy für NetWitness Platform„ im Systemkonfigurationsleitfaden.

Wenn Ihre NetWitness Platform-Bereitstellung keinen Webzugriff hat, siehe Anwenden von Aktualisierungen über die Befehlszeile (Kein Webzugriff).

Das folgende Diagramm zeigt, wie Sie Versionsaktualisierungen erhalten, wenn Ihre NetWitness Platform-Bereitstellung nicht über Webzugriff verfügt.

Einrichten eines externen Repository mit RSA und Betriebssystemupdates

Hinweis: Im folgenden Verfahren ist 11.1.0.0 die Versionsaktualisierung, die als Beispiel in den Codezeichenfolgen verwendet wird.

Führen Sie das folgende Verfahren aus, um ein externes Repository (Repo) einzurichten.

Hinweis: 1.) Auf dem Host muss ein Dienstprogramm zum Entpacken installiert sein, damit Sie dieses Verfahren abschließen können. 2.) Sie müssen wissen, wie Sie einen Webserver erstellen, bevor Sie das folgende Verfahren durchführen.

  1. (Bedingungsabhängig) Führen Sie diesen Schritt durch, wenn Sie ein externes Repository haben und Sie dieses außer Kraft setzen möchten.
    • 1. Fall: Sie haben den Host von einem externen Repository aus per Bootstrap neu gestartet und Sie möchten ein Upgrade durchführen mithilfe eines lokalen Repository auf dem Adminserver.
      1. Erstellen Sie die Datei /etc/netwitness/platform/repobase.
        vi /etc/netwitness/platform/repobase
      2. Bearbeiten Sie die Datei repobase, sodass die einzige Information in der Datei die folgende URL ist.
        https://nw-node-zero/nwrpmrepo
      3. Führen Sie die Anweisungen zum Ausführen des Upgrade mithilfe des Tools upgrade-cli-client aus.
    • 2. Fall: Sie haben den Host von eines lokalen Repository auf dem Adminserver (NW-Serverhost) per Bootstrap neu gestartet und Sie möchten ein externes Repository für das Upgrade verwenden.
      1. Erstellen Sie die Datei /etc/netwitness/platform/repobase.
        vi /etc/netwitness/platform/repobase
      2. Bearbeiten Sie die Datei repobase, sodass die einzige Information in der Datei die folgende URL ist.
        https://<webserver-ip>/<alias-for-repo>
      3. Führen Sie die Anweisungen zum Ausführen des Upgrade mithilfe des Tools upgrade-cli-client aus.
        Die Anweisungen finden Sie unter Anwenden von Aktualisierungen über die Befehlszeile (Kein Webzugriff).
  2. Richten Sie das externe Repository ein.
    1. Melden Sie sich bei dem Webserverhost an.
    2. Erstellen Sie ein Verzeichnis, um das NW-Repository (netwitness-11.3.0.0.zip) zu hosten, z. B. ziprepo unter web-root des Webservers. Beispiel: Wenn /var/netwitness das „web-root“-Verzeichnis ist, senden Sie die folgende Befehlszeichenfolge.
      mkdir -p /var/netwitness/<your-zip-file-repo>
    3. Erstellen Sie das Verzeichnis 11.3.0.0 unter /var/netwitness/<your-zip-file-repo>.
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.3.0.0
    4. Erstellen Sie die Verzeichnisse OS und RSA unter /var/netwitness/<your-zip-file-repo>/11.3.0.0.
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.3.0.0/RSA
    5. Entpacken Sie die Datei netwitness-11.3.0.0.zip in das Verzeichnis /var/netwitness/<your-zip-file-repo>/11.3.0.0.
      unzip netwitness-11.3.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.3.0.0
      Durch das Entpacken von netwitness-11.3.0.0.zip entstehen zwei Zip-Dateien (OS-11.3.0.0.zip und RSA-11.3.0.0.zip) und einige andere Dateien.
    6. Entpacken Sie die Datei:

      OS-11.3.0.0.zip in das Verzeichnis /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS.
      unzip /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS-11.3.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS
      Das folgende Beispiel zeigt, wie die Dateistruktur des Betriebssystems (OS) aussieht, nachdem Sie die Datei entpackt haben.

      Der externe URL für das Repository ist http://<web server IP address>/<your-zip-file-repo>.

    7. Entpacken Sie die Datei
      RSA-11.3.0.0.zip in das Verzeichnis /var/netwitness/<your-zip-file-repo>/11.3.0.0/RSA.
      unzip /var/netwitness/<your-zip-file-repo>/11.3.0.0/RSA-11.3.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.3.0.0/RSA
      Das folgende Beispiel zeigt, wie die Dateistruktur der RSA Versionsaktualisierung aussieht, nachdem Sie die Datei entpackt haben.

    8. (Bedingungsabhängig – für Azure) Befolgen Sie diese Schritte, um Azure zu aktualisieren.
    1. mkdir -p /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS/other
    2. unzip nw-azure-11.3-extras.zip -d /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS/other
    3. cd /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS
    4. createrepo
    1. Verwenden Sie die http://<web server IP address>/<your-zip-file-repo> als Antwort auf die Eingabeaufforderung Geben Sie den Basis-URL des externen Update-Repository ein des NW 11.3.0.0 Setup-Programms (nwsetup-tui).

Erstellen und Managen von Hostgruppen

Die Ansicht „Hosts“ enthält Optionen zum Erstellen und Verwalten von Hostgruppen. Die Symbolleiste des Bereichs „Gruppen“ umfasst Optionen zum Erstellen, Bearbeiten und Löschen von Hostgruppen. Nachdem Gruppen erstellt wurden, können Sie einzelne Hosts aus dem Bereich Hosts in eine Gruppe ziehen.

Gruppen können funktionale, geografische, projektorientierte oder beliebige andere hilfreiche Unternehmensprinzipien widerspiegeln. Ein Host kann zu mehreren Gruppen gehören. Im Folgenden sind einige Beispiele für mögliche Gruppierungen aufgeführt:

  • Gruppieren Sie unterschiedliche Hosttypen, um alle Broker, Decoder oder Concentrators leichter konfigurieren und überwachen zu können.
  • Gruppieren Sie Hosts, die Teil des gleichen Datenflusses sind, z. B. einen Broker und alle zugehörigen Concentrators und Decoder.
  • Gruppieren Sie Hosts entsprechend ihrer geographischen Region und dem Standort in der Region. Wenn an einem Standort ein größerer Stromausfall auftritt, sind dann alle potenziell betroffenen Hosts leicht zu identifizieren.

Erstellen einer Gruppe

  1. Wählen Sie ADMIN > Hosts aus.
    Die Ansicht „Hosts“ wird angezeigt.
  2. Klicken Sie im Bereich Gruppen auf der Symbolleiste auf The Add icon.
    Ein Feld für die neue Gruppe wird mit blinkendem Cursor darin geöffnet.
    This is an example of a new group field.
  3. Geben Sie den Namen der neuen Gruppe in das Feld ein (z. B. Geo 1) und drücken Sie die Eingabetaste.
    Die Gruppe wird als Ordner in der Struktur erstellt. Die Zahl neben der Gruppe gibt die Anzahl der Hosts in dieser Gruppe an.
    This is an example of a new group.

Ändern des Namens einer Gruppe

  1. Klicken Sie in der Ansicht „Hosts“ im Bereich Gruppen doppelt auf den Gruppennamen oder wählen Sie die Gruppe aus und klicken Sie auf The Edit icon.
    Das Namensfeld wird mit blinkendem Cursor darin geöffnet.
  2. Geben Sie den neuen Namen der Gruppe ein und drücken Sie die Eingabetaste.
    Das Namensfeld wird geschlossen und der neue Gruppenname wird in der Struktur angezeigt.

Hinzufügen eines Hosts zu einer Gruppe

Wählen Sie in der Ansicht „Hosts“ im Bereich Hosts einen Host aus und ziehen Sie den Host in einen Gruppenordner im Bereich „Gruppen“.
Der Host wird der Gruppe hinzugefügt.

Anzeigen der Hosts in einer Gruppe

Klicken Sie zum Aufrufen der Hosts in einer Gruppe im Bereich Gruppen auf die Gruppe.
Im Bereich Hosts werden die Hosts in dieser Gruppe aufgelistet.

These are the hosts in the All group

Entfernen eines Hosts aus einer Gruppe 

  1. Wählen Sie in der Ansicht „Hosts“ im Bereich Gruppen die Gruppe aus, die den zu entfernenden Host enthält. Die Hosts in dieser Gruppe werden im Bereich „Hosts“ angezeigt.
  2. Wählen Sie im Bereich Hosts einen oder mehrere Hosts aus, die Sie aus der Gruppe entfernen möchten, und wählen Sie dann auf der Symbolleiste The Delete icon > Aus Gruppe entfernen aus.
    Die ausgewählten Hosts werden aus der Gruppe entfernt, aber nicht von der NetWitness Platform-Benutzeroberfläche. Die Anzahl der Hosts in der Gruppe, die neben dem Gruppennamen angezeigt wird, verringert sich um die Anzahl der aus der Gruppe entfernten Hosts. Die Gruppe Alle enthält die Hosts, die aus der Gruppe entfernt wurden.
    Im folgenden Beispiel sind in der Hostgruppe namens Geo 1 keine Hosts enthalten, da alle Hosts in dieser Gruppe entfernt wurden.
    This is an example of the Groups panel

Löschen von Gruppen 

  1. Wählen Sie in der Ansicht „Hosts“ im Bereich Gruppen die Gruppe aus, die Sie löschen möchten. 
  2. Klicken Sie auf The Delete icon.
    Die ausgewählte Gruppe wird aus dem Bereich „Gruppen“ entfernt. Die Hosts, die sich in der Gruppe befanden, werden nicht von der NetWitness Platform-Benutzeroberfläche entfernt. Die Gruppe Alle enthält die Hosts der gelöschten Gruppe.

Suchen nach Hosts

Sie können über eine Liste mit Hosts in der Ansicht „Hosts“ nach Hosts suchen. Mithilfe der Ansicht „Hosts“ können Sie die Hostliste schnell nach Name und Host filtern. Sie können mehrere NetWitness Platform-Hosts für verschiedene Zwecke verwenden. Anstatt durch die Hostliste zu scrollen, können Sie diese einfach filtern, um die Hosts zu suchen, die Sie verwalten möchten.

In der Ansicht „Services“ können Sie nach einem Service suchen und den Host, der diesen Service ausführt, schnell finden.

Suchen eines Hosts

  1. Wählen Sie ADMIN > Hosts aus.
  2. Geben Sie in der Symbolleiste im Bereich Hosts im Feld Filtern einen Namen für den Host oder einen Hostnamen ein.
    This is the unfilled Filter field.
    Im Bereich „Hosts“ werden die Hosts aufgelistet, die mit den ins Feld „Filter“ eingegebenen Namen übereinstimmen.

Suchen des Hosts, der einen Service ausführt

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie in der Ansicht „Services“ einen Service aus. Der zugeordnete Host wird in der Spalte Host für diesen Service aufgelistet.
  3. Klicken Sie zum Verwalten des Hosts in der Ansicht „Hosts“ auf den Link in der Spalte Host zu diesen Service. Der dem ausgewählten Service zugeordnete Host wird in der Ansicht „Hosts“ angezeigt.

Ausführen einer Aufgabe aus der Hostaufgabenliste

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.

    Hinweis: Die Services „Admin“, Konfigurieren“, „Orchestrieren“, „Sicherheit“, „Untersuchen“ und „Reagieren“ haben Zugriff auf die Ansicht „System“. Sie haben nur Zugriff auf die Ansicht „Durchsuchen“.
    Die Ansicht System für den Service wird angezeigt.


  3. Klicken Sie in der Symbolleiste der Ansicht Services-System auf Host Tasks.
    This is an example of the Host Task List dialog.
  4. Klicken Sie in der Hostaufgabenliste auf das Feld Aufgabe, um eine Drop-down-Liste der auf dem Host ausgeführten Aufgaben anzuzeigen.
    This is an example of the Task drop-down menu in the Host Task List dialog.
  5. Wählen Sie eine Aufgabe aus und klicken Sie zum Beispiel auf Service anhalten.
    Die Aufgabe wird im Feld Aufgabe angezeigt und die Aufgabenbeschreibung, Beispielargumente, Sicherheitsrollen und Parameter werden im Bereich Info angezeigt.
    This is an example of the Host Task List dialog with Stop Service selected.
  6. Geben Sie, falls erforderlich, Argumente ein und klicken Sie auf Ausführen.
    Der Befehl wird ausgeführt und das Ergebnis wird im Abschnitt Ausgabe angezeigt.

Hinzufügen und Löschen einer Dateisystemüberwachung

Wenn ein Service Datenverkehr für ein bestimmtes Dateisystem überwachen soll, können Sie den Service auswählen und anschließend den Pfad angeben. NetWitness Platform fügt eine Dateisystemüberwachung hinzu. Sobald einem Service eine Dateisystemüberwachung hinzugefügt wurde, setzt der Service die Überwachung des Datenverkehrs für diesen Pfad solang fort, bis die Dateisystemüberwachung gelöscht wird.

Konfigurieren der Dateisystemüberwachung

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Dateisystemüberwachung hinzufügen aus.
    Im Bereich Info wird eine kurze Erläuterung der Aufgabe und der Aufgabenargumente angezeigt.
  5. Geben Sie im Feld Argumente den Pfad ein, um das zu überwachende Dateisystem zu identifizieren. Beispiel:
    path=/var/netwitness/decoder/packetdb
    This is an example of the Host Task List for this procedure.
  6. Klicken Sie auf Ausführen.
    Das Ergebnis wird im Bereich Ausgabe angezeigt. Der Service beginnt mit der Überwachung des Dateisystems und setzt diese Überwachung solange fort, bis Sie die Dateisystemüberwachung löschen.

Löschen einer Dateisystemüberwachung

  1. Navigieren Sie zum Dialogfeld Hostaufgabenliste.
  2. Wählen Sie in der Hostaufgabenliste die Option Dateisystemüberwachung löschen aus.
    Im Bereich Info wird eine kurze Erläuterung der Aufgabe und der Aufgabenargumente angezeigt.
  3. Geben Sie im Feld Argumente den Pfad ein, um das Dateisystem zu identifizieren, dessen Überwachung angehalten werden soll. Beispiel:
    path=/var/netwitness/decoder/packetdb
    This is an example of the Host Task List dialog for this procedure.
  4. Klicken Sie auf Ausführen.
    Das Ergebnis wird im Bereich Ausgabe angezeigt. Der Service beendet die Überwachung des Dateisystems.

Neustarten eines Hosts

Unter bestimmten Bedingungen ist ein Neustart des Hosts notwendig, zum Beispiel nach der Installation eines Softwareupgrades. Bei diesem Vorgang wird eine Meldung in der Hostaufgabenliste angezeigt, bei der Sie aufgefordert werden, den Host herunterzufahren und neu zu starten. 

NetWitness Platform bietet auch andere Optionen zum Herunterfahren eines Hosts:

  • Zum Herunterfahren und erneuten Starten eines Hosts über einen verknüpften Service gehen Sie zur Ansicht „Hosts“ von einem Service in der Ansicht „Services“ aus (siehe Suchen nach Hosts) und befolgen Sie dann das unten angegebene Verfahren Herunterfahren und Neustart eines Hosts über die Ansicht „Hosts“.
  • Weitere Informationen zum Herunterfahren des physischen Hosts, ohne diesen neu zu starten, finden Sie unter Herunterfahren des Hosts.

Fahren Sie einen Host über die Ansicht Hosts herunter und starten Sie diesen neu.

  1. Wählen Sie ADMIN > Hosts aus.
  2. Wählen Sie im Bereich Hosts einen Host aus.
  3. Wählen Sie in der Symbolleiste The Reboot Host icon aus.

Herunterfahren und Neustart eines Hosts aus der Hostaufgabenliste

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Bereich Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Host neu starten im Feld Aufgabe aus
    .Es sind keine Argumente erforderlich.
    This is an example of the Host Task List dialog
  5. Klicken Sie auf Ausführen.
    Der Host wird neu gestartet und das Ergebnis wird im Bereich Ausgabe angezeigt.

Einstellen der internen Uhr des Hosts

Nach einer Abschaltung oder einem Batterieausfall müssen Sie möglicherweise die lokale Uhr eines Hosts neu stellen. Mit der Aufgabe „Interne Uhr des Hosts einstellen“ wird die Uhrzeit zurückgesetzt.

Einstellen der Zeit der lokalen Uhr

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Raster Services einen Service und anschließend The Actions icon > Ansicht > System aus.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Interne Uhr des Hosts einstellen aus. Hilfe zur Aufgabe wird im Bereich Info angezeigt.
  5. Geben Sie die Argumente für Datum und Uhrzeit im Feld Argumente ein. Geben Sie beispielsweise für das Datum 31. Oktober 2017 und die Uhrzeit 23:59:59 Folgendes ein:
    set=20171031T235959
    This is an example of the Host Task List dialog for the procedure
  6. Klicken Sie auf Ausführen.
    Die Uhrzeit wird auf die angegebene Zeit eingestellt und im Bereich Ausgabe eine Meldung angezeigt.

Festlegen der Netzwerkkonfiguration

Wenn bei einem konfigurierten Core-Host die Adresse geändert werden muss, können Sie über die Meldung Netzwerkkonfiguration festlegen in der Hostaufgabenliste Host eine neue Netzwerkadresse, eine neue Subnetzmaske und ein neues Gateway für den Host festlegen. 

Achtung: Die Änderung tritt sofort in Kraft und der Host wird von NetWitness Platform getrennt. Fügen Sie den Host dann mit der neuen Netzwerkadresse NetWitness Platform wieder hinzufügen.

Angeben der Netzwerkadresse für einen Host

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Klicken Sie in der Hostaufgabenliste auf die Option Netzwerkkonfiguration festlegen.
    Die Aufgabe wird im Feld Aufgabe angezeigt und die Hilfe im Bereich Info.
  5. Geben Sie die Argumente in das Feld Argumente ein. Beispiel:
    mode=static address=192.168.0.20 netmask=255.255.255.0 gateway=192.168.0.1
    This is an example of the Host Task List dialog for this procedure
  6. Klicken Sie auf Ausführen.
    Die Aufgabe wird ausgeführt und das Ergebnis im Bereich Ausgabe angezeigt. Der Host ist von NetWitness Platform getrennt. Fügen Sie den Host dann mit der neuen Adresse wieder hinzu.

Hinweis: Wenn es sich beim Modus um DHCP handelt, ist es möglicherweise nicht möglich, die neue Adresse zu bestimmen. Um die neue Adresse zu ermitteln, müssen Sie möglicherweise eine direkte Verbindung zum Host herstellen.

Festlegen der Quelle für die Netzwerkzeit

Beim Einrichten der Uhrzeitquelle für einen Host geben Sie den Hostnamen oder die Adresse eines NTP-Servers an, der als Netzwerkuhrzeitquelle für den Host dienen soll. Verwendet der Host eine lokale Uhrzeitquelle, müssen Sie hier Lokal angeben, damit Lokale Zeitquelle einrichten aktiviert wird.

Angeben der Netzwerkzeitquelle

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions menu > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Quelle für die Netzwerkzeit festlegen aus.
    This is an example of the Host Task List dialog for this procedure.
  5. Führen Sie einen der folgenden Schritte aus:
  • Geben Sie den Hostnamen oder die Adresse des NTP-Servers an, der als Uhrzeitquelle für diesen Host dienen soll, z. B. source=tictoc.localdomain
    .
  • Wenn Sie die Hostzeit als Uhrzeitquelle verwenden möchten, geben Sie Folgendes ein:
    source=local
  1. Klicken Sie auf Ausführen.
    Die Uhrzeitquelle wird festgelegt und eine Meldung wird im Bereich Ausgabe angezeigt.

Hinweis: Wenn Sie als NTP-Uhrzeitquelle Lokal angegeben haben, dient die Hostzeit als Uhrzeitquelle und die Zeit wird unter Interne Uhr des Hosts einstellen konfiguriert.

SNMP festlegen

Mit „SNMP festlegen“ in der Hostaufgabenliste wird der SNMP-Service auf einem Host aktiviert oder deaktiviert. Der SNMP-Service muss aktiviert werden, damit ein Host SNMP-Benachrichtigungen erhalten kann. Wenn Sie SNMP nicht für NetWitness Platform-Benachrichtigungen verwenden, ist es nicht erforderlich, diesen Service zu aktivieren.

Wechseln des SNMP-Services auf dem Host

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option setSNMP aus.
    Im Bereich Info wird eine kurze Erläuterung der Aufgabe und der Aufgabenargumente angezeigt.
  5. Führen Sie einen der folgenden Schritte aus:
  • Wenn Sie den Service deaktivieren möchten, geben Sie enable=0 im Feld Argumente ein.
    This is an example of the Host Task List dialog for this option.
  • Wenn Sie den Service aktivieren möchten, geben Sie enable=1 im Feld Argumente ein.
    This is an example of the Host Task List dialog for this option.
  1. Klicken Sie auf Ausführen.
    Das Ergebnis wird im Bereich Ausgabe angezeigt.

Einrichten der Syslog-Weiterleitung

Sie können die Syslog-Weiterleitung so konfigurieren, dass die Betriebssystemprotokolle Ihrer NetWitness Platform-Hosts an einen Remote-Syslog-Server weitergeleitet werden. Sie können die Aufgabe „Syslog-Weiterleitung einrichten“ in der Hostaufgabenliste verwenden, um die Syslog-Weiterleitung zu aktivieren oder zu deaktivieren.

Einrichten und Starten der Syslog-Weiterleitung

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Syslog-Weiterleitung einrichten aus.
    Im Bereich Info wird eine kurze Erläuterung der Aufgabe und der Aufgabenargumente angezeigt.
    This is an example of the the Host Task List dialog for this procedure.
  5. Führen Sie im Feld Argumente einen der folgenden Schritte aus:
    • Geben Sie eines der folgenden Formate an, um die Syslog-Weiterleitung zu aktivieren:
      • host=<loghost>.<localdomain> (for example, host=syslogserver.local).
      • host=<loghost>.<localdomain>:<port> (for example, host=syslogserver.local:514).
      • host=<IP> (for example, host=10.31.244.244).
      • host=<IP>:<port> (for example, host=10.31.244.244:514).
        In der folgenden Tabelle sind die Parameter zum Aktivieren der Syslog-Weiterleitung aufgeführt.
        ParameterBeschreibung
        loghostDer Hostname des Remote-Syslog-Servers.
        localdomainDie Domain des Remote-Syslog-Servers.
        portIP-Adresse des Remote-Syslog-Servers.
        IPDie Nummer des Ports, auf dem der Remote-Syslog-Server Syslog-Nachrichten erhält.
    • Geben Sie host=disable ein, um die Syslog-Weiterleitung zu deaktivieren.
  6. Klicken Sie auf Ausführen.
    Das Ergebnis wird im Bereich Ausgabe angezeigt.

Sobald die Syslog-Weiterleitung aktiviert oder deaktiviert ist, wird die Datei /etc/rsyslog.conf automatisch aktualisiert, sodass die Syslog-Weiterleitung auf das Remote-Syslog-Ziel aktiviert oder deaktiviert wird und der Syslog-Service erneut gestartet wird.

Wenn Sie die Syslog-Weiterleitung aktivieren, werden die Protokolle aus dem konfigurierten Service solange an den definierten Syslog-Server weitergeleitet, bis die Weiterleitung deaktiviert wird.

Hinweis: Sie können sich jetzt beim Remote-Syslog-Server anmelden und überprüfen, ob die Nachrichten von den NetWitness Platform-Services empfangen werden, die für die Syslog-Weiterleitung konfiguriert sind.

Anzeigen des Netzwerkportstatus

Die Aufgabe „Netzwerkportstatus anzeigen“ in der Hostaufgabenliste gibt den Status aller in dem Host konfigurierten Ports zurück.

Anzeigen des Netzwerkportstatus

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Raster Services einen Service und The Actions icon > Ansicht > System aus.
    Die Ansicht „System“ für den ausgewählten Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Klicken Sie in der Hostaufgabenliste auf Netzwerkportstatus anzeigen
    .Die Aufgabe wird im Feld Aufgabe und Informationen über die Aufgabe werden im Bereich Info angezeigt.
  5. Um die Aufgabe auszuführen, klicken Sie auf Ausführen.
    Der Status der einzelnen Ports in dem Host wird im Bereich Ausgabe angezeigt.
    This is an example of the Host Task List dialog for this procedure.

Anzeigen der Seriennummer

Die Aufgabe Seriennummer anzeigen in der Hostaufgabenliste zeigt die Seriennummer eines Hosts an.

Anzeigen der Seriennummer

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Seriennummer anzeigen
    aus.Im Bereich Info wird eine kurze Erläuterung der Aufgabe und der Aufgabenargumente angezeigt.
  5. Für diese Aufgabe sind keine Argumente erforderlich. Klicken Sie auf Ausführen.
    Die Seriennummer des ausgewählten Hosts wird im Bereich Ausgabe angezeigt.
    This is an example of the Host Task List dialog for this procedure.

Herunterfahren des Hosts

Unter bestimmten Bedingungen, z. B. bei einem Hardwareupgrade oder einem längeren Stromausfall, der die Reservestromkapazität übersteigt, kann es notwendig werden, einen physischen Host herunterzufahren. Beim Herunterfahren eines Hosts werden alle darauf ausgeführten Services beendet und der physische Host wird abgeschaltet.

Der physische Host wird nicht automatisch gestartet. Verwenden Sie den Netzschalter, um den Host neu zu starten. Nachdem der physische Host neu gestartet wurde, werden der Host und die Services so konfiguriert, dass sie automatisch neu gestartet werden.

Starten Sie einen Host neu, um einen Host anzuhalten und zu starten, ohne den Host herunterzufahren.

Herunterfahren des Hosts

  1. Wählen Sie im Dialogfeld „Hostaufgabenliste“ im Feld Aufgabe die Option Host herunterfahren aus.
    This is an example of the Host Task List dialog for this procedure.
  2. Um die Aufgabe auszuführen, klicken Sie auf Ausführen.
    Der Host wird heruntergefahren und ausgeschaltet. 

Beenden und Starten eines Services auf einem Host

Die Hostaufgabenliste umfasst zwei Optionen zum Beenden und Starten eines Services auf einem Host. Wenn Sie einen Service mithilfe der Aufgabe Service anhalten beenden, werden alle Prozesse des Services beendet und mit diesem Service verbundene Nutzer werden getrennt. Wenn es kein Problem mit dem Service gibt, startet er automatisch neu. Dies entspricht der Option Service herunterfahren in der Ansicht „Services-System“.

Wenn ein Service nach dem Beenden nicht automatisch neu gestartet wird, können Sie ihn mithilfe der Aufgabe Service starten manuell neu starten.

Beenden eines Services auf einem Host

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Klicken Sie in der Hostaufgabenliste auf Service anhalten.
    Die Aufgabe wird im Feld Aufgabe und Informationen über die Aufgabe werden im Bereich Info angezeigt.
  5. Geben Sie den Service (decoder, concentrator broker, logdecoder, logcollector) an, der im Feld Argumente beendet werden soll, z. B. service=decoder.
    This is an example of the Host Task List dialog for this procedure.
  6. Um die Aufgabe auszuführen, klicken Sie auf Ausführen.
    Der Service wird beendet und der Status wird im Bereich Ausgabe angezeigt. Alle Prozesse des Services werden beendet und mit dem Service verbundene Nutzer werden getrennt. Wenn es kein Problem mit dem Service gibt, startet er automatisch neu.

Starten eines Services auf einem Host

  1. Wählen Sie in der Hostaufgabenliste im Drop-down-Menü „Aufgabe“ die Option Service starten aus.
    Die Aufgabe wird im Feld Aufgabe und Informationen über die Aufgabe werden im Bereich Info angezeigt.
  2. Geben Sie den zu startenden Service (decoder, concentrator, broker, logdecoder, logcollector) im Feld Argumente an, z. B.
    service=decoder
    This is an example of the Host Task List dialog for this procedure.
    .
  3. Um die Aufgabe auszuführen, klicken Sie auf Ausführen.
    Der Service wird gestartet und der Status wird im Bereich Ausgabe angezeigt.

Hinzufügen, Replizieren oder Löschen eines Servicenutzers

Für folgende Aufgaben müssen Sie einem Service einen Nutzer hinzufügen:

  • Aggregation
  • Zugriff auf den Service mit dem:
    • Thick-Client
    • REST-API

Hinweis: Dieses Thema gilt nicht für Benutzer, die über die Benutzeroberfläche auf NetWitness-Server auf Services zugreifen. Diese Nutzer müssen Sie dem System hinzufügen, nicht einem Service. Weitere Informationen finden Sie im Thema Einrichten eines Nutzers unter Systemsicherheit und Benutzerverwaltung.

Für jeden Servicenutzer können Sie:

  • die Nutzerauthentifizierung und die Abfrageverarbeitungseigenschaften für den Service konfigurieren
  • den Nutzer als Mitglied einer Rolle festlegen, die über einen Satz an Berechtigungen verfügt, die der Nutzer erhält
  • das Nutzerkonto auf anderen Services replizieren
  • das Servicenutzerpasswort auf ausgewählten Services ändern

Ändern eines Servicenutzerpassworts bietet Anweisungen für das Ändern von Servicenutzerpasswörtern über Services hinweg.

Methoden

ZUGREIFEN AUF DIE ANSICHT „SICHERHEIT“

Jedes der folgenden Verfahren startet in der Ansicht Services-Sicherheit.

So navigieren Sie zur Ansicht Services-Sicherheit:

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
  2. Wählen Sie einen Service und anschließend The Actions drop-down menu > Ansicht > Sicherheit aus.
    Die Ansicht „Sicherheit“ für den ausgewählten Service wird mit geöffneter Registerkarte „Nutzer“ angezeigt.
    This is an example of a Concentrator Security view.

Hinweis: Für NetWitness Platform 10.4 und frühere Serviceversionen wird im Abschnitt „Nutzereinstellungen“ das Feld Abfrageebene anstatt Core-Abfragetimeout angezeigt.

Hinzufügen eines Servicenutzers

  1. Klicken Sie auf der Registerkarte Nutzer auf The Add icon.
  2. Geben Sie den Nutzernamen für den Zugriff auf den Service an und drücken Sie dann die Eingabetaste.
    Im Abschnitt „Nutzerinformationen“ wird der Nutzername angezeigt, und die übrigen Felder sind zur Bearbeitung verfügbar.
  3. Geben Sie das Passwort zur Anmeldung beim Service in den Feldern Passwort und Passwort bestätigen an.
  4. (Optional) Geben Sie zusätzliche Informationen an:
  • Name für die Anmeldung bei NetWitness Platform
  • E-Mail-Adresse
  • Beschreibung des Nutzers
  1. Wählen Sie im Abschnitt „Benutzereinstellungen“ die folgenden Informationen aus: 
  • Authentifizierungstyp
    • Wenn NetWitness Platform den Nutzer authentifiziert, wählen Sie „NetWitness“ aus.
    • Wenn Active Directory oder PAM auf NetWitness-Server zur Authentifizierung des Benutzers konfiguriert ist, wählen Sie „Extern“ aus.
  • Core-Abfragetimeout für Abfrage ist die maximale Anzahl Minuten, die ein Nutzer eine Abfrage auf dem Service ausführen kann. Dieses Feld gilt für NetWitness Platform 10.5 und spätere Serviceversionen und wird nicht in 10.4 und früheren Versionen angezeigt.
  1. (Optional) Geben Sie zusätzliche Abfragekriterien an:
  • Abfragepräfix filtert Abfragen. Geben Sie ein Präfix ein, um die Ergebnisse zu beschränken, die der Nutzer sieht.
  • Sitzungsschwellenwert steuert, wie der Service Metawerte scannt, um die Sitzungsanzahl festzustellen. Ein Metawert mit einer Sitzungsanzahl über dem Schwellenwert stoppt die Feststellung der wirklichen Sitzungsanzahl.
  1. Wählen Sie im Abschnitt Rollenmitgliedschaft nacheinander alle Rollen aus, die Sie dem Nutzer zuweisen möchten. Wenn ein Nutzer ein Mitglied einer Rolle bei einem Service ist, hat der Nutzer die Berechtigungen, die der Rolle zugewiesen wurden.
  2. Klicken Sie zum Aktivieren des neuen Servicenutzers auf Anwenden.

REPLIZIEREN EINES BENUTZERS NACH ANDEREN SERVICES

  1. Wählen Sie in der Registerkarte „Nutzer“ einen Nutzer aus und klicken Sie auf The Action drop-down menu > Replizieren.
    Das Dialogfeld „Nutzer nach anderen Services replizieren“ wird angezeigt.
    This is an example of the Replicate User to Other Services dialog
  2. Geben Sie das Passwort ein, und bestätigen Sie es.
  3. Wählen Sie nacheinander alle Services aus, nach denen Sie den Nutzer replizieren.
  4. Klicken Sie auf Replizieren.

LÖSCHEN EINES SERVICENUTZERS

  1. Wählen Sie in der Registerkarte Nutzer den Nutzernamen aus und klicken Sie aufThe delete icon.
    NetWitness Platform fordert Sie auf, zu bestätigen, dass Sie die ausgewählten Nutzer löschen möchten..
  2. Klicken Sie zur Bestätigung auf Ja.

Hinzufügen einer Servicenutzerrolle

In NetWitness Platform gibt es vorkonfigurierte Rollen, die auf dem Server und jedem Service installiert werden. Sie können auch benutzerdefinierte Rollen hinzufügen. In der folgenden Tabelle sind die vorkonfigurierten Systemrollen und ihre Berechtigungen aufgelistet.

                                   
RolleBerechtigung
AdministratorenVoller Systemzugriff
OperatorenZugriff auf die Konfigurationen, aber nicht auf Meta- und Sitzungsinhalte
AnalystenZugriff auf Meta- und Sitzungsinhalte, aber nicht auf Konfigurationen
SOC_ManagersGleicher Zugriff wie Analysten und zusätzliche Berechtigungen für das Verarbeiten von Incidents
Malware_AnalystsZugriff auf Schadsoftwareereignisse und Meta- sowie Sitzungsinhalt
Data_Privacy_OfficersZugriff auf Metadaten und Sitzungsinhalte sowie auf Konfigurationsoptionen für das Management der Verschleierung und die Anzeige sensibler Daten innerhalb des Systems (siehe „Datenschutzmanagement“)

Sie müssen eine Servicerolle hinzufügen, wenn Sie Folgendes hinzugefügt haben:

  • Einen oder mehrere Service-Benutzer, die einen neuen Satz an Berechtigungen benötigen.
  • Eine benutzerdefinierte Rolle auf dem NetWitness-Server-Server, da es für vertrauenswürdige Verbindungen notwendig ist, dass die gleiche benutzerdefinierte Rolle auf dem Server und jedem Service vorhanden ist, auf den die benutzerdefinierte Rolle zugreift. Die Namen müssen identisch sein. Beispiel: Wenn Sie die Rolle „Junior Analysts“ auf dem Server hinzufügen, müssen Sie auf jedem Service, auf den die Rolle zugreift, eine Rolle „Junior Analysts“ hinzufügen. Weitere Informationen finden Sie im Thema Hinzufügen einer Rolle und Zuweisen von Berechtigungen unter Systemsicherheit und Benutzerverwaltung.

Es ist auch eine vorkonfigurierte Servicerolle Aggregation vorhanden. Weitere Informationen erhalten Sie unter Rolle "Aggregation" und Servicenutzerrollen und -berechtigungen.

Verfahren

So fügen Sie eine Servicenutzerrolle hinzu und weisen ihr Berechtigungen zu:

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
  2. Wählen Sie einen Service und anschließend The Actions drop-down menu > Ansicht > Sicherheit aus.
    Die Ansicht „Sicherheit“ für den ausgewählten Service wird mit geöffneter Registerkarte „Benutzer“ angezeigt.
  3. Wählen Sie die Registerkarte Rollen aus und klicken Sie auf The Add icon.
    Die Ansicht „Services-Sicherheit“ wird angezeigt und 5 vorkonfigurierte Rollen sind bereits aufgelistet.
    This is an example of the Roles tab.
  4. Klicken Sie auf The add icon, geben Sie den Rollennamen ein und drücken Sie die Eingabetaste.
    Die Rollen-ID wird über einer Liste von Rollenberechtigungen angezeigt.
  5. Wählen Sie die Berechtigungen, die die Rolle im Service haben soll, nacheinander aus. 
  6. Klicken Sie auf Anwenden.

Auf der Registerkarte Nutzer können Sie ihr Servicenutzer hinzufügen.

Ändern eines Servicenutzerpassworts

Mit diesem Verfahren können Administratoren das Passwort eines Servicenutzers ändern und das neue Passwort in allen Core-Services replizieren, in denen dieses Nutzerkonto definiert ist. Dabei wird nur die Passwortänderung und nicht das gesamte Benutzerkonto in den ausgewählten Core-Services repliziert. Die Administratoren können auch das Passwort des admin-Kontos in den Core-Services ändern.

Hinweis: Die Option „Passwort ändern“ gilt nicht für externe Benutzer.

So ändern Sie das Passwort eines Servicenutzers

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
    Die Ansicht „Administration“ > „Services“ wird angezeigt.
  2. Wählen Sie einen Service aus und klicken Sie anschließend auf The actions drop-down menu > Ansicht > Sicherheit.
    Die Ansicht „Sicherheit“ für die ausgewählten Services wird angezeigt.
  3. Wählen Sie in der Registerkarte Nutzer einen Nutzer und dann über das Aktionssymbol Passwort ändern aus.
    Das Dialogfeld Passwort ändern wird angezeigt.
    This is an example of the Change Password dialog.
  4. Geben Sie ein neues Passwort für den Nutzer ein und bestätigen Sie es.
  5. Wählen Sie die Services aus, in denen Sie das Benutzerpasswort ändern möchten. 
  6. Klicken Sie auf Passwort ändern.
    Der Status der Passwortänderung in den ausgewählten Services wird angezeigt.

Erstellen und Managen von Servicegruppen

Die Ansicht „Administration > Services“ enthält Optionen zum Erstellen und Managen von Servicegruppen. Die Symbolleiste des Bereichs „Services“ umfasst Optionen für das Erstellen, Bearbeiten und Löschen von Servicegruppen. Sobald Gruppen erstellt wurden, können Sie einzelne Services aus dem Bereich Services in eine Gruppe ziehen.

Gruppen können funktionale, geografische, projektorientierte oder beliebige andere hilfreiche Unternehmensprinzipien widerspiegeln. Ein Service kann zu mehreren Gruppen gehören. Im Folgenden werden einige Beispiele für Gruppierungen genannt.

  • Gruppieren Sie unterschiedliche Servicetypen, um alle Broker, Decoder oder Concentrators leichter konfigurieren und überwachen zu können.
  • Gruppieren Sie Services, die Teil des gleichen Datenflusses sind, z. B. einen Broker und alle zugehörigen Concentrators und Decoder.
  • Gruppieren Sie Services entsprechend ihrer geographischen Region und dem Standort in der Region. Wenn an einem Standort ein größerer Stromausfall auftritt, sind dann alle potenziell betroffenen Services leicht zu identifizieren.

Erstellen einer Gruppe

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
    Die Ansicht „Administration“ > „Services“ wird angezeigt.
  2. Klicken Sie im Bereich Gruppen auf der Symbolleiste auf The Add icon.
    Ein Feld für die neue Gruppe wird mit blinkendem Cursor darin geöffnet.
    This is the Groups panel with a new, unnamed group
  3. Geben Sie den Namen der neuen Gruppe in das Feld ein (z. B. Eine neue Gruppe) und drücken Sie die Eingabetaste.
    Die Gruppe wird als Ordner in der Struktur erstellt. Die Zahl neben der Gruppe gibt die Anzahl der Services in dieser Gruppe an.
    This is the Groups panel with the new group added

Ändern des Namens einer Gruppe

  1. Doppelklicken Sie in der Ansicht Services im Bereich Gruppen auf den Gruppennamen oder wählen Sie die Gruppe aus und klicken Sie auf The edit icon. Das Namensfeld wird mit blinkendem Cursor darin geöffnet.
  2. Geben Sie den neuen Namen der Gruppe ein und drücken Sie die Eingabetaste.
    Das Namensfeld wird geschlossen und der neue Gruppenname wird in der Struktur angezeigt.

Hinzufügen eines Services zu einer Gruppe

Wählen Sie in der Ansicht „Services“ im Bereich Services einen Service aus und ziehen Sie ihn in einen Gruppenordner im Bereich „Gruppen“, z. B. in den Ordner Log Collectors.
Der Service wird der Gruppe hinzugefügt.

Anzeigen der Services in einer Gruppe

Um die Services in einer Gruppe anzuzeigen, klicken Sie im Bereich Gruppen auf die Gruppe.

Im Bereich Services werden die Services in dieser Gruppe aufgelistet.

Entfernen eines Services aus einer Gruppe 

  1. Wählen Sie in der Ansicht „Services“ im Bereich Gruppen die Gruppe aus, die den zu entfernenden Service enthält. Die Services in dieser Gruppe werden im Bereich „Services“ angezeigt.
  2. Wählen Sie im Bereich Services einen oder mehrere Services aus, die Sie aus der Gruppe entfernen möchten, und wählen Sie in der Symbolleiste The Delete icon > Aus Gruppe entfernen aus.
    Die ausgewählten Services werden aus der Gruppe entfernt, aber nicht aus der NetWitness Platform-Benutzeroberfläche. Die Anzahl der Services in der Gruppe, die neben dem Gruppennamen angezeigt wird, verringert sich um die Anzahl der aus der Gruppe entfernten Services. Die Gruppe Alle enthält die Services, die aus der Gruppe entfernt wurden.
    Im folgenden Beispiel enthält die Servicegruppe Neue Gruppe keine Services, da der Service in dieser Gruppe entfernt wurde.
    This is an example of a group without services

Löschen von Gruppen

  1. Wählen Sie in der Ansicht „Services“ im Bereich Gruppen die Gruppe aus, die Sie löschen möchten. 
  2. Klicken Sie auf The delete icon.
    Die ausgewählte Gruppe wird aus dem Bereich „Gruppen“ entfernt. Die Services, die sich in der Gruppe befanden, werden nicht aus der NetWitness Platform-Benutzeroberfläche entfernt. Die Gruppe Alle enthält die Services der gelöschten Gruppe.

Duplizieren oder Replizieren einer Servicerolle

Eine effiziente Möglichkeit, eine neue Servicerolle hinzuzufügen, besteht darin, eine ähnliche Rolle zu duplizieren, sie unter einem neuen Namen zu speichern und die bereits zugewiesenen Berechtigungen zu bearbeiten. Sie können zum Beispiel die Rolle Analysten duplizieren. Speichern Sie diese dann als JuniorAnalysts und ändern Sie die Berechtigungen.

Eine schnelle Möglichkeit, eine existierende Rolle zu anderen Services hinzuzufügen, besteht darin, die Rolle zu replizieren. Sie können zum Beispiel die Rolle JuniorAnalysts, die auf einem Broker existiert, auf einem Concentrator oder einem Log Decoder replizieren.

Jedes der folgenden Verfahren startet in der Ansicht Services-Sicherheit.

So navigieren Sie zur Ansicht Services-Sicherheit:

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
  2. Wählen Sie einen Service und anschließend The Actions icon > Ansicht > Sicherheit aus.
    Die Ansicht „Sicherheit“ für den ausgewählten Service wird mit geöffneter Registerkarte „Nutzer“ angezeigt.
  3. Wählen Sie die Registerkarte Rollen aus.

Duplizieren einer Servicerolle

  1. Wählen Sie in der Registerkarte „Rollen“ die Rolle aus, die Sie duplizieren möchten.
    This is an example of the Roles tab.
  2. Klicken Sie auf The Duplicate icon toRolle duplizieren.
  3. Geben Sie einen neuen Namen ein und klicken Sie auf Anwenden.
  4. Wählen Sie die neue Rolle aus.
  5. Aktivieren oder deaktivieren Sie im Abschnitt Rollenberechtigungen die Berechtigungen, um die Berechtigungen einer Rolle zu ändern.

Replizieren einer Rolle

  1. Wählen Sie in der Registerkarte Rollen die Rolle aus, die Sie replizieren möchten, und klicken Sie auf Replizieren.
  2. Wählen Sie im Dialogfeld Rolle nach anderen Services replizieren alle Services aus, zu denen Sie die Rolle hinzufügen möchten.
  3. Klicken Sie auf Replizieren.

Bearbeiten von Core-Servicekonfigurationsdateien

Die Servicekonfigurationsdateien für Decoder, Log Decoder, Broker, Concentrator, Archiver und Workbench-Services können als Textdateien bearbeitet werden. Auf der Registerkarte „Servicekonfigurationsansicht > Dateien“ können Sie die folgenden Schritte ausführen:

  • Eine Servicekonfigurationsdatei, die das NetWitness Platform-System gerade verwendet, anzeigen und bearbeiten
  • Das aktuelle Backup der Datei, die Sie gerade bearbeiten, abrufen und wiederherstellen
  • Die geöffnete Datei an andere Services übertragen
  • An einer Datei vorgenommene Änderungen speichern

Die für die Bearbeitung verfügbaren Dateien sind abhängig von dem Servicetyp, der konfiguriert wird. Die für alle Core-Services verfügbaren Dateien lauten wie folgt:

  • Serviceindexdatei
  • NetWitness-Datei
  • Crash Reporter-Datei
  • Planerdatei

Darüber hinaus hat der Decoder Dateien, die Parser, Feeddefinitionen und einen Wireless-LAN-Adapter konfigurieren. 

Hinweis: Die Standardwerte in diesen Konfigurationsdateien sind für die gängigsten Situationen gut geeignet. Eine Bearbeitung ist jedoch bei optionalen Services wie dem Crash Reporter oder dem Scheduler erforderlich. Nur Administratoren mit guten Kenntnissen der Netzwerke und der Einflussfaktoren auf die Art und Weise, wie Services Daten erfassen und analysieren, sollten Änderungen an diesen Dateien in der Registerkarte „Dateien“ vornehmen.

Bearbeiten einer Servicekonfigurationsdatei

So bearbeiten Sie eine Datei:

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
  2. Wählen Sie im Raster „Services“ einen Service aus.
  3. Wählen Sie The actions drop-down menu > Ansicht > Konfiguration aus.
    Die Servicekonfigurationsansicht wird mit geöffneter Registerkarte „Allgemei“n angezeigt.
  4. Klicken Sie auf die Registerkarte Dateien.
    Der ausgewählte Service, wie etwa Concentrator, wird in der Drop-down-Liste auf der rechten Seite angezeigt.
  5. (Optional) Wählen Sie zur Bearbeitung einer Datei für den Host anstatt für den Service in der Drop-down-Liste die Option Host aus.
  6. Wählen Sie aus der Drop-down-Liste Wählen Sie eine Datei zur Bearbeitung aus eine Datei aus.
    Der Inhalt der Datei wird im Bearbeitungsmodus angezeigt.
    Editable Files tab in Config view
  7. Bearbeiten Sie die Datei und klicken Sie auf Anwenden.

Die aktuelle Datei wird überschrieben und eine Backupdatei wird erstellt. Die Änderungen werden nach dem Neustart des Services wirksam.

Wiederherstellen einer Backupversion einer Servicekonfigurationsdatei

Nachdem Sie an einer Konfigurationsdatei Änderungen vorgenommen, die Datei gespeichert und den Service neu gestartet haben, steht eine Backupdatei zur Verfügung. So stellen Sie ein Backup einer Konfigurationsdatei wieder her: 

  1. Wählen Sie eine Konfigurationsdatei aus, indem Sie die Schritte 1 bis 6 des Verfahrens am Anfang dieses Themas abschließen.
  2. Klicken Sie auf Get Backup.
    Die Backupdatei wird im Texteditor geöffnet.
  3. Klicken Sie zur Wiederherstellung der Backupversion auf Speichern.

Die Änderungen werden nach dem Neustart des Services wirksam.

Übertragen einer Konfigurationsdatei an andere Services

Nachdem Sie eine Servicekonfigurationsdatei bearbeitet haben, können Sie die gleiche Konfiguration auf andere Services des gleichen Typs übertragen. 

  1. Wählen Sie eine Konfigurationsdatei aus, indem Sie die Schritte 1–6 des Verfahrens Bearbeiten von Servicekonfigurationsdateien am Anfang dieses Themas ausführen.
  2. Klicken Sie auf The Push icon. Das Dialogfeld „Services auswählen“ wird angezeigt.
  3. Wählen Sie jeden Service aus, um die Konfigurationsdatei auf ihn zu übertragen.
    Jeder Service muss vom gleichen Typ sein wie derjenige, den Sie in der Ansicht Services ausgewählt haben.

    Achtung: Wenn Sie sich dagegen entscheiden, die Konfigurationsdatei zu übertragen, klicken Sie auf Abbrechen.

  4. Klicken Sie zur Übertragung der Konfigurationsdatei auf alle ausgewählten Services auf OK.

Die Konfigurationsdatei wird auf alle ausgewählten Services übertragen. 

Konfigurieren des Aufgabenplaners

Planerdatei

Sie können die Planerdatei in der Registerkarte „Dateien“ in der Servicekonfigurationsansicht bearbeiten. Diese Datei konfiguriert den integrierten Aufgabenplaner für einen Service. Der Aufgabenplaner kann automatisch in vordefinierten Intervallen oder zu bestimmten Tageszeiten Nachrichten versenden.

Syntax des Aufgabenplaners

Eine Aufgabenzeile in der Planerdatei enthält die folgende Syntax, wenn <Value> keine Leerzeichen enthält:

<ParamName>=<Value>

Enthält <Value> Leerzeichen, gilt folgende Syntax:

<ParamName>="<Value>"

In jeder Aufgabenzeile gelten folgende Guidelines:

  • Der Parameter time (Zeit) oder einer der Intervallparameter (seconds (Sekunden), minutes (Minuten) oder hours (Stunden)) ist erforderlich.
  • Stellen Sie Sonderzeichen einen umgekehrten Schrägstrich \  voran.

Aufgabenzeilenparameter

Die folgenden Aufgabenzeilenparameter werden vom Planer akzeptiert.

                                                       
SyntaxBeschreibung
daysOfWeek: <string, optional, {enum-any:sun|mon|tue|wed|thu|fri|sat|all}>Die Wochentage, an denen die Aufgabe ausgeführt werden soll. Der Standardwert ist alle.
deleteOnFinish: <bool, optional>Aufgabe nach erfolgreicher Durchführung löschen
hours: <uint32, optional, {range:1 to 8760}>Die Anzahl von Stunden zwischen den Ausführungen.
logOutput: <string, optional>Die Ausgabe unter Verwendung des angegebenen Modulnamens protokollieren
minutes: <uint32, optional, {range:1 to 525948}>Die Anzahl von Minuten zwischen den Ausführungen.
msg: <string>Die Nachricht, die an den Node gesendet werden soll
params: <string, optional>Die Parameter für die Nachricht
pathname: <string>Der Pfad des Node, der die Nachricht erhalten soll
seconds: <uint32, optional, {range:1 to 31556926}>Die Anzahl der Sekunden zwischen den Ausführungen
time: <string>Die Zeit der Ausführung im Format HH::MM::SS (Ortszeit des Servers)
timesToRun: <uint32, optional>Häufigkeit der Ausführung aufgrund des Servicestarts, 0 bedeutet unbegrenzt (Standardeinstellung).

Nachrichten

Die folgenden Nachrichtenzeichenfolgen können im Aufgabenplaner als msg-Parameter verwendet werden.

                                 
MeldungBeschreibung
addInterDamit fügen Sie eine Aufgabe hinzu, die in einem definierten Intervall ausgeführt wird. Mit der folgenden Nachricht wird beispielsweise der Befehl /index save alle 6 Stunden ausgeführt:
addInter hours=6 pathname=/index msg=save
addMil
 
Damit fügen Sie eine Aufgabe hinzu, die an einem oder mehreren Tagen zu einer bestimmten Uhrzeit ausgeführt wird. Mit der folgenden Nachricht wird beispielsweise der Befehl /index save um 1:00 Uhr an jedem Werktag ausgeführt:
addMil time= 01:00:00 pathname=/index
msg=save daysOfWeek=mon,tue,wed,thu,fri
delSchedDamit löschen Sie eine bestehende geplante Aufgabe. Der Parameter id der Aufgabe muss von der print-Nachricht abgerufen werden.
printDamit drucken Sie alle geplanten Aufgaben.
replaceDamit weisen Sie alle geplanten Aufgaben in einer Nachricht zu und löschen alle bestehenden Aufgaben.
saveSpeicher-Nodes

Beispielaufgabenzeile

Die folgende Beispielaufgabenzeile in der Planerdatei lädt die gepackte Feedsdatei (feeds.zip) alle 120 Minuten vom Hostserver des Feeds herunter.

minutes=120 pathname=/parsers msg=feed params="type\=wget file\=http://feedshost/nwlive/feeds.zip"

Bearbeiten einer Serviceindexdatei

Dieses Thema enthält wichtige Informationen und Richtlinien zur Konfiguration benutzerdefinierten Serviceindexdateien, die in der Ansicht Services > Konfiguration > Registerkarte Dateien bearbeitet werden können.

Zusammen mit anderen Konfigurationsdateien steuert die Indexdatei die Vorgänge des jeweiligen Core-Services. Durch Zugreifen auf die Indexdatei über die Servicekonfigurationsansicht in NetWitness Platform wird die Datei in einem Text-Editor geöffnet, in dem Sie sie bearbeiten können.

Hinweis: Nur Administratoren mit fundierten und umfassenden Kenntnissen der Core-Servicekonfiguration sind qualifiziert, Änderungen an einer Indexdatei vorzunehmen, die eine der zentralen Konfigurationsdateien für den Appliance-Service darstellt. Die vorgenommenen Änderungen müssen auf allen Core-Services konsistent sein. Ungültige Einträge oder falsch konfigurierte Dateien können einen Start des Systems verhindern und ein Eingreifen des RSA-Supports erfordern, um den Funktionsfähigkeit des Systems wiederherzustellen.

Dies sind die Indexdateien: 

  • index-broker.xml und index-brokercustom.xml
  • index-concentrator.xml und index-concentrator‐custom.xml
  • index-decoder.xml und index-decodercustom.xml
  • index-logdecoder.xml und index-logdecodercustom.xml
  • index-archiver.xml und index-archiver‐custom.xml
  • index-workbench.xml und index-workbench‐custom.xml

Indexdateien und benutzerdefinierte Indexdateien

Alle kundenspezifischen Indexänderungen werden in index-<service>-custom.xml vorgenommen. Diese Datei überschreibt alle Einstellungen in index-<service>.xml, die ausschließlich durch RSA gesteuert wird. 

Mit der benutzerdefinierten Indexdatei index-<service>‐custom.xml können kundenspezifische Definitionen erstellt oder Ihre eigenen Sprachschlüssel überschrieben werden, die während des Upgradeprozesses nicht überschrieben werden.

  • Schlüssel, die in der Datei index-<service>‐custom.xml definiert sind, ersetzen die Definitionen in der Datei index-<service>.xml.
  • Schlüssel, die zur Datei index-<service>custom.xml hinzugefügt werden und nicht in der Datei index‐<service>.xml vorhanden sind, werden als neuer Schlüssel zur Sprache hinzugefügt.

Einige häufige Anwendungsbeispiele für das Bearbeiten der Indexdatei sind:

  • Hinzufügen neuer benutzerdefinierter Metaschlüssel, um neue Felder zur NetWitness Platform-Benutzeroberfläche hinzuzufügen
  • Konfiguration geschützter Metaschlüssel als Teil einer Datenschutzlösung wie im Leitfaden Datenschutzmanagement beschrieben
  • Anpassen der Abfrageperformance der NetWitness Platform Core-Datenbanken wie im NetWitness Platform Core-Datenbank-Tuning-Leitfaden beschrieben

Achtung: Setzen Sie die Indexebene auf einem Decoder niemals auf IndexKeys oder IndexValues, wenn ein Concentrator oder Archiver von dem Decoder aggregiert. Die Größe der Indexpartition ist zu klein, um die Indexierung über den standardmäßigen Metaschlüssel time hinaus zu unterstützen.

Aktivieren des Crash Reporter-Service

Der Crash Reporter ist ein optionaler Service für NetWitness Platform-Services. Ist der Crash Reporter für einen der Core-Services aktiviert, generiert dieser automatisch ein Informationspaket, das zur Diagnose und Lösung des Problems, das zum Servicefehler geführt hat, verwendet wird. Das Paket wird automatisch an RSA zur Analyse gesendet. Die Ergebnisse werden an den RSA-Support zur weiteren Bearbeitung gesendet.

Das an RSA gesendete Informationspaket enthält keine erfassten Daten. Dieses Informationspaket enthält die folgenden Informationen:

  • Stapelüberwachung
  • Protokolle
  • Konfigurationseinstellungen
  • Softwareversion
  • CPU-Informationen
  • Installierte RPMs
  • Festplattengeometrie

Die Absturzanalyse des Crash Reporter kann für jedes Core-Produkt aktiviert werden. 

Die Datei crashreporter.cfg

Eine der zur Bearbeitung verfügbaren Dateien in der in der Registerkarte „Dateien“ in der Ansicht „Servicekonfiguration“ ist crashreporter.cfg, die Serverkonfigurationsdatei des Crash Reporter-Clients.

Diese Datei wird von dem Skript verwendet, das Absturzreporte in des Hosts überprüft, aktualisiert und erstellt. Zu überwachende Produkte können Decoder, Concentrators, Hosts und Brokers umfassen.

In dieser Tabelle werden die Einstellungen für die Datei crashreporter.cfg aufgelistet.

                                                                                                           
EinstellungBeschreibung
applicationlist=decoder, concentrator, hostDefinieren Sie die Liste der zu überwachenden Produkte.
sitedir=/var/crashreporterSpeicherort des Seitenverzeichnisses für den Bericht.
webdir=/usr/share/crashreporter/WebSpeicherort des Web-Verzeichnisses.
devdir=/var/crashreporter/DevSpeicherort des Entwicklungs-Verzeichnisses.
datadir=/var/crashreporter/dataSpeicherort des Verzeichnisses, das Datendateien speichert.
perldir=/usr/share/crashreporter/perlSpeicherort der Perl-Dateien.
bindir=/usr/share/crashreporter/binSpeicherort der binären ausführbaren Dateien.
libdir=/usr/share/crashreporter/libSpeicherort der binären Bibliotheken.
cfgdir=/etc/crashreporterSpeicherort der Konfigurationsdateien.
logdir=/var/log/crashreporterSpeicherort der Protokolldateien.
scriptdir=/usr/share/crashreporter/scriptsSpeicherort des Verzeichnisses, das Skripts enthält.
workdir=/var/crashreporter/workSpeicherort des Produktionsprozess-Verzeichnisses.
sqldir=/var/crashreporter/sqlSpeicherort erstellter sql-Dateien.
reportdir=/var/crashreporter/reportsErstellungsort temporärer Berichte.
packagedir=/var/crashreporter/packagesSpeicherort der erstellten Paket-Dateien.
gdbconfig=/etc/crashreporter/crashreporter.gdbSpeicherort der gdb-Konfigurationsdatei.
corewaittime=30Definieren Sie die Anzahl der Sekunden, die Sie nach dem Auffinden eines Cores warten, um zu überprüfen, ob sich der Core noch im Erstellungsprozess befindet.
cyclewaittime=10Definieren Sie die Anzahl an Minuten, die zwischen einzelnen Suchzyklen liegen.
deletecores=1Legen Sie fest, ob Core-Dateien nach dem Bericht gelöscht werden sollen.
0 = Nein
1 = Ja
HINWEIS: Bis zu dem Zeitpunkt, zu dem die Core-Datei gelöscht ist, wird diese Meldung jedes Mal angezeigt, wenn „crashreporter“ neu gestartet wird.
deletereportdir=1Legen Sie fest, ob das Berichtsverzeichnis nach dem Bericht gelöscht werden soll. Dies eignet sich zur Ansicht von Core-Berichten in einem Dialogfeld.
0 = Nein
1 = Ja
NOTE: Wird das Verzeichnis nicht gelöscht, wird dieses jedem nachfolgenden Paket hinzugefügt.
debug=1Legen Sie fest, ob Debugging-Meldungen in der crashreporter-Protokollausgabe aktiviert oder deaktiviert werden.
0 = Nein
1 = Ja
posturl=https://www.netwitnesslive.com/crash...ter/submit.phpDefinieren Sie die Post-URL des Webservers.
postpackages=0Legen Sie fest, ob die Pakete an den Webserver gesendet werden oder nicht.
0 = Nein
1 = Ja
deletepackages=1Legen Sie fest, ob Pakete gelöscht werden sollen, wenn Sie an den Webserver gesendet wurden.
0 = Nein
1 = Ja

Konfigurieren des Crash Reporter-Services

So konfigurieren Sie den Crash Reporter-Service:

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie einen Service aus und klicken Sie auf The Actions icon > Ansicht > Konfiguration.
  3. Wählen Sie die Registerkarte Dateien aus.
  4. Bearbeiten Sie die Datei crashreporter.cfg.
  5. Klicken Sie auf Speichern.
  6. Um die Ansicht „Service-System“ anzuzeigen, wählen Sie Konfiguration > System aus.
  7. Um den Service neu zu starten, klicken Sie auf The shutdown service icon.
    Der Service fährt herunter und wird neu gestartet.

Starten und Beenden des Crash Reporter-Services

So starten Sie den Crash Reporter-Service:

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
  1. Klicken Sie in der Symbolleiste auf Host Tasks.
    Die Hostaufgabenliste wird angezeigt.
  2. Wählen Sie in der Drop-down-Liste der Aufgaben Service starten.
  3. Geben Sie im Feld „Argumente“ den Text crashreporter ein und klicken Sie auf Ausführen
    This is an example of the Host Task List dialog for this procedure.

Der Crash Reporter-Service ist aktiviert und bleibt so lange aktiv, bis Sie ihn beenden.

Um den Crash Reporter-Service zu beenden, klicken Sie in der Drop-down-Liste „Aufgaben“ auf Service anhalten.

Pflegen der Tabellenzuordnungsdateien

Die von RSA bereitgestellte Tabellenzuordnungsdatei table-map.xml ist ein sehr wichtiger Teil des Log Decoder. Es handelt sich dabei um eine Definitionsdatei, in der auch die in einem Protokollparser verwendeten Schlüssel den Schlüsseln in der Meta-DB zugeordnet werden. 

Hinweis: Bearbeiten Sie nicht die Datei table-map.xml. Wenn Sie Änderungen an der Tabellenzuordnung vornehmen möchten, tun Sie dies in der Datei table-map-custom.xml. Die neueste Version der Datei table-map.xml ist auf Live verfügbar. Sie wird bei Bedarf von RSA aktualisiert. Wenn Sie Änderungen an der Datei table-map.xml vornehmen, können diese während eines Service- oder Inhaltsupgrades überschrieben werden.

Die Tabellenzuordnungs- und benutzerdefinierten Tabellenzuordnungsdateien erfüllen zwei Zwecke:

  • Die in den Protokollparsern verwendeten Variablen in NetWitness Metaschlüsselnamen zu übersetzen und
  • dem System mitzuteilen, welche Schlüssel zu Concentrator wechseln sollen.

Sehen Sie sich beispielsweise den vorkonfigurierten Palo Alto-Protokollparser an und untersuchen Sie einen der folgenden Metaschlüssel: stransaddr. Dieser Schlüssel steht für die übersetzte Quelladresse. Wenn wir uns die Datei table-map.xml ansehen, sehen wir, dass diese Variable als „vorübergehend“ aufgeführt wird:

<mapping envisionName="stransaddr" nwName="stransaddr" flags="Transient" format="Text" />

Da diese Variable als vorübergehend aufgeführt ist, wurde sie nie nach Concentrator verschoben. Wenn Sie sich alle Metadaten ansehen, die wir aus diesem Protokoll in Concentrator analysieren, wird sie nicht als verfügbarer Schlüssel aufgeführt.

Nehmen wir an, dass wir den Wert in der benutzerdefinierten Tabellenzuordnung in Folgendes ändern:

<mapping envisionName="stransaddr" nwName="stransaddr" flags="None" format="Text" />

In diesem Fall wird das Schlüssel-/Wert-Paar nach Concentrator kopiert und von dort aus können Sie festlegen, ob es indiziert werden soll oder nicht.

In der Datei table-map.xml sind einige Metaschlüssel auf Transient festgelegt und einige auf None. Um einen bestimmten Metaschlüssel speichern und indexieren zu können, muss der Schlüssel auf None festgelegt sein. Um Änderungen an der Zuordnung vornehmen zu können, müssen Sie eine Kopie der Datei table-map-custom.xml auf dem Log Decoder erstellen und die Metaschlüssel auf None festlegen.

Zur Metaschlüsselindexierung:

  • Wenn ein Schlüssel in der Datei table-map.xml im Log Decoder mit None markiert ist, ist er indexiert.
  • Wenn ein Schlüssel in der Datei table-map.xml im Log Decoder als Transient markiert ist, ist er nicht indexiert. Kopieren Sie zur Indexierung des Schlüssels den Eintrag in die Datei table-map-custom.xml und ändern Sie das Schlüsselwort von flags="Transient" in flags="None".
  • Wenn ein Schlüssel in der Datei table-map.xml nicht vorhanden ist, fügen Sie der Datei table-map-custom.xml im Log Decoder einen Eintrag hinzu.

Achtung: Aktualisieren Sie die Datei table-map.xml nicht, da sie bei einem Upgrade überschrieben werden kann. Nehmen Sie alle Änderungen an der Datei table-map-custom.xml vor.

Voraussetzungen

Wenn auf dem Log Decoder keine Datei table-map-custom.xml vorhanden ist, erstellen Sie eine Kopie von table-map.xml und benennen Sie sie um in table-map-custom.xml.

Verfahren

So überprüfen und aktualisieren Sie die Tabellenzuordnungsdatei:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie im Raster „Services“ einen Log Decoder aus und klicken Sie auf The Actions icon > Ansicht > Konfiguration.
  3. Klicken Sie auf die Registerkarte Dateien und wählen Sie die Datei table-map.xml aus.
    This is an example of the Files tab with the relevant line highlighted.
  4. Vergewissern Sie sich, dass die Flag-Schlüsselwörter korrekt auf Transient oder None festgelegt sind.
  5. Wenn Sie einen Eintrag ändern müssen, ändern Sie nicht die Datei table-map.xml . Kopieren Sie stattdessen den Eintrag, wählen Sie die Datei table-map-custom.xml aus, suchen Sie den Eintrag in der Datei table-map-custom.xml und ändern Sie das Flag-Schlüsselwort von Transient in None.
    Der folgende Eintrag für den Metaschlüssel hardware.id in der Datei table-map.xml ist beispielsweise nicht indexiert und das Flag-Schlüsselwort wird als Transient angezeigt:
    <mapping envisionName="hardware_id" nwName="hardware.id" flags="Transient"/>
    Um den Metaschlüssel hardware.id zu indexieren, ändern Sie das Flag-Schlüsselwort von Transient in None in der Datei table-map-custom.xml:
    <mapping envisionName="hardware_id" nwName="hardware.id" flags="None"/>
  6. Wenn ein Eintrag in der Datei table-map.xml nicht vorhanden ist, fügen Sie der Datei table-map-custom.xml einen Eintrag hinzu.
  7. Klicken Sie nach dem Vornehmen Ihrer Änderungen an der Datei table-map-custom.xml auf Anwenden.

Achtung: Bedenken Sie vor dem Ändern der Tabellenzuordnungsdateien sorgfältig die Folgen der Änderung des Indexes von Transient in None, da dies Auswirkungen auf den verfügbaren Speicher und die Performance des Log Decoder haben kann. Aus diesem Grund sind nur bestimme Metaschlüssel als indexiert vorkonfiguriert. Verwenden Sie die Datei table-map-custom.xml für verschiedene Anwendungsbeispiele.

Bearbeiten oder Löschen eines Services

Sie können Serviceeinstellungen bearbeiten, z. B. den Hostnamen oder die Portnummer ändern oder einen nicht mehr benötigten Service löschen.

Jedes der folgenden Verfahren beginnt in der Services-Ansicht.

Um die Ansicht „Services“ aufzurufen, navigieren Sie in NetWitness Platformzu ADMIN > Services.

This is the Services view.

Methoden

Bearbeiten eines Services

  1. Wählen Sie in der Ansicht „Services“ einen Service aus und klicken Sie auf The Edit icon oder The Actions drop-down menu > Bearbeiten.
    Das Dialogfeld Service bearbeiten wird angezeigt. Es enthält nur die Felder, die auf den ausgewählten Service zutreffen.
    This is the Edit Service dialog
  2. Bearbeiten Sie die Servicedetails durch Ändern folgender Felder:
    • Name
    • Port: Jeder Core-Service hat zwei Ports: SSL und Nicht-SSL. Sichere Verbindungen werden mit dem SSL-Port gewährleistet.
    • SSL: Für sichere Verbindungen müssen Sie SSL verwenden. 
    • Benutzername und Passwort: Verwenden Sie diese Anmeldedaten zum Testen der Verbindung mit einem Service.
      1. Wenn Sie eine sichere Verbindung verwenden, können Sie den Benutzernamen löschen.
        Wenn Sie keine sichere Verbindung verwenden, geben Sie einen Benutzernamen und ein Passwort ein.
      2. Klicken Sie auf Verbindung testen.
  3. Klicken Sie auf Speichern.

Löschen eines Services

  1. Wählen Sie in der Ansicht „Services“ einen oder mehrere Services aus und klicken Sie auf The Delete icon oder The actions drop-down menu > Löschen.
  2. In einem Dialogfeld werden Sie zur Bestätigung aufgefordert. Um den Service zu löschen, klicken Sie auf Ja.

Der gelöschte Service steht nicht mehr in den NetWitness Platform-Modulen zur Verfügung. 

Durchsuchen und Bearbeiten der Service-Eigenschaftenstruktur

Die Ansicht Durchsuchen zu einem Service ist in zwei Teile unterteilt und bietet Ihnen erweiterten Zugriff auf und Kontrolle über die Servicefunktion. Die Liste „Node“ zeigt die Servicefunktion in einer Baumstruktur der Ordner an. Der Bereich „Monitor“ zeigt die Eigenschaften des Ordners oder der Datei an, der bzw. die in der Liste „Node“ ausgewählt ist.

Jedes der folgenden Verfahren beginnt in der Ansicht „Durchsuchen“.

So navigieren Sie zur Ansicht „Durchsuchen“:

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
  2. Wählen Sie einen Service und anschließend The Actions drop-down menu > Ansicht > Durchsuchen aus.
    Die Ansicht Durchsuchen wird angezeigt. Die Liste „Node“ ist auf der linken Seite und der Bereich „Monitor“ ist auf der rechten Seite.
    This is an example of the Explore view

ANZEIGEN ODER BEARBEITEN EINER SERVICEEIGENSCHAFT

So zeigen Sie eine Serviceeigenschaft an:

  1. Klicken Sie mit der rechten Maustaste auf eine Datei in der Liste Node oder im Bereich Monitor.
  2. Klicken Sie auf Eigenschaften.

So bearbeiten Sie den Wert einer Serviceeigenschaft:

  1. Wählen Sie im Bereich Monitor einen bearbeitbaren Eigenschaftswert.
  2. Geben Sie einen neuen Wert ein. 

SENDEN EINER MELDUNG AN EINEN NODE

  1. Wählen Sie im Dialogfeld „Eigenschaften“ einen Meldungstyp aus. Welche Optionen verfügbar sind, hängt von der in der Liste „Node“ ausgewählten Datei ab.
    Im Feld Hilfe zu Meldungen wird eine Beschreibung des ausgewählten Meldungstyps angezeigt.
  2. (Optional) Geben Sie die Parameter ein, falls sie von der Meldung benötigt werden. 
  3. Klicken Sie auf Senden.
    Im Feld Antwortausgabe wird der Wert oder das Format angezeigt.

Beenden der Verbindung zu einem Service

Sie können Sitzungen, die in einem Service ausgeführt werden, in der Ansicht „Service-System“ anzeigen. Sie können von der Liste der Sitzungen aus die Sitzungen sowie aktive Abfragen innerhalb einer Sitzung beenden.

Beenden einer Sitzung über einen Service

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
    Die Ansicht „Admin-Services“ wird angezeigt.
  2. Wählen Sie einen Service und anschließend The Actions icon > Ansicht > System aus.
    Die Ansicht „Service-System“ wird angezeigt.

  3. Klicken Sie im Raster Sitzungsinformationen unten auf eine Sitzungsnummer.
    Das Bestätigungsdialogfeld wird angezeigt.
  4. Klicken Sie auf Yes.

Beenden einer aktiven Abfrage in einer Sitzung

  1. Scrollen Sie zu dem Raster Sitzungen herunter.
  2. Klicken Sie in der Spalte Aktive Abfragen auf eine Anzahl aktiver Abfragen einer Sitzung, die größer als null ist. Sie können nicht darauf klicken, wenn es 0 aktive Abfragen gibt.
    Das Dialogfeld „Aktive Abfragen“ wird angezeigt.
    This is an example of the Active Queries dialog
  3. Wählen Sie eine Abfrage aus und klicken Sie auf Abfrage abbrechen.
    Die Abfrage wird abgebrochen und die Spalte Aktive Abfragen wird aktualisiert.

Suchen nach Services

Sie können in der Ansicht „Services“ in der Serviceliste nach den gewünschten Services suchen. Die Ansicht „Services“ ermöglicht es Ihnen, die Liste der Services schnell nach Name, Host und Servicetyp zu filtern. Sie können das Drop-down-Menü „Filtern“ und das Feld „Filtern“ separat oder gleichzeitig verwenden, um die Ansicht „Services“ zu filtern. 

Suchen nach einem Service

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
  2. Geben Sie in der Symbolleiste des Bereichs Services den Namen eines Services oder einen Host im Feld Filter ein.
    This is the Filter field.

    Im Bereich „Services“ werden die Services aufgelistet, die mit den ins Feld „Filter“ eingegebenen Namen übereinstimmen. Im folgenden Beispiel sind die Suchergebnisse aufgeführt, nachdem das Wort Protokoll im Feld „Filter“ eingegeben wurde.
    This is the Services panel with two results matching a search for log

Filtern von Services nach Typ

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services.
  2. Klicken Sie in der Ansicht „Services“ auf The Filter icon und wählen Sie die Servicetypen aus, die in der Ansicht „Services“ angezeigt werden sollen.


    Die ausgewählten Servicetypen werden in der Ansicht „Services“ angezeigt. Im folgenden Beispiel ist die Ansicht „Services“ dargestellt, die nach einem Concentrator und einem Log Decoder gefiltert wurde.

    This is the Services panel filtered for Concentrator and Decoder.

Suchen der Services auf einem Host

Sie können die Services für einen Host nicht nur in der Ansicht Services finden, sondern auch die Services, die auf einem Host ausgeführt werden, schnell in der Ansicht Hostssuchen. 

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Hosts.
  2. Wählen Sie in der Ansicht „Hosts“ einen Host aus und klicken Sie in der Spalte Services auf das Feld, das eine Zahl enthält (die Anzahl der Services).
    Eine Liste der Services auf dem ausgewählten Host wird angezeigt.

Im folgenden Beispiel wird eine Liste mit 4 Services auf dem ausgewählten Host angegeben, nachdem auf das Feld mit der Zahl 4 geklickt wurde.
The is an example of the dialog that appears when you click the service count

  1. Sie können auf die Servicelinks klicken, um die Services in der Ansicht „Services“ anzuzeigen.

Starten, Beenden oder Neustarten eines Service

Diese Verfahren gelten nur für Core-Services.

Jedes der folgenden Verfahren beginnt in der Services-Ansicht. Navigieren Sie in NetWitness Platform zu ADMIN > Services.

Starten, Beenden oder Neustarten eines Services

Wählen Sie einen Service aus und klicken Sie auf The Actions drop-down menu >Starten.

Beenden eines Services

Wenn Sie einen Service beenden, werden auch alle zugehörigen Prozesse beendet und alle aktiven Nutzer werden vom Service getrennt.

So beenden Sie einen Service:

  1. Wählen Sie einen Service aus und klicken Sie auf The Actions drop-down menu > Beenden.
  2. In einem Dialogfeld werden Sie zur Bestätigung aufgefordert. Um den Service zu beenden, klicken Sie auf Ja.

Neustarten eines Services

Gelegentlich müssen Sie einen Service von Neuem starten, damit Änderungen wirksam werden. Wenn Sie einen Parameter ändern, für den ein Neustart erforderlich ist, wird in NetWitness Platform eine Meldung angezeigt.

So starten Sie einen Service von Neuem:

  1. Wählen Sie einen Service aus und klicken Sie auf The Actions drop-down menu > Neustart.
  2. In einem Dialogfeld werden Sie zur Bestätigung aufgefordert. Um den Service zu beenden, klicken Sie auf Ja.

Der Service wird beendet und startet dann automatisch von Neuem.

Anzeigen von Servicedetails

Sie können Informationen über Services anzeigen und bearbeiten, indem Sie das Menü „Ansicht“ für einen Service aufrufen.
This is the service View menu

Zweck der einzelnen Serviceansichten

Jede Ansicht zeigt einen funktionalen Bereich eines Services an. Die Ansichten werden in einem eigenen Abschnitt im Detail beschrieben:

  • Die Ansicht „System“ zeigt eine Übersicht der Informationen für Services, Applianceservices, Hostnutzer und Sitzungen an.
  • Die Ansicht „Statistik“ bietet die Möglichkeit, Status und Operationen des Services zu überwachen. 
  • Die Ansicht „Konfiguration“ dient der Konfiguration aller Aspekte eines Services. 
  • Die Ansicht „Durchsuchen“ dient der Anzeige und Bearbeitung der Host- und Servicekonfigurationen.
  • Der Bereich „Systemprotokollierung“ zeigt die Serviceprotokolle an, die Sie durchsuchen können. 
  • Die Ansicht „Sicherheit“ ermöglicht es, NetWitness Platform Core-Nutzerkonten für Nutzer von Aggregation, Thick-Client und REST-API hinzuzufügen.

Ansicht Zugriff auf einen Service

So greifen Sie auf eine Ansicht für einen Service zu:

  1. Navigieren Sie in NetWitness Platform zu ADMIN > Services
  2. Wählen Sie einen Service aus und klicken Sie auf The Actions menu > Ansicht.

    Das Menü „Ansicht“ wird angezeigt.

    This is the View menu

  3. Wählen Sie in den Optionen auf der linken Seite eine Ansicht aus.

    Dies ist eine Systemansicht für einen Broker.

  4. Navigieren Sie mithilfe der Symbolleiste:

    1. Klicken Sie auf Service ändern, um einen anderen Service auszuwählen.
      Das Dialogfeld Service verwalten wird angezeigt.
    2. Aktivieren Sie das Kontrollkästchen links neben dem gewünschten Service.
    3. Wählen Sie die gewünschte Ansicht für den Service aus, den Sie im Drop-down-Menü „Ansicht“ ausgewählt haben.

      This is the View menu

      Die neue Ansicht (z. B. „Statistik“) für den ausgewählten Service wird angezeigt.

Next Topic:Referenzen
You are here
Table of Contents > Hosts und Services – Verfahren

Attachments

    Outcomes