Demo Starten

Einen Auslöser erstellen

Trigger bieten erweiterte Funktionen Ihres ExtraHop-Systems. Mit Triggern können Sie benutzerdefinierte Metriken erstellen, Datensätze generieren und speichern oder Daten an ein Drittanbietersystem senden. Da Sie das Trigger-Skript schreiben, steuern Sie die Aktionen, die der Auslöser bei bestimmten Systemereignissen ausführt.

Um einen Auslöser zu erstellen, müssen Sie eine Trigger-Konfiguration erstellen, das Trigger-Skript schreiben und den Auslöser dann einer oder mehreren Metrikquellen zuweisen. Der Auslöser wird erst ausgeführt, wenn alle Aktionen abgeschlossen sind.

Before you begin

Melden Sie sich beim ExtraHop-System mit einem Benutzerkonto an, das über die vollständige Schreibberechtigung verfügt Privilegien erforderlich, um Trigger zu erstellen.

Wenn du mit Triggern noch nicht vertraut bist, Machen Sie sich mit dem Trigger-Planungsprozess vertraut, mit deren Hilfe Sie den Fokus Ihres Auslöser eingrenzen oder feststellen können, ob Sie überhaupt einen Auslöser erstellen müssen. Führen Sie dann den Prozess zum Erstellen eines Auslöser durch, indem Sie den Exemplarische Vorgehensweise für Trigger.

Trigger-Einstellungen konfigurieren

Der erste Schritt beim Erstellen eines Auslöser besteht darin, einen Triggernamen anzugeben, festzustellen, ob Debugging aktiviert ist, und vor allem zu identifizieren, bei welchen Systemereignissen der Auslöser ausgeführt wird.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie auf das Symbol Systemeinstellungen und dann klicken Auslöser.
  3. klicken Erstellen.
  4. Geben Sie die folgenden Einstellungen für die Trigger-Konfiguration an:
    Name
    Ein Name für den Auslöser.
    Autor
    Der Name des Benutzers, der den Auslöser geschrieben hat. Standard-Trigger zeigen ExtraHop an.
    Beschreibung
    Eine optionale Beschreibung des Auslöser.
    Zuweisungen
    Die Geräte oder Gerätegruppen, denen der Auslöser zugewiesen ist. Ein Auslöser wird erst ausgeführt, wenn er einem Gerät zugewiesen ist, und der Auslöser sammelt Metrikdaten nur von den Geräten, denen er zugewiesen ist.
    Warnung:Das Ausführen von Triggern auf nicht benötigten Geräten und Netzwerken erschöpft die Systemressourcen. Minimiere die Auswirkungen auf die Leistung, indem du einen Auslöser nur den spezifischen Quellen zuweist, aus denen du Daten sammeln musst.
    Wichtig:Trigger mit den folgenden Ereignissen werden immer dann ausgeführt, wenn das Ereignis eintritt. Trigger, die nur bei diesen Ereignissen ausgeführt werden, können Geräten oder Gerätegruppen nicht zugewiesen werden.
    • ALERT_RECORD_COMMIT
    • ERKENNUNGSUPDATE
    • METRIC_CYCLE_BEGIN
    • ENDE DES METRISCHEN ZYKLUS
    • METRIC_RECORD_COMMIT
    • NEUE_ANWENDUNG
    • NEUES_GERÄT
    • SITZUNG ABLAUFEN
    • TIMER_30 SEK
    Debug-Log aktivieren
    Ein Kontrollkästchen, das das Debuggen aktiviert oder deaktiviert. Wenn Sie dem Trigger-Skript Debug-Anweisungen hinzufügen, können Sie mit dieser Option Debug-Ausgabe anzeigen im Debug-Log, wenn der Auslöser ausgeführt wird.
    Ereignisse
    Die Ereignisse, bei denen der Auslöser ausgeführt wird. Der Auslöser wird immer dann ausgeführt, wenn eines der angegebenen Ereignisse auf einem zugewiesenen Gerät eintritt. Daher müssen Sie Ihrem Auslöser mindestens ein Ereignis zuweisen. Sie können in das Feld klicken oder mit der Eingabe eines Veranstaltungsnamens beginnen, um eine gefilterte Liste der verfügbaren Ereignisse anzuzeigen.
    Erweiterte Optionen
    Erweiterte Trigger-Optionen variieren je nach den ausgewählten Ereignissen. Wenn Sie zum Beispiel die HTTP_RESPONSE Ereignis, Sie können die Anzahl der Nutzdatenbytes festlegen, die bei diesen Ereignissen zwischengespeichert werden sollen.

Schreiben Sie ein Trigger-Skript

Das Triggerskript gibt die Anweisungen an, die der Auslöser ausführt, wenn ein für den Auslöser konfiguriertes Systemereignis eintritt.

Before you begin

Wir empfehlen Ihnen, das zu öffnen ExtraHop Trigger API-Referenz , das die Ereignisse, Methoden und Eigenschaften enthält, die Sie für Ihren Auslöser benötigen. Ein Link ist auch im Trigger-Editor-Fenster im ExtraHop-System verfügbar.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie auf das Symbol Systemeinstellungen , und klicken Sie dann auf Auslöser.
  3. klicken Erstellen.
  4. Geben Sie im rechten Bereich das Triggerskript in JavaScript-ähnlicher Syntax mit Ereignissen, Methoden und Eigenschaften aus dem ExtraHop Trigger API-Referenz .
    Die folgende Abbildung zeigt ein Beispielskript, das auf der Registerkarte Editor eingegeben wurde:

    Der Editor bietet eine Autocomplete-Funktion, die eine Liste von Eigenschaften und Methoden anzeigt, die auf dem ausgewählten Klassenobjekt basieren. Geben Sie beispielsweise einen Klassennamen und dann einen Punkt (.) ein, um eine Liste der verfügbaren Eigenschaften und Methoden anzuzeigen, wie in der folgenden Abbildung dargestellt:

  5. klicken Speichern.

    Der Editor bietet eine Syntaxvalidierung Ihres Skripts. Wenn Sie den Auslöser speichern, ruft der Validator alle ungültigen Aktionen, Syntaxfehler oder veralteten Elemente im Skript auf. Falls verfügbar, zeigt der Validator Ersetzungen für veraltete Elemente an.

    Warnung:Um eine schlechte Triggerleistung, falsche Ergebnisse oder einen Auslöser zu vermeiden, der nicht funktioniert, wird dringend empfohlen, den Code zu korrigieren oder das veraltete Element zu ersetzen.

    Die folgende Abbildung zeigt ein Beispiel für eine vom Syntaxvalidator generierte Fehlermeldung:

Erweiterte Trigger-Optionen

Sie müssen Trigger so konfigurieren, dass sie bei mindestens einem Ereignis ausgeführt werden. Je nach ausgewähltem Ereignis werden im Bereich „Trigger erstellen" erweiterte Konfigurationsoptionen angezeigt. Wählen Sie zum Beispiel die HTTP_RESPONSE Ereignis ermöglicht es Ihnen, die Anzahl der Payload-Bytes festzulegen, die bei jedem Auftreten dieses Ereignis im System zwischengespeichert werden sollen.

In der folgenden Tabelle werden die verfügbaren erweiterten Optionen und die Ereignisse beschrieben, die jede Option unterstützen.
Option Beschreibung Unterstützte Ereignisse
Zu erfassende Byte pro Paket Gibt die Anzahl der Byte an, die pro Paket erfasst werden sollen. Die Gefangennahme beginnt mit dem ersten Byte im Paket. Nur diese Option angeben wenn das Trigger-Skript die PCAP durchführt.

Ein Wert von 0 gibt an, dass das Capture alle Bytes in jedem sammeln soll Paket.

 Alle Ereignisse mit Ausnahme der folgenden Liste werden unterstützt:
  • ALERT_RECORD_COMMIT
  • METRIC_CYCLE_BEGIN
  • METRIC_CYCLE_END
  • FLOW_REPORT
  • NEW_APPLICATION
  • NEW_DEVICE
  • SESSION_EXPIRE
L7-Nutzdatenbyte zum Puffer Gibt die maximale Anzahl von Nutzdaten-Bytes an, die gepuffert werden sollen.
Hinweis:Wenn mehrere Trigger laufen auf demselben Ereignis, der Auslöser mit dem Der höchste Wert für L7-Payload (Byte to Buffer) bestimmt das Maximum Payload für dieses Ereignis für jeden Auslöser.
 
  • CIFS_REQUEST
  • CIFS_RESPONSE
  • HTTP_REQUEST
  • HTTP_RESPONSE
  • ICA_TICK
  • LDAP_RESPONSE
Bytes in der Zwischenablage Gibt die Anzahl der Byte an, die in einer Citrix-Zwischenablage gepuffert werden sollen Übertragung. 
  • ICA_TICK
Metrischer Zyklus Gibt die Länge des Metrik Zyklus an, ausgedrückt in Sekunden. Die folgenden Werte sind gültig:
  • 30sec
  • 5min
  • 1hr
  • 24hr
 
  • METRIC_CYCLE_BEGIN
  • METRIC_CYCLE_END
  • METRIC_RECORD_COMMIT
Metrische Typen Gibt den Metriktyp anhand des Rohmetriknamens an, z. B. extrahop.device.http_server. Geben Sie mehrere an Metrik Typen in einer kommagetrennten Liste. 
  • ALERT_RECORD_COMMIT
  • METRIC_RECORD_COMMIT
Auslöser bei jeder Flow-Turn ausführen Aktiviert die PCAP auf jedem Fluss abbiegen.

Die Analyse pro Spielzug analysiert kontinuierlich die Kommunikation zwischen zwei Endpunkten, um einen einzelnen Nutzdatenpunkt zu extrahieren aus dem Fluss.

Wenn diese Option aktiviert ist, alle Werte spezifiziert für Übereinstimmende Zeichenfolge für den Client und Übereinstimmende Zeichenfolge auf dem Server Optionen sind ignoriert.

 
  • SSL_PAYLOAD
  • TCP_PAYLOAD
Portbereich des Clients Gibt den Client-Portbereich an.

Gültige Werte liegen zwischen 0 und 65535. 

  • SSL_PAYLOAD
  • TCP_PAYLOAD
  • UDP_PAYLOAD
Zu puffernde Client-Bytes Gibt die Anzahl der Client-Bytes an, die gepuffert werden sollen.

Der Wert von Diese Option kann nicht auf 0 gesetzt werden, wenn der Wert von Server-Bytes zum Puffern Option ist auch auf 0 setzen. 

  • SSL_PAYLOAD
  • TCP_PAYLOAD
Suchzeichenfolge für den Client-Puffer Gibt die Formatzeichenfolge an, die angibt, wann begonnen werden soll Pufferung von Client-Daten. Gibt das gesamte Paket auf einer Zeichenfolge zurück Spiel.

Sie können die Zeichenfolge als Text oder Hexadezimalzahlen angeben. Zum Beispiel beide ExtraHop und \x45\x78\x74\x72\x61\x48\x6F\x70 sind gleichwertig. Hexadezimalzahlen sind keine Groß-/Kleinschreibung empfindlich.

Jeder für diese Option angegebene Wert wird ignoriert wenn der Pro Spielzug oder Auslöser ausführen auf allen UDP Paketoption ist aktiviert.

 
  • SSL_PAYLOAD
  • TCP_PAYLOAD
  • UDP_PAYLOAD
Portbereich des Servers Gibt den Serverportbereich an.

Gültige Werte sind 0 bis 65535.

 
  • SSL_PAYLOAD
  • TCP_PAYLOAD
  • UDP_PAYLOAD
Server-Bytes zum Puffer Gibt die Anzahl der Server-Bytes an, die gepuffert werden sollen.

Der Wert von Diese Option kann nicht auf 0 gesetzt werden, wenn der Wert von Zu puffernde Client-Bytes Option ist auch auf 0 setzen. 

  • SSL_PAYLOAD
  • TCP_PAYLOAD
Suchzeichenfolge für den Serverpuffer Gibt die Formatzeichenfolge an, die angibt, wann begonnen werden soll Pufferung von Serverdaten.

Sie können die Zeichenfolge als Text angeben oder Hexadezimalzahlen. Zum Beispiel beide ExtraHop und \x45\x78\x74\x72\x61\x48\x6F\x70 sind gleichwertig. Hexadezimalzahlen sind keine Groß-/Kleinschreibung empfindlich.

Jeder für diese Option angegebene Wert wird ignoriert wenn der Pro Spielzug oder Auslöser ausführen auf allen UDP Option ist aktiviert.

 
  • SSL_PAYLOAD
  • TCP_PAYLOAD
  • UDP_PAYLOAD
Auslöser für alle UDP-Pakete ausführen Ermöglicht die Erfassung aller UDP-Datagramme. 
  • UDP_PAYLOAD
Führen Sie FLOW_CLASSIFY für ablaufende, nicht klassifizierte Flows aus Ermöglicht die Ausführung des Ereignis nach Ablauf, um Metriken zu sammeln zum Flüsse die vorher nicht klassifiziert wurden ablaufend. 
  • FLOW_CLASSIFY
Externe Typen Gibt die Typen der externen Daten an, die der Auslöser verarbeitet. Das Der Auslöser wird nur ausgeführt, wenn die Nutzlast ein Typfeld mit einem von enthält die angegebenen Werte. Geben Sie mehrere Typen durch Kommas getrennt an auflisten. 
  1. EXTERNAL_DATA
Last modified 2023-12-11