Utilize o recurso de Armazenamento e Encaminhamento para gerenciar planejamentos para o redirecionamento de eventos a partir de seus aparelhos dedicados a Coletor de Eventos Processador de Eventoscomponentes em sua implementação.
O recurso Armazenamento e Encaminhamento é suportado no Event Collector 1501 e Event Collector 1590. Para obter informações adicionais sobre blocos de
construção, consulte o QRadar.
Uma dedicado Coletor de Eventos não processa eventos e ele não inclui um sistema Processador de Eventos. Por padrão, um dedicado Coletor de Eventos continuamente, encaminha os eventos para um Processador de Eventos que você deve conectar utilizando o Editor de Implementação. Utilize o recurso de Armazenamento e Encaminhamento para planejar um intervalo de tempo para quando você deseja que o Coletor de Eventos para redirecionar eventos. Durante o tempo em que os eventos não são encaminhados, os eventos são armazenados localmente no dispositivo. Os eventos não são acessíveis na QRadar Console interface do usuário.
Use o recurso de planejamento para armazenar eventos durante o horário comercial. Encaminhe os eventos para uma Processador de Eventos quando a transmissão não afetar negativamente sua largura de banda larga. Por exemplo, é possível configurar uma Coletor de Eventos para encaminhar eventos para uma Processador de Eventos durante eventos fora do horários comercial.
Visão geral de armazenamento e encaminhamento
O recurso de armazenamento e encaminhamento é suportado nos dispositivos de coletor de eventos 1501 e coletor de eventos 1590. Para mais ionformações nesses dispositivos, consulte o QRadar guia de Hardware.
Um Coletor de Eventos dedicado não processa eventos e não inclui um Processador de Eventos integrado. Por padrão, um coletor de evento dedicado encaminha continuamente eventos para um processador de eventos que deve ser conectado usando o Editor de Implementação. O recurso armazenar e encaminhar lhe permite agendar uma faixa de tempo para quando você quiser que o Coletor de eventos encaminhe os eventos. Durante o período de tempo em que os eventos não forem encaminhados, os eventos são armazenados localmente, no dispositivo e não serão acessíveis usando o controle de interface.
Este recurso de planejamento permite armazenar eventos durante seu horário comercial, e em seguida encaminhar os eventos para um processador de eventos, durante um período de tempo em que a transmissão não afeta negativamente sua largura de banda da rede. Por exemplo, é possível configurar um Coletor de eventos para encaminhar para um processador de eventos apenas durante as horas não comerciais, como por exemplo, da meia noite às seis da manhã.
Visualizando a Lista de Planejamento de Armazenamento e
Encaminhamento
Utilize a janela Armazenamento e Encaminhamento para ver uma lista de planejamentos. Os planejamentos incluem estatísticas que ajudam a avaliar o status, o desempenho e o progresso de seus planejamentos.
Antes de Iniciar
Você deve criar um planejamento. Por padrão, na primeira vez em que você acessar a janela Armazenamento e Encaminhamento, nenhum planejamento será listado.
Sobre Esta Tarefa
É possível usar opções na barra de ferramentas e a caixa de listagem Exibir para alterar sua visualização da lista de planejamentos. Altere sua visualização da lista para focar nas estatísticas de diferentes pontos de vista. Por exemplo, se você deseja visualizar as estatísticas para um determinado Coletor de Eventos, poderá selecionar Coletores de Eventos na lista Exibir. A lista, então, agrupa pela coluna
Coletor de Eventos e torna mais fácil para você localizar o Coletor de Eventos que deseja investigar.
Por padrão, a lista de Armazenamento e Encaminhamento está configurada para exibir a lista que é organizada pelo planejamento (Exibir > Planejamentos).
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique no ícone Armazenamento e Encaminhamento.
4. Na janela Armazenamento e Encaminhamento, visualize os parâmetros para
cada planejamento.
A tabela a seguir descreve alguns dos parâmetros para o planejamento. Tabela 61. Parâmetros da Janela Armazenamento e Encaminhamento
Parâmetro Descrição
Exibição A opção Planejamentos mostra uma hierarquia do relacionamento pai-filho entre os planejamentos, Processadores de Eventoss e os Coletores de Eventos associados.
A opção Coletores de Eventos mostra o nível mais baixo na hierarquia, que é uma lista de Coletores de Eventos. A opção Processadores de Eventos mostra uma hierarquia de relacionamento pai-filho entre os Processadores de Eventos e os Coletores de Eventos associados.
Tabela 61. Parâmetros da Janela Armazenamento e Encaminhamento (continuação)
Parâmetro Descrição
Nome
Para a opção Planejamentos, a coluna Nome é exibida no seguinte formato.
v Primeiro Nívelrepresenta o nome do planejamento. v Segundo Nívelrepresenta o nome do Processador de Eventos. v Terceiro Nívelrepresenta o nome do Coletor de Eventos. Para a opção Processadores de Eventos, a coluna é exibida no formato a seguir
v Primeiro Nívelrepresenta o nome do Processador de Eventos. v Segundo Nívelrepresenta o nome do Coletor de Eventos.
Dica:É possível utilizar o símbolo de mais (+) e o símbolo de menos (-) ao lado do nome ou as opções na barra de ferramentas para expandir e reduzir a árvore de hierarquia. Também é possível expandir e reduzir a árvore de hierarquia utilizando as opções na barra de ferramentas.
Nome do Planejamento
Exibe o nome do planejamento para as opções Coletores de
Eventosou Processadores de Eventos.
Se um Processador de Eventos está associado a mais de um planejamento, o Nome de Planejamento mostra Múltiplosn, em que n é o número de planejamentos.
Dica:Clique no símbolo de mais (+) para visualizar os planejamentos associados.
Último Status
Exibe o status do processo de Armazenamento e Encaminhamento: v Encaminhamentoindica que o redirecionamento de eventos
está em andamento.
v Encaminhamento Concluídoindica que o encaminhamento de eventos foi concluído com êxito e os eventos estão armazenados localmente no Coletor de Eventos. Os eventos armazenados são encaminhados quando o planejamento indica que o encaminhamento pode iniciar novamente.
v Avisoindica que a porcentagem de eventos que permanecem no armazenamento excede a porcentagem de tempo restante no planejamento de Armazenamento e Encaminhamento. v Erroindica que o encaminhamento de eventos foi interrompido
antes que todos os eventos armazenados fossem encaminhados. v Inativoindica que nenhum Coletores de Eventos foi designado ao planejamento ou um Coletores de Eventos designado não está recebendo nenhum evento.
Dica:Mova seu ponteiro do mouse sobre a coluna Último Status para visualizar um resumo do status.
Eventos Encaminhados
Exibe o número de eventos (em K, M ou G) encaminhados na sessão atual.
Dica:Mova o ponteiro do mouse sobre o valor na coluna Eventos
Encaminhadospara visualizar o número de eventos. Eventos Restantes
Exibe o número de eventos (em K, M ou G) restantes a serem encaminhados na sessão atual.
Dica:Mova o ponteiro do mouse sobre o valor na coluna Eventos
Restantespara visualizar o número de eventos. Taxa do Evento Média
Exibe a taxa média na qual os eventos estão sendo encaminhados do Coletor de Eventos para o Processador de Eventos.
Dica:Mova o ponteiro do mouse sobre o valor na coluna Taxa
Média do Eventopara visualizar a média de eventos por segundo (EPS).
Taxa de Evento Atual
Exibe a taxa na qual os eventos estão sendo encaminhados do Coletor de Eventos para o Processador de Eventos
Dica:Mova o ponteiro do mouse sobre o valor na coluna Taxa de
Evento Atualpara visualizar os eventos atuais por segundo (EPS) Limite de Taxa de Transferência O limite de taxa de transferência é configurável.
O limite de taxa de transferência pode ser configurado para exibir em Kilobit por segundo (kbps), megabits por segundo (Mbps) ou gigabits por segundo (Gbps)..
Criando um Novo Planejamento de Armazenamento e
Encaminhamento
Utilize o assistente Planejamento de Armazenamento e Encaminhamento para criar um planejamento que controla quando o Coletor de Eventos inicia e para o
encaminhamento de dados para um Processador de Eventos.
É possível criar e gerenciar vários planejamentos para controlar o encaminhamento de eventos a partir de vários Coletores de Eventos em uma implementação
distribuída geograficamente.
Antes de Iniciar
Assegure que seu Coletor de Eventos dedicado seja incluído em sua
implementação e conectado a um Processador de Eventos. A conexão entre um Coletor de Eventos e um Processador de Eventos é configurada no Editor de
Implementação.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique no ícone Armazenamento e Encaminhamento.
4. Clique em Ações > Criar.
a. Clique em Avançar para acessar a página Selecionar Coletores.
b. Na página Selecionar Coletores, configure os parâmetros.
Se o Coletor de Eventos que você deseja configurar não estiver listado, ele não poderá ser incluído em sua implementação. Se isso acontecer, utilize o
Editor de Implementaçãopara incluir o Coletor de Eventos e, em seguida, continue.
c. Na página Opções de Planejamento, configure os parâmetros.
Para configurar a taxa de transferência de encaminhamento, a taxa de transferência mínima é 0. A taxa de transferência máxima é 9.999.999. Um valor 0 significa que a taxa de transferência é ilimitada.
d. Conclua a configuração.
Agora é possível visualizar o planejamento na janela Armazenamento e Encaminhamento. Depois de criar um novo planejamento, pode demorar até 10 minutos para que as estatísticas iniciem a exibição na janela
Armazenamento e Encaminhamento.
Editando um Planejamento de Armazenamento e Encaminhamento
É possível editar um planejamento de armazenamento e encaminhamento para incluir ou remover Coletores de Eventos e alterar o parâmetro de planejamento. Depois da edição de um planejamento de armazenamento e encaminhamento, as estatísticas que são exibidas na lista Armazenamento e Encaminhamento são reconfiguradas.Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Configuração do sistema.
3. Clique no ícone Armazenamento e Encaminhamento.
5. Clique em Ações > Editar.
Também é possível clicar duas vezes em um planejamento para edição.
6. Clique em Avançar para acessar a página Selecionar Coletores.
7. Na página Selecionar Coletores, edite os parâmetros.
8. Clique em Avançar para ir para a página Opções de Planejamento.
9. Na página Opções de Planejamento, edite os parâmetros de planejamento.
10. Clique em Avançar para ir para a página Resumo.
11. Na página Resumo, confirme as opções que você editou para este
planejamento.
Depois de editar um planejamento, pode demorar até 10 minutos para que as estatísticas se atualizem na janela Armazenamento e Encaminhamento.
Excluindo um planejamento de Armazenamento e Encaminhamento
É possível excluir um planejamento de Armazenamento e Encaminhamento.
Procedimento
1. No menu de navegação, clique em Configuração do sistema.
2. Clique no ícone Armazenamento e Encaminhamento.
3. Selecione o planejamento que deseja excluir.
4. Clique em Ações > Excluir.
Depois que o planejamento for excluído, o Coletores de Eventos associado continuará o encaminhamento contínuo de eventos para seu Processador de Eventos designado.