Erste Schritte mit Hosts: Hosts und Services – Verfahren

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Jeder Service erfordert einen Host. Nach dem Einrichten eines Hosts können Sie diesem Host und von diesem Host aus anderen Hosts in der NetWitness Suite-Bereitstellung Services zuweisen.

                           
Allgemeine AufgabenBeschreibung
Einrichten eines Hosts

Führen Sie die folgenden Schritte aus, um einen Host einzurichten.

Schritt 1. Bereitstellen eines Hosts

Schritt 2. Installieren eines Service auf einem Host

Schritt 3. Überprüfen von SSL-Ports auf vertrauenswürdige Verbindungen

Schritt 4. Managen des Zugriffs auf einen Service

Warten eines Hosts – Grundlagen

Die folgenden Wartungsaufgaben sind nicht erforderlich und werden in alphabetischer Reihenfolge angezeigt.

Warten eines Hosts über das Dialogfeld „Hostaufgabenliste“

Sie können das Dialogfeld Hostaufgabenliste verwenden, um Aufgaben zu managen, die im Zusammenhang mit einem Host und dessen Kommunikation mit dem Netzwerk stehen. Für Core-Hosts sind mehrere Service- und Hostkonfigurationsoptionen verfügbar. 

Verwalten eines Service

Anhand der folgenden Abläufe wird beschrieben, wie Services verwaltet werden.

Schritt 1. Bereitstellen eines Hosts

  1. Bereitstellen eines Hosts
    Sie können einen physischen Host (RSA Appliance), einen virtuellen Host lokal, einen virtuellen Host in AWS oder einen virtuellen Host in Azure bereitstellen. In den folgenden Leitfäden finden Sie Anweisungen zur Bereitstellung von Hosts.
    • RSA NetWitness® Suite – Leitfaden zur Bereitstellung eines physischen Hosts
    • RSA NetWitness® Suite – Leitfaden zur Bereitstellung eines virtuellen Hosts
    • RSA NetWitness® Suite – Leitfaden zur Bereitstellung in AWS
    • RSA NetWitness® Suite – Leitfaden zur Bereitstellung in Azure
  2. Navigieren Sie zu Administration > Hosts.
    Das Dialogfeld Neue Hosts mit den bereitgestellten Hosts wird angezeigt.
  3. Wählen Sie die Hosts aus, die Sie aktivieren möchten.
    Die Menüoption Aktivieren wird aktiv.
  4. Klicken Sie auf Aktivieren
    .
  5. Wählen Sie den Host aus, den Sie aktiviert haben.
    Der Host wird in der Ansicht „Hosts“ angezeigt. An diesem Punkt können Sie einen Service auf dem Host installieren.

Schritt 2. Installieren eines Service auf einem Host

Jeder Service ist als Plug-in-Modell ausgelegt, das je nach Funktion des Hosts aktiviert oder deaktiviert werden kann.

Voraussetzungen

Folgende physische oder virtuelle Geräte müssen installiert werden: NetWitness-Server, Broker, Concentrator, Decoder, Log Decoder, Archiver, Warehouse, Malware Analysis-Server oder Event Stream Analysis-Server.

Verfahren

Führen Sie die folgenden Schritte aus, um einen Service zu einem Host hinzuzufügen:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Hosts.
    Die Ansicht Hosts wird angezeigt.
  2. Wählen Sie den Host aus, auf dem Sie den Service installieren möchten (z. B Event Stream Analysis).
  3. Klicken Sie in der Symbolleiste auf das Installationssymbol .
    Das Dialogfeld Services installieren wird angezeigt.
  4. Wählen Sie in der Drop-down-Liste Hosttyp einen Service aus (z. B. ESA Primary).
    Die Installationsschaltfläche im Dialogfeld Services installieren wird aktiv.
  5. Klicken Sie auf die Installationsschaltfläche .


Schritt 3. Überprüfen von SSL-Ports auf vertrauenswürdige Verbindungen

Um vertrauenswürdige Verbindungen zu unterstützen, besitzt jeder Core-Service zwei Ports: einen unverschlüsselten Nicht-SSL-Port und einen verschlüsselten SSL-Port. Vertrauenswürdige Verbindungen setzen einen verschlüsselten SSL-Port voraus. 

Voraussetzung

Um eine vertrauenswürdige Verbindung herzustellen, muss jeder NetWitness Suite Core-Service auf Version 10.4 oder höher aktualisiert werden. Vertrauenswürdige Verbindungen sind nicht abwärtskompatibel mit NetWitness Suite Core 10.3.x oder niedriger. 

Verschlüsselte SSL-Ports

Wenn Sie die Version 10.4 oder höher installieren oder ein Upgrade auf diese Version durchführen, werden vertrauenswürdige Verbindungen standardmäßig mit zwei Einstellungen hergestellt:

  1. SSL ist aktiviert.
  2. Der Core-Service ist mit einem verschlüsselten SSL-Port verbunden.

Jeder NetWitness Suite Core-Service verfügt über zwei Ports:

  • Unverschlüsselter Nicht-SSL-Port
    Beispiel:  Archiver 50008
  • Verschlüsselter SSL-Port
    Beispiel:  Archiver 56008

Der SSL-Port ist der Nicht-SSL-Port + 6000.

In der folgenden Tabelle werden alle NetWitness Suite-Servicesmit den entsprechenden Ports aufgelistet und es wird gezeigt, dass jeder Core-Service über zwei Ports verfügt. Alle aufgelisteten Portnummern sind TCPs.

                                                                                                                     
ServiceUnverschlüsselter
Nicht-SSL-Port
Verschlüsselter
SSL-Port
Anmerkungen
Archiver5000856008

 

Broker5000356003 

Cloud Gateway

 

Concentrator5000556005 
Context Hub50022

 

Decoder (Pakete)5000456004 

Endpoint

-

-

 

Entity Behavior Analysis 
Event Stream Analysis50030

 

InvestigateWird mit dem NW-Server implementiert.
Log Collector5000156001 
Log Decoder5000256002

 

Malware Analysis60007 
Reporting EngineWird mit dem NW-Server implementiert.

Respond

Wird mit dem NW-Server implementiert.
Warehouse Connector5002056020

 

Workbench5000756007 

 

 

 

 

 

 

 

Schritt 4. Managen des Zugriffs auf einen Service

In einer vertrauenswürdigen Verbindung überlässt ein Service explizit NW-Server das Managen und Authentifizieren von Benutzern. Mit dieser vertrauenswürdigen Verbindung können Services in ADMINISTRATION >Services ohne Anmeldedaten für alle NetWitness Suite Core-Services definiert werden. Stattdessen können Benutzer, die vom Server authentifiziert wurden, auf den Service zugreifen, ohne ein anderes Passwort eingeben zu müssen.

Testen einer vertrauenswürdigen Verbindung

VORAUSSETZUNGEN

  1. Dem Benutzer muss ein Rolle zugewiesen sein.
    Details finden Sie im Thema Hinzufügen eines Benutzers und einer Rolle im Handbuch Systemsicherheit und Benutzerverwaltung.
  2. Der Benutzer muss:
    • sich bei NetWitness Suite anmelden, um vom Server authentifiziert zu werden.
    • Zugriff auf den Service haben.

VERFAHREN

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services.
    Die Ansicht

    -Services wird angezeigt.
  2. Wählen Sie den zu testenden Service (z. B. einen Concentrator) aus und klicken Sie auf The Edit icon.
    Das DialogfeldService bearbeiten wird angezeigt.
    Edit Service dialog
  3. Wenn Sie 11.0.0.0 neu installiert haben, ist der Port korrekt. Im Feld Port muss keine Änderung vorgenommen werden. Fahren Sie mit dem nächsten Schritt fort.
    Wenn Sie ein Upgrade auf 11.0.0.0 durchgeführt haben oder eine gemischte Umgebung mit einem Server der Version 11.0.0.0 und Hosts der Version 10.3 verwenden, müssen Sie den Port aktualisieren, indem Sie seine Auswahl aufheben und dann erneut SSL wählen. Dann ändert sich die Portnummer, da der verschlüsselte SSL-Port für den Service verwendet wird.
  4. Entfernen Sie den Benutzernamen, um die Verbindung ohne Anmeldedaten zu testen.
  5. Klicken Sie auf Verbindung testen.
    Edit Service dialog with success message
    Die Meldung Verbindungstest erfolgreich bestätigt, dass die vertrauenswürdige Verbindung hergestellt wurde.
    Ein zuvor authentifizierter Benutzer kann auf den Service zugreifen, ohne beim Service einen Benutzernamen und ein Passwort einzugeben. 
  6. Klicken Sie auf Speichern.

Anwenden von Versionsaktualisierungen auf einen Host

Führen Sie die folgenden Aufgaben aus, um einen Host auf eine neue Version zu aktualisieren.

Es gibt zwei Methoden, um Versionsaktualisierungen auf einen Host anzuwenden.

Hinweis: Wenn Sie den Standort Ihres Repository geändert haben, finden Sie unter Einrichten eines externen Repository mit RSA und Betriebssystemupdates Anweisungen.

Anwenden von Aktualisierungen über die Ansicht „Hosts“ (Webzugriff)

Aufgabe 1. Auffüllen des lokalen Repository oder Einrichten eines externen Repository

Wenn Sie Ihren NW-Server einrichten, wählen Sie das lokale Repository oder ein externes Repository aus. Die Ansicht „Hosts“ ruft Versionsaktualisierungen aus dem ausgewählten Repository ab.

Wenn Sie das lokale Repository ausgewählt haben, müssen Sie dieses nicht einrichten, aber Sie müssen sicherstellen, dass es die neuesten Aktualisierungen enthält. Anweisungen zum Füllen des Repository mit Versionsaktualisierungen finden Sie unter Auffüllen des lokalen Update-Repository.

Hinweis: Wenn Sie ein externes Repository ausgewählt haben, müssen Sie es einrichten. Anweisungen zum Einrichten eines externen Repository finden Sie unter Einrichten eines externen Repository mit RSA und Betriebssystemupdates.

Aufgabe 2. Anwenden von Aktualisierungen über die Ansicht „Hosts“ auf einzelne Hosts

In der Ansicht „Hosts“ werden die in Ihrem lokalen Update-Repository verfügbaren Softwareversionsaktualisierungen angezeigt und Sie wählen die gewünschten Aktualisierungen über die Ansicht „Hosts“ aus und wenden diese an.

Achtung: Wenn Sie versuchen, Nicht-NW-Server mit 11.0.0.x-Patches zu aktualisieren, nachdem der NW-Server auf 11.1 aktualisiert wurde, befindet sich die Aktualisierung des Nicht-NW-Serverhosts in einem Fehlerzustand. Siehe „Aktualisierung für <host>“, „Fehler beim Vorbereiten von Host <hostname> auf die Aktualisierung auf Version 11.0.0.x. Weitere Informationen finden Sie in den Protokollen in Erste Schritte mit Hosts: Troubleshooting von Versionsinstallationen und -aktualisierungen.

In diesem Verfahren erfahren Sie, wie Sie einen Host auf eine neue Version von NetWitness Suite aktualisieren. 

Hinweis: In diesem Thema wird die Aktualisierung von NetWitness Suite 11.0.x.x auf 11.1.0.0 als Beispiel verwendet.

  1. Melden Sie sich bei NetWitness Suite an.
  2. Navigieren Sie zu ADMIN > Hosts
  3. (Bedingungsabhängig) Überprüfen Sie die neuesten Aktualisierungen.

  4. Wählen Sie einen Host oder Hosts aus.
    Sie müssen zunächst die NW-Server auf die neueste Version aktualisieren. Sie können die anderen Hosts in beliebiger Reihenfolge aktualisieren, aber RSA empfiehlt, dass Sie die Richtlinien unter „Ausführen im gemischten Modus“ im RSA NetWitness Suite – Leitfaden für die ersten Schritte mit Hosts und Services befolgen.
    Aktualisierung verfügbar wird in der Spalte Status angezeigt, wenn Sie eine Versionsaktualisierung in Ihrem lokalen Update-Repository für die ausgewählten Hosts haben.
  5.  Wählen Sie die Version, die Sie anwenden möchten, aus der Spalte Update-Version aus.

    Gehen Sie in folgenden Fällen wie folgt vor:
    • Wenn Sie mehr als einen Host auf diese Version aktualisieren möchten, dann aktivieren Sie nach der Aktualisierung des NW-Serverhosts das Kontrollkästchen links neben den Hosts. Es sind nur Versionen von Aktualisierungen aufgelistet, die derzeit unterstützt werden.
    • Wenn Sie ein Dialogfeld mit den wichtigsten Funktionen der Aktualisierung sowie Informationen über die Aktualisierungen anzeigen möchten, klicken Sie auf das Informationssymbol () rechts neben der Versionsnummer der Aktualisierung. Nachfolgend finden Sie ein Beispiel für das Dialogfeld.
    • Wenn Sie die gewünschte Version nicht finden können, wählen Sie Aktualisieren > Nach Updates suchen aus, um das Repository auf alle verfügbaren Aktualisierungen zu prüfen. Wenn eine Aktualisierung verfügbar ist, wird die Meldung „Es sind neue Hostaktualisierungen verfügbar“ angezeigt und die Spalte Status wird automatisch aktualisiert und zeigt Aktualisierung verfügbar an. Standardmäßig werden nur die unterstützten Aktualisierungen für den ausgewählten Host angezeigt.
  6. Klicken Sie in der Symbolleiste auf Aktualisieren > Host aktualisieren.

     Ein Dialogfeld wird mit Informationen über die ausgewählte Aktualisierung wird angezeigt. Klicken Sie auf Update beginnen.

    Die Spalte Status informiert Sie darüber, was in jeder der folgenden Phasen der Aktualisierung geschieht:
    • Phase 1: Aktualisierungspakete werden heruntergeladen – lädt die Repository-Artefakte auf den NW-Server für die Services auf dem ausgewählten Host herunter.
    • Phase 2: Aktualisierungspakete werden konfiguriert – konfiguriert die Aktualisierungsdateien im richtigen Format.
    • Phase 3: Aktualisierung wird durchgeführt – aktualisiert den Host auf die neue Version.
  7. Wenn Aktualisierung wird durchgeführt angezeigt wird, aktualisieren Sie das Browserfenster.
    Eventuell wird dadurch der Anmeldebildschirm von NetWitness angezeigt. Melden Sie sich in diesem Fall an und navigieren Sie erneut zur Ansicht „Host“.
    Nachdem der Host aktualisiert wurde, zeigt NetWitness Suite die Aufforderung Host neu starten an.
  8. Klicken Sie in der Symbolleiste auf Host neu starten.
    NetWitness Suite zeigt den Status als Neustart an, bis der Host wieder online ist. Nachdem der Host wieder online ist, wird unter Status der Status Auf dem neuesten Stand angezeigt. Wenden Sie sich an die Kundenbetreuung, wenn der Host nicht wieder online geschaltet wird.

Hinweis: Wenn DISA STIG aktiviert ist, kann das Öffnen der Core-Services ca. 5 bis 10 Minuten dauern. Grund für diese Verzögerung ist das Erstellen neuer Zertifikate.

Anwenden von Aktualisierungen über die Befehlszeile (Kein Webzugriff)

Wenn Ihre Bereitstellung von RSA NetWitness Suite keinen Webzugriff hat, führen Sie das folgende Verfahren aus, um eine Versionsaktualisierung anzuwenden.

Hinweis: Im folgenden Verfahren ist 11.1.0.0 die Versionsaktualisierung, die als Beispiel in den Codezeichenfolgen verwendet wird.

  1. Laden Sie das Aktualisierungspaket .zip für die gewünschte Version (z. B. netwitness-11.1.0.0.zip) von RSA Link in ein lokales Verzeichnis herunter.
  2. Stellen Sie über SSH eine Verbindung mit dem NW-Serverhost her.
  3. Erstellen Sie ein Bereitstellungsverzeichnis tmp/upgrade/<version> für die gewünschte Version (z. B. tmp/upgrade/11.1.0.0).
    mkdir –p /tmp/upgrade/11.1.0.0
  4. Entpacken Sie das Paket in das Staging-Verzeichnis, das Sie erstellt haben (z. B. tmp/upgrade/11.1.0.0).
    cd /tmp/upgrade/11.1.0.0
    unzip /tmp/upgrade/11.1.0.0/netwitness-11.1.0.0.zip

  5. Initialisieren Sie die Aktualisierung auf dem NW-Server.
    upgrade-cli-client --init --version 11.1.0.0 --stage-dir /tmp/upgrade/
  6. Wenden Sie die Aktualisierung auf den NW-Server an.
    upgrade-cli-client --upgrade --host-addr <NW Server IP> --version 11.1.0.0
  7. Melden Sie sich bei NetWitnesss Suite an und starten Sie den NW-Serverhost in der Ansicht „Host“.
  8. Wenden Sie die Aktualisierung auf jeden Nicht-NW-Serverhost an.
    upgrade-cli-client --upgrade --host-addr <non-NW Server IP address> --version 11.1.0.0
    Die Aktualisierung ist abgeschlossen, wenn der Abruf abgeschlossen ist.
  9. Melden Sie sich bei NetWitnesss Suite an und starten Sie den Host in der Ansicht „Host“.
    Sie können mit dem folgenden Befehl überprüfen, welche Version auf den Host angewendet wurde:
    upgrade-cli-client --list

Auffüllen des lokalen Update-Repository

NetWitness-Suite sendet Versionsaktualisierungen aus dem Live-Update-Repository in das lokale Update-Repository. Für den Zugriff auf das Live-Update-Repository ist die Eingabe der Anmeldedaten des Live-Kontos erforderlich, die unter ADMIN >SYSTEM > Live konfiguriert werden. Darüber hinaus müssen Sie das Kontrollkästchen Automatically download information about new updates every day unter ADMIN > SYSTEM  > Aktualisierungen aktivieren, um das lokale Repository täglich aufzufüllen.

Das folgende Diagramm zeigt, wie Sie Versionsaktualisierungen erhalten, wenn Ihre NetWitness Suite-Bereitstellung über Webzugriff verfügt.

Hinweis: Wenn Sie erstmalig eine Verbindung mit dem Live-Update-Repository herstellen, können Sie auf alle CentOS 7-Systempakete und die RSA-Produktionspakete zugreifen. Je nach Internetverbindung Ihres NW-Servers und Datenverkehr des RSA-Repository kann der Download dieser Daten von mehr als 2,5 GB eine unbestimmte Dauer in Anspruch nehmen. Es ist NICHT obligatorisch, das Live-Update-Repository zu verwenden. Alternativ können Sie ein externes Repository verwenden, wie beschrieben unter „Einrichten eines externen Repository“.

Zur Verbindung mit dem Live-Update-Repository navigieren Sie zu der Ansicht ADMIN > SYSTEM, wählen Sie im Optionsbereich Live aus und vergewissern Sie sich, dass die Anmeldedaten konfiguriert sind (Licht für Verbindung sollte grün sein). Wenn es nicht grün ist, klicken Sie auf Anmelden und stellen Sie eine Verbindung her.

Hinweis: Wenn Sie Proxys zum Kommunizieren mit dem Live-Update-Repository benötigen, können Sie den Proxy-Host, den Proxybenutzernamen und das Proxypasswort konfigurieren. Weitere Informationen finden Sie unter „Konfigurieren des Proxy für NetWitness Suite“ im Systemkonfigurationsleitfaden für NetWitness Suite 1.1.Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.

Wenn Ihre NetWitness Suite-Bereitstellung keinen Webzugriff hat, siehe „Anwenden von Aktualisierungen über die Befehlszeile“.

Das folgende Diagramm zeigt, wie Sie Versionsaktualisierungen erhalten, wenn Ihre NetWitness Suite-Bereitstellung nicht über Webzugriff verfügt.

Einrichten eines externen Repository mit RSA und Betriebssystemupdates

Hinweis: Im folgenden Verfahren ist 11.1.0.0 die Versionsaktualisierung, die als Beispiel in den Codezeichenfolgen verwendet wird.

Führen Sie das folgende Verfahren aus, um ein externes Repository (Repo) einzurichten.

Hinweis: 1.) Auf dem Host muss ein Dienstprogramm zum Entpacken installiert sein, damit Sie dieses Verfahren abschließen können. 2.) Sie müssen wissen, wie Sie einen Webserver erstellen, bevor Sie das folgende Verfahren durchführen.

  1. (Bedingungsabhängig) Führen Sie diesen Schritt durch, wenn Sie ein externes Repository haben und Sie dieses außer Kraft setzen möchten.
    • 1. Fall: Sie haben den Host von einem externen Repository aus per Bootstrap neu gestartet und Sie möchten ein Upgrade durchführen mithilfe eines lokalen Repository auf dem Adminserver.
      1. Erstellen Sie die Datei /etc/netwitness/platform/repobase.
        vi /etc/platform/netwitness/repobase
      2. Bearbeiten Sie die Datei repobase, sodass die einzige Information in der Datei die folgende URL ist.
        https://nw-node-zero/nwrpmrepo
      3. Führen Sie die Anweisungen zum Ausführen des Upgrade mithilfe des Tools upgrade-cli-client aus.
        Anweisungen finden Sie unter
        .
    • 2. Fall: Sie haben den Host von eines lokalen Repository auf dem Adminserver (NW-Serverhost) per Bootstrap neu gestartet und Sie möchten ein externes Repository für das Upgrade verwenden.
      1. Erstellen Sie die Datei /etc/netwitness/platform/repobase.
        vi /etc/platform/netwitness/repobase
      2. Bearbeiten Sie die Datei repobase, sodass die einzige Information in der Datei die folgende URL ist.
        https://<webserver-ip>/<alias-for-repo>
      3. Führen Sie die Anweisungen zum Ausführen des Upgrade mithilfe des Tools upgrade-cli-client aus.
        Die Anweisungen finden Sie unter „Anwenden von Aktualisierungen über die Befehlszeile“.
  2. Richten Sie das externe Repository ein.
    1. Melden Sie sich bei dem Webserverhost an.
    2. Erstellen Sie ein Verzeichnis, um das NW-Repository (netwitness-11.1.0.0.zip) zu hosten, z. B. ziprepo unter web-root des Webservers. Beispiel: /var/netwitness ist der Webstamm, senden Sie die folgende Befehlszeichenfolge:
      mkdir -p /var/netwitness/<your-zip-file-repo>
    3. Erstellen Sie das Verzeichnis 11.1.0.0 unter /var/netwitness/<your-zip-file-repo>.
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0
    4. Erstellen Sie die Verzeichnisse OS und RSA unter /var/netwitness/<your-zip-file-repo>/11.1.0.0.
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA
    5. Entpacken Sie die Datei netwitness-11.1.0.0.zip in das Verzeichnis /var/netwitness/<your-zip-file-repo>/11.1.0.0.
      unzip netwitness-11.1.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0
      Durch das Entpacken von netwitness-11.1.0.0.zip entstehen zwei Zip-Dateien (OS-11.1.0.0.zip und RSA-11.1.0.0.zip) und einige andere Dateien.
    6. Entpacken Sie die Datei:
      1. OS-11.1.0.0.zip in das Verzeichnis /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS.
        unzip /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS-11.1.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS
        Das folgende Beispiel zeigt, wie die Dateistruktur des Betriebssystems (OS) angezeigt wird, nachdem Sie die Datei entpackt haben.

      1. RSA-11.1.0.0.zip in das Verzeichnis /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA.
        unzip /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA-11.1.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA
        Das folgende Beispiel zeigt, wie die Dateistruktur der RSA Versionsaktualisierung angezeigt wird, nachdem Sie die Datei entpackt haben.

      Der externe URL für das Repository ist http://<web server IP address>/<your-zip-file-repo>.

    7. (Bedingungsabhängig – für Azure) Befolgen Sie diese Schritte, um Azure zu aktualisieren.
    1. mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS/other
    2. unzip nw-azure-11.1-extras.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS/other
    3. cd /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS
    4. createrepo .
    1. Verwenden Sie die http://<web server IP address>/<your-zip-file-repo> als Antwort auf die Eingabeaufforderung Geben Sie den Basis-URL des externen Update-Repository ein des NW 11.1.0.0 Setup-Programms (nwsetup-tui).

Erstellen und Managen von Hostgruppen

Die Ansicht „Hosts“ enthält Optionen zum Erstellen und Verwalten von Hostgruppen. Die Symbolleiste des Bereichs „Gruppen“ umfasst Optionen zum Erstellen, Bearbeiten und Löschen von Hostgruppen. Nachdem Gruppen erstellt wurden, können Sie einzelne Hosts aus dem Bereich Hosts in eine Gruppe ziehen.

Gruppen können funktionale, geografische, projektorientierte oder beliebige andere hilfreiche Unternehmensprinzipien widerspiegeln. Ein Host kann zu mehreren Gruppen gehören. Im Folgenden sind einige Beispiele für mögliche Gruppierungen aufgeführt:

  • Gruppieren Sie unterschiedliche Hosttypen, um alle Broker, Decoder oder Concentrators leichter konfigurieren und überwachen zu können.
  • Gruppieren Sie Hosts, die Teil des gleichen Datenflusses sind, z. B. einen Broker und alle zugehörigen Concentrators und Decoder.
  • Gruppieren Sie Hosts entsprechend ihrer geographischen Region und dem Standort in der Region. Wenn an einem Standort ein größerer Stromausfall auftritt, sind dann alle potenziell betroffenen Hosts leicht zu identifizieren.

Erstellen einer Gruppe

  1. Wählen Sie ADMIN > Hosts aus.
    Die Ansicht „Hosts“ wird angezeigt.
  2. Klicken Sie im Bereich Gruppen auf der Symbolleiste auf The Add icon.
    Ein Feld für die neue Gruppe wird mit blinkendem Cursor darin geöffnet.
    This is an example of a new group field.
  3. Geben Sie den Namen der neuen Gruppe in das Feld ein (z. B. Eine neue Gruppe) und drücken Sie die Eingabetaste.
    Die Gruppe wird als Ordner in der Struktur erstellt. Die Zahl neben der Gruppe gibt die Anzahl der Hosts in dieser Gruppe an.
    This is an example of a new group.

Ändern des Namens einer Gruppe

  1. Klicken Sie in der Ansicht „Hosts“ im Bereich Gruppen doppelt auf den Gruppennamen oder wählen Sie die Gruppe aus und klicken Sie auf The Edit icon.
    Das Namensfeld wird mit blinkendem Cursor darin geöffnet.
  2. Geben Sie den neuen Namen der Gruppe ein und drücken Sie die Eingabetaste.
    Das Namensfeld wird geschlossen und der neue Gruppenname wird in der Struktur angezeigt.

Hinzufügen eines Hosts zu einer Gruppe

Wählen Sie in der Ansicht „Hosts“ im Bereich Hosts einen Host aus und ziehen Sie den Host in einen Gruppenordner im Bereich „Gruppen“.
Der Host wird der Gruppe hinzugefügt.

Anzeigen der Hosts in einer Gruppe

Klicken Sie zum Aufrufen der Hosts in einer Gruppe im Bereich Gruppen auf die Gruppe.
Im Bereich Hosts werden die Hosts in dieser Gruppe aufgelistet.

These are the hosts in the All group

Entfernen eines Hosts aus einer Gruppe 

  1. Wählen Sie in der Ansicht „Hosts“ im Bereich Gruppen die Gruppe aus, die den zu entfernenden Host enthält. Die Hosts in dieser Gruppe werden im Bereich „Hosts“ angezeigt.
  2. Wählen Sie im Bereich Hosts einen oder mehrere Hosts aus, die Sie aus der Gruppe entfernen möchten, und wählen Sie in der Symbolleiste The Delete icon > Aus Gruppe entfernen aus.
    Die ausgewählten Hosts werden aus der Gruppe entfernt, aber nicht von der NetWitness Suite-Benutzeroberfläche. Die Anzahl der Hosts in der Gruppe, die neben dem Gruppennamen angezeigt wird, verringert sich um die Anzahl der aus der Gruppe entfernten Hosts. Die Gruppe Alle enthält die Hosts, die aus der Gruppe entfernt wurden.
    Im folgenden Beispiel sind in der Hostgruppe namens Eine neue Gruppe keine Hosts enthalten, da der Host in dieser Gruppe entfernt wurde.
    This is an example of the Groups panel

Löschen von Gruppen 

  1. Wählen Sie in der Ansicht „Hosts“ im Bereich Gruppen die Gruppe aus, die Sie löschen möchten. 
  2. Klicken Sie auf The Delete icon.
    Die ausgewählte Gruppe wird aus dem Bereich Gruppen entfernt. Die Hosts, die sich in der Gruppe befanden, werden nicht von der NetWitness Suite-Benutzeroberfläche entfernt. Die Gruppe Alle enthält die Hosts der gelöschten Gruppe.

Suchen nach Hosts

Sie können über eine Liste mit Hosts in der Ansicht „Hosts“ nach Hosts suchen. Mithilfe der Ansicht „Hosts“ können Sie die Hostliste schnell nach Name und Host filtern. Sie können mehrere NetWitness Suite-Hosts für verschiedene Zwecke verwenden. Anstatt durch die Hostliste zu scrollen, können Sie diese einfach filtern, um die Hosts zu suchen, die Sie verwalten möchten.

In der Ansicht „Services“ können Sie nach einem Service suchen und den Host, der diesen Service ausführt, schnell finden.

Suchen eines Hosts

  1. Wählen Sie ADMIN > Hosts aus.
  2. Geben Sie in der Symbolleiste im Bereich Hosts im Feld Filtern einen Namen für den Host oder einen Hostnamen ein.
    This is the unfilled Filter field.
    Im Bereich „Hosts“ werden die Hosts aufgelistet, die mit den ins Feld „Filter“ eingegebenen Namen übereinstimmen.

Suchen des Hosts, der einen Service ausführt

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie in der Ansicht „Services“ einen Service aus. Der zugeordnete Host wird in der Spalte Host für diesen Service aufgelistet.
    This is an example of services with hosts.
  3. Klicken Sie zum Verwalten des Hosts in der Ansicht „Hosts“ auf den Link in der Spalte Host zu diesen Service. Der dem ausgewählten Service zugeordnete Host wird in der Ansicht „Hosts“ angezeigt.

Ausführen einer Aufgabe aus der Hostaufgabenliste

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.

    Hinweis: Die Services „Admin“, Konfigurieren“, „Orchestrieren“, „Sicherheit“, „Untersuchen“ und „Reagieren“ haben Zugriff auf die Ansicht „System“. Sie haben nur Zugriff auf die Ansicht „Durchsuchen“.
    Die Ansicht System für den Service wird angezeigt.

    This is an example of the System view for a Broker.

  3. Klicken Sie in der Symbolleiste der Ansicht Services-System auf Host Tasks.
    This is an example of the Host Task List dialog.
  4. Klicken Sie in der Hostaufgabenliste auf das Feld Aufgabe, um eine Drop-down-Liste der auf dem Host ausgeführten Aufgaben anzuzeigen.
    This is an example of the Task drop-down menu in the Host Task List dialog.
  5. Wählen Sie eine Aufgabe aus und klicken Sie zum Beispiel auf Service anhalten.
    Die Aufgabe wird im Feld Aufgabe angezeigt und die Aufgabenbeschreibung, Beispielargumente, Sicherheitsrollen und Parameter werden im Bereich Info angezeigt.
    This is an example of the Host Task List dialog with Stop Service selected.
  6. Geben Sie, falls erforderlich, Argumente ein und klicken Sie auf Ausführen.
    Der Befehl wird ausgeführt und das Ergebnis wird im Abschnitt Ausgabe angezeigt.

Hinzufügen und Löschen einer Dateisystemüberwachung

Wenn ein Service Datenverkehr für ein bestimmtes Dateisystem überwachen soll, können Sie den Service auswählen und anschließend den Pfad angeben. Security Analytics fügt eine Dateisystemüberwachung hinzu. Sobald einem Service eine Dateisystemüberwachung hinzugefügt wurde, setzt der Service die Überwachung des Datenverkehrs für diesen Pfad solang fort, bis die Dateisystemüberwachung gelöscht wird.

Konfigurieren der Dateisystemüberwachung

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Dateisystemüberwachung hinzufügen aus.
    Im Bereich Info wird eine kurze Erläuterung der Aufgabe und der Aufgabenargumente angezeigt.
  5. Geben Sie im Feld Argumente den Pfad ein, um das zu überwachende Dateisystem zu identifizieren. Beispiel:
    path=/var/netwitness/decoder/packetdb
    This is an example of the Host Task List for this procedure.
  6. Klicken Sie auf Run.
    Das Ergebnis wird im Bereich Ausgabe angezeigt. Der Service beginnt mit der Überwachung des Dateisystems und setzt diese Überwachung solange fort, bis Sie die Dateisystemüberwachung löschen.

Löschen einer Dateisystemüberwachung

  1. Navigieren Sie zum Dialogfeld Hostaufgabenliste.
  2. Wählen Sie in der Hostaufgabenliste die Option Dateisystemüberwachung löschen aus.
    Im Bereich Info wird eine kurze Erläuterung der Aufgabe und der Aufgabenargumente angezeigt.
  3. Geben Sie im Feld Argumente den Pfad ein, um das Dateisystem zu identifizieren, dessen Überwachung angehalten werden soll. Beispiel:
    path=/var/netwitness/decoder/packetdb
    This is an example of the Host Task List dialog for this procedure.
  4. Klicken Sie auf Run.
    Das Ergebnis wird im Bereich Ausgabe angezeigt. Der Service beendet die Überwachung des Dateisystems.

Neustarten eines Hosts

Unter bestimmten Bedingungen ist ein Neustart des Hosts notwendig, zum Beispiel nach der Installation eines Softwareupgrades. Bei diesem Vorgang wird eine Meldung in der Hostaufgabenliste angezeigt, bei der Sie aufgefordert werden, den Host herunterzufahren und neu zu starten. 

Security Analytics bietet zudem weitere Optionen zum Herunterfahren des Hosts:

  • Zum Herunterfahren und erneuten Starten eines Hosts über einen verknüpften Service gehen Sie zur Ansicht „Hosts“ von einem Service in der Ansicht „Services“ aus (siehe Suchen nach Hosts) und befolgen Sie dann das unten angegebene Verfahren Herunterfahren und Neustart eines Hosts über die Ansicht „Hosts“.
  • Für Informationen zum Herunterfahren des physischen Hosts, ohne diesen neu zu starten, siehe Host herunterfahren.

Fahren Sie einen Host über die Ansicht Hosts herunter und starten Sie diesen neu.

  1. Wählen Sie ADMIN > Hosts aus.
  2. Wählen Sie im Bereich Hosts einen Host aus.
  3. Wählen Sie in der Symbolleiste The Reboot Host icon aus.

Herunterfahren und Neustart eines Hosts aus der Hostaufgabenliste

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Bereich Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Host neu starten im Feld Aufgabe aus
    .Es sind keine Argumente erforderlich.
    This is an example of the Host Task List dialog
  5. Klicken Sie auf Run.
    Der Host wird neu gestartet und das Ergebnis wird im Bereich Ausgabe angezeigt.

Interne Uhr des Hosts einstellen

Nach einer Abschaltung oder einem Batterieausfall müssen Sie möglicherweise die lokale Uhr eines Hosts neu stellen. Mit der Aufgabe „Interne Uhr des Hosts einstellen“ wird die Uhrzeit zurückgesetzt.

Einstellen der Zeit der lokalen Uhr

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Raster Services einen Service und anschließend The Actions icon > Ansicht > System aus.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Interne Uhr des Hosts einstellen aus. Hilfe zur Aufgabe wird im Bereich Info angezeigt.
  5. Geben Sie die Argumente für Datum und Uhrzeit im Feld Argumente ein. Beispiel: Für das Datum 31. Oktober 2017 und die Uhrzeit 23:59:59 geben Sie Folgendes ein:
    set=20171031T235959
    This is an example of the Host Task List dialog for the procedure
  6. Klicken Sie auf Run.
    Die Uhrzeit wird auf die angegebene Zeit eingestellt und im Bereich Ausgabe eine Meldung angezeigt.

Festlegen der Netzwerkkonfiguration

Wenn bei einem konfigurierten Core-Host die Adresse geändert werden muss, können Sie über die Meldung Netzwerkkonfiguration festlegen in der Hostaufgabenliste Host eine neue Netzwerkadresse, eine neue Subnetzmaske und ein neues Gateway für den Host festlegen. 

Achtung: Die Änderung tritt sofort in Kraft und der Host wird von Security Analytics getrennt. Fügen Sie den Host dann mit der neuen Netzwerkadresse wieder zu Security Analytics hinzu.

Angeben der Netzwerkadresse für einen Host

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Klicken Sie in der Hostaufgabenliste auf die Option Netzwerkkonfiguration festlegen.
    Die Aufgabe wird im Feld Aufgabe angezeigt und die Hilfe im Bereich Info.
  5. Geben Sie die Argumente in das Feld Argumente ein. Beispiel:
    mode=static address=192.168.0.20 netmask=255.255.255.0 gateway=192.168.0.1
    This is an example of the Host Task List dialog for this procedure
  6. Klicken Sie auf Ausführen.
    Die Aufgabe wird ausgeführt und das Ergebnis im Bereich Ausgabe angezeigt. Der Host wird von Security Analytics getrennt. Fügen Sie den Host dann mit der neuen Adresse wieder hinzu.

Hinweis: Wenn es sich beim Modus um DHCP handelt, ist es möglicherweise nicht möglich, die neue Adresse zu bestimmen. Um die neue Adresse zu ermitteln, müssen Sie möglicherweise eine direkte Verbindung zum Host herstellen.

Festlegen der Quelle für die Netzwerkzeit

Beim Einrichten der Uhrzeitquelle für einen Host geben Sie den Hostnamen oder die Adresse eines NTP-Servers an, der als Netzwerkuhrzeitquelle für den Host dienen soll. Verwendet der Host eine lokale Uhrzeitquelle, müssen Sie hier Lokal angeben, damit Lokale Zeitquelle einrichten aktiviert wird.

Angeben der Netzwerkzeitquelle

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions menu > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Quelle für die Netzwerkzeit festlegen aus.
    This is an example of the Host Task List dialog for this procedure.
  5. Führen Sie einen der folgenden Schritte aus:
  • Geben Sie den Hostnamen oder die Adresse des NTP-Servers an, der als Uhrzeitquelle für diesen Host dienen soll, z. B. source=tictoc.localdomain
    .
  • Wenn Sie die Hostzeit als Uhrzeitquelle verwenden möchten, geben Sie Folgendes ein:
    source=local
  1. Klicken Sie auf Run.
    Die Uhrzeitquelle wird festgelegt und eine Meldung wird im Bereich Ausgabe angezeigt.

Hinweis: Wenn Sie als NTP-Uhrzeitquelle Lokal angegeben haben, dient die Hostzeit als Uhrzeitquelle und die Zeit wird unter Interne Uhr des Hosts einstellen konfiguriert.

Festlegen des SNMP

Mit „SNMP festlegen“ in der Hostaufgabenliste wird der SNMP-Service auf einem Host aktiviert oder deaktiviert. Der SNMP-Service muss aktiviert werden, damit ein Host SNMP-Benachrichtigungen erhalten kann. Wenn Sie SNMP nicht für NetWitness Suite-Benachrichtigungen verwenden, ist es nicht erforderlich, diesen Service zu aktivieren.

Wechseln des SNMP-Services auf dem Host

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option setSNMP aus.
    Im Bereich Info wird eine kurze Erläuterung der Aufgabe und der Aufgabenargumente angezeigt.
  5. Führen Sie einen der folgenden Schritte aus:
  • Wenn Sie den Service deaktivieren möchten, geben Sie enable=0 im Feld Argumente ein.
    This is an example of the Host Task List dialog for this option.
  • Wenn Sie den Service aktivieren möchten, geben Sie enable=1 im Feld Argumente ein.
    This is an example of the Host Task List dialog for this option.
  1. Klicken Sie auf Run.
    Das Ergebnis wird im Bereich Ausgabe angezeigt.

Einrichten der Syslog-Weiterleitung

Sie können die Syslog-Weiterleitung so konfigurieren, dass die Betriebssystemprotokolle Ihrer NetWitness Suite-Hosts an einen Remote-Syslog-Server weitergeleitet werden. Sie können die Aufgabe „Syslog-Weiterleitung einrichten“ in der Hostaufgabenliste verwenden, um die Syslog-Weiterleitung zu aktivieren oder zu deaktivieren.

Einrichten und Starten der Syslog-Weiterleitung

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht „System“ für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Syslog-Weiterleitung einrichten aus.
    Im Bereich Info wird eine kurze Erläuterung der Aufgabe und der Aufgabenargumente angezeigt.
    This is an example of the the Host Task List dialog for this procedure.
  5. Führen Sie im Feld Argumente einen der folgenden Schritte aus:
    • Geben Sie eines der folgenden Formate an, um die Syslog-Weiterleitung zu aktivieren:
      • host=<loghost>.<localdomain> (for example, host=syslogserver.local).
      • host=<loghost>.<localdomain>:<port> (for example, host=syslogserver.local:514).
      • host=<IP> (for example, host=10.31.244.244).
      • host=<IP>:<port> (for example, host=10.31.244.244:514).
        In der folgenden Tabelle sind die Parameter, mit denen die Syslog-Weiterleitung aktiviert wird, sowie die entsprechenden Beschreibungen aufgeführt.
        ParameterBeschreibung
        loghostDer Hostname des Remote-Syslog-Servers.
        localdomainDie Domain des Remote-Syslog-Servers.
        portIP-Adresse des Remote-Syslog-Servers.
        IPDie Nummer des Ports, auf dem der Remote-Syslog-Server Syslog-Nachrichten erhält.
    • Geben Sie host=disable ein, um die Syslog-Weiterleitung zu deaktivieren.
  6. Klicken Sie auf Ausführen.
    Das Ergebnis wird im Bereich Ausgabe angezeigt.

Sobald die Syslog-Weiterleitung aktiviert oder deaktiviert ist, wird die Datei /etc/rsyslog.conf automatisch aktualisiert, sodass die Syslog-Weiterleitung auf das Remote-Syslog-Ziel aktiviert oder deaktiviert wird und der Syslog-Service erneut gestartet wird.

Wenn Sie die Syslog-Weiterleitung aktivieren, werden die Protokolle aus dem konfigurierten Service solange an den definierten Syslog-Server weitergeleitet, bis die Weiterleitung deaktiviert wird.

Hinweis: Sie können sich jetzt beim Remote-Syslog-Server anmelden und überprüfen, ob die Nachrichten von den NetWitness Suite-Services empfangen werden, die für die Syslog-Weiterleitung konfiguriert sind.

Anzeigen des Netzwerkportstatus

Die Aufgabe „Netzwerkportstatus anzeigen“ in der Hostaufgabenliste gibt den Status aller in dem Host konfigurierten Ports zurück.

Anzeigen des Netzwerkportstatus

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Raster Services einen Service und The Actions icon > Ansicht > System aus.
    Die Ansicht „System“ für den ausgewählten Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Klicken Sie in der Hostaufgabenliste auf Netzwerkportstatus anzeigen
    .Die Aufgabe wird im Feld Aufgabe und Informationen über die Aufgabe werden im Bereich Info angezeigt.
  5. Um die Aufgabe auszuführen, klicken Sie auf Ausführen.
    Der Status der einzelnen Ports in dem Host wird im Bereich Ausgabe angezeigt.
    This is an example of the Host Task List dialog for this procedure.

Anzeigen der Seriennummer

Mit der Aufgabe „Seriennummer anzeigen“ in der Hostaufgabenliste wird die Seriennummer eines Hosts abgerufen.

Anzeigen der Seriennummer

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Wählen Sie in der Hostaufgabenliste die Option Seriennummer anzeigen
    aus.Im Bereich Info wird eine kurze Erläuterung der Aufgabe und der Aufgabenargumente angezeigt.
  5. Für diese Aufgabe sind keine Argumente erforderlich. Klicken Sie auf Run.
    Die Seriennummer des ausgewählten Hosts wird im Bereich Ausgabe angezeigt.
    This is an example of the Host Task List dialog for this procedure.

Host herunterfahren

Unter bestimmten Bedingungen, z. B. bei einem Hardwareupgrade oder einem längeren Stromausfall, der die Reservestromkapazität übersteigt, kann es notwendig werden, einen physischen Host herunterzufahren. Beim Herunterfahren eines Hosts werden alle darauf ausgeführten Services beendet und der physische Host wird abgeschaltet.

Der physische Host wird nicht automatisch neu gestartet. Stattdessen muss der Netzschalter verwendet werden, um den Host neu zu starten. Nachdem der physische Host neu gestartet wurde, werden die Hosts und Services so konfiguriert, dass sie automatisch neu gestartet werden.

Starten Sie einen Host neu, um einen Host anzuhalten und zu starten, ohne den Host herunterzufahren.

Herunterfahren des Hosts

  1. Wählen Sie im Dialogfeld „Hostaufgabenliste“ im Feld Aufgabe die Option Host herunterfahren aus.
    This is an example of the Host Task List dialog for this procedure.
  2. Um die Aufgabe auszuführen, klicken Sie auf Ausführen.
    Der Host wird heruntergefahren und ausgeschaltet. 

Beenden und Starten eines Services auf einem Host

Die Hostaufgabenliste umfasst zwei Optionen zum Beenden und Starten eines Services auf einem Host. Wenn Sie einen Service mithilfe der Aufgabe Service anhalten beenden, werden alle Prozesse des Services beendet und mit diesem Service verbundene Benutzer werden getrennt. Wenn es kein Problem mit dem Service gibt, startet er automatisch neu. Dies entspricht der Option Service herunterfahren in der Ansicht „Services-System“.

Wenn ein Service nach dem Beenden nicht automatisch neu gestartet wird, können Sie ihn mithilfe der Aufgabe Service starten manuell neu starten.

Beenden eines Services auf einem Host

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie im Raster Services einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
    Die Ansicht System für den Service wird angezeigt.
  3. Klicken Sie in der Symbolleiste der Ansicht Services > System auf Hostaufgaben.
  4. Klicken Sie in der Hostaufgabenliste auf Service anhalten.
    Die Aufgabe wird im Feld Aufgabe und Informationen über die Aufgabe werden im Bereich Info angezeigt.
  5. Geben Sie den zu beendenden Service (decoder, concentrator, broker, logdecoder, logcollector) im Feld Argumente an, z. B. service=decoder.
    This is an example of the Host Task List dialog for this procedure.
  6. Um die Aufgabe auszuführen, klicken Sie auf Ausführen.
    Der Service wird beendet und der Status wird im Bereich Ausgabe angezeigt. Alle Prozesse des Services werden beendet und mit dem Service verbundene Benutzer werden getrennt. Wenn es kein Problem mit dem Service gibt, startet er automatisch neu.

Starten eines Services auf einem Host

  1. Wählen Sie in der Hostaufgabenliste im Drop-down-Menü „Aufgabe“ die Option Service starten aus.
    Die Aufgabe wird im Feld Aufgabe und Informationen über die Aufgabe werden im Bereich Info angezeigt.
  2. Geben Sie den zu startenden Service (decoder, concentrator, broker, logdecoder, logcollector) im Feld Argumente an, z. B.
    service=decoder
    This is an example of the Host Task List dialog for this procedure.
    .
  3. Um die Aufgabe auszuführen, klicken Sie auf Ausführen.
    Der Service wird gestartet und der Status wird im Bereich Ausgabe angezeigt.

Hinzufügen, Replizieren oder Löschen eines Servicebenutzers

Für folgende Aufgaben müssen Sie einem Service einen Benutzer hinzufügen:

  • Aggregation
  • Zugriff auf den Service mit dem:
    • Thick-Client
    • REST-API

Hinweis: Dieses Thema gilt nicht für Benutzer, die über die Benutzeroberfläche auf NetWitness-Server auf Services zugreifen. Diese Benutzer müssen Sie dem System hinzufügen, nicht einem Service. Weitere Informationen finden Sie im Thema Einrichten eines Benutzers unter Systemsicherheit und Benutzerverwaltung.

Für jeden Servicebenutzer können Sie:

  • die Benutzerauthentifizierung und die Abfrageverarbeitungseigenschaften für den Service konfigurieren
  • den Benutzer als Mitglied einer Rolle festlegen, die über einen Satz an Berechtigungen verfügt, die der Benutzer erhält
  • das Benutzerkonto auf anderen Services replizieren
  • das Servicebenutzerpasswort auf ausgewählten Services ändern

Ändern eines Servicebenutzerpassworts bietet Anweisungen für das Ändern von Servicebenutzerpasswörtern über Services hinweg.

Überlegungen zu Replikation und Migration

Beim Replizieren eines Benutzers von einem NetWitness Suite-Service der Version 10.5 oder höher zu einem NetWitness Suite-Service der Version 10.4 wird das Timeout für Abfrage in die nächstmögliche Abfrageebene umgewandelt. Wenn ein Benutzer beispielsweise ein Timeout für Abfrage von 15 Minuten hat, erhält er nach der Migration die Abfrageebene 3. Hat er ein Timeout für Abfrage von 35 Minuten, erhält er nach der Migration ebenfalls die Abfrageebene 2. Hat er ein Timeout für Abfrage von 45 Minuten, erhält er nach der Migration ebenfalls die Abfrageebene 2.

Beim Migrieren oder Replizieren eines Benutzers von einem NetWitness Suite-Service der Version 10.4 zu einem NetWitness Suite-Service der Version 10.5 wird die Abfrageebene in ein Timeout für Abfrage gemäß den folgenden Definitionen umgewandelt.

  • Abfrageebene 1 = 60 Minuten
  • Abfrageebene 2 = 40 Minuten
  • Abfrageebene 3 = 20 Minuten

Methoden

ZUGREIFEN AUF DIE ANSICHT „SICHERHEIT“

Jedes der folgenden Verfahren startet in der Ansicht Services-Sicherheit.

So navigieren Sie zur Ansicht Services-Sicherheit:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services.
  2. Wählen Sie einen Service und anschließend The Actions drop-down menu > Ansicht > Sicherheit aus.
    Die Ansicht „Sicherheit“ für den ausgewählten Service wird mit geöffneter Registerkarte „Benutzer“ angezeigt.
    This is an example of a Concentrator Security view.

Hinweis: Für NetWitness Suite 10.4 und frühere Serviceversionen wird im Abschnitt „Benutzereinstellungen“ das Feld Abfrageebene anstatt Core-Timeout für Abfrage angezeigt.

HINZUFÜGEN EINES SERVICEBENUTZERS

  1. Klicken Sie in der Registerkarte Benutzer auf The Add icon.
  2. Geben Sie den Benutzernamen zum Zugriff auf den Service an und drücken Sie die Eingabetaste.
    Im Abschnitt „Benutzerinformationen“ wird der Benutzername angezeigt und die übrigen Felder sind zur Bearbeitung verfügbar.
  3. Geben Sie das Passwort zur Anmeldung beim Service in den Feldern Passwort und Passwort bestätigen an.
  4. (Optional) Geben Sie zusätzliche Informationen an:
  • Name für die Anmeldung bei NetWitness Suite
  • E-Mail-Adresse
  • Beschreibung des Benutzers
  1. Wählen Sie im Abschnitt „Benutzereinstellungen“ die folgenden Informationen aus: 
  • Authentifizierungstyp
    • Wenn NetWitness Suite den Benutzer authentifiziert, wählen Sie „NetWitness“ aus.
    • Wenn Active Directory oder PAM auf NetWitness-Server zur Authentifizierung des Benutzers konfiguriert ist, wählen Sie „Extern“ aus.

Hinweis: In 10.4 und später entfällt aufgrund der vertrauenswürdigen Verbindungen die Konfiguration externer Benutzerkonten auf dem Service. Die gesamte externe Konfiguration wird zentral auf NetWitness-Server ausgeführt. 

  • Core-Timeout für Abfrage ist die maximale Anzahl Minuten, die ein Benutzer eine Abfrage auf dem Service ausführen kann. Dieses Feld gilt für NetWitness Suite 10.5 und spätere Serviceversionen und wird nicht in 10.4 und früheren Versionen angezeigt.
  1. (Optional) Geben Sie zusätzliche Abfragekriterien an:
  • Abfragepräfix filtert Abfragen. Geben Sie ein Präfix ein, um die Ergebnisse zu beschränken, die der Benutzer sieht.
  • Sitzungsschwellenwert steuert, wie der Service Metawerte scannt, um die Sitzungsanzahl festzustellen. Ein Metawert mit einer Sitzungsanzahl über dem Schwellenwert stoppt die Feststellung der wirklichen Sitzungsanzahl.
  1. Wählen Sie im Abschnitt Rollenmitgliedschaft nacheinander alle Rollen aus, die Sie dem Benutzer zuweisen möchten. Wenn ein Benutzer ein Mitglied einer Rolle bei einem Service ist, hat der Benutzer die Berechtigungen, die der Rolle zugewiesen wurden.
  2. Klicken Sie zum Aktivieren des neuen Servicebenutzers auf Anwenden.

Der Benutzer wird dem Service sofort hinzugefügt.

REPLIZIEREN EINES BENUTZERS NACH ANDEREN SERVICES

  1. Wählen Sie in der Registerkarte „Benutzer“ einen Benutzer aus und klicken Sie auf The Action drop-down menu > Replizieren.
    Das Dialogfeld „Benutzer nach anderen Services replizieren“ wird angezeigt.
    This is an example of the Replicate User to Other Services dialog
  2. Geben Sie das Passwort des Benutzers ein und bestätigen Sie es.
  3. Wählen Sie nacheinander alle Services aus, nach denen Sie den Benutzer replizieren.
  4. Klicken Sie auf Replizieren.

Das Benutzerkonto wird den ausgewählten Services hinzugefügt.

LÖSCHEN EINES SERVICEBENUTZERS

  1. Wählen Sie in der Registerkarte Benutzer den Benutzernamen aus und klicken Sie aufThe delete icon.
    NetWitness Suite fordert Sie auf, zu bestätigen, dass Sie die ausgewählten Benutzer löschen möchten..
  2. Klicken Sie zur Bestätigung auf Ja.

Der Benutzer wird sofort aus dem Service gelöscht.

Hinzufügen einer Servicebenutzerrolle

In NetWitness Suite gibt es vorkonfigurierte Rollen, die auf dem Server und jedem Service installiert werden. Sie können auch benutzerdefinierte Rollen hinzufügen. In der folgenden Tabelle sind die vorkonfigurierten Systemrollen und ihre Berechtigungen aufgelistet.

                                   
RolleBerechtigung
AdministratorenVoller Systemzugriff
OperatorenZugriff auf die Konfigurationen, aber nicht auf Meta- und Sitzungsinhalte
AnalystenZugriff auf Meta- und Sitzungsinhalte, aber nicht auf Konfigurationen
SOC_ManagersGleicher Zugriff wie Analysten sowie zusätzliche Berechtigung für das Verarbeiten von Incidents
Malware_AnalystsZugriff auf Schadsoftwareereignisse und Meta- sowie Sitzungsinhalt
Data_Privacy_OfficersZugriff auf Metadaten und Sitzungsinhalte sowie auf Konfigurationsoptionen für das Management der Verschleierung und Anzeige sensibler Daten innerhalb des Systems (siehe „Datenschutzmanagement“)

Sie müssen eine Servicerolle hinzufügen, wenn Sie Folgendes hinzugefügt haben:

  • Einen oder mehrere Service-Benutzer, die einen neuen Satz an Berechtigungen benötigen.
  • Eine benutzerdefinierte Rolle auf dem NetWitness-Server-Server, da es für vertrauenswürdige Verbindungen notwendig ist, dass die gleiche benutzerdefinierte Rolle auf dem Server und jedem Service vorhanden ist, auf den die benutzerdefinierte Rolle zugreift. Die Namen müssen identisch sein. Beispiel: Wenn Sie die Rolle „Junior Analysts“ auf dem Server hinzufügen, müssen Sie auf jedem Service, auf den die Rolle zugreift, eine Rolle „Junior Analysts“ hinzufügen. Weitere Informationen finden Sie im Thema Hinzufügen einer Rolle und Zuweisen von Berechtigungen unter Systemsicherheit und Benutzerverwaltung.

Es ist auch eine vorkonfigurierte Servicerolle Aggregation vorhanden. Weitere Informationen erhalten Sie unter Rolle "Aggregation" und Servicebenutzerrollen und -berechtigungen.

Verfahren

So fügen Sie eine Servicebenutzerrolle hinzu und weisen ihr Berechtigungen zu:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services.
  2. Wählen Sie einen Service und anschließend The Actions drop-down menu > Ansicht > Sicherheit aus.
    Die Ansicht „Sicherheit“ für den ausgewählten Service wird mit geöffneter Registerkarte „Benutzer“ angezeigt.
  3. Wählen Sie die Registerkarte Rollen aus und klicken Sie auf The Add icon.
    Die Ansicht „Services-Sicherheit“ wird angezeigt und fünf vorkonfigurierte Rollen sind bereits aufgelistet.
    This is an example of the Roles tab.
  4. Klicken Sie auf The add icon, geben Sie den Rollennamen ein und drücken Sie die Eingabetaste.
    Die Rollen-ID wird über einer Liste von Rollenberechtigungen angezeigt.
  5. Wählen Sie die Berechtigungen, die die Rolle im Service haben soll, nacheinander aus. 
  6. Klicken Sie auf Anwenden.

Die Rolle wird dem Service sofort hinzugefügt. Auf der Registerkarte Benutzer können Sie ihr Benutzer hinzufügen.

Ändern eines Servicebenutzerpassworts

Mit diesem Verfahren können Administratoren das Passwort eines Servicebenutzers ändern und das neue Passwort in allen Core-Services replizieren, in denen dieses Benutzerkonto definiert ist. Dabei wird nur die Passwortänderung und nicht das gesamte Benutzerkonto in den ausgewählten Core-Services repliziert. Die Administratoren können auch das Passwort des admin-Kontos in den Core-Services ändern.

Hinweis: Die Option „Passwort ändern“ gilt nicht für externe Benutzer.

So ändern Sie das Passwort eines Servicebenutzers

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services.
    Die Ansicht „Administration“ > „Services“ wird angezeigt.
  2. Wählen Sie einen Service aus und klicken Sie anschließend auf The actions drop-down menu > Ansicht > Sicherheit.
    Die Ansicht „Sicherheit“ für die ausgewählten Services wird angezeigt.
  3. Wählen Sie in der Registerkarte Benutzer einen Benutzer und dann über das Aktionssymbol Passwort ändern aus.
    Das Dialogfeld Passwort ändern wird angezeigt.
    This is an example of the Change Password dialog.
  4. Geben Sie ein neues Passwort für den Benutzer ein und bestätigen Sie es.
  5. Wählen Sie die Services aus, in denen Sie das Benutzerpasswort ändern möchten. 
  6. Klicken Sie auf Passwort ändern.
    Der Status der Passwortänderung in den ausgewählten Services wird angezeigt.

Erstellen und Managen von Servicegruppen

Die Ansicht Administration > Services enthält Optionen zum Erstellen und Managen von Servicegruppen. Die Symbolleiste des Bereichs „Services“ umfasst Optionen für das Erstellen, Bearbeiten und Löschen von Servicegruppen. Sobald Gruppen erstellt wurden, können Sie einzelne Services aus dem Bereich Services in eine Gruppe ziehen.

Gruppen können funktionale, geografische, projektorientierte oder beliebige andere hilfreiche Unternehmensprinzipien widerspiegeln. Ein Service kann zu mehreren Gruppen gehören. Im Folgenden werden einige Beispiele für Gruppierungen genannt.

  • Gruppieren Sie unterschiedliche Servicetypen, um alle Broker, Decoder oder Concentrators leichter konfigurieren und überwachen zu können.
  • Gruppieren Sie Services, die Teil des gleichen Datenflusses sind, z. B. einen Broker und alle zugehörigen Concentrators und Decoder.
  • Gruppieren Sie Services entsprechend ihrer geographischen Region und dem Standort in der Region. Wenn an einem Standort ein größerer Stromausfall auftritt, sind dann alle potenziell betroffenen Services leicht zu identifizieren.

Erstellen einer Gruppe

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services.
    Die Ansicht „Administration“ > „Services“ wird angezeigt.
  2. Klicken Sie im Bereich Gruppen auf der Symbolleiste auf The Add icon.
    Ein Feld für die neue Gruppe wird mit blinkendem Cursor darin geöffnet.
    This is the Groups panel with a new, unnamed group
  3. Geben Sie den Namen der neuen Gruppe in das Feld ein (z. B. Eine neue Gruppe) und drücken Sie die Eingabetaste.
    Die Gruppe wird als Ordner in der Struktur erstellt. Die Zahl neben der Gruppe gibt die Anzahl der Services in dieser Gruppe an.
    This is the Groups panel with the new group added

Ändern des Namens einer Gruppe

  1. Doppelklicken Sie in der Ansicht Services im Bereich Gruppen auf den Gruppennamen oder wählen Sie die Gruppe aus und klicken Sie auf The edit icon. Das Namensfeld wird mit blinkendem Cursor darin geöffnet.
  2. Geben Sie den neuen Namen der Gruppe ein und drücken Sie die Eingabetaste.
    Das Namensfeld wird geschlossen und der neue Gruppenname wird in der Struktur angezeigt.

Hinzufügen eines Services zu einer Gruppe

Wählen Sie in der Ansicht „Services“ im Bereich Services einen Service aus und ziehen Sie ihn in einen Gruppenordner im Bereich „Gruppen“, z. B. in den Ordner Log Collectors.
Der Service wird der Gruppe hinzugefügt.

Anzeigen der Services in einer Gruppe

Um die Services in einer Gruppe anzuzeigen, klicken Sie im Bereich Gruppen auf die Gruppe.

Im Bereich Services werden die Services in dieser Gruppe aufgelistet.

Entfernen eines Services aus einer Gruppe 

  1. Wählen Sie in der Ansicht „Services“ im Bereich Gruppen die Gruppe aus, die den zu entfernenden Service enthält. Die Services in dieser Gruppe werden im Bereich „Services“ angezeigt.
  2. Wählen Sie im Bereich Services einen oder mehrere Services aus, die Sie aus der Gruppe entfernen möchten, und wählen Sie in der Symbolleiste The Delete icon > Aus Gruppe entfernen aus.
    Die ausgewählten Services werden aus der Gruppe entfernt, aber nicht aus der NetWitness Suite-Benutzeroberfläche. Die Anzahl der Services in der Gruppe, die neben dem Gruppennamen angezeigt wird, verringert sich um die Anzahl der aus der Gruppe entfernten Services. Die Gruppe Alle enthält die Services, die aus der Gruppe entfernt wurden.
    Im folgenden Beispiel enthält die Servicegruppe Neue Gruppe keine Services, da der Service in dieser Gruppe entfernt wurde.
    This is an example of a group without services

Löschen von Gruppen

  1. Wählen Sie in der Ansicht „Services“ im Bereich Gruppen die Gruppe aus, die Sie löschen möchten. 
  2. Klicken Sie auf The delete icon.
    Die ausgewählte Gruppe wird aus dem Bereich „Gruppen“ entfernt. Die Services, die sich in der Gruppe befanden, werden nicht aus der NetWitness Suite-Benutzeroberfläche entfernt. Die Gruppe Alle enthält die Services der gelöschten Gruppe.

Duplizieren oder Replizieren einer Servicerolle

Eine effiziente Möglichkeit, eine neue Servicerolle hinzuzufügen, besteht darin, eine ähnliche Rolle zu duplizieren, sie unter einem neuen Namen zu speichern und die bereits zugewiesenen Berechtigungen zu bearbeiten. Sie können zum Beispiel die Rolle Analysten duplizieren. Speichern Sie diese dann als JuniorAnalysts und ändern Sie die Berechtigungen.

Eine schnelle Möglichkeit, eine existierende Rolle zu anderen Services hinzuzufügen, besteht darin, die Rolle zu replizieren. Sie können zum Beispiel die Rolle JuniorAnalysts, die auf einem Broker existiert, auf einem Concentrator oder einem Log Decoder replizieren.

Jedes der folgenden Verfahren startet in der Ansicht Services-Sicherheit.

So navigieren Sie zur Ansicht Services-Sicherheit:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services.
  2. Wählen Sie einen Service und anschließend The Actions icon > Ansicht > Sicherheit aus.
    Die Ansicht „Sicherheit“ für den ausgewählten Service wird mit geöffneter Registerkarte „Benutzer“ angezeigt.
  3. Wählen Sie die Registerkarte Rollen aus.

Duplizieren einer Servicerolle

  1. Wählen Sie in der Registerkarte „Rollen“ die Rolle aus, die Sie duplizieren möchten.
    This is an example of the Roles tab.
  2. Klicken Sie auf The Duplicate icon toRolle duplizieren.
  3. Geben Sie einen neuen Namen ein und klicken Sie auf Anwenden.
  4. Wählen Sie die neue Rolle aus.
  5. Aktivieren oder deaktivieren Sie im Abschnitt Rollenberechtigungen die Berechtigungen, um die Berechtigungen einer Rolle zu ändern.

Die duplizierte Rolle wird sofort zum Service hinzugefügt.

Replizieren einer Rolle

  1. Wählen Sie in der Registerkarte Rollen die Rolle aus, die Sie replizieren möchten, und klicken Sie auf Replizieren.
  2. Wählen Sie im Dialogfeld Rolle nach anderen Services replizieren alle Services aus, zu denen Sie die Rolle hinzufügen möchten.
  3. Klicken Sie auf Replizieren.

Die replizierte Rolle wird sofort zu allen ausgewählten Services hinzugefügt.

Bearbeiten von Core-Servicekonfigurationsdateien

Die Servicekonfigurationsdateien – für Decoder, Log Decoder, Broker, Concentrator, Archiver und Workbench-Services – können als Textdateien bearbeitet werden. Auf der Registerkarte Servicekonfigurationsansicht > Dateien können Sie:

  • Eine Servicekonfigurationsdatei, die das NetWitness Suite-System gerade verwendet, anzeigen und bearbeiten
  • Das aktuelle Backup der Datei, die Sie gerade bearbeiten, abrufen und wiederherstellen
  • Die geöffnete Datei an andere Services übertragen
  • An einer Datei vorgenommene Änderungen speichern

Die für die Bearbeitung verfügbaren Dateien sind abhängig von dem Servicetyp, der konfiguriert wird. Die allen Core-Services gemeinsamen Dateien sind:

  • die Serviceindexdatei
  • die NetWitness-Datei
  • die Absturzreporterdatei
  • die Scheduler-Datei 

Darüber hinaus hat der Decoder Dateien, die Parser, Feeddefinitionen und einen Wireless-LAN-Adapter konfigurieren. 

Hinweis: Die Standardwerte in diesen Konfigurationsdateien sind für die gängigsten Situationen im Allgemeinen gut geeignet. Eine Bearbeitung ist jedoch bei optionalen Services wie dem Crash Reporter oder dem Scheduler erforderlich. Nur Administratoren mit guten Kenntnissen der Netzwerke und der Einflussfaktoren auf die Art und Weise, wie Services Daten erfassen und analysieren, sollten Änderungen an diesen Dateien in der Registerkarte „Dateien“ vornehmen.

Weitere Informationen zu Servicekonfigurationsparametern finden Sie unter Servicekonfigurationseinstellungen.

Bearbeiten einer Servicekonfigurationsdatei

So bearbeiten Sie eine Datei:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services.
  2. Wählen Sie im Raster „Services“ einen Service aus.
  3. Wählen Sie The actions drop-down menu > Ansicht > Konfiguration aus.
    Die Servicekonfigurationsansicht wird mit geöffneter Registerkarte „Allgemei“n angezeigt.
  4. Klicken Sie auf die Registerkarte Dateien.
    Der ausgewählte Service, wie etwa Concentrator, wird in der Drop-down-Liste auf der rechten Seite angezeigt.
  5. (Optional) Wählen Sie zur Bearbeitung einer Datei für den Host anstatt für den Service in der Drop-down-Liste die Option Host aus.
  6. Wählen Sie aus der Drop-down-Liste Wählen Sie eine Datei zur Bearbeitung aus eine Datei aus.
    Der Inhalt der Datei wird im Bearbeitungsmodus angezeigt.
    Editable Files tab in Config view
  7. Bearbeiten Sie die Datei und klicken Sie auf Anwenden.

Die aktuelle Datei wird überschrieben und eine Backupdatei wird erstellt. Die Änderungen werden nach dem Neustart des Services wirksam.

Wiederherstellen einer Backupversion einer Servicekonfigurationsdatei

Nachdem Sie an einer Konfigurationsdatei Änderungen vorgenommen, die Datei gespeichert und den Service neu gestartet haben, steht eine Backupdatei zur Verfügung. So stellen Sie ein Backup einer Konfigurationsdatei wieder her: 

  1. Wählen Sie eine Konfigurationsdatei aus, indem Sie die Schritte 1–6 des Verfahrens Bearbeiten von Servicekonfigurationsdateien am Anfang dieses Themas ausführen.
  2. Klicken Sie auf Get Backup.
    Die Backupdatei wird im Texteditor geöffnet.
  3. Klicken Sie zur Wiederherstellung der Backupversion auf Speichern.

Die Änderungen werden nach dem Neustart des Services wirksam.

Übertragen einer Konfigurationsdatei an andere Services

Nachdem Sie eine Servicekonfigurationsdatei bearbeitet haben, können Sie die gleiche Konfiguration auf andere Services des gleichen Typs übertragen. 

  1. Wählen Sie eine Konfigurationsdatei aus, indem Sie die Schritte 1–6 des Verfahrens Bearbeiten von Servicekonfigurationsdateien am Anfang dieses Themas ausführen.
  2. Klicken Sie auf The Push icon. Das Dialogfeld „Services auswählen“ wird angezeigt.
  3. Wählen Sie jeden Service aus, um die Konfigurationsdatei auf ihn zu übertragen.
    Jeder Service muss vom gleichen Typ sein wie derjenige, den Sie in der Ansicht Services ausgewählt haben.

    Achtung: Wenn Sie sich dagegen entscheiden, die Konfigurationsdatei zu übertragen, klicken Sie auf Abbrechen.

  4. Klicken Sie zur Übertragung der Konfigurationsdatei auf alle ausgewählten Services auf OK.

Die Konfigurationsdatei wird auf alle ausgewählten Services übertragen. 

KONFIGURIEREN DES AUFGABENPLANERS

Planerdatei

Sie können die Planerdatei in der Registerkarte „Dateien“ in der Servicekonfigurationsansicht bearbeiten. Diese Datei konfiguriert den integrierten Aufgabenplaner für einen Service. Der Aufgabenplaner kann automatisch in vordefinierten Intervallen oder zu bestimmten Tageszeiten Nachrichten versenden.

Syntax des Aufgabenplaners

Eine Aufgabenzeile in der Planerdatei enthält die folgende Syntax, wenn <Value> keine Leerzeichen enthält:

<ParamName>=<Value>

Enthält <Value> Leerzeichen, gilt folgende Syntax:

<ParamName>="<Value>"

In jeder Aufgabenzeile gelten folgende Guidelines:

  • Der Parameter time (Zeit) oder einer der Intervallparameter (seconds (Sekunden), minutes (Minuten) oder hours (Stunden)) ist erforderlich.
  • Stellen Sie Sonderzeichen einen umgekehrten Schrägstrich \  voran.

Aufgabenzeilenparameter

Die folgenden Aufgabenzeilenparameter werden vom Planer akzeptiert.

                                                       
SyntaxBeschreibung
daysOfWeek: <string, optional, {enum-any:sun|mon|tue|wed|thu|fri|sat|all}>Die Wochentage, an denen die Aufgabe ausgeführt werden soll. Der Standardwert ist alle.
deleteOnFinish: <bool, optional>Aufgabe nach erfolgreicher Durchführung löschen
hours: <uint32, optional, {range:1 to 8760}>Die Anzahl von Stunden zwischen den Ausführungen.
logOutput: <string, optional>Die Ausgabe unter Verwendung des angegebenen Modulnamens protokollieren
minutes: <uint32, optional, {range:1 to 525948}>Die Anzahl von Minuten zwischen den Ausführungen.
msg: <string>Die Nachricht, die an den Node gesendet werden soll
params: <string, optional>Die Parameter für die Nachricht
pathname: <string>Der Pfad des Node, der die Nachricht erhalten soll
seconds: <uint32, optional, {range:1 to 31556926}>Die Anzahl der Sekunden zwischen den Ausführungen
time: <string>Die Zeit der Ausführung im Format HH::MM::SS (Ortszeit des Servers)
timesToRun: <uint32, optional>Wie viele Male der Service ab Beginn ausgeführt wird, 0 bedeutet unbegrenzt (Standardeinstellung).

Nachrichten

Die folgenden Nachrichtenzeichenfolgen können im Aufgabenplaner als msg-Parameter verwendet werden.

                                 
MeldungBeschreibung
addInterDamit fügen Sie eine Aufgabe hinzu, die in einem definierten Intervall ausgeführt wird. Mit der folgenden Nachricht wird beispielsweise der Befehl /index save alle 6 Stunden ausgeführt:

addInter hours=6 pathname=/index msg=save
addMil
 
Damit fügen Sie eine Aufgabe hinzu, die an einem oder mehreren Tagen zu einer bestimmten Uhrzeit ausgeführt wird. Mit der folgenden Nachricht wird beispielsweise der Befehl /index save um 1:00 Uhr an jedem Werktag ausgeführt:
addMil time= 01:00:00 pathname=/index
msg=save daysOfWeek=mon,tue,wed,thu,fri
delSchedDamit löschen Sie eine bestehende geplante Aufgabe. Der Parameter id der Aufgabe muss von der print-Nachricht abgerufen werden.
printDamit drucken Sie alle geplanten Aufgaben.
replaceDamit weisen Sie alle geplanten Aufgaben in einer Nachricht zu und löschen alle bestehenden Aufgaben.
speichernDamit veranlassen Sie einen Node zum Speichern.

Beispielaufgabenzeile

Die folgende Beispielaufgabenzeile in der Planerdatei lädt die gepackte Feedsdatei (feeds.zip) alle 120 Minuten vom Hostserver des Feeds herunter.

minutes=120 pathname=/parsers msg=feed params="type\=wget file\=http://feedshost/nwlive/feeds.zip"

BEARBEITEN EINER SERVICEINDEXDATEI

Dieses Thema enthält wichtige Informationen und Richtlinien zur Konfiguration benutzerdefinierten Serviceindexdateien, die in der Ansicht Services > Konfiguration > Registerkarte Dateien bearbeitet werden können.

Zusammen mit anderen Konfigurationsdateien steuert die Indexdatei die Vorgänge des jeweiligen Core-Services. Durch Zugreifen auf die Indexdatei über die Servicekonfigurationsansicht in NetWitness Suite wird die Datei in einem Text-Editor geöffnet, in dem Sie sie bearbeiten können.

Hinweis: Nur Administratoren mit fundierten und umfassenden Kenntnissen der Core-Servicekonfiguration sind qualifiziert, Änderungen an einer Indexdatei vorzunehmen, die eine der zentralen Konfigurationsdateien für den Appliance-Service darstellt. Die vorgenommenen Änderungen müssen auf allen Core-Services konsistent sein. Ungültige Einträge oder falsch konfigurierte Dateien können einen Start des Systems verhindern und ein Eingreifen des RSA-Supports erfordern, um den Funktionsfähigkeit des Systems wiederherzustellen.

Dies sind die Indexdateien: 

  • index-broker.xml und index-brokercustom.xml
  • index-concentrator.xml und index-concentrator‐custom.xml
  • index-decoder.xml und index-decodercustom.xml
  • index-logdecoder.xml und index-logdecodercustom.xml
  • index-archiver.xml und index-archiver‐custom.xml
  • index-workbench.xml und index-workbench‐custom.xml

Indexdateien und benutzerdefinierte Indexdateien

Alle kundenspezifischen Indexänderungen werden in index-<service>-custom.xml vorgenommen. Diese Datei überschreibt alle Einstellungen in index-<service>.xml, die ausschließlich durch RSA gesteuert wird. 

Hinweis: Kunden, die NetWitness Suite-Versionen vor 10.1 verwenden, mussten Indexdateien anpassen, indem Sie die Indexdatei bearbeiteten und speicherten. Diese Methode stützte sich außerdem darauf, dass NetWitness Suite nach dem Neustart des Services ein Backup der aktuellen Indexdatei erstellte. Mit diesem Prozess wird die aktuelle Datei überschrieben und eine Backupdatei erstellt. Die Option auf der Symbolleiste bietet eine Möglichkeit, eine Backupversion der Indexdatei wiederherzustellen.
Während Softwareupgrades wird index-<service>.xml nicht beibehalten, da sie von den durch das RSA-Inhaltsteam vorgenommenen Änderungen überschrieben wird. Es wird jedoch in demselben Verzeichnis ein Backup mit dem Namen index-<service>.xml.rpm_pre_save erstellt. Die Datei index-<service>.xml.rpm_pre_save kann gegebenenfalls referenziert werden, um die kundenspezifische Datei index-<service>-custom.xml zu erstellen, was nur ein Mal getan werden muss. Zukünftig ermöglicht das neue System RSA, Indexänderungen vorzunehmen, ohne vorhandene kundenspezifische Änderungen zu modifizieren. 

Mit der benutzerdefinierten Indexdatei index-<service>‐custom.xml können kundenspezifische Definitionen erstellt oder Ihre eigenen Sprachschlüssel überschrieben werden, die während des Upgradeprozesses nicht überschrieben werden.

  • Schlüssel, die in der Datei index-<service>‐custom.xml definiert sind, ersetzen die Definitionen in der Datei index-<service>.xml.
  • Schlüssel, die zur Datei index-<service>custom.xml hinzugefügt werden und nicht in der Datei index‐<service>.xml vorhanden sind, werden als neuer Schlüssel zur Sprache hinzugefügt.

Einige häufige Anwendungsbeispiele für das Bearbeiten der Indexdatei sind:

  • Hinzufügen neuer benutzerdefinierter Metaschlüssel, um neue Felder zur NetWitness Suite-Benutzeroberfläche hinzuzufügen
  • Konfiguration geschützter Metaschlüssel als Teil einer Datenschutzlösung wie im Leitfaden Datenschutzmanagement beschrieben
  • Anpassen der Abfrageperformance der NetWitness Suite Core-Datenbanken wie im NetWitness Suite Core-Datenbank-Tuning-Leitfaden beschrieben

Hinweis: Bei NetWitness Suite 10.1 und höher besteht keine Notwendigkeit, die benutzerdefinierte Broker-Indexdatei zu bearbeiten, mit Ausnahme der Datenschutzszenarios und Systemrollen. Der Broker führt die Schlüssel aller Aggregationsservices automatisch zusammen, um eine umfassende Sprache zu erstellen. Die in den Dateien index‐broker.xml und indexbroker-custom.xml definierte Ausweichsprache wird verwendet, wenn keine Services vorhanden oder alle Services offline sind.

Achtung: Setzen Sie die Indexebene auf einem Decoder niemals auf IndexKeys oder IndexValues, wenn ein Concentrator oder Archiver von dem Decoder aggregiert. Die Größe der Indexpartition ist zu klein, um die Indexierung über den standardmäßigen Metaschlüssel time hinaus zu unterstützen.

AKTIVIEREN DES CRASH REPORTER-SERVICE

Der Crash Reporter ist ein optionaler Service für NetWitness Suite-Services. Ist der Crash Reporter für einen der Core-Services aktiviert, generiert dieser automatisch ein Informationspaket, das zur Diagnose und Lösung des Problems, das zum Servicefehler geführt hat, verwendet wird. Das Paket wird automatisch an RSA zur Analyse gesendet. Die Ergebnisse werden an den RSA-Support zur weiteren Bearbeitung gesendet.

Das an RSA gesendete Informationspaket enthält keine erfassten Daten. Dieses Informationspaket enthält die folgenden Informationen:

  • Stapelüberwachung
  • Protokolle
  • Konfigurationseinstellungen
  • Softwareversion
  • CPU-Informationen
  • Installierte RPMs
  • Festplattengeometrie

Die Absturzanalyse des Crash Reporter kann für jedes Core-Produkt aktiviert werden. 

Die Datei crashreporter.cfg

Eine der zur Bearbeitung verfügbaren Dateien in der in der Registerkarte „Dateien“ in der Ansicht „Servicekonfiguration“ ist crashreporter.cfg, die Serverkonfigurationsdatei des Crash Reporter-Clients.

Diese Datei wird von dem Skript verwendet, das Absturzreporte in des Hosts überprüft, aktualisiert und erstellt. Zu überwachende Produkte können Decoder, Concentrators, Hosts und Brokers umfassen.

In dieser Tabelle werden die Einstellungen für die Datei crashreporter.cfg aufgelistet.

                                                                                                           
EinstellungBeschreibung
applicationlist=decoder, concentrator, hostDefinieren Sie die Liste der zu überwachenden Produkte.
sitedir=/var/crashreporterSpeicherort des Seitenverzeichnisses für den Bericht.
webdir=/usr/share/crashreporter/WebSpeicherort des Web-Verzeichnisses.
devdir=/var/crashreporter/DevSpeicherort des Entwicklungs-Verzeichnisses.
datadir=/var/crashreporter/dataSpeicherort des Verzeichnisses, das Datendateien speichert.
perldir=/usr/share/crashreporter/perlSpeicherort der Perl-Dateien.
bindir=/usr/share/crashreporter/binSpeicherort der binären ausführbaren Dateien.
libdir=/usr/share/crashreporter/libSpeicherort der binären Bibliotheken.
cfgdir=/etc/crashreporterSpeicherort der Konfigurationsdateien.
logdir=/var/log/crashreporterSpeicherort der Protokolldateien.
scriptdir=/usr/share/crashreporter/scriptsSpeicherort des Verzeichnisses, das Skripts enthält.
workdir=/var/crashreporter/workSpeicherort des Produktionsprozess-Verzeichnisses.
sqldir=/var/crashreporter/sqlSpeicherort erstellter sql-Dateien.
reportdir=/var/crashreporter/reportsErstellungsort temporärer Berichte.
packagedir=/var/crashreporter/packagesSpeicherort der erstellten Paket-Dateien.
gdbconfig=/etc/crashreporter/crashreporter.gdbSpeicherort der gdb-Konfigurationsdatei.
corewaittime=30Definieren Sie die Anzahl der Sekunden, die Sie nach dem Auffinden eines Cores warten, um zu überprüfen, ob sich der Core noch im Erstellungsprozess befindet.
cyclewaittime=10Definieren Sie die Anzahl an Minuten, die zwischen einzelnen Suchzyklen liegen.
deletecores=1Legen Sie fest, ob Core-Dateien nach dem Bericht gelöscht werden sollen.

0 = Nein
1 = Ja

HINWEIS: Bis zu dem Zeitpunkt, zu dem die Core-Datei gelöscht ist, wird diese Meldung jedes Mal angezeigt, wenn „crashreporter“ neu gestartet wird.
deletereportdir=1Legen Sie fest, ob das Berichtsverzeichnis nach dem Bericht gelöscht werden soll. Dies eignet sich zur Ansicht von Core-Berichten in einem Dialogfeld.

0 = Nein
1 = Ja

NOTE: Wird das Verzeichnis nicht gelöscht, wird dieses jedem nachfolgenden Paket hinzugefügt.
debug=1Legen Sie fest, ob Debugging-Meldungen in der crashreporter-Protokollausgabe aktiviert oder deaktiviert werden.

0 = Nein
1 = Ja
posturl=https://www.netwitnesslive.com/crash...ter/submit.phpDefinieren Sie die Post-URL des Webservers.
postpackages=0Legen Sie fest, ob die Pakete an den Webserver gesendet werden oder nicht.

0 = Nein
1 = Ja
deletepackages=1Legen Sie fest, ob Pakete gelöscht werden sollen, wenn Sie an den Webserver gesendet wurden.

0 = Nein
1 = Ja

Konfigurieren des Crash Reporter-Services

So konfigurieren Sie den Crash Reporter-Service:

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie einen Service aus und klicken Sie auf The Actions icon  > Ansicht > Konfiguration.
  3. Wählen Sie die Registerkarte Dateien aus.
  4. Bearbeiten Sie die Datei crashreporter.cfg.
  5. Klicken Sie auf Speichern.
  6. Um die Ansicht „Service-System“ anzuzeigen, wählen Sie Konfiguration > System aus.
  7. Um den Service neu zu starten, klicken Sie auf The shutdown service icon.
    Der Service fährt herunter und wird neu gestartet.

Starten und Beenden des Crash Reporter-Services

So starten Sie den Crash Reporter-Service:

  1. Wählen Sie ADMINISTRATION > Services aus.
  2. Wählen Sie einen Service aus und klicken Sie auf The Actions icon > Ansicht > System.
  1. Klicken Sie in der Symbolleiste auf Host Tasks.
    Die Hostaufgabenliste wird angezeigt.
  2. Wählen Sie in der Drop-down-Liste der Aufgaben Service starten.
  3. Geben Sie im Feld „Argumente“ den Text crashreporter ein und klicken Sie auf Ausführen
    This is an example of the Host Task List dialog for this procedure.

Der Crash Reporter-Service ist aktiviert und bleibt so lange aktiv, bis Sie ihn beenden.

Um den Crash Reporter-Service zu beenden, klicken Sie in der Drop-down-Liste „Aufgaben“ auf Service anhalten.

PFLEGEN DER TABELLENZUORDNUNGSDATEIEN

Die von RSA bereitgestellte Tabellenzuordnungsdatei table-map.xml ist ein sehr wichtiger Teil des Log Decoder. Es handelt sich dabei um eine Definitionsdatei, in der auch die in einem Protokollparser verwendeten Schlüssel den Schlüsseln in der Meta-DB zugeordnet werden. 

Bearbeiten Sie nicht die Datei table-map.xml. Wenn Sie Änderungen an der Tabellenzuordnung vornehmen möchten, tun Sie dies in der Datei table-map-custom.xml. Die neueste Version der Datei table-map.xml ist auf Live verfügbar. Sie wird bei Bedarf von RSA aktualisiert. Wenn Sie Änderungen an der Datei table-map.xml vornehmen, können diese während eines Service- oder Inhaltsupgrades überschrieben werden.

In der Datei table-map.xml sind einige Metaschlüssel auf Transient festgelegt und einige auf None. Um einen bestimmten Metaschlüssel speichern und indexieren zu können, muss der Schlüssel auf None festgelegt sein. Um Änderungen an der Zuordnung vornehmen zu können, müssen Sie eine Kopie der Datei table-map-custom.xml auf dem Log Decoder erstellen und die Metaschlüssel auf None festlegen.

Zur Metaschlüsselindexierung:

  • Wenn ein Schlüssel in der Datei table-map.xml im Log Decoder mit None markiert ist, ist er indexiert.
  • Wenn ein Schlüssel in der Datei table-map.xml im Log Decoder mit Transient markiert ist, ist er nicht indexiert. Kopieren Sie zur Indexierung des Schlüssels den Eintrag in die Datei table-map-custom.xml und ändern Sie das Schlüsselwort von flags="Transient" in flags="None".
  • Wenn ein Schlüssel in der Datei table-map.xml nicht vorhanden ist, fügen Sie der Datei table-map-custom.xml im Log Decoder einen Eintrag hinzu.

Achtung: Aktualisieren Sie die Datei table-map.xml nicht, da sie bei einem Upgrade überschrieben werden kann. Nehmen Sie alle gewünschten Änderungen an der Datei table-map-custom.xml vor.

Voraussetzungen

Wenn auf dem Log Decoder keine Datei table-map-custom.xml vorhanden ist, erstellen Sie eine Kopie von table-map.xml und benennen Sie sie um in table-map-custom.xml.

Verfahren

So überprüfen und aktualisieren Sie die Tabellenzuordnungsdatei:

  1. Navigieren Sie zu ADMINISTRATION > Services.
  2. Wählen Sie im Raster „Services“ einen Log Decoder aus und klicken Sie auf The Actions icon > Ansicht > Konfiguration.
  3. Klicken Sie auf die Registerkarte Dateien und wählen Sie die Datei table-map.xml aus.
    This is an example of the Files tab with the relevant line highlighted.
  4. Vergewissern Sie sich, dass die Flag-Schlüsselwörter korrekt auf Transient oder None festgelegt sind.
  5. Wenn Sie einen Eintrag ändern müssen, ändern Sie nicht die Datei table-map.xml . Kopieren Sie stattdessen den Eintrag, wählen Sie die Datei table-map-custom.xml aus, suchen Sie den Eintrag in der Datei table-map-custom.xml und ändern Sie das Flag-Schlüsselwort von Transient in None.
    Der folgende Eintrag für den Metaschlüssel hardware.id in der Datei table-map.xml ist beispielsweise nicht indexiert und das Flag-Schlüsselwort wird als Transient angezeigt:
    <mapping envisionName="hardware_id" nwName="hardware.id" flags="Transient"/>
    Um den Metaschlüssel hardware.id zu indexieren, ändern Sie das Flag-Schlüsselwort von Transient in None in der Datei table-map-custom.xml:
    <mapping envisionName="hardware_id" nwName="hardware.id" flags="None"/>
  6. Wenn ein Eintrag in der Datei table-map.xml nicht vorhanden ist, fügen Sie der Datei table-map-custom.xml einen Eintrag hinzu.
  7. Klicken Sie nach dem Vornehmen Ihrer Änderungen an der Datei table-map-custom.xml auf Anwenden.

Achtung: Bedenken Sie vor dem Ändern der Tabellenzuordnungsdateien sorgfältig die Folgen der Änderung des Indexes von Transient in None, da dies Auswirkungen auf den verfügbaren Speicher und die Performance des Log Decoder haben kann. Aus diesem Grund sind nur bestimme Metaschlüssel als indexiert vorkonfiguriert. Verwenden Sie die Datei table-map-custom.xml für verschiedene Anwendungsbeispiele.

Bearbeiten oder Löschen eines Services

Sie können Serviceeinstellungen bearbeiten, z. B. den Hostnamen oder die Portnummer ändern oder einen nicht mehr benötigten Service löschen.

Jedes der folgenden Verfahren beginnt in der Services-Ansicht.

Um die Ansicht „Services“ aufzurufen, navigieren Sie in NetWitness Suitezu ADMIN > Services.

This is the Services view.

Methoden

BEARBEITEN EINES SERVICES

  1. Wählen Sie in der Ansicht „Services“ einen Service aus und klicken Sie auf The Edit icon oder The Actions drop-down menu > Bearbeiten.
    Das Dialogfeld Service bearbeiten wird angezeigt. Es enthält nur die Felder, die auf den ausgewählten Service zutreffen.
    This is the Edit Service dialog
  2. Bearbeiten Sie die Servicedetails durch Ändern folgender Felder:
    • Name
    • Port: Jeder Core-Service hat zwei Ports: SSL und Nicht-SSL. Sichere Verbindungen werden mit dem SSL-Port gewährleistet.
    • SSL: Für sichere Verbindungen müssen Sie SSL verwenden. 
    • Benutzername und Passwort: Verwenden Sie diese Anmeldedaten zum Testen der Verbindung mit einem Service.
      1. Wenn Sie eine sichere Verbindung verwenden, können Sie den Benutzernamen löschen.
        Wenn Sie keine sichere Verbindung verwenden, geben Sie einen Benutzernamen und ein Passwort ein.
      2. Klicken Sie auf Verbindung testen.
  3. (Optional) Falls der Service eine Lizenz erfordert, wählen Sie Service berechtigen. Diese Option wird nur für Services angezeigt, für die eine Lizenz erforderlich ist.
  4. Klicken Sie auf Speichern.

Die Änderungen treten sofort in Kraft.

LÖSCHEN EINES SERVICES

  1. Wählen Sie in der Ansicht „Services“ einen oder mehrere Services aus und klicken Sie auf The Delete icon oder The actions drop-down menu > Löschen.
  2. In einem Dialogfeld werden Sie zur Bestätigung aufgefordert. Um den Service zu löschen, klicken Sie auf Ja.

Der gelöschte Service steht nicht mehr in NetWitness Suite-Modulen zur Verfügung. 

Durchsuchen und Bearbeiten der Service-Eigenschaftenstruktur

Die Ansicht Durchsuchen zu einem Service ist in zwei Teile unterteilt und bietet Ihnen erweiterten Zugriff auf und Kontrolle über die Servicefunktion. Die Liste „Node“ zeigt die Servicefunktion in einer Baumstruktur der Ordner an. Der Bereich „Monitor“ zeigt die Eigenschaften des Ordners oder der Datei an, der bzw. die in der Liste „Node“ ausgewählt ist.

Jedes der folgenden Verfahren beginnt in der Ansicht „Durchsuchen“.

So navigieren Sie zur Ansicht „Durchsuchen“:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services.
  2. Wählen Sie einen Service und anschließend The Actions drop-down menu > Ansicht > Durchsuchen aus.
    Die Ansicht Durchsuchen wird angezeigt. Die Liste „Node“ ist auf der linken Seite und der Bereich „Monitor“ ist auf der rechten Seite.
    This is an example of the Explore view

Methoden

ANZEIGEN ODER BEARBEITEN EINER SERVICEEIGENSCHAFT

So zeigen Sie eine Serviceeigenschaft an:

  1. Klicken Sie mit der rechten Maustaste auf eine Datei in der Liste Node oder im Bereich Monitor.
  2. Klicken Sie auf Eigenschaften.

So bearbeiten Sie den Wert einer Serviceeigenschaft:

  1. Wählen Sie im Bereich Monitor einen bearbeitbaren Eigenschaftswert.
  2. Geben Sie einen neuen Wert ein. 

SENDEN EINER MELDUNG AN EINEN NODE

  1. Wählen Sie im Dialogfeld „Eigenschaften“ einen Meldungstyp aus. Welche Optionen verfügbar sind, hängt von der in der Liste „Node“ ausgewählten Datei ab.
    Im Feld Hilfe zu Meldungen wird eine Beschreibung des ausgewählten Meldungstyps angezeigt.
  2. (Optional) Geben Sie die Parameter ein, falls sie von der Meldung benötigt werden. 
  3. Klicken Sie auf Senden.
    Im Feld Antwortausgabe wird der Wert oder das Format angezeigt.

Beenden der Verbindung zu einem Service

Sie können Sitzungen, die in einem Service ausgeführt werden, in der Ansicht Service-System anzeigen. Sie können von der Liste der Sitzungen aus die Sitzungen sowie aktive Abfragen innerhalb einer Sitzung beenden.

Beenden einer Sitzung in einem Service

  1. Navigieren Sie in NetWitness Suite zu ADMINISTRATION > Services.
    Die Ansicht „Admin-Services“ wird angezeigt.
  2. Wählen Sie einen Service und anschließend The Actions icon > Ansicht > System aus.
    Die Ansicht „Service-System“ wird angezeigt.
    This is an example of the Service System view
  3. Klicken Sie im Raster Sitzungsinformationen unten auf eine Sitzungsnummer.
    Das folgende Dialogfeld zur Bestätigung wird angezeigt.
    This is the Kill Session confirmation dialog
  4. Klicken Sie auf Yes.

Die Sitzung wird beendet und vom Raster entfernt.

Beenden einer aktiven Abfrage in einer Sitzung

  1. Scrollen Sie zu dem Raster Sitzungen herunter.
  2. Klicken Sie in der Spalte Aktive Abfragen auf eine Anzahl aktiver Abfragen einer Sitzung, die größer als null ist. Sie können nicht darauf klicken, wenn es 0 aktive Abfragen gibt.
    Das Dialogfeld „Aktive Abfragen“ wird angezeigt.
    This is an example of the Active Queries dialog
  3. Wählen Sie eine Abfrage aus und klicken Sie auf Abfrage abbrechen.
    Die Abfrage wird abgebrochen und die Spalte Aktive Abfragen wird aktualisiert.

Suchen nach Services

Sie können in der Ansicht „Services“ in der Serviceliste nach den gewünschten Services suchen. Die Ansicht „Services“ ermöglicht es Ihnen, die Liste der Services schnell nach Name, Host und Servicetyp zu filtern. Sie können das Drop-down-Menü Filtern und das Feld Filtern separat oder gleichzeitig verwenden, um die Ansicht Services zufiltern. 

Sie können die Services für einen Host nicht nur in der Ansicht Services finden, sondern auch die Services, die auf einem Host ausgeführt werden, schnell in der Ansicht Hostssuchen.

Suchen nach einem Service

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services.
  2. Geben Sie in der Symbolleiste des Bereichs Services den Namen eines Services oder einen Host im Feld Filter ein.
    This is the Filter field.

    Im Bereich „Services“ werden die Services aufgelistet, die mit den ins Feld „Filter“ eingegebenen Namen übereinstimmen. Im folgenden Beispiel sind die Suchergebnisse aufgeführt, nachdem das Wort Protokoll im Feld „Filter“ eingegeben wurde.
    This is the Services panel with two results matching a search for log

Filtern von Services nach Typ

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services.
  2. Klicken Sie in der Ansicht Services auf The Filter icon und wählen Sie die Servicetypen aus, die in der Ansicht Services angezeigt werden sollen.


    Die ausgewählten Servicetypen werden in der Ansicht „Services“ angezeigt. Im folgenden Beispiel ist die Ansicht „Services“ dargestellt, die nach einem Concentrator und einem Log Decoder gefiltert wurde.

    This is the Services panel filtered for Concentrator and Decoder.

Suchen der Services auf einem Host

Sie können die Services für einen Host nicht nur in der Ansicht Services finden, sondern auch die Services, die auf einem Host ausgeführt werden, schnell in der Ansicht Hostssuchen. 

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Hosts.
  2. Wählen Sie in der Ansicht „Hosts“ einen Host aus und klicken Sie in der Spalte Services auf das Feld, das eine Zahl enthält (die Anzahl der Services).
    Eine Liste der Services auf dem ausgewählten Host wird angezeigt.

Im folgenden Beispiel wird eine Liste mit drei Services auf dem ausgewählten Host angegeben, nachdem auf das Feld mit der Zahl 3 geklickt wurde.
The is an example of the dialog that appears when you click the service count

  1. Sie können auf die Servicelinks klicken, um die Services in der Ansicht „Services“ anzuzeigen.

Starten, Beenden oder neu Starten eines Services

Diese Verfahren gelten nur für Core-Services.

Jedes der folgenden Verfahren beginnt in der Services-Ansicht. Navigieren Sie in NetWitness Suite zu ADMIN > Services.

Starten eines Services

Wählen Sie einen Service aus und klicken Sie auf The Actions drop-down menu >Starten.

Beenden eines Services

Wenn Sie einen Service beenden, werden auch alle zugehörigen Prozesse beendet und alle aktiven Benutzer werden vom Service getrennt.

So beenden Sie einen Service:

  1. Wählen Sie einen Service aus und klicken Sie auf The Actions drop-down menu > Beenden.
  2. In einem Dialogfeld werden Sie zur Bestätigung aufgefordert. Um den Service zu beenden, klicken Sie auf Ja.

Neustarten eines Services

Gelegentlich müssen Sie einen Service von Neuem starten, damit Änderungen wirksam werden. Wenn Sie einen Parameter ändern, für den ein Neustart erforderlich ist, wird in NetWitness Suite eine Meldung angezeigt.

So starten Sie einen Service von Neuem:

  1. Wählen Sie einen Service aus und klicken Sie auf The Actions drop-down menu > Neustart.
  2. In einem Dialogfeld werden Sie zur Bestätigung aufgefordert. Um den Service zu beenden, klicken Sie auf Ja.

Der Service wird beendet und startet dann automatisch von Neuem.

Anzeigen von Servicedetails

Sie können Informationen über Services anzeigen und bearbeiten, indem Sie das Menü „Ansicht“ für einen Service aufrufen.
This is the service View menu

Zweck der einzelnen Serviceansichten

Jede Ansicht zeigt einen funktionalen Bereich eines Services an. Die Ansichten werden in einem eigenen Abschnitt im Detail beschrieben:

  • Die Ansicht System zeigt eine Übersicht der Informationen für Services, Applianceservices, Hostbenutzer, Lizenzen und Sitzungen an.
  • Die Ansicht „Statistik“ bietet die Möglichkeit, Status und Operationen des Services zu überwachen. 
  • Die Ansicht „Konfiguration“ dient der Konfiguration aller Aspekte eines Services. 
  • Die Ansicht „Durchsuchen“ dient der Anzeige und Bearbeitung der Host- und Servicekonfigurationen.
  • Der Bereich „Systemprotokollierung“ zeigt die Serviceprotokolle an, die Sie durchsuchen können. 
  • Die Ansicht „Sicherheit“ ermöglicht es, Security Analytics Core-Benutzerkonten für Benutzer von Aggregation, Thick-Client und REST-API hinzuzufügen.

Ansicht Zugriff auf einen Service

So greifen Sie auf eine Ansicht für einen Service zu:

  1. Navigieren Sie in NetWitness Suite zu ADMIN > Services
  2. Wählen Sie einen Service aus und klicken Sie auf The Actions menu > Ansicht.

    Das Menü „Ansicht“ wird angezeigt.

    This is the View menu

  3. Wählen Sie in den Optionen auf der linken Seite eine Ansicht aus.

    Dies ist eine Systemansicht für einen Broker.

    This is an example of the System view

  4. Navigieren Sie mithilfe der Symbolleiste:

    This is the service toolbar

    1. Klicken Sie auf Service ändern, um einen anderen Service auszuwählen.
      Das Dialogfeld Service verwalten wird angezeigt.
    2. Aktivieren Sie das Kontrollkästchen links neben dem gewünschten Service.
    3. Wählen Sie die gewünschte Ansicht für den Service aus, den Sie im Drop-down-Menü „Ansicht“ ausgewählt haben.

      This is the View menu

      Die neue Ansicht (z. B. „Statistik“) für den ausgewählten Service wird angezeigt.

Next Topic:Referenzen
You are here
Table of Contents > Hosts und Services – Verfahren

Attachments

    Outcomes