pour la version 11.0
Informations de contact
RSA Link à l'adresse https://community.rsa.com contient une base de connaissances qui répond aux questions courantes et fournit des solutions aux problèmes connus, de la documentation produit, des discussions communautaires et la gestion de dossiers.
Marques commerciales
Pour obtenir la liste des marques commerciales de RSA, rendez-vous à l'adresse suivante : france.emc.com/legal/emc-corporation-trademarks.htm#rsa.
Contrat de licence
Ce logiciel et la documentation qui l'accompagne sont la propriété d'EMC et considérés comme confidentiels. Délivrés sous licence, ils ne peuvent être utilisés et copiés que conformément aux modalités de ladite licence et moyennant l'inclusion de la note de copyright ci-dessous. Ce logiciel et sa documentation, y compris toute copie éventuelle, ne peuvent pas être remis ou mis de quelque façon que ce soit à la disposition d'un tiers.
Aucun droit ou titre de propriété sur le logiciel ou sa documentation ni aucun droit de propriété intellectuelle ne vous est cédé par la présente. Toute utilisation ou reproduction non autorisée de ce logiciel et de sa documentation peut faire l'objet de poursuites civiles et/ou pénales.
Ce logiciel est modifiable sans préavis et ne doit nullement être interprété comme un engagement de la part d'EMC.
Licences tierces
Ce produit peut inclure des logiciels développés par d'autres entreprises que RSA. Le texte des contrats de licence applicables aux logiciels tiers présents dans ce produit peut être consulté sur la page de la documentation produit du site RSA Link. En faisant usage de ce produit,
l'utilisateur convient qu'il est pleinement lié par les conditions des contrats de licence.
Remarque sur les technologies de chiffrement
Ce produit peut intégrer une technologie de chiffrement. Étant donné que de nombreux pays interdisent ou limitent l'utilisation, l'importation ou l'exportation des technologies de chiffrement, il convient de respecter les réglementations en vigueur lors de l'utilisation, de l'importation ou de l'exportation de ce produit.
Distribution
EMC estime que les informations figurant dans ce document sont exactes à la date de publication. Ces informations sont modifiables sans préavis.
février 2018
Présentation d'Archiver 5
Configuration d’un service Archiver 7
Conditions préalables 7
Workflow 7
Ajouter le service Archiver 9
Ajouter un service Log Decoder en tant que source de données à un service Archiver 11 Ajouter un service Log Decoder en tant que source de données à un service Archiver 11 Éléments à prendre en compte pour les paramètres méta d'Archiver 13 (Facultatif) Configurer des filtres méta pour l'agrégation 13 (Facultatif) Ajouter des entrées d'index pour Archiver Reporting 15
Configurer le stockage et la rétention des logs Archiver 17
Configurer le stockage intensif, à chaud et à froid 20
Configurer les collections de stockage de logs 35
Définir les règles de rétention 39
Ajouter Archiver comme source de données au Reporting Engine 42
Configurer la surveillance Archiver 45
Configuration supplémentaire d’Archiver 47
Configuration de la sauvegarde et la restauration de données 48
Ajouter le service Archiver 48
Créer une collection 50
Ajouter un service Archiver comme source de données à Reporting Engine 52
Monter des répertoires Archiver 55
Créer une collection 55
Supprimer une collection 57
Exemple de procédure : Comment restaurer une collection en vue de la création de
rapports et de la procédure d'enquête 58
Enquêter sur une collection 59
Vue Archiver Collection Statistics 60
Afficher les logs Archiver 61
Ajouter le service Archiver comme source de données au Broker 62
Références 71
Boîte de dialogue Collection Archiver 72
Vue Configuration des services Archiver - Onglet Général 76
Section Services agrégés 77
Section Configuration de l'agrégation 81
Configuration de service Archiver 83
Onglet Rétention de données - Archiver 85
Stockage total intensif, à chaud et à froid 87
Vue Configuration des services - Archiver 89
Général 92
Paramètres d'agrégation 94
Heartbeat du service 94
Fichiers 94
Présentation d'Archiver
Ce guide fournit des instructions précises sur la configuration d’Archiver sur votre réseau, indique des procédures supplémentaires utilisées à d'autres périodes et propose des supports de référence décrivant l'interface utilisateur de configuration d'Archiver sur votre réseau.
NetWitness Suite Archiver est une appliance qui permet d'archiver les logs à long terme en indexant et en compressant les données des fichiers log, puis en les envoyant dans un espace de stockage d'archives. Cet espace est ensuite optimisé pour assurer une conservation des données à long terme et un reporting de conformité.
Archiver stocke des logs bruts et des méta de logs issus des Log Decoders en vue de leur conservation à long terme et utilise des DAC (Direct-Attached Capacity) dans le cadre du stockage.
Remarque : Les paquets bruts et les méta de paquets ne sont pas stockés dans Archiver.
La figure suivante présente l'architecture d'un réseau NetWitness Suite mettant en œuvre Archiver.
Configuration d’un service Archiver
NetWitness Suite Archiver est une appliance qui permet d'archiver les logs à long terme en indexant et en compressant les données des fichiers log, puis en les envoyant dans un espace de stockage d'archives. Cet espace est ensuite optimisé pour assurer une conservation des données à long terme et un reporting de conformité.
Archiver stocke des logs bruts et des méta de logs issus des Log Decoders en vue de leur conservation à long terme et utilise des DAC (Direct-Attached Capacity) dans le cadre du stockage.
Remarque : Les paquets bruts et les méta de paquets ne sont pas stockés dans Archiver.
Conditions préalables
Assurez-vous d'avoir :
l installé l'hôte Archiver dans votre environnement réseau.
l installé et configuré Log Decoder version 11.0.0.0 dans votre environnement réseau.
Si vous souhaitez configurer plusieurs services Archiver ou Concentrator comme groupe et partager les tâches d’agrégation entre eux, reportez-vous à la rubrique Agrégation de groupes dans le Guide de déploiement.
Workflow
Le workflow illustre le processus d’installation et de configuration de bout en bout pour un Archiver.
Le tableau suivant décrit les étapes de configuration de base d’un Archiver. Les tâches doivent être effectuées dans l’ordre indiqué.
Étape de configuration Description
Ajouter le service Archiver Fournit des informations sur la manière d’ajouter un service Archiver à l'hôte Archiver et de lui appliquer une licence.
Ajouter un service Log Decoder en tant que source de données à un service Archiver
Fournit les instructions permettant d'ajouter un Log Decoder à un Archiver.
Configurer le stockage et la rétention des logs Archiver
Fournit des instructions sur la façon de configurer le stockage et la rétention des logs sur un Archiver.
Ajouter Archiver comme source de données au Reporting Engine
Fournit des instructions sur la façon d’ajouter un Archiver en tant que source de données à Reporting Engine pour générer des rapports pour les données collectées par un Archiver.
Configurer la surveillance Archiver Cette rubrique contient des instructions sur la façon de configurer le mécanisme d'alerte lié au stockage Archiver.
Ajouter le service Archiver
Pour ajouter un service Archiver, assurez-vous d’avoir installé un hôte Archiver sur lequel exécuter le service Archiver. Reportez-vous à la section Étape 1 : Ajouter ou mettre à jour l’hôte dans le Guide de mise en route de l'hôte et des services pour la procédure d'ajout d'un hôte.
Après avoir installé un hôte Archiver, vous devez ajouter un service Archiver et lui appliquer une licence, comme expliqué dans la procédure suivante.
Remarque : Cette procédure n'est obligatoire que si vous n'avez pas encore installé le service Archiver.
Pour ajouter le service Archiver, effectuez les étapes suivantes : 1. Accédez à ADMIN > Services.
2. Dans la barre d'outils du panneau Services, sélectionnez > Archiver.
La boîte de dialogue Ajouter un service s'affiche.
3. Fournissez les informations suivantes : Champ Description
Hôte Sélectionnez un hôte dans le menu déroulant.
Nom Saisissez le nom du service.
Champ Description
Port Le port par défaut est 50008.
SSL Sélectionnez SSL si vous souhaitez que NetWitness Suite communique avec le service via SSL. La sécurité de la transmission des données est gérée par le chiffrement des informations et l'authentification avec les certificats SSL.
Remarque : Si vous sélectionnez SSL, assurez-vous que SSL est activé dans le panneau Configuration système.
Nom d'utilisateur
(Facultatif) Saisissez le nom d'utilisateur du service.
Mot de passe
(Facultatif) Saisissez le mot de passe du service.
Autoriser le service
Sélectionnez si vous souhaitez appliquer les habilitations configurées actuellement pour ce service. Pour plus d’informations, consultez la section Implémentation de la fonction d'attribution des droits dans le Guide d’octroi de licence.
4. Cliquez sur Tester la connexion pour déterminer si NetWitness Suite se connecte au service.
5. Si le résultat réussit, cliquez sur Enregistrer.
Le service ajouté s’affiche désormais dans le panneau Services.
Remarque : Si le test échoue, modifiez les informations du service et réessayez.
6. Appliquez la licence au service Archiver.
Consultez la section Synchroniser le serveur Serveur NetWitness dans le Guide d'octroi de licence pour obtenir plus de détails sur la procédure d'activation du service Archiver (application d'une licence).
Ajouter un service Log Decoder en tant que source de données à un service Archiver
Pour ajouter un Log Decoder comme source de données à Archiver, vous devez avoir installé l’hôte Archiver dans votre environnement réseau, installé et configuré un Log Decoder dans votre environnement réseau, ajouté l’hôte Archiver à NetWitness Suite et vérifié que le service Archiver se présente comme étant actif et sous licence.
Ajouter un service Log Decoder en tant que source de données à un service Archiver
Pour ajouter un service Log Decoder comme source de données à un service Archiver : 1. Accédez à ADMIN > Services.
2. Sélectionnez le service Archiver.
3. Dans la colonne Actions , sélectionnez Vue > Config.
La vue Configuration des services d'Archiver s'affiche.
4. Sous l'onglet Général, dans le panneau Services agrégés, cliquez sur . La boîte de dialogue Services disponibles s'affiche.
5. Sélectionnez le service Log Decoder à ajouter en tant que source de données au service Archiver, puis cliquez sur OK.
6. Si le service Log Decoder utilise le modèle de confiance, une boîte de dialogue Ajouter un service s'affiche.
7. Saisissez le nom d'utilisateur et le mot de passe du service Log Decoder, puis configurez les paramètres SSL.
8. Cliquez sur OK.
Le service Log Decoder sélectionné est répertorié dans le panneau Services agrégés.
Éléments à prendre en compte pour les paramètres méta d'Archiver
Pour augmenter la durée de rétention, les éléments méta et l'index du service Archiver ont été réduits (par rapport au service Concentrator) pour répondre aux besoins de rapports communs.
Par défaut, cela signifie que vous ne pourrez peut-être pas exécuter tous les rapports sur le service Archiver comme vous les exécutez sur le service Concentrator. Vous pouvez afficher la liste des éléments méta et d'index actuels utilisés par le service Archiver aux emplacements suivants :
l Vue Explorer : le chemin d'accès /archiver/devices/<logdecoder>/config/options au champ metaInclude affiche la liste des éléments méta actuels.
l Vue Config > Onglet Fichiers : Le fichier index-archiver.xml affiche la configuration d'index par défaut. Le fichier index-archiver-custom.xml ne contient aucune modification.
Les éléments méta et d'index du service Archiver peuvent être personnalisés pour répondre à des besoins d'information client spécifiques, mais cela nécessite une prise en charge
supplémentaire en stockage, en ressources CPU et en ressources mémoire pour éviter tout impact sur le délai de rétention. Au fur et à mesure que les éléments méta sont ajoutés au service Archiver, le taux maximal d'agrégation se réduit et le temps d'exécution des rapports augmente.
Pour plus de détails, reportez-vous aux rubriques (Facultatif) Configurer des filtres méta pour l'agrégation et (Facultatif) Ajouter des entrées d'index pour Archiver Reporting.
(Facultatif) Configurer des filtres méta pour l'agrégation
Suivez cette procédure pour afficher et ajouter des éléments méta supplémentaires au service Archiver.
Attention : L'ajout de méta ou d'index nécessite une prise en charge supplémentaire en stockage, en ressources CPU et en ressources mémoire pour éviter tout impact sur le délai de rétention. Au fur et à mesure que les éléments méta sont ajoutés au service Archiver, le taux maximal d'agrégation se réduit et le temps d'exécution des rapports augmente.
1. Pour afficher les éléments méta actuels, dans le panneau Services agrégés, sélectionnez le service Log Decoder, puis cliquez sur dans le champ Inclure des métadonnées.
2. Pour ajouter des éléments méta supplémentaires, sélectionnez le service Log Decoder, puis cliquez sur .
3. Dans la boîte de dialogue Modifier le service agrégé, sélectionnez les éléments méta à inclure à la liste Inclure des métadonnées. Par exemple, vous pouvez choisir d'inclure les méta ip.srcport, tcp.srcport, udp.srcport, msg, url, query, bytes, alias.host, ip.dst, ip.dstport, ip.src, tcp.dstport, megabytes, time, event.desc et word.
4. Cliquez sur Enregistrer, puis sur Appliquer.
5. Pour plus d'informations sur le mode d'indexation des clés méta supplémentaires, reportez- vous à la rubrique (Facultatif) Ajouter des entrées d'index pour Archiver Reporting ci-dessous.
(Facultatif) Ajouter des entrées d'index pour Archiver Reporting
Attention : L'ajout de méta ou d'index nécessite une prise en charge supplémentaire en stockage, en ressources CPU et en ressources mémoire pour éviter tout impact sur le délai de rétention. Au fur et à mesure que les éléments méta sont ajoutés au service Archiver, le taux maximal d'agrégation se réduit et le temps d'exécution des rapports augmente.
La configuration de l'index par défaut du service Archiver inclut uniquement les index de valeurs pour ces clés :
l temps
l source de décodeur (did)
l compte d'utilisateur de destination (user.dst),
l ID d'alerte (alert.id)
l IP de périphérique (device.ip)
l adresse IP source (ip.src)
l adresse IP de destination (ip.dst)
l description d'événement (event.desc)
l classe de périphérique (device.class)
l moyen
l nom d'objet (obj.name)
l mot
Pour obtenir des informations sur la personnalisation de cette liste, reportez-vous à la rubrique Personnalisation d'index dans le Guide d'optimisation de base de données principale.
Configurer le stockage et la rétention des logs Archiver
Cette rubrique donne des instructions aux administrateurs pour configurer le stockage et la rétention de logs dans Archiver.
Pour des raisons de conformité, il est souvent nécessaire de conserver certains types de logs plus longtemps que d'autres. Certains logs relèvent du domaine juridique et ne peuvent pas être conservés pendant longtemps. D'autres logs doivent être conservés pendant des années. Outre la conformité, certains logs sont utiles à des fins d'analyse historique approfondie alors que d'autres n'ont aucune valeur opérationnelle ou sécuritaire et peuvent être supprimés rapidement.
Étant donné que les exigences métier sont variables, NetWitness Suite vous permet de
configurer des Collections, qui sont un ensemble de logs conservés pour le stockage des données de logs. Pour chaque collection, vous pouvez spécifier la quantité d'espace de stockage total à utiliser et le nombre de jours pendant lesquels les logs doivent être conservés dans la collection.
Pour spécifier le type de logs à placer dans la collection, vous définissez les règles de rétention à associer aux collections. Les règles de rétention de toutes vos collections s'exécutent de manière séquentielle, dans l'ordre que vous définissez.
Pour cela, vous devez d'abord définir l'espace de stockage physique total pour vos collections.
NetWitness Suite vous permet de définir trois types de stockage :
l Stockage intensif : Ce stockage contient les données des fichiers log qui font l'objet d'une utilisation active dans le processus métier. Les utilisateurs peuvent accéder à ces logs plus vite qu'avec d'autres types de stockage, pour leurs tâches de reporting ou autres. Le stockage intensif est généralement un stockage de type DAC (Direct-Access Capacity) ou SAN.
l Stockage à chaud : (Facultatif) Ce stockage contient des données de fichiers log plus
anciennes, agrégées par Archiver. L'accès aux données des fichiers log est plus lente qu'avec le stockage intensif. Les utilisateurs peuvent également utiliser ces logs pour le reporting et d'autres tâches. Le stockage à chaud est généralement de type NAS (Network Attached Storage).
l Stockage à froid : (Facultatif) Ce stockage contient les données des fichiers log les plus anciennes. Elles sont soit requises pour les opérations métier, soit mandatées par des
exigences réglementaires. Les logs sont hors ligne et Archiver ne peut pas accéder à ces logs pour le reporting ou d'autres tâches. Néanmoins, si vous voulez avoir accès à ces données des fichiers log, vous pouvez les restaurer dans les collections créées sur le service Archiver et les utiliser pour le reporting. Le stockage à froid est généralement un stockage hors ligne tel que NAS ou un stockage temporaire avant l'archivage sur bande. Lorsque les données sont déplacées vers le stockage à froid, elles ne sont plus gérées par Archiver. Il incombe alors à des processus externes de les sauvegarder ou de gérer l'espace de stockage à froid afin qu'il
n'atteigne pas 100 % de sa capacité. Si la capacité maximale est atteinte, Archiver interrompt l'agrégation jusqu'à ce que le problème soit résolu.
Les Archivers sont préconfigurés pour utiliser le stockage intensif disponible et une collection de logs par défaut : ainsi, vous n'avez pas besoin de configurer le stockage Archiver et la rétention de logs si vos besoins en rétention de logs ne sont pas complexes.
Les logs peuvent passer d'un type de stockage à un autre de la façon suivante :
l Stockage intensif > Stockage à froid
l Stockage intensif > Stockage à chaud > Stockage à froid
Lorsqu'une collection atteint ses limites de rétention pour le stockage intensif et à chaud, NetWitness Suite supprime les données du log de stockage intensif ou à chaud. Si le stockage à froid est configuré, une copie est placée dans le stockage à froid avant que les logs ne soient supprimés du stockage intensif ou du stockage à chaud. Par exemple, si vous disposez d'une collection avec un stockage intensif d'1 To, un stockage à chaud d'1 To, et le stockage à froid activé, lorsque les données des fichiers log atteignent 1 To de stockage intensif, les données de log les plus anciennes passent en stockage à chaud. Lorsque les données des fichiers log du stockage à chaud atteignent 1 To, les données des fichiers log les plus anciennes du stockage à chaud sont copiées vers le stockage à froid avant leur suppression du stockage à chaud.
Pour le stockage intensif et le stockage à chaud, les paramètres de taille et de période de rétention d'une collection peuvent se remplacer mutuellement sur la base du critère (taille ou période) satisfait en premier. Par exemple, vous disposez d'une collection de stockage intensif d'1 To, aucun stockage à chaud ou à froid, et une période de rétention de 20 jours : si les données des fichiers log dépassent 1 To au bout de 11 jours, les logs les plus anciens au-dessus d'1 To sont supprimés même si la collection présente une période de rétention de 20 jours.
Après avoir créé les stockages intensif, à chaud et à froid, configurez vos collections de stockage pour la rétention des logs. Vous pouvez spécifier la taille maximale du stockage intensif et à chaud pour la collection, l'utilisation ou non du stockage à froid, le nombre de jours de rétention des logs dans la collection, la compression des données et l'utilisation ou non d'un algorithme de hachage afin de vérifier l'intégrité des données pour les fichiers qui sont
sauvegardés.
Après avoir configuré vos collections, définissez leurs règles de rétention. Ces règles indiquent le type de logs à stocker dans la collection. Chaque collection doit au moins disposer d'une règle de rétention pour stocker les données des fichiers log.
Procédure
Réalisez les tâches suivantes dans l'ordre indiqué afin de configurer le stockage et la rétention des logs.
Tâche Référence
1. Configurez le stockage intensif total, à chaud et à froid.
Reportez-vous à la section Configurer le stockage intensif, à chaud et à froid.
2. Configurez les collections de stockage pour la rétention des logs.
Reportez-vous à la
section Configurer les collections de stockage de logs.
3. Définissez les règles de rétention des collections et déterminez l'ordre d'exécution des règles de rétention.
Reportez-vous à la section Définir les règles de rétention.
Configurer le stockage intensif, à chaud et à froid
Cette rubrique fournit des instructions pour les administrateurs sur la façon de configurer le stockage total intensif, à chaud et à froid sur un service Archiver.
Un hôte Archiver dispose d'un stockage intensif pré-configuré avec les valeurs par défaut. Les administrateurs peuvent configurer la quantité totale de stockage intensif, à chaud et à froid afin de répondre aux besoins spécifiques de leur entreprise. La quantité totale du stockage intensif doit être définie pour un service Archiver, mais les configurations de stockage à chaud et à froid sont facultatives.NetWitness Suite ne gère pas le stockage à froid.
Conditions préalables
Assurez-vous d'avoir :
1. installé l'hôte Archiver dans votre environnement réseau.
2. installé et configuré Log Decoder dans votre environnement réseau.
3. ajouté Archiver en tant que service Core à votre déploiement NetWitness Suite.
4. Ajouté des services Log Decoder en tant que source de données pour Archiver.
5. Installé et configuré un DAC ou d'autres types de stockage physiques dans votre environnement réseau.
6. Déterminé vos besoins en rétention et stockage de logs.
Procédures
Configurer la quantité totale de stockage intensif pour un service Archiver
1. Accédez à ADMIN > Services.
2. Sélectionnez le service Archiver, puis > Vue > Config.
La vue Configuration des services d'Archiver s'affiche.
3. Sous l'onglet Rétention de données, dans la section Stockage intensif total, cliquez sur pour configurer la quantité totale de stockage intensif.
4. Dans la boîte de dialogue Points de montage de stockage intensif, ajoutez les points de montage associés à l'hôte Archiver que vous souhaitez inclure à la quantité totale de stockage intensif.
Il s'agit des chemins d'accès au stockage hautes performances, tel que DAC ou SAN.
N'ajoutez pas de collections ou de sous-répertoires aux points de montage.
Pour ajouter un point de montage, cliquez sur et saisissez le chemin d'accès au point de montage.
5. Vérifiez que vos chemins de point de montage sont corrects et cliquez sur Enregistrer.
NetWitness Suite crée alors automatiquement les répertoires metadb, packetdb, sessiondb et index pour chaque collection définie dans le service Archiver :
<storageLocation>/<CollectionName>/metadb
<storageLocation>/<CollectionName>/packetdb
<storageLocation>/<CollectionName>/sessiondb
<storageLocation>/<CollectionName>/index
Par exemple, si votre point de montage est /var/netwitness/archiver, les répertoires suivants sont créés pour chacune de vos collections :
/var/netwitness/archiver/<CollectionName>/metadb /var/netwitness/archiver/<CollectionName>/packetdb /var/netwitness/archiver/<CollectionName>/sessiondb /var/netwitness/archiver/<CollectionName>/index
Après le redémarrage du service Archiver, les données commencent à être enregistrées dans vos collections définies. Vérifiez que vos collections de rétention des logs sont correctes avant de redémarrer le service Archiver.
Attention : Une fois que les données sont sauvegardées sur un point de montage, elles ne peuvent plus être supprimées de l'interface utilisateur.
Configurer la quantité totale de stockage à chaud pour un service Archiver
(Facultatif) La procédure de configuration du stockage à chaud total pour un service Archiver est la même que pour le stockage intensif total, sauf que vous cliquez sur dans la section Stockage à chaud total et que vous ajoutez les points de montage que vous souhaitez utiliser pour le stockage à chaud, qui sont les chemins physiques d’accès au stockage à chaud, tel qu'un stockage rattaché au réseau (NAS).
Configurer la quantité totale de stockage à froid pour un service Archiver
(Facultatif) La procédure de configuration de la quantité totale du stockage à froid pour un service Archiver est la même que pour la quantité totale du stockage intensif, sauf que vous cliquez sur dans la section Stockage à froid total et que vous ajoutez un seul point de montage pour le stockage à froid.NetWitness Suite ne gère pas le stockage à froid.
Vous devez inclure le spécificateur du format de nom de collection %n à un emplacement du chemin d'accès au point de montage du stockage à froid pour éviter les collisions de nom de fichier entre les collections.
Les spécificateurs de format suivants sont autorisés dans le chemin d'accès :
Spécificateur de format
Description
%n nom de collection (obligatoire)
%y année à laquelle les données ont été déplacées vers le stockage à froid
%m mois
%d day
%h hour
%##r bloc d'heures pour le jour en cours. Par exemple, si vous souhaitez trois blocs de 8 heures, vous pouvez définir la configuration %8r. Les 8 premières heures du jour renvoient 0, le second bloc de 8 heures renvoie 1 et les 8 dernières heures du jour renvoient 2.
Les modifications prennent effet immédiatement.
Par exemple, si vous avez une collection nommée conformité et que vous créez le chemin d'accès au stockage à froid suivant :
/sa-cold-storage/%n/%y-%m-%d/
NetWitness Suite crée un répertoire tous les jours au format suivant : /sa-cold-storage/compliance/2015-11-20/
Fonctions de stockage de niveau intensif, à chaud et à froid
Le tableau suivant décrit les fonctionnalités des boîtes de dialogue de stockage intensif, à chaud et à froid.
Fonctionnalité Description
Ajoute un point de montage.
Supprime un point de montage. Vous ne pouvez pas supprimer un point de montage en cours d'utilisation, sauf si vous supprimez les collections associées.
Fonctionnalité Description
Sélectionnez les points de montage à inclure pour le intensif, à chaud et à froid total. Vous ne pouvez sélectionner qu'un seul point de montage pour un stockage à froid total.
Mount Point Indique le chemin vers le stockage physique attaché. Par exemple : /var/netwitness/archiver/database0, qui est l'emplacement du stockage intensif DAC.
N’ajoutez pas de collections ou sous-répertoires aux points de montage.
NetWitness Suite crée automatiquement les répertoires metadb, packetdb, sessiondb et index pour chaque collection définie sur le service Archiver : <storageLocation>/<CollectionName>/metadb
<storageLocation>/<CollectionName>/packetdb <storageLocation>/<CollectionName>/sessiondb <storageLocation>/<CollectionName>/index
Par exemple, si votre point de montage de stockage intensif est
/var/netwitness/archiver, les répertoires suivants sont créés pour chacune de vos collections :
var/netwitness/archiver/<CollectionName>/metadb /var/netwitness/archiver/<CollectionName>/packetdb /var/netwitness/archiver/<CollectionName>/sessiondb /var/netwitness/archiver/<CollectionName>/index
Pour le stockage à froid, vous devez inclure le spécificateur du format de nom de collection %n à un emplacement du chemin d'accès au point de montage du stockage à froid pour éviter les collisions de nom de fichier entre les collections.
Taille du stockage Indique la taille du stockage attaché. L'onglet Rétention de données indique la quantité de stockage totale pour votre référence.
Collections
La section Collections répertorie toutes vos collections de stockage ainsi que l'espace total de stockage pour le stockage intensif et à chaud.
Fonctions collections
Le tableau suivant décrit les icônes et les colonnes de la section Collections. Vous pouvez masquer certaines colonnes en fonction de vos besoins.
Fonctionnalité Description
Ouvre la boîte de dialogue Collections, dans laquelle vous pouvez ajouter une collection de stockage
Supprime la collection sélectionnée. La suppression de la collection supprime définitivement toutes les données stockées à partir de la collection, mais les répertoires de données vides ne sont pas supprimés.
Ouvre la boîte de dialogue Collections, dans laquelle vous pouvez modifier la collection sélectionnée.
Actualise les informations de la collection.
Sélectionne une collection. Par exemple, vous pouvez sélectionner une collection à modifier ou supprimer.
Collection Indique le nom de votre collection, par exemple Default, Compliance, MediumValue et LowValue. Vous pouvez créer différentes collections avec différents critères de rétention de logs. Si vous ne créez pas de collections, la collection Default est utilisée.
Si une collection contient des erreurs, le nom de la collection et les colonnes contenant des erreurs sont affichés en texte rouge.
Utilisation/Stockage intensif
Indique l'utilisation du stockage intensif actuel et le stockage intensif maximal pour la collection. Lorsque la taille des logs atteint la quantité de stockage intensif maximale, les logs sont supprimés ou ils passent au niveau de stockage disponible suivant (à chaud ou à froid).
Utilisation/Stockage à chaud
Indique l'utilisation du stockage à chaud actuelle et le stockage à chaud maximal pour la collection. Lorsque la taille des logs atteint la quantité de stockage à chaud maximale, les logs sont supprimés ou passent dans le stockage à froid.
Fonctionnalité Description
Stockage à froid Indique si le stockage à froid est activé ou désactivé. Un rond coloré en vert indique que le stockage à froid est activé ( ). Un rond blanc vide indique que le stockage à froid est désactivé.
Rétention Indique le nombre de jours pendant lequel ces logs sont conservés avant d'être supprimés ou éventuellement déplacés vers le stockage à froid.
Aucune limite indique que la rétention des logs n'est pas limitée à un nombre de jours spécifié.
Pour le stockage intensif et le stockage à chaud, les paramètres de taille et de période de rétention d'une collection peuvent se remplacer
mutuellement sur la base du critère (taille ou période) satisfait en premier.
Vitesse (dernière heure)
Indique le nombre de logs capturés au cours de l'heure passée.
Date la plus ancienne
Affiche la date et l'heure de la dernière capture de logs.
Durée Indique depuis combien de jours le dernier log a été capturé. Par exemple : 20 jours
Compression Indique le type de compression utilisé pour les métadonnées et les données brutes de la collection.
Hachage Indique si le hachage est activé ou désactivé. Lorsque l'algorithme de hachage est activé, il sert à garantir l'intégrité des données des fichiers en cours d'enregistrement. Par défaut, les seules données hachées sont les logs bruts, et les fichiers de hachage sont enregistrés dans le même répertoire que les données.
Fonctionnalité Description
Nombre de règles Indique le nombre de règles appliquées à la collection.
Définissez au moins une règle pour chaque collection. Une collection sans règles associées est repérée par un avertissement sous forme d'un zéro en texte rouge : Le nom de la collection apparaît aussi en texte rouge, ce qui indique une erreur dans la collection.
Attention : Si une collection n'a pas de règle, aucun log ne passe dans celle-ci.
Actions Vous permet de voir les règles associées à une collection dans la section Règle de rétention lorsque vous sélectionnez le bouton d'actions
> Sélectionner les règles. Dans la section Règle de rétention, vous pouvez changer la priorité générale des règles de collection.
Espace total de stockage
Indique l'utilisation de stockage intensif total et le stockage intensif total maximal au bas de la colonne Utilisation/Stockage intensif. Indique aussi l'utilisation de stockage à chaud totale actuelle et le stockage à chaud total maximal au bas de la colonne Utilisation/Stockage à chaud.
Les erreurs présentes dans la collection apparaissent en texte rouge. Un trait de soulignement en pointillés indique qu'une info-bulle est disponible avec des informations relatives à l'erreur.
Les collections dont l'option de modification est désactivée (grisée) ont aussi des info-bulles qui contiennent des informations sur le problème.
Règles de rétention
La section Règles de rétention répertorie toutes les règles de rétention utilisées pour vos collections de stockage répertoriées dans l'ordre d'exécution des règles.
Le tableau ci-dessous décrit les fonctions de la section Règle de rétention.
Fonctionnalité Description
Ouvre la boîte de dialogue Définition de règle dans laquelle vous pouvez ajouter une règle de rétention à utiliser dans une collection de stockage.
Supprime la règle de rétention sélectionnée. Pour que vos collections de logs recueillent et stockent des données des fichiers log, vous devez les associer à au moins une règle de rétention.
Ouvre la boîte de dialogue Définition de règle dans laquelle vous pouvez modifier la règle de rétention sélectionnée.
Actualise les informations de la règle de rétention.
Monter Déplace la règle de rétention sélectionnée vers le haut dans la liste prioritaire des règles de rétention. L'ordre des règles de rétention est très important. NetWitness Suite évalue les règles de rétention applicables à toutes les collections dans l'ordre numérique en choisissant le numéro répertorié dans la colonne Ordre de la section Règle de rétention.
Vous pouvez aussi réorganiser les règles de rétention par glisser- déplacer.
Descendre Déplace la règle de rétention sélectionnée vers le bas dans la liste prioritaire des règles de rétention. L'ordre des règles de rétention est très important. NetWitness Suite exécute les règles de rétention applicables à toutes les collections dans l'ordre numérique en choisissant le numéro répertorié dans la colonne Ordre de la section Règle de rétention.
Fonctionnalité Description
Appliquer Enregistre le changement de l'ordre des règles.
Rétablir Rétablit l'ordre des règles modifié.
Sélectionne ou affiche une règle de rétention sélectionnée.
Commande Affiche le numéro d'ordre d'une règle de rétention dans la liste générale des règles de rétention.
Nom de la règle Affiche le nom d'une règle, par exemple ComplianceDevices ou GeneralWindowsLogs.
Condition Affiche les conditions de la règle. Ces conditions spécifient le type de log à inclure dans la collection.
La rubrique Définir les règles de rétention présente les instructions relatives à toutes les requêtes et conditions de règle des services Core.
Collection Affiche le nom de la collection et le nombre de jours pendant lequel la collection est conservée. Par exemple : MediumValue (30 jours) Boîte de dialogue Collection
Dans l’onglet ADMIN > Services > Vue Config > Rétention de données d’un service Archiver, les administrateurs peuvent définir les critères de rétention et de stockage des logs. Dans la boîte de dialogue Collection, qui est accessible à partir de la section Collections, vous pouvez définir des collections de stockage individuelles à utiliser pour différents types de logs. Par exemple, vous pouvez créer des collections pour des raisons de conformité ou pour conserver de manière sélective des logs critiques.
Les procédures associées à cette boîte de dialogue sont décrites dans les rubriques Configurer le stockage et la rétention des logs Archiver et Configurer les collections de stockage de logs.
Pour accéder à la boîte de dialogue Collection : 1. Sélectionnez ADMIN > Services.
2. Sélectionnez un service Archiver et >Vue > Config.
3. Dans la vue Configuration des services pour le service, cliquez sur l'onglet Rétention de données.
4. Dans la section Collections, cliquez sur pour ajouter ou modifier la règle.
Le tableau suivant décrit les champs de la boîte de dialogue Collection.
Champ Description
Nom de la collection
Attribuez un nom à votre collection, par exemple, Conformité, ValeurMoyenne ou ValeurFaible.
Stockage intensif
Indiquez la taille maximale ou le pourcentage maximal de stockage intensif à utiliser pour cette collection. L'espace libre disponible à utiliser pour le
stockage intensif et le stockage intensif total est affiché en regard de ce champ.
Lorsque la taille des logs atteint la taille maximale du stockage intensif, les logs sont supprimés ou transférés vers le niveau de stockage disponible qui suit (stockage à chaud ou à froid).
Stockage à chaud
(Facultatif) Spécifiez la taille maximale ou le pourcentage de stockage à chaud à utiliser pour cette collection. L'espace libre disponible à utiliser pour le stockage à chaud et le stockage à chaud total est affiché en regard de ce champ.
Lorsque la taille des logs atteint la taille maximale du stockage à chaud, les logs sont supprimés ou transférés vers le niveau de stockage à froid disponible.
Champ Description
Stockage à froid
(Facultatif) Indiquez si vous souhaitez utiliser le stockage à froid pour cette collection. Si vous utilisez le stockage à froid pour la collection, les logs dépassant les limites de taille et de rétention spécifiées passent directement en stockage à froid. Si vous n'utilisez pas le stockage à froid, ces logs seront supprimés.
Rétention (Facultatif) Spécifiez le nombre de jours de rétention des logs avant leur suppression ou déplacement vers le stockage à froid.
Pour le stockage intensif et le stockage à chaud, les paramètres de taille et de période de rétention d'une collection peuvent se remplacer mutuellement sur la base du critère (taille ou période) satisfait en premier.
Compression Spécifiez le type de compression à utiliser pour les méta et les logs bruts de la collection. Vous pouvez compresser les méta et les logs bruts à l'aide de GZIP ou LZMA pour économiser de l'espace. GZIP est très rapide en matière de compression et de décompression des données, mais il ne compresse pas aussi bien que LZMA. LZMA offre une meilleure compression mais avec une vitesse de décompression plus faible (environ trois fois plus lente que GZIP).
Les taux de compression sont fortement dépendants de vos données.
La compression par défaut est de type GZIP.
Hachage Indiquez si le hachage doit être activé ou désactivé. En cas d'activation, l'algorithme de hachage garantit l'intégrité des données des fichiers en cours de sauvegarde. Par défaut, les seules données hachées sont les logs bruts, et les fichiers de hachage sont enregistrés dans le même répertoire que
Remarque : En cas de diminution des allocations de stockage de la collection ou de la réduction de la période de rétention de la collection, il peut prendre plusieurs minutes à plusieurs heures pour que les données soient déplacées et que l'espace devienne disponible en fonction de la quantité de données transférées. Un intervalle de 20 minutes est appliqué par défaut à un déploiement des tailles et un intervalle de six heures est appliqué par défaut à un déploiement des heures.
Boîte de dialogue Définition de règle
Dans l’onglet ADMIN > Services > Vue Config > Rétention de données d’un service Archiver, les administrateurs peuvent définir les critères de rétention et de stockage des logs. Dans la boîte de dialogue Définition de règle, qui est accessible à partir de la section Rétention, vous pouvez définir les règles de rétention permettant d'utiliser vos collectes de stockage.
Les procédures associées à cette boîte de dialogue sont décrites dans les rubriques Configurer le stockage et la rétention des logs Archiver et Définir les règles de rétention.
Pour accéder à la boîte de dialogue Définition de règle : 1. Sélectionnez ADMIN > Services.
2. Sélectionnez un service Archiver et >Vue > Config.
3. Dans la vue Configuration des services pour le service, cliquez sur l'onglet Rétention de données.
4. Dans la section Rétention de données, cliquez sur ou . .La boîte de dialogue Définition de règle s’affiche.
Le tableau suivant décrit les champs de la boîte de dialogue Définition de règle.
Champ Description
Nom Spécifiez un nom unique pour votre règle de rétention. Par exemple : ComplianceDevices
Condition Spécifiez les conditions du type de logs à inclure dans la collection.
Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets.
Par exemple :
device.group='PCI Devices' || device.group='HIPPA Devices' Collection Sélectionnez la collection à laquelle vous souhaitez appliquer cette règle. Par
exemple : Conformité
Étape suivante
Configurer les collections de stockage de logs
Configurer les collections de stockage de logs
Cette rubrique fournit des instructions à l'attention des administrateurs sur le mode de configuration des collections de stockage de logs sur un service Archiver.
NetWitness Suite vous permet de définir différentes collections de stockage pour différents types de logs. Vous pouvez spécifier la taille maximale des espaces de stockage intensif et de stockage à chaud utilisés par la collection, l'utilisation ou non du stockage hors ligne (stockage à froid), le nombre de jours de rétention des logs dans la collection, la compression des données, et si vous souhaitez utiliser un algorithme de hachage pour vérifier l'intégrité des données des fichiers sauvegardés. Vous devez créer des collections en fonction de vos besoins en stockage de rétention des logs. Chaque collection que vous créez doit être associée à au moins une règle de rétention.
Conditions préalables
Avant de configurer vos collections de stockage de rétention des logs, configurez la quantité totale de stockage intensif, de stockage à chaud et de stockage à froid.
Configurer une collection de stockage de logs
Pour configurer une collection de stockage de rétention d'un log sur un service Archiver : 1. Accédez à ADMIN > Services.
2. Sélectionnez le service Archiver, puis > Vue > Config.
La vue Configuration des services d'Archiver s'affiche.
3. Sous l'onglet Rétention de données, dans la section Collections, cliquez sur pour ajouter une collection.
(Si vous décidez d'effectuer des modifications dans une collection existante, sélectionnez cette collection, puis cliquez sur pour modifier ses paramètres.)
La boîte de dialogue Collection s’affiche.
4. Configurez la collection comme décrit dans le tableau suivant.
Champ Description Nom de la
collection
Attribuez un nom unique à votre collection, par exemple, Conformité, ValeurMoyenne ou ValeurFaible.
Stockage intensif
Indiquez la taille maximale ou le pourcentage maximal de stockage intensif à utiliser pour cette collection. L'espace libre disponible à utiliser pour le stockage intensif et le stockage intensif total est affiché en regard de ce champ.
Stockage à chaud
(Facultatif) Spécifiez la taille maximale ou le pourcentage de stockage à chaud à utiliser pour cette collection. L'espace libre disponible à utiliser pour le stockage à chaud et le stockage à chaud total est affiché en regard de ce champ.
Stockage à froid
(Facultatif) Indiquez si vous souhaitez utiliser le stockage à froid pour cette collection. Si vous utilisez le stockage à froid pour la collection, les logs dépassant les limites de stockage sont copiés dans le stockage à froid avant d'être supprimés du stockage intensif ou du stockage à chaud.
Rétention (Facultatif) Spécifiez le nombre de jours de rétention des logs avant leur suppression ou déplacement vers le stockage à froid.
Pour le stockage intensif et le stockage à chaud, les paramètres de taille et de période de rétention d'une collection peuvent se remplacer mutuellement sur la base du critère (taille ou période) satisfait en premier.
Compression Spécifiez le type de compression à utiliser pour les méta et les logs bruts de la collection. Vous pouvez compresser les méta et les logs bruts à l'aide de GZIP ou LZMA pour économiser de l'espace. GZIP est très rapide en matière de compression et de décompression des données, mais il ne compresse pas aussi bien que LZMA. LZMA offre une meilleure
compression mais avec une vitesse de décompression plus faible (environ trois fois plus lente que GZIP). Les taux de compression sont fortement dépendants de vos données.
La compression par défaut est de type GZIP.
Champ Description
Hachage Indiquez si le hachage doit être activé ou désactivé. En cas d'activation, l'algorithme de hachage garantit l'intégrité des données des fichiers en cours de sauvegarde. Par défaut, les seules données hachées sont les logs bruts, et les fichiers de hachage sont enregistrés dans le même répertoire que les données.
5. Cliquez sur Enregistrer.
Les erreurs présentes dans la collection apparaissent en texte rouge. Un trait de
soulignement en pointillés indique qu'une info-bulle est disponible avec des informations relatives à l'erreur. Le nom de votre collection apparaît en rouge jusqu'à ce qu'au moins une règle de rétention soit définie pour votre collection.
Si vous disposez d'une collection avec la fonction d'édition désactivée (grisée), consultez l'info-bulle associée pour plus d'informations.
Remarque : En cas de diminution des allocations de stockage de la collection ou de la réduction de la période de rétention de la collection, il peut prendre plusieurs minutes à plusieurs heures pour que les données soient déplacées et que l'espace devienne disponible en fonction de la quantité de données transférées. Un intervalle de 20 minutes est appliqué par défaut à un déploiement des tailles et un intervalle de six heures est appliqué par défaut à un déploiement des heures.
Étape suivante
Définir des règles de rétention pour vos collections.
Définir les règles de rétention
Les administrateurs peuvent définir et commander des règles de rétention pour les collections de stockage de logs sur un service Archiver. Les règles de rétention spécifient le type de logs à stocker dans la collection. Pour que vos collections de logs recueillent et stockent des données des fichiers log, vous devez les associer à au moins une règle de rétention. Lorsque vous
configurez une règle de rétention, vous spécifiez une condition et une collection pour cette règle.
La condition (définition de règle) détermine le type de logs stockés dans cette collection.
En ce qui concerne la condition, vous pouvez utiliser tout ce qui fonctionne dans une clause where de requête classique.
Par exemple, pour obtenir les logs des services de conformité, vous pouvez utiliser la condition suivante :
device.group='PCI Devices' || device.group='HIPPA Devices'
Une fois que vous avez défini les règles de rétention pour vos collections, il importe de spécifier l’ordre de vos règles de rétention. NetWitness Suite évalue les règles de rétention pour toutes les collections dans l’ordre numérique, en fonction du numéro figurant dans la colonne Ordre de la section Règle de rétention de l’onglet Rétention de données du service Archiver (ADMIN > vue Configuration des services).
Attention : L'ordre des règles est très important. Il détermine la priorité de l'évaluation des données des fichiers log pour la rétention du stockage.
Conditions préalables
Avant de configurer vos règles de rétention :
l Configurez le stockage total Hot, à chaud et à froid
l Configurer les collections de stockage des logs
Procédures
Définir une règle de rétention pour une collection
1. Accédez à ADMIN > Services.
2. Sélectionnez le service Archiver, puis cliquez sur > Vue > Config.
La vue Configuration des services d'Archiver s'affiche.
3. Dans l’onglet Rétention de données, dans la section Règle de rétention, cliquez sur .
La boîte de dialogue Définition de règle s’affiche.
4. Configurez les champs de la boîte de dialogue Définition de règle comme indiqué dans le tableau suivant :
Champ Description Nom de
la règle
Spécifiez un nom unique pour votre règle de rétention. Il ne peut pas inclure d'espaces. Par exemple : LowValueWinLogs
Condition Spécifiez les conditions du type de logs à inclure dans la collection.
Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre et d'adresses IP entre guillemets.
Par exemple :
device.type='winevent_nic' && msg.id='security_4648_
security'
Collection Sélectionnez la collection à laquelle vous souhaitez appliquer cette règle. Par
5. Cliquez sur Enregistrer.
La règle de rétention définie est associée à la collection que vous avez sélectionnée. Sous l'onglet Rétention de données, dans la section Collections, cliquez sur >
Sélectionner les règles dans la colonne Actions de la collection sélectionnée pour afficher les règles de rétention associées à la collection dans la section Règle de rétention.
Spécifier l'ordre de vos règles de rétention
Pour organiser par ordre de priorité la liste complète de toutes vos règles de rétention : 1. Dans la section Règle de rétention de l'onglet Rétention de données, sélectionnez une
règle de rétention, puis utilisez le glisser-déplacer (ou sélectionnez Monter et Descendre) pour modifier son ordre d'apparition dans la liste des priorités.
2. Cliquez sur Appliquer pour enregistrer l'ordre des règles de rétention.
Attention : L'ordre des règles est très important. Il détermine la priorité de l'évaluation des données des fichiers log pour la rétention du stockage.
Étape suivante
Ajouter Archiver comme source de données au Reporting Engine
Ajouter Archiver comme source de données au Reporting Engine
Cette rubrique donne des instructions sur la façon d'ajouter Archiver comme source de données au Reporting Engine afin de générer des rapports pour les données collectées par Archiver.
Conditions préalables
Assurez-vous d'avoir :
1. installé l'hôte Archiver dans votre environnement réseau.
2. installé et configuré un Log Decoder Decoder dans votre environnement réseau.
3. Vérifié que le Reporting Engine et les services Archiver sont actifs.
Procédure
Pour associer une source de données Archiver au Reporting Engine, procédez comme suit : 1. Accédez à ADMIN > Services.
2. Dans le panneau Services, sélectionnez un service Reporting Engine.
3. Dans la colonne Actions, sélectionnez Vue > Config.
4. Sélectionnez l'onglet Sources.
5. Cliquez sur et sélectionnez Services disponibles.
La boîte de dialogue Services disponibles s'affiche.
6. Sélectionnez le service Archiver que vous souhaitez ajouter comme source de données au Reporting Engine et cliquez sur OK.
7. Dans la boîte de dialogue Informations de gestion, saisissez le nom d'utilisateur et le mot de passe d'Archiver.
8. Cliquez sur OK.
Le service Archiver sélectionné est répertorié dans la catégorie des sources de données NWDB.
Vous pouvez maintenant créer des rapports sur les données collectées par Archiver.
Étape suivante
Configurer des alertes pour le stockage des archives.
Configurer la surveillance Archiver
L'intégrité vous permet de générer automatiquement des notifications lorsque des seuils critiques sont atteints.
Examinez les politiques d'intégrité pour Archiver et l'hôte dans la section Politiques d'intégrité.
Effectuez des mises à jour si nécessaire.
Pour plus d’informations, reportez-vous à la section Gérer les règles dans le guide Maintenance du système.
Configuration supplémentaire d’Archiver
Cette rubrique regroupe différentes procédures qu'un administrateur peut réaliser à tout moment et qui ne sont pas requises dans la configuration initiale d'Archiver. Ces procédures sont classées par ordre alphabétique.
Consultez cette section pour obtenir des instructions sur une tâche spécifique après la configuration initiale d'Archiver.
Rubriques
l Configuration de la sauvegarde et la restauration de données
l Récupérer les informations de hachage
Configuration de la sauvegarde et la restauration de données
Cette rubrique fournit des informations sur la fonction de sauvegarde et restauration des données pour un module Archiver. Vous pouvez utiliser cette fonction pour sauvegarder des données Archiver et récupérer les données sauvegardées.
Vous pouvez sauvegarder les données de l’une des manières suivantes :
l Utiliser des scripts pour copier des fichiers depuis les dossiers de sauvegarde de données peu actives dans un stockage hors ligne.
l Utiliser un logiciel de sauvegarde pour copier des fichiers depuis les dossiers de sauvegarde de données peu actives dans un stockage hors ligne.
l Exécuter EMC Networker ou un autre logiciel de sauvegarde sur Archiver et effectuer une sauvegarde incrémentielle quotidienne des fichiers de base de données.
Remarque : Pour plus de détails sur la procédure de sauvegarde des données à l'aide de Networker, consultez le Guide d'administration de Networker.
Une fois la sauvegarde des données terminée, vous devez effectuer les tâches suivantes pour restaurer les données sauvegardées qui se trouvent sur le module Archiver.
Action Description
1. Restaurez les données à un emplacement accessible par Archiver.
Reportez-vous à la rubrique Créer une collection
2. Créer une collection dans Archiver qui utilise cet emplacement.
Reportez-vous à la rubrique Gérer des collections dans le Guide de configuration de Workbench.
3. Ajoutez le service Archiver comme source de données au Reporting Engine pour générer un des rapports sur les données restaurées sur le service Archiver.
Reportez-vous à l'Ajouter Archiver comme source de données au Reporting Engine
Ajouter le service Archiver
Le service NetWitness Suite Archiver vous permet de créer des collections avec les données restaurées à partir du stockage hors ligne (à froid) d'Archiver. Cette procédure n'est obligatoire que si vous n'avez pas encore installé le service Archiver.
Conditions préalables
Assurez-vous d'avoir ajouté un hôte Archiver et de lui avoir attribué une licence.
Procédure
Remarque : Cette procédure n'est obligatoire que si vous n'avez pas encore installé le service Archiver.
Pour ajouter le service Archiver, effectuez les étapes suivantes : 1. Accédez à ADMIN > Services.
2. Dans le panneau Services, sélectionnez >Archiver.
La boîte de dialogue Ajouter un service s'affiche, comme indiqué ci-dessous.
3. Fournissez les informations suivantes : Champ Description
Hôte Sélectionnez un hôte Archiver dans le menu déroulant.
Nom Saisissez le nom du service.
Port Le port par défaut est 50007.
SSL Sélectionnez SSL si vous souhaitez que NetWitness Suite communique avec le service via SSL. La sécurité de la transmission des données est gérée par le chiffrement des informations et l'authentification avec les certificats SSL.
Remarque : Si vous sélectionnez SSL, assurez-vous que SSL est activé dans le panneau Configuration système.
Nom d'utilisateur
(Facultatif) Saisissez le nom d'utilisateur du service.
Mot de passe
(Facultatif) Saisissez le mot de passe du service.
4. Cliquez sur Tester la connexion pour déterminer si NetWitness Suite se connecte au service.
5. Lorsque la connexion a abouti, cliquez sur Enregistrer.
Le service ajouté s'affiche maintenant dans le panneau Services.
Remarque : Si le test échoue, modifiez les informations du service et réessayez.
Créer une collection
Cette rubrique donne des informations sur la façon de créer une collection dans un service Archiver.
Vous pouvez créer une collection à l'aide de données restaurées à partir des données
sauvegardées ou d'un sous-ensemble existant de données. Lorsque vous récupérez les données sauvegardées, vous devez les placer dans le dossier de collection créé sur le service Archiver pour pouvoir générer les rapports requis pour les données récupérées. Par exemple, si vous avez sauvegardé les données avec EMC NetWorker à l'emplacement <location>, vous pouvez utiliser les options de restauration de NetWorker pour restaurer les données sauvegardées dans le dossier de collection créé sur le service Archiver. Pour connaître la procédure de restauration avec EMC Networker, consultez le Guide d'administration de Networker.
Conditions préalables Assurez-vous d'avoir :
l Le service Archiver installé sur un hôte Archiver.
l Vérifiez que le service Archiver possède un espace suffisant pour accueillir la collection.
l Sauvegardé les données dans un emplacement connu sur votre hôte local si vous ajoutez une collection en utilisant les données restaurées à partir des données sauvegardées.
Procédure
L'onglet Rétention de données permet aux Administrateurs de restaurer et de sauvegarder les données qui sont restaurées à partir d'une sauvegarde ou d'un ensemble existant de données.
Remarque : L'Administrateur peut indiquer l'emplacement des fichiers de base de données comme chemin source et la commande de restauration les copie vers Archiver.
L'administrateur doit monter ces répertoires dans Archiver avant de pouvoir créer une collection de restauration.
Pour créer une collection à l'aide de données restaurées à partir des données sauvegardées ou d'un sous-ensemble existant de données :
1. Accédez à ADMIN > Services > Archiver.
2. Dans la grille Services, sélectionnez >Vue > Config.
L'onglet Général s'affiche.
3. Sélectionnez l'onglet Rétention de données et cliquez sur dans le panneau Collections pour ajouter une collection.
La boîte de dialogue Collection s’affiche.
4. Fournissez les informations suivantes :
l Nom de la collection : Nom de la collection Archiver que vous souhaitez restaurer.
l Stockage intensif : indiquez le nombre de fichiers de base de données Archiver et la taille d’unité (gigaoctets ou téraoctets) qui ont été déplacés du stockage à froid.
l Rétention : Sélectionnez le nombre de jours ou d’heures pendant lesquels vous souhaitez stocker la collection.
l Compression : Sélectionnez le type de compression pour la collection.
6. Cliquez sur Enregistrer pour restaurer la collection.
Remarque : La cible est l'emplacement où la collection est créée.
Remarque : Si le chemin source proposé pour créer la collection de restauration n'existe pas, le message d'erreur suivant apparaît :
« Ce chemin source n'existe pas « /xxx/xxx/ ». »
Si vous ne disposez pas d'assez de stockage pour restaurer la collection, le message d'erreur suivant s'affiche :
« Une erreur est survenue lors de la vérification de l'espace disque. Espace disque insuffisant à l'emplacement « /xxx/xxx ». »
La boîte de dialogue Planifier une tâche s'affiche avec le message suivant :
« Restauration des données dans une nouvelle collection. Consultez la page des tâches pour afficher la progression. »
7. Cliquez sur l'icône Tâches dans la zone supérieure droite de Menu principal pour développer la liste de tâches de la collection de restauration avec leur état actuel.
Remarque : Lors de la restauration d'une collection, plus le Dataset à restaurer est
volumineux, plus la restauration prend du temps. Si vous restaurez une collection qui contient des centaines de gigaoctets ou plus, la restauration peut durer plusieurs heures.
Ajouter un service Archiver comme source de données à Reporting Engine Cette rubrique donne des instructions sur la façon d'ajouter le service Archiver comme source de données au Reporting Engine afin de générer des rapports pour les données restaurées dans Archiver.
Conditions préalables Assurez-vous d'avoir :
l Installé le service Archiver sur l'hôte Archiver.
l Ajouté une collection au service Archiver.
Procédure
Effectuez les étapes suivantes pour ajouter le service Archiver comme source de données au Reporting Engine :
1. Sélectionnez ADMIN > Services.
2. Dans le panneau Services, sélectionnez un service Reporting Engine.
3. Dans la colonne Actions, sélectionnez Vue > Config.
4. Sélectionnez l'onglet Sources.
5. Cliquez sur et sélectionnez Services disponibles.
La boîte de dialogue Services disponibles s'affiche.
6. Sélectionnez le service Archiver et cliquez sur OK.
Si le service Archiver utilise un modèle de confiance, la boîte de dialogue Informations de gestion pour le service sélectionné s'affiche avec les champs de nom d'utilisateur et de mot de passe requis. Si le service n'utilise pas de modèle de confiance, ces champs seront
facultatifs.
7. Saisissez le nom d'utilisateur et le mot de passe administrateur du service.
8. Cliquez sur OK.
La boîte de dialogue Ajouter un service s'affiche.
9. Sélectionnez un hôte dans la liste déroulante, puis cliquez sur Enregistrer.
Le service Archiver est maintenant ajouté comme source de données au Reporting Engine et est répertorié dans la liste des sources de données NWDB.
Remarque : Cette procédure doit être réalisée pour chaque collection.
Un administrateur peut créer et supprimer des collections Workbench , et afficher les
statistiques et logs Workbench . Cette rubrique fournit toutes les procédures et un exemple de procédure de restauration d’une collection pour Reporting et Investigation.
l Monter des répertoires Archiver
l Créer une collection
l Supprimer une collection
l Enquêter sur une collection
l Vue Workbench Collection Statistics
l Vue Workbench Logs
Monter des répertoires Archiver
Si les données se trouvent dans un stockage hors ligne ou à froid, vous devez monter les répertoires Archiver afin de restaurer les données à des fins de reporting et de procédure d’enquête :
1. Accédez à ADMIN > Services.
2. Sélectionnez un Archiver dans la grille Services et sélectionnez > Vue > Explorer.
. La vue Explorer d'Archiver s'affiche
3. Cliquez avec le bouton droit de la souris sur le nœud Base de données dans l'arborescence de gauche puis sélectionnez les propriétés Base de données pour les ouvrir dans le volet de droite.
4. Exécutez la commande manifest pour une période, par exemple du 1er au 10 avril 2015.
La recherche renvoie tous les fichiers qui ont besoin d'être restaurés pour la requête sélectionnée.
Créer une collection
Les administrateurs peuvent créer des collections de données restaurées à partir d’une sauvegarde ou d’un ensemble existant de données.
Remarque : Vous pouvez indiquer l'emplacement des fichiers de base de données comme chemin source et la commande de restauration les copie vers Archiver. Vous devez monter ces répertoires dans Archiver (où Workbench est installé) avant de pouvoir créer une collection de restauration.
Pour créer une collection à l'aide de données restaurées à partir des données sauvegardées ou d'un sous-ensemble existant de données :
