IBM Tealeaf CX Passive Capture Application 3680 and 3730 18 de septiembre de 2015 Manual de PCA IBM Nota Antes de utilizar esta información y el producto al que hace referencia, lea la información de “Avisos” en la página 305. Esta edición se aplica al Build 3680 y 3730 de IBM Tealeaf CX Passive Capture Application y a todos los releases y modificaciones posteriores hasta que se indique lo contrario en nuevas ediciones. © Copyright IBM Corporation 1999, 2015. Contenido Manual de la aplicación de captura pasiva . . . . . . . . . . . . . .. Capítulo 1. Descripción general de la captura pasiva . . . . . . . . . . .. EICS (Enhanced International Character Support) para CX Passive Capture Application versión 3730.. Seguridad y administración . . . . . . . .. Soporte SSL. . . . . . . . . . . . . .. Integración con HSM . . . . . . . . .. Visión general de la arquitectura de despliegue . .. Despliegue en las instalaciones . . . . . .. Despliegue en la nube . . . . . . . . .. Rendimiento de PCA . . . . . . . . .. Visión general del Packet Forwarder . . . . .. Arquitectura de software . . . . . . . . .. Proceso de captura . . . . . . . . . .. Captured . . . . . . . . . . . . .. Listend . . . . . . . . . . . . . .. Reassd . . . . . . . . . . . . . .. Pipelined . . . . . . . . . . . . .. Routerd . . . . . . . . . . . . .. Tcld . . . . . . . . . . . . . . .. Deliverd . . . . . . . . . . . . .. Failoverd . . . . . . . . . . . . .. Memcached . . . . . . . . . . . .. Varias instancias . . . . . . . . . . . .. Procesos de interconexión de varias instancias .. Descripción general del equilibrio de carga transparente de CX PCA . . . . . . . . .. Varios pares Listend–Routerd . . . . . .. Programa de mantenimiento. . . . . . . .. Software de terceros . . . . . . . . . .. Mandatos con formato para facilitar su lectura .. Requisitos de tráfico de captura de red de Tealeaf PCA . . . . . . . . . . . . . . . .. Requisitos básicos de tráfico . . . . . . . .. Cifrado Diffie-Hellman . . . . . . . .. Extensión de SessionTicket de TLS. . . . .. Conexiones TCP . . . . . . . . . . . .. Datos duplicados . . . . . . . . . .. Orígenes de los problemas de calidad de tráfico de red . . . . . . . . . . . . . . . .. Medición de paquetes descartados. . . . . .. Capítulo 2. Instalación de CX Passive Capture Application . . . . . . . .. Requisitos de instalación de CX PCA . . Recomendaciones de punto de montaje duro . . . . . . . . . . . . Tarjetas aceleradoras admitidas . . . Soporte de VMware . . . . . . Requisitos del sistema operativo . . Varias instancias de PCA . . . . . © Copyright IBM Corp. 1999, 2015 . en . . . . . . .. disco . .. . .. . .. . .. . .. vii 1 1 1 1 2 2 3 4 6 6 7 9 9 9 10 10 10 10 10 11 11 11 11 12 12 13 13 13 14 14 15 15 15 16 17 18 19 19 21 21 22 22 27 Cambios en el servidor PCA (área de control de páginas) . . . . . . . . . . . . .. Requisitos de PCA y reenviador de paquetes para los despliegues basados en la nube . . .. Instalación de paquete . . . . . . . . . .. Pasos previos a la instalación . . . . . .. Copia del paquete de instalación desde el disco CD-ROM . . . . . . . . . . . . .. Instalación del software de PCA . . . . .. Instalación del reenviador de paquetes . . .. Instalación de PCA en la nube de Softlayer . .. Instalación de PCA en la nube de Microsoft Azure . . . . . . . . . . . . . .. Instalación de PCA en una máquina virtual VMware . . . . . . . . . . . . .. Lista de comprobación de postinstalación . . .. Validar instalación del PCA . . . . . . .. Generar claves SSL . . . . . . . . . .. Iniciar PCA . . . . . . . . . . . .. Configuración inicial de PCA . . . . . .. Comprobar los valores de conexiones permitidos Configuración del PCA para la captura de Rich Internet Applications . . . . . . . . .. Servicio de software de captura pasiva de Tealeaf Parches de la CX PCA . . . . . . . . .. Sugerencias de resolución de problemas . . . .. Desinstalación o retrotracción de la CX Passive Capture Application . . . . . . . . . .. Desinstalar el Packet Forwarder . . . . . .. Capítulo 3. Actualización del software de CX PCA . . . . . . . . . . . .. Antes de la actualización . . . . . . . Validación de las claves SSL actuales . . Actualización básica . . . . . . . . Si la instalación cumple los requisitos ya mencionados, para actualizar . . . . Actualización de PCA con la autenticación de usuario . . . . . . . . . . . . . Configuración de nuevos tipos de datos . . 28 29 30 30 31 32 33 35 40 44 44 44 45 45 45 46 46 48 48 48 50 51 53 . . . .. .. .. 53 53 54 . .. 54 . . .. .. 55 55 Capítulo 4. Configuración de CX PCA Configuración a través de la consola web . . Archivos de configuración de CX PCA . . . Configuración a través de ctc-conf.xml . . . Configuración mediante runtime.conf . . . Archivos . . . . . . . . . . . . Descifrado SSL . . . . . . . . . . . A. IU web: . . . . . . . . . . . B. Línea de mandatos: . . . . . . . . C. Reinicio de servicios: . . . . . . . Consulta de línea de mandatos de PCA Tealeaf Configuración inicial de PCA . . . . . . Requisitos previos . . . . . . . . . . Configuración de ejemplo . . . . . . . 57 .. .. .. .. .. .. .. .. .. .. .. .. .. 57 57 58 58 58 58 59 59 59 59 62 62 63 iii Factores de complicación . . . . . . . .. Pasos de configuración . . . . . . . . .. Iniciar Apache . . . . . . . . . . .. Abrir la consola web de PCA . . . . . . .. Configuración de la interfaz de CX PCA. . .. Configuración de la entrega de coincidencias .. Configuración de interconexión de PCA . . .. Configuración de privacidad . . . . . .. Habilitar Captura . . . . . . . . . .. Probar la configuración . . . . . . . . .. Navegadores soportados para la consola web de PCA . . . . . . . . . . . . . . . .. Inicio de sesión de la Consola Web de PCA. . .. Cierre de sesión de da Consola Web de la PCA .. Pestaña de consola web . . . . . . . . .. Configuración . . . . . . . . . . . .. Habilitación de la autenticación de consola web Conmutación de acceso HTTP/HTTPS . . .. Despliegue de un certificado SSL para la consola web . . . . . . . . . . . . . . .. Cambio de puertos de escucha de consola web Soporte IPv6 en la consola web PCA . . . .. Página SysInfo . . . . . . . . . . .. Sistema . . . . . . . . . . . . . .. dmesg . . . . . . . . . . . . . .. Consola Web de PCA - Pestaña Resumen . .. Seguridad de la consola web . . . . . .. Estadísticas de compuesto de instancias . . . .. El porcentaje de paquetes extraños . . . .. Si es true, reassd no puede mantener listend .. El porcentaje de conexiones de paquete descartadas . . . . . . . . . . . .. El porcentaje se convierte en tráfico unidireccional . . . . . . . . . . .. La tasa a la que reassd vuelve a montar en la actualidad los aciertos no SSL . . . . . .. Si es true, se ha encontrado Diffie Hellman SSL El porcentaje de conexiones envejecidas . . .. Claves de SSL que faltan/seg . . . . . .. KBytes de tráfico filtrados/seg. . . . . . .. Si es no cero, se están eliminando los hits debido a una sobrecarga de la interconexión. . . . .. Si es distinto de cero, los paquetes se eliminar debido a que sobrepasan la límite de tamaño máximo. . . . . . . . . . . . . .. Conexiones TCP . . . . . . . . . . . .. Estado de la máquina . . . . . . . . . .. Estadísticas de montaje . . . . . . . .. Iguales . . . . . . . . . . . . . . .. Estadísticas actuales por segundo . . . . . .. Información adicional de depuración de la consola web de PCA . . . . . . . . . . . . .. Consola web de PCA - Pestaña Consola . . .. Consola Web de PCA - Pestaña Interfaz . . .. Uso de Tealeaf Transport Service como fuente de la hora . . . . . . . . . . . . . . .. Entrega de estadísticas a Tealeaf Transport Service Consola Web de PCA - Pestaña Claves SSL . .. Claves cargadas . . . . . . . . . .. Claves que faltan . . . . . . . . . .. Capturar claves. . . . . . . . . . .. iv 63 63 63 64 64 66 67 69 69 69 70 70 71 71 72 72 72 73 73 74 74 74 75 76 76 79 79 80 81 81 81 82 82 82 83 83 84 85 86 86 86 87 88 89 90 114 115 115 116 117 119 IBM Tealeaf CX Passive Capture Application: Manual de PCA Valores de la interconexión . . . . . . . .. Instancias de interconexión . . . . . . .. Sesionamiento de datos . . . . . . . .. Reenvío-X . . . . . . . . . . . .. Muestreo de sesión . . . . . . . . .. Modalidad de captura . . . . . . . .. Métodos de captura de solicitud . . . . .. Calificación por tiempo . . . . . . . .. Proceso de hits . . . . . . . . . . .. Listas de tipo de captura . . . . . . . .. Cómo el PAC evalúa tipos de captura . . .. Tipos de contenido capturados predeterminados Extensiones de Archivos Excluidos . . . .. Extensiones de archivo incluido . . . . .. Capturar todos los Mimetypes. . . . . .. Capturar todos los tipos POST . . . . .. Tipos de autoprueba de encendido XML . .. Tipos de POST binarios . . . . . . . .. Capturar todos los tipos de Contenido-Codificación . . . . . . . .. Tipos de contenido e indexación . . . . .. Descarga de la configuración de privacidad .. Manipulación de reglas . . . . . . . . .. Manipulación de prueba. . . . . . . . .. Manipulación de acciones . . . . . . . .. Manipulación de claves . . . . . . . . .. Añadir/Editar reglas . . . . . . . . . .. Añadir/Editar pruebas . . . . . . . . .. Añadir/Editar acciones . . . . . . . . .. Añadir/editar claves . . . . . . . . . .. Referencia Privacy.cfg . . . . . . . . .. Reglas . . . . . . . . . . . . . .. Pruebas . . . . . . . . . . . . .. Acciones . . . . . . . . . . . . .. Cambios de registro . . . . . . . . . .. Cambios en la privacidad . . . . . . .. Registro de diferencias . . . . . . . .. Referencia . . . . . . . . . . . . .. Estadísticas por instancia . . . . . . . .. Comprobación de la salud del sistema a través de stats.xml . . . . . . . . . . . . .. Procesos de software de captura . . . . . .. Estadísticas de captura pasiva . . . . . . .. Sección General . . . . . . . . . .. Sección hora. . . . . . . . . . . .. Sección de memoria . . . . . . . . .. Sección TCP . . . . . . . . . . . .. Sección SSL . . . . . . . . . . . .. Sección de coincidencias. . . . . . . .. Sección Capturar . . . . . . . . . .. Sección destinatarios de destino . . . . .. Sección de migración tras error . . . . .. Consola web de PCA - Pestaña de copia de seguridad-registros . . . . . . . . .. Consola Web de PCA - Pestaña de Migración tras error . . . . . . . . . . . . .. Pulsación . . . . . . . . . . . . . .. Valores automáticos . . . . . . . . . .. Supervisores remotos . . . . . . . . . .. Consola Web de PCA - Pestaña de Programas de utilidad . . . . . . . . . . . .. 119 120 121 121 123 123 124 124 124 129 131 132 133 133 133 133 133 134 134 135 135 136 136 136 136 137 139 141 145 146 146 147 148 152 152 153 153 153 154 154 154 155 155 156 159 161 165 172 173 174 175 177 178 178 179 179 Interfaces de red . . . . . . . . . . .. Página de detalles . . . . . . . . . .. bwMon . . . . . . . . . . . . .. Programas de utilidad del sistema . . . . .. Consola Web de PCA - Página de depuración Acceso a página de depuración . . . . . .. Página Visión general . . . . . . . . .. Salida de depuración . . . . . . . . . .. Cómo proporcionar el ZIP de la PCA a soporte .. Contenidos de los archivos ZIP . . . . .. Archivo de configuración de captura pasiva ctc-conf.xml . . . . . . . . . . . .. Configuración de varios pares Listend–Routerd Configuración de agrupaciones SSL . . . . .. Eliminación de un servidor de PCA de una agrupación SSL. . . . . . . . . . .. Capítulo 5. Configuración de Packet Forwarder . . . . . . . . . . . .. 179 180 181 182 184 184 184 185 186 186 187 204 204 205 207 Configuración del Packet Forwarder para comunicarse con la CX PCA . . . . . . .. 207 Configuración de un receptor del Packet Forwarder y la CX PCA para recibir paquetes reenviados .. 209 Capítulo 6. Claves SSL . . . . . .. Configuración de la clave cifrada SSL . . . .. Descripción general . . . . . . . . . .. Conversión automática de claves SSL . . . .. Conversión automática de PEM a PTL en el servidor de CX PCA . . . . . . . . .. Conversión de la clave privada PFX SSL a PTL Pasos para convertir manualmente las claves SSL Carga de CX PCA con claves SSL. . . . .. Archivos PTL cargados de forma automática Exportación de la clave privada SSL . . . . .. IIS 5 y 6 de Microsoft. . . . . . . . . .. IIS 3.0 y 4.0 de Microsoft . . . . . . . .. SunOne (iPlanet) 6.0 . . . . . . . . . .. Resolución de problemas de iPlanet 6.0. . . .. Sun iPlanet 4.x . . . . . . . . . . . .. Apache 1.3.x, 2.0.x. . . . . . . . . . .. Servidor HTTP de IBM . . . . . . . . .. Exportación desde un almacén de claves (JKS) Java Solución temporal de la herramienta de claves Java . . . . . . . . . . . . . .. Generación de un certificado autofirmado . . .. Utilización del algoritmo SHA-2 para generar el certificado autofirmado . . . . . . . .. Generación de una solicitud de certificado firmado para uso interno de CA . . . . . . . . .. Scripts de programa de utilidad . . . . . .. Despliegue de certificados SSL para que las utilice la consola web PCA . . . . . . . . . .. Configuración del Servicio de transporte de Tealeaf para cifrado SSL . . . . . . . . . . .. Prueba del certificado SSL utilizado por el servicio de transporte . . . . . . . .. Habilitación de estados PCA en el estado Tealeaf Elimine o visualice el certificado . . . . . .. Validación de claves PEM . . . . . . . .. 211 211 211 212 212 212 213 213 215 216 217 218 218 219 220 222 222 222 223 224 225 226 226 227 228 230 230 230 231 Sistema de gestión de claves SSL de nCipher . .. Consideraciones sobre nCipher . . . . .. Compatibilidad entre IBM Tealeaf CX PCA y nCipher . . . . . . . . . . . . .. Instalación de nCipher . . . . . . . .. Integración de claves SSL de Tealeaf con HSM .. Integración con el HSM de nCipher . . . .. Supuestos . . . . . . . . . . . .. Requisitos previos . . . . . . . . . .. Configuración de PCA . . . . . . . .. Configuración e integración de HSM . . .. Instrucciones para la instalación . . . . .. Instalación del HSM de nCipher para PCA .. Requisitos . . . . . . . . . . . .. Instalación de nCipher y pasos de creación .. Creación de Mundo de seguridad de nCipher para PCA . . . . . . . . . . . .. Inhabilitar el inicio de nCipher en el momento de arranque de Captura pasiva . . . . .. Capítulo 7. Medida de rendimiento 231 231 232 232 232 232 233 233 233 233 234 234 234 236 240 243 245 Visión general de las indicaciones de fecha y hora Supuestos . . . . . . . . . . . .. Indicaciones de fecha y hora de ejemplo en la solicitud . . . . . . . . . . . . . .. Valores y definiciones de indicación de fecha y hora en la solicitud . . . . . . . . .. Cálculo de horas de la indicación de fecha y hora . . . . . . . . . . . . . .. Factores que afectan los valores de indicación de fecha y hora . . . . . . . . . . . . .. Indicaciones de fecha hora en las coincidencias ReqCancelled . . . . . . . . . . .. Coincidencias sin indicaciones de fecha y hora Informes de indicaciones de fecha y hora en el portal y RTV . . . . . . . . . . . .. Prueba del rendimiento del proceso de Tealeaf .. Informes . . . . . . . . . . . . . .. Capítulo 8. Configuración de la captura pasiva en Red Hat Enterprise Linux (RHEL) . . . . . . . . . .. 245 245 246 246 249 249 250 250 252 252 253 255 Captura pasiva en RHEL - Configuración de DNS Inhabilitar DNS . . . . . . . . . . .. Habilitar DNS . . . . . . . . . . . .. /etc/resolv.conf . . . . . . . . . .. Captura pasiva en RHEL - Configuración de interfaces de red . . . . . . . . . . .. Ejemplo DHCP . . . . . . . . . . . .. Ejemplo ETHTOOL_OPTS . . . . . . . .. Ejemplo de escucha de la interfaz . . . .. Ejemplo de IP estática . . . . . . . . .. Lectura adicional . . . . . . . . . . .. Configuración NTP para la captura pasiva en RHEL . . . . . . . . . . . . . . .. Instalación del paquete NTP y selección de los servidores NTP . . . . . . . . . . .. Creación de Archivos de configuración . . .. Habilitar e iniciar el servicio . . . . . .. Contenido 255 255 255 255 256 256 256 257 257 258 258 260 260 261 v Capítulo 9. Supervisión de captura pasiva . . . . . . . . . . . . .. 263 Lista de comprobación para el diagnóstico de problemas de CX Passive Capture Application .. Lista de comprobación principal . . . . .. Lista de comprobación de configuración de PCA adicional . . . . . . . . . . . . .. Sugerencias adicionales para el diagnóstico de problemas . . . . . . . . . . . . .. Supervisión de la captura pasiva mediante el estado de Tealeaf . . . . . . . . . . .. Registro para CX Passive Capture Application .. Capítulo 10. Visión general del mantenimiento de la captura pasiva Comprobación de estado de salud de Reinicio de la captura . . . . . Ubicación de los archivos de registro Registro de estadísticas . . . . . Sincronización de la hora . . . . Configuración manual . . . . . 263 263 264 264 265 265 . 267 la captura . . . .. . . . .. . . . .. . . . .. . . . .. Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) . . .. 267 267 267 268 269 269 273 Sistema operativo . . . . . . . . . . .. Actualización del sistema operativo . . . .. Instalar . . . . . . . . . . . . . .. Configuración del servidor web . . . . . .. Configuración de PCA . . . . . . . . .. Consola . . . . . . . . . . . . . .. Registros . . . . . . . . . . . . . .. Otros . . . . . . . . . . . . . . .. Resolución de problemas . . . . . . . .. ¿Captura pasiva admite Linux de 64 bits? . . .. ¿Captura pasiva admite FreeBSD? . . . . .. ¿Cómo puedo automatizar la instalación y configuración del PCA? . . . . . . . . .. ¿Qué paquetes necesita el RPM de tealeaf-pca? .. ¿Qué cambios realiza el RPM del PCA de Tealeaf al servidor de PCA? . . . . . . . . . . .. ¿Cómo puedo especificar el directorio para el enlace simbólico de Tealeaf? . . . . . . .. ¿Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf? . . . . . . . . . .. ¿Cómo puedo instalar en un directorio que no sea el predeterminado? . . . . . . . . . .. ¿Qué directorios y archivos no se encuentran en el directorio de instalación? . . . . . . . .. ¿Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del servidor web? . . .. Localización de servidores utilizando Diffie-Hellman . . . . . . . . . . . .. Inhabilitar . . . . . . . . . . . . .. Inhabilitar Diffie-Hellman en servidores IIS .. Inhabilitar Diffie-Hellman en servidores Apache vi 273 273 273 273 273 274 274 274 274 274 275 275 276 276 278 278 279 279 281 281 282 282 282 IBM Tealeaf CX Passive Capture Application: Manual de PCA Faltan algunas coincidencias SSL de las sesiones del navegador Firefox . . . . . . . . .. Resolución de problemas de la agrupación SSL .. Síntomas . . . . . . . . . . . . . .. Para probarlo . . . . . . . . . . . .. Para solucionarlo . . . . . . . . . . .. Navegador Firefox. . . . . . . . . .. Proxy web . . . . . . . . . . . .. Servidores web de Apache . . . . . . .. Servidores web no Apache . . . . . . .. ¿Cómo puedo especificar archivos de configuración alternativos?. . . . . . . . . . . . .. Pregunta . . . . . . . . . . . . .. Respuesta . . . . . . . . . . . .. ¿Por qué la consola web de PCA ignora mis cambios guardados? . . . . . . . . . .. ¿Por qué no puedo detener los procesos de la consola web? . . . . . . . . . . . .. ¿Dónde está el directorio de registros ctccap?. .. ¿Cómo puedo cambiar manualmente el directorio del archivo de registro? . . . . . . . . .. Pregunta . . . . . . . . . . . . .. Respuesta . . . . . . . . . . . .. ¿Cómo puedo hacer que el PCA borre automáticamente sus estadísticas? . . . . .. ¿Cuál es el número de puerto predeterminado para la migración tras error? . . . . . . . . .. ¿Cómo maneja el PCA paquetes TCP duplicados? ¿Cómo identifica el PCA páginas ReqCanceled? Valores del lado del servidor . . . . . . .. Valores calculados por el PCA . . . . . . .. Analizar valores de tamaño del contenido . . .. Codificación de transferencia segmentada . . .. Identificación de las coincidencias ReqCancelled en Tealeaf . . . . . . . . . . . . . .. Datos registrados . . . . . . . . . .. Creación de un evento . . . . . . . .. Búsqueda de sesiones con tipo ReqCancelled ¿Cómo gestiona el PCA la captura de direcciones IPv6? . . . . . . . . . . . . . . .. Visión general de IPv6 . . . . . . . . .. Formato IPv4 . . . . . . . . . . .. Formato IPv6 . . . . . . . . . . .. Habilitación de Captura IPv6 . . . . . . .. Captura . . . . . . . . . . . . . .. Métodos para capturar y convertir direcciones IP . . . . . . . . . . . . . . .. Soporte del PCA para IPv6 . . . . . . .. Apéndice B. Documentación y ayuda de IBM Tealeaf . . . . . . . . . .. . . 286 286 286 287 288 288 289 289 289 290 291 291 292 292 292 292 293 293 293 294 296 298 298 299 299 300 300 300 301 303 Avisos . . . . . . . . . . . . .. Marcas registradas. . . . . . . . . Consideraciones de política de privacidad . 283 283 284 285 285 285 285 285 286 305 .. .. 307 307 Manual de la aplicación de captura pasiva El Manual de la IBM Tealeaf CX Passive Capture Application detalla cómo configurar y utilizar la IBM Tealeaf CX Passive Capture Application. Captura todas las solicitudes y respuestas de la aplicación web y las ensambla para su uso en el sistema Tealeaf. Utilice los enlaces siguientes para acceder a los temas específicos del manual. © Copyright IBM Corp. 1999, 2015 vii viii IBM Tealeaf CX Passive Capture Application: Manual de PCA Capítulo 1. Descripción general de la captura pasiva La captura pasiva de Tealeaf captura y registra la interacción completa entre el visitante y el entorno de la aplicación web mediante una conexión de red o un puerto de distribución de conmutadores de red. El software de captura pasiva ofrece los beneficios siguientes: v No introduce sobrecarga, latencia de página o utilización de CPU al servidor web v No introduce riesgo de anomalía a la aplicación web; el tráfico supervisado/capturado no forma parte del tráfico activo v Da soporte a cualquier entorno de aplicación web: homogéneo o mixto, empaquetado o personalizado v Da soporte al tráfico cifrado (HTTPS) y no cifrado (HTTP) v Da soporte al despliegue en el entorno basado en nube de Amazon Web Services (AWS) v Reconstruye el tráfico HTTP de la experiencia del usuario para el procesamiento en sentido descendente de sesiones de usuario y eventos Para capturar solicitudes y respuestas del tráfico de su sitio web, la IBM Tealeaf CX Passive Capture Application requiere un origen de datos de alta calidad que se proporciona mediante una red fiable. Consulte “Requisitos de tráfico de captura de red de Tealeaf PCA” en la página 14. EICS (Enhanced International Character Support) para CX Passive Capture Application versión 3730 Asegúrese de que utiliza la versión correcta de la CX Passive Capture Application para dar soporte a IBM Tealeaf con EICS (Enhanced International Character Support). IBM Tealeaf PCA versión 3730 da soporte a la captura de datos codificados mediante caracteres internacionales mejorados. PCA versión 3730 se utiliza para capturar el tráfico de web para que lo procese Tealeaf CX versión 9.0.2A. Seguridad y administración El software de CX Passive Capture Application está altamente controlado y protegido. Está enlazado con la estación de trabajo de host de captura y puede funcionar sin una interfaz pública. Todas las funciones de administración pueden efectuarse mediante un programa de cliente Secure Shell (SSH). Una interfaz de la consola web seguro está disponible para administrar y gestionar la CX Passive Capture Application. Soporte SSL El software de CX Passive Capture Application proporciona soporte completo para transacciones (HTTPS) SSL. Nota: Para dar soporte a SSL, se debe proporcionar una copia de las claves privadas SSL al software de CX Passive Capture Application. Si hay varios © Copyright IBM Corp. 1999, 2015 1 certificados SSL, es necesaria una copia de cada clave privada. Esto le permite al software de CX Passive Capture Application descifrar el tráfico SSL para el proceso de contenido de coincidencias HTTP. Integración con HSM En algunos entornos, las restricciones de seguridad a nivel del sistema operativo no son suficientes para la gestión de claves privadas cifradas. En estos entornos, Tealeaf da soporte a las integraciones con Módulos de seguridad de hardware. Un Módulo de seguridad de hardware (HSM) de IA proporciona protección lógica y física de las claves privadas SSL sensibles de uso no autorizado y posibles adversarios. Mientras que la implementación de la importación/exportación de claves privadas SSL al servidor de IBM Tealeaf CX Passive Capture Application con el HSM varía de entorno a entorno, el objetivo de diseño de estas transferencias es un proceso automatizado mediante el cual las claves privadas están seguras en el HSM. Los proveedores del HSM proporcionan soluciones que responden a los requisitos de este proceso de transferencia, generalmente incluyendo varios métodos soportados para la instalación de claves en los HSM. Normalmente hay aspectos específicos de la implementación para el diseño del proceso de instalación automatizado. En un entorno de HSM, las claves que utiliza el tiempo de ejecución de Tealeaf heredan las medidas de protección que ofrece HSM. El archivo de claves se almacena en el HSM y mantiene una capa adicional de control de acceso que impide su movimiento. v Para obtener más información sobre la integración del HSM, consulte Apéndice Integración de claves de SSL de Tealeaf con HSM. v Sin un HSM, las claves privadas SSL se convierten en un formato de archivo Tealeaf.ptl cifrado y se almacenan en un directorio del sistema operativo en un formato que puede utilizarse solo en la misma estación de trabajo; se aplica hash a la clave del modo específico de la máquina. Para obtener más información acerca de este método, consulte “Configuración de la clave cifrada SSL” en la página 211. Visión general de la arquitectura de despliegue La captura pasiva consta del software que se ejecuta en un host, que conecta directamente con el dispositivo de recopilación, una conexión de red o un puerto de distribución de conmutadores. El flujo de datos desde el dispositivo de recopilación a la estación de trabajo es unidireccional; el host solo recibe datos de forma pasiva. Desde el host, el software de captura pasiva transporta los datos en tiempo real al entorno de servidor de Tealeaf CX. Los datos se pueden transportar a través de TCP/IP o mediante un cable de transición de red que se conecta directamente entre el host de la capturar pasiva y la estación de trabajo receptora en el entorno de Tealeaf CX. La captura pasiva realiza las funciones siguientes: v Reconstruir los cuerpos de solicitud y respuesta HTTP(S) de los datos de paquete de TCP/IP capturados v Descifrar SSL (si es aplicable) v (opcional) Sesionizar (o secuenciar) las páginas de solicitud y respuesta HTTP mediante un ID de sesión en sesiones de visitante v (opcional) Puede definirse el bloqueo de privacidad para los datos sensibles 2 IBM Tealeaf CX Passive Capture Application: Manual de PCA v Transportar los datos al entorno de servidor de Tealeaf CX Despliegue en las instalaciones La arquitectura de despliegue en las instalaciones representa un entorno común de IBM Tealeaf que se despliega en la infraestructura de red local. En este caso de uso, la CX Passive Capture Application puede estar alojada en un servidor físico o puede estar alojada en un servidor virtual compatible dentro del mismo entorno de red. El dispositivo de captura debe tener acceso a todo el tráfico enviado al direccionador de equilibrio de carga o un segmento de red que contiene el grupo de aplicaciones/servidores web soportado por la solución de IBM Tealeaf CX. Debido a que el host de la captura pasiva de Tealeaf está conectado directamente al dispositivo de recopilación, no es necesario abrir los puertos de cortafuegos para recopilar datos. Los siguientes diagramas ilustran arquitecturas de despliegue típicas para métodos de conexión de red o distribución de conmutadores. Desde el host de la captura pasiva, se transportan los datos (mediante TCP/IP o SSL) al entorno de servidor de IBM Tealeaf CX donde se analizan, agregan y archivan. Figura 1. Caso de ejemplo de arquitectura de despliegue: duplicación de puerto desde el conmutador (o equilibrador de carga) Capítulo 1. Descripción general de la captura pasiva 3 Figura 2. Caso de ejemplo de arquitectura de despliegue: conexión de red Despliegue en la nube La arquitectura de despliegue en la nube representa un entorno común de IBM Tealeaf que se despliega en una infraestructura basada en nube soportada. IBM Tealeaf puede desplegarse en una de las infraestructuras basadas en nube siguientes: v IBM® SoftLayer v Amazon Web Services (AWS) v Microsoft Azure El siguiente diagrama ilustra la arquitectura de despliegue para las instalaciones basadas en nube utilizando un servidor proxy inverso que también tenga instalado un reenviador de paquetes. En este despliegue, el reenviador de paquetes captura tráfico web de la red virtual al servidor proxy inverso y envía los datos capturados a la PCA que se aloja en una máquina virtual distinta. 4 IBM Tealeaf CX Passive Capture Application: Manual de PCA El siguiente diagrama ilustra la arquitectura de despliegue para instalaciones basadas en nube donde el reenviador de paquetes se ha desplegado en el servidor web. En este escenario, cada instancia de servidor web tiene una instancia del reenviador de paquetes que se despliega en el servidor web. Cada instancia del reenviador de paquetes captura el tráfico web entre el servidor web y el cliente. El reenviador de paquetes envía el tráfico web capturado al reenviador de paquetes que se aloja en una máquina virtual distinta. Para obtener información sobre la instalación del reenviador de paquetes de IBM Tealeaf, consulte “Visión general del Packet Forwarder” en la página 6. Capítulo 1. Descripción general de la captura pasiva 5 Rendimiento de PCA Los siguientes componentes pueden afectar el modo en que IBM TealeafCX Passive Capture Application procesa los datos de coincidencias que se envían a CX PCA. Nota: Revise los requisitos de CX PCA para optimizar el rendimiento de CX PCA. Tabla 1. Componentes de CX PCA y cómo cada componente afecta al rendimiento Componente Efecto sobre el rendimiento Tarjetas de interfaz de red (NIC) La tarjeta de interfaz de red representa el límite superior de lo que una instancia específica del servidor de CX PCA puede capturar y procesar. Por ejemplo, si se utilizan las NIC cuya capacidad es solo de 100 megabits por segundo, se limita el rendimiento máximo de un servidor de CX PCA. Si se utilizan las NIC de 1 gigabit por segundo, puede obtener un rendimiento 10 veces superior. Núcleos de CPU Los beneficios de CX PCA cuando se instala en un servidor con ocho o más CPU. Con núcleos extras disponibles, puede instalar más instancias de laIBM TealeafCX Passive Capture Application. RAM RAM adicional en el servidor de CX PCA habilita más recursos para procesar los datos capturados. SSL El tráfico seguro ocupa mucha CPU y puede tener un gran impacto en el rendimiento general. Por ejemplo, si una CX PCA puede manejar 700 megabits por segundo del rendimiento de tráfico no de SSL, si se procesa el mismo tráfico a través de SSL se puede llegar a obtener un rendimiento únicamente de 70 megabits por segundo. Entornos virtuales Los valores de la máquina virtual VMware se deben configurar para que cumplan con los mismos requisitos del sistema operativo y de hardware que el servidor físico que aloje IBM Tealeaf CX PCA. Si la máquina virtual no cumple con los mismos requisitos que un servidor físico, es posible que se encuentre con problemas relacionados con el rendimiento. Rendimiento límite de no más de 500 Mbps. CX Passive Capture Application da soporte al rendimiento para hasta 500 Mbps. Los entornos con tasas de rendimiento mayores que 500 Mbps pueden experimentar pérdidas de paquetes en el CX Passive Capture Application. Visión general del Packet Forwarder El Packet Forwarder se utiliza para capturar y reenviar hits a una CX PCA basada en nube que está funcionando en una máquina virtual. La CX PCA procesa los hits que se reenvían mediante el Packet Forwarder. El software del Packet Forwarder se incluye con la CX PCA y consta de un componente transmisor y receptor. El transmisor captura paquetes TCP y los reenvía al receptor designado. El receptor puede configurarse para capturar datos que se someten desde un transmisor especificado. Puede configurar varias 6 IBM Tealeaf CX Passive Capture Application: Manual de PCA instancias de transmisor para enviar datos a una CX PCA centralizada. Cada instancia del transmisor debe conectarse a una instancia del receptor individual en la CX PCA. Nota: Las instancias de transmisor y las instancias de receptor no pueden compartir el mismo puerto de escucha. El Packet Forwarder proporciona la siguiente funcionalidad: v Sustituye el componente de rastreador de paquetes TCP de la PCA por un escucha de socket de red. v Dirige el tráfico a una instancia de la PCA interna. El transmisor apunta a una instancia de PCA centralizada en la nube y entrega paquetes al receptor a través de una conexión de red. v Los paquetes TCP se capturan rastreando el puerto designado. Los componentes del Packet Forwarder pueden desplegarse en una nube pública o privada para gestionar la captura y el reenvío de paquetes TCP para que los procese una instalación de IBM Tealeaf basada en nube. Arquitectura de software La CX Passive Capture Application utiliza los servicios siguientes para realizar el proceso de captura. Los procesos de captura principales capturan, reensamblan, realizan un proceso posterior y entregan los aciertos de HTTP/HTTPS reensamblados al servicio de transporte de Tealeaf que se ejecuta en otra estación de trabajo. Los cinco procesos principales en el orden de proceso en que se realizan durante la captura se denominan captured, listend, reassd, pipelined y deliverd. Tabla 2. Descripciones de los procesos de la CX PCA Proceso Descripción Captured Captured es el proceso de captura de nivel superior. Es el padre de varios procesos hijos, los cuales son listend, reassd, pipelined y deliverd. Sus dos roles principales son crear instancias de captura y crear y gestionar sus procesos hijos. Una instancia de captura es un par de procesos listend y reassd que capturan y reensamblan el tráfico de red. Durante el inicio, Captured todas las instancias de capturas configuradas como procesos hijos. Después, crea los procesos pipelined y deliverd como procesos hijos. Captured reinicia sus procesos hijos cuando terminan inesperadamente o cuando su script de mantenimiento determina una condición incorrecta. Capítulo 1. Descripción general de la captura pasiva 7 Tabla 2. Descripciones de los procesos de la CX PCA (continuación) 8 Proceso Descripción Listend Captura paquetes de tráfico de red de las interfaces primaria y secundarias configuradas y los envía al proceso de reensamblaje, Reassd. Listend es esencialmente un rastreador de paquetes. Utiliza el tráfico configurado e ignorado para determinar los paquetes que se van a capturar. Listend almacena en el almacenamiento intermedio los paquetes que envía a Reassd en la memoria para acomodar pequeños retrasos en la capacidad de Reassd de leer los paquetes. Listend proporciona adicionalmente un archivado de paquetes para registrar los paquetes capturados en los archivos del disco duro local. Reassd Reensambla paquetes TCP, descifra el tráfico SSL y analiza inicialmente las solicitudes y respuestas HTTP resultantes. Reassd recupera paquetes para reensamblar desde su conducto de comunicaciones con el proceso listend. Después de que analiza un par de solicitud y respuesta HTTP, reassd envía la coincidencia reensamblada a pipelined. Reassd es el proceso principal de la captura pasiva y normalmente el mayor proceso intensivo de la CPU debido a sus procesos HTTP y SSL. Pipelined Recuperar la solicitud y respuesta HTTP reensambladas desde reassd les da un formato de coincidencia de Tealeaf y realiza los procesos posteriores configurados. El postproceso puede incluir la eliminación de coincidencias que se basan en opciones configurables, compresión/ descompresión de datos, filtrado y bloqueo de privacidad, y puede indicarle a deliverd que envíe la coincidencia a una estación de trabajo. La estación de trabajo ejecuta el servicio de transporte de Tealeaf, que normalmente el servidor de IBM Tealeaf CX. Nota: La CX PCA permite crear varias instancias del proceso pipelined. Routerd Equilibra la carga de forma transparente (TLB) de paquetes de red entrantes y conexiones con las diferentes instancias de proceso Reassd. Mediante una distribución de tráfico de red más equitativa a través de todas las instancias de Reassd, se aumenta la eficacia de los núcleos de CPU del sistema lo que mejora el rendimiento general. Este módulo de proceso sólo está presente si está habilitada la modalidad TBL. Tcld Proporciona procesos de script basados en TCL para manejar la gestión de las coincidencias de Tealeaf para una entrega especializada con el proceso deliverd. Este proceso puede aceptar coincidencias de Tealeaf de uno o más procesos de origen pipelined. IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 2. Descripciones de los procesos de la CX PCA (continuación) Proceso Descripción Deliverd Entrega las coincidencias de Tealeaf con formato a uno o varios servicios de transporte de Tealeaf en las estaciones de trabajo remota, como se ha indicado mediante tcld. Tcld se encarga de decidir si una coincidencia se debe enviar y a quién se debe enviar. Establece la conexión de red y envía las coincidencias a través de la red al servicio de transporte de Tealeaf. Opcionalmente, puede comunicarse con el servicio de transporte de Tealeaf utilizando una conexión SSL para proporcionar un canal seguro. Failoverd Este proceso opcional está presente si la migración tras error está habilitada y en ejecución en una instancia de la IBM Tealeaf CX Passive Capture Application. v Este proceso envía señales de pulso a los procesos failoverd en otras instancias de PCA en el entorno. v Este proceso se ejecuta independientemente de los otros procesos de PCA. Memcached El proceso Memcached proporciona un sistema de almacenamiento en antememoria en memoria global a CX PCA. Memcached se usa principalmente para almacenar información de sesión de SSL para su posterior acceso a través de todas las instancias Reassd en el descifrado de SSL de procesamiento (sesiones de SSL reanudadas). Este módulo de proceso sólo está presente si está habilitada la modalidad TBL. Proceso de captura Los procesos de captura principales capturan, reensamblan, procesan posteriormente y entregan las coincidencias HTTP/HTTPS reensambladas al servicio de transporte de Tealeaf que se ejecuta en otra estación de trabajo. Los cinco procesos en orden de procesamiento durante la captura se denominan captured, listend, reassd, pipelined y deliverd. v El proceso tcld puede o no estar presente en la PCA. Captured Captured es el proceso de captura de nivel superior. Es el padre de varios procesos hijos: listend, reassd, pipelined y deliverd. Sus dos roles principales son crear instancias de captura y crear y gestionar sus procesos hijos. Una instancia de captura es un par de procesos listend y reassd que capturan y reensamblan el tráfico de red. Al iniciar, captured crea todas las instancias de capturas configuradas como procesos hijos. Después, crea los procesos pipelined y deliverd como procesos hijos. Captured reinicia sus procesos hijos cuando terminan inesperadamente o cuando su script de mantenimiento determina una condición incorrecta. Listend La función principal de Listend es capturar paquetes de tráfico de red de las interfaces primaria y secundaria configuradas y enviarlos al proceso de Capítulo 1. Descripción general de la captura pasiva 9 reensamblaje, Reassd. Listend es esencialmente un rastreador de paquetes. Utiliza el tráfico configurado e ignorado para determinar los paquetes que se van a capturar. Listend almacena en el almacenamiento intermedio los paquetes que envía a Reassd en la memoria para acomodar pequeños retrasos en la capacidad de Reassd de leer los paquetes. Listend proporciona adicionalmente un archivado de paquetes para registrar los paquetes capturados en los archivos del disco duro local. Reassd La función principal de reassd es reensamblar paquetes TCP, descifrar el tráfico SSL y analizar inicialmente las solicitudes y respuestas HTTP resultantes. Reassd recupera paquetes para reensamblar desde su conducto de comunicaciones con el proceso listend. Después de que analiza un par de solicitud y respuesta HTTP, reassd envía la coincidencia reensamblada a pipelined. Reassd es el proceso principal de la captura pasiva y normalmente el mayor proceso intensivo de la CPU debido a sus procesos HTTP y SSL. Pipelined La función primaria de pipelined es recuperar la solicitud y respuesta HTTP reensamblada desde reassd, darles un formato de coincidencia de Tealeaf y realizar los postprocesos configurados. El postproceso puede incluir la eliminación de coincidencias que se basan en opciones configurables, compresión/descompresión de datos, filtrado y bloqueo de privacidad, y puede indicarle a deliverd que envíe la coincidencia a una estación de trabajo. La estación de trabajo ejecuta el servicio de transporte de Tealeaf, que normalmente el servidor de IBM Tealeaf CX. v PCA da soporte a la creación de varias instancias del proceso pipelined. Consulte “Procesos de interconexión de varias instancias” en la página 11. Routerd La función principal de Routerd es equilibrar la carga de forma transparente (TLB) de paquetes de red entrantes y conexiones con las varias instancias de proceso Reassd. Mediante una distribución de tráfico de red más equitativa a través de todas las instancias de Reassd, se aumenta la eficiencia de los núcleos de cpu del sistema, permitiendo un mejor rendimiento general. Este módulo de proceso sólo está presente si está habilitada la modalidad TBL.Para obtener más información, consulte “Descripción general del equilibrio de carga transparente de CX PCA” en la página 12. Tcld La función principal de tcld es proporcionar procesos de script basados en TCL para manejar la gestión de las coincidencias de Tealeaf para la entrega especializada con el proceso deliverd. Este proceso puede aceptar coincidencias de Tealeaf de uno o más procesos de origen pipelined. Deliverd La función principal de deliverd es entregar las coincidencias formateadas de Tealeaf a uno o más servicios de transporte de Tealeaf en estaciones de trabajo remotas siguiendo las instrucciones de tcld. Tcld se encarga de decidir si una coincidencia se debe enviar y a quién se debe enviar. Deliverd se encarga de establecer la conexión de red y enviar las coincidencias a través de la red al servicio de transporte de Tealeaf. Opcionalmente, puede comunicarse con el servicio de transporte de Tealeaf utilizando una conexión SSL para proporcionar un canal seguro. 10 IBM Tealeaf CX Passive Capture Application: Manual de PCA Failoverd Este proceso opcional está presente si la migración tras error está habilitada y en ejecución en una instancia de la IBM Tealeaf CX Passive Capture Application. v Este proceso envía señales de pulso a los procesos failoverd en otras instancias de PCA en el entorno. v Este proceso se ejecuta independientemente de los otros procesos de PCA. v Consulte “Consola Web de PCA - Pestaña de Migración tras error” en la página 177. Memcached El proceso Memcached proporciona un sistema de almacenamiento en antememoria en memoria global a CX PCA. Memcached se usa principalmente para almacenar información de sesión de SSL para su posterior acceso a través de todas las instancias Reassd en el descifrado de SSL de procesamiento (sesiones de SSL reanudadas). Este módulo de proceso sólo está presente si está habilitada la modalidad TBL. Para obtener más información, consulte “Descripción general del equilibrio de carga transparente de CX PCA” en la página 12. Varias instancias En las modalidades TLB y no TLB, CX PCA puede configurarse para iniciar varias instancias de procesos listend y reassd para utilizar varios núcleos de CPU para manejar cargas grandes de tráfico de captura. Las instancias se pueden configurar para capturar distintos puertos y direcciones de TCP/IP para poder distribuir la carga de tráfico entre las instancias de captura. Las instancias pueden compartir NIC para la captura de paquetes o pueden capturar paquetes utilizando diversas NIC disponibles en el servidor de IBM Tealeaf CX Passive Capture Application. CX PCA también puede crear varias instancias de proceso interconectado para distribuir sus requisitos de carga de proceso. En modalidad TLB, se utiliza una única instancia de listend para alimentar varios procesos reassd a través del proceso routerd. Se proporcionan varias instancias a través de los procesos reassd donde se necesita un trabajo eficaz y se elimina la carga de trabajo manual de segmentar y distribuir la carga de tráfico de captura. Para la integración con servidores web con equilibrio de carga que utilizan un único IP virtual (VIP), consulte “Descripción general del equilibrio de carga transparente de CX PCA” en la página 12. Procesos de interconexión de varias instancias El proceso pipelined ejecuta varias operaciones intensivas de la CPU, como actividades de bloqueo de privacidad, que pueden provocar cuellos de botella de rendimiento en configuraciones de una sola hebra. Puede crear varias instancias del proceso de pipelined para distribuir la carga de proceso para todas las instancias de PCA entre los recursos de CPU disponibles. Por ejemplo, suponga que una única instancia de PCA está generando 500 páginas vistas/segundo y se ha configurado para el proceso de privacidad de interconexión Capítulo 1. Descripción general de la captura pasiva 11 intensivo, que limita su rendimiento a 200 vistas de páginas por segundo. La adición de dos instancias de interconexión más (para un total de tres interconexiones) permite manejar el rendimiento global de vista de páginas. Uno o más procesos de reassd (instancias de varias PCA) pueden incorporar sus coincidencias de HTTP resultantes en una única cola de memoria compartida (SHM), que gestiona la distribución a las instancias disponibles de los procesos pipelined por turnos. En un ejemplo de instancias de varias PCA, suponga que ha creado cuatro instancias de PCA, que están generando 1000 páginas vistas/segundo. Si una única interconexión puede procesar 400 páginas vistas por segundo en el entorno, se pueden añadir dos interconexiones más para gestionar el proceso de todo el volumen. La migración tras error maestra y esclava de la PCA también da soporte a interconexiones de varias instancias. Consulte “Consola Web de PCA - Pestaña de Migración tras error” en la página 177. Descripción general del equilibrio de carga transparente de CX PCA La CX PCA puede configurarse para el equilibrio de carga transparente (TLB) que proporciona la posibilidad de segmentar y distribuir de forma transparente el tráfico de captura de red. Las instalaciones nuevas de CX PCA vienen con TLB habilitado de forma predeterminada. Antes de esta característica (modalidad no TLB), la segmentación del tráfico de captura requería la asignación de bloques de tráfico a instancias específicas de CX PCA para el procesamiento equilibrado de carga. Mediante la configuración de CX PCA para el equilibrio de carga transparente, puede: v Reducir los problemas de servicio de atención al cliente provocados por cargas de tráfico irregulares o cambios en el perfil de tráfico a través de varias instancias de CX PCA donde un aumento repentino del tráfico de red puede sobrecargar una instancia de CX PCA. Si una instancia de CX PCA está sobrecargada, puede provocar el reinicio de la instancia y la pérdida del tráfico capturado. Mediante la habilitación del equilibrio de carga transparente, el tráfico de red se distribuye a las instancias de CX PCA utilizando un método rotativo de distribución. La distribución del tráfico de red a las instancias de CX PCA evita la sobrecarga de las mismas. v Simplifique la instalación y configuración de CX PCA. Mediante la habilitación del equilibrio de carga transparente, no es necesario proporcionar configuración extra para cada instancia adicional de CX PCA. Puede especificar el número de instancias que desea utilizar y Tealeaf distribuye automáticamente el tráfico de red a las instancias. v Capture el tráfico de un IP virtual único (VIP) para los servidores web que estén configurados para trabajar bajo un único VIP. Varios pares Listend–Routerd Puede habilitar varias instancias de listend utilizando varios pares Listend-Routerd (MLRP). MLRP proporciona la posibilidad de utilizar varias NIC para la captura de datos en un entorno de equilibrio de carga. Puede configurar CX PCA para utilizar 12 IBM Tealeaf CX Passive Capture Application: Manual de PCA MLRP con varias NIC con el fin de mejorar el rendimiento de la captura de paquetes y aumentar la escalabilidad para satisfacer las demandas del tráfico de red. Para utilizar varias NIC, MLRP crea varias instancias del proceso routerd. Cada proceso routerd necesita un núcleo de CPU para funcionar. Cada proceso routerd dirige activamente el flujo de tráfico de red de entrada desde un proceso listend hasta los procesos reassd. Cada proceso listend está emparejado con un único proceso routerd y puede procesar 1 gigabit por segundo de tráfico. La posibilidad de direccionar el tráfico de red a varios procesos reassd elimina la necesidad de segmentar manualmente el tráfico capturado y distribuirlo para evitar colas. El equilibrio del tráfico de red a varios procesadores reassd permite a CX PCA utilizar varias NIC para recibir y procesar grandes cantidades de tráfico de red. Para obtener información sobre la configuración de MLRP, consulte “Configuración de varios pares Listend–Routerd” en la página 204. Programa de mantenimiento El software de captura pasiva incluye un programa de mantenimiento que se ejecuta como el usuario root a través del servicio cron de la estación de trabajo. El programa de mantenimiento realiza varias tareas, incluidas la comprobación de estado de los procesos de captura pasiva, los registros, las estadísticas, el envío de estadísticas de diagnóstico a otra estación de trabajo y la gestión de varios archivos de registro creados por los programas de software de captura pasiva. Software de terceros Los paquetes de instalación del software de la CX Passive Capture Application incluyen los siguientes paquetes de terceros: Apache HTTPD 2.2.19 Expat 1.2 LibNet 1.1.1 LibPCAP 1.1.1 OpenSSL 1.0.0d PHP 5.2.9 TCL 8.4.x Tcpdump 4.1.1 Tcpslice 2004.05.10 El software de Tealeaf utiliza directamente algunos de estos paquetes y algunos se proporcionan como herramientas para la gestión del sistema. Mandatos con formato para facilitar su lectura Los mandatos de Linux tienen un formato especial para fines de visualización. En los ejemplos siguientes se describe cómo se puede dar formato a algunos de los mandatos para facilitar la lectura del contenido. Por ejemplo, el siguiente es un mandato que se especifica en la pantalla: # tcpdump -Xnr tst1.dmp |more Para fines de visualización, el mandato se puede visualizar en el manual de la siguiente manera: # tcpdump -Xnr \ tst1.dmp |more Capítulo 1. Descripción general de la captura pasiva 13 Anote la barra inclinada invertida, que se utiliza como el indicador de continuación de línea. Los mandatos que se visualizarán de nuevo en la pantalla pueden formatearse de la siguiente forma: # tcpdump -Xnr \ > tst1.dmp |more Anote el símbolo de intercalación (>) al principio de la segunda línea para indicar continuación. Nota: Tenga cuidado al copiar y pegar mandatos de Linux del manual. Algunos mandatos pueden requerir modificación. Requisitos de tráfico de captura de red de Tealeaf PCA Los siguientes requisitos son necesarios para duplicar el tráfico de red y reenviarlo a CX PCA para su captura. Los dispositivos de red, como por ejemplo, puertos de distribución de conmutadores, conexiones de red y equilibradores de carga son solo algunos de los puntos de captura de tráfico de red que pueden proporcionar una copia de tráfico de red en directo a la IBM Tealeaf CX Passive Capture Application. Normalmente, el tráfico duplicado consta del tráfico de servidor web del sitio web del cliente. v El tráfico de red duplicado se considera de naturaleza pasiva, ya que las NIC de captura que utiliza CX PCA no interactúan con el tráfico de red en directo. Nota: La IBM Tealeaf CX Passive Capture Application da soporte a la captura de tráfico SSL de 128 bits. No se da soporte a los métodos de cifrado utilizando unos pocos números de bits de cifrado. Requisitos básicos de tráfico Para un funcionamiento correcto, la PCA requiere que el tráfico de red duplicado sea de alta integridad y calidad. Las pérdidas de paquetes TCP de red críticos pueden impedir que la PCA reensamble el tráfico TCP en coincidencias de HTTP. Los paquetes TCP perdidos pueden generar sesiones de Tealeaf en las que faltan páginas, hay páginas parciales o ambas cosas. En el peor de los casos, toda la sesión puede ser inutilizable. Confirme los requisitos básicos siguientes con el administrador de red: v Corriente de tráfico: la PCA requiere una corriente de tráfico bidireccional o dos corrientes de tráfico unidireccionales que contengan todo el tráfico de solicitudes y respuestas HTTP entre la aplicación web y los navegadores del visitante que están interactuando con él. v Sin errores o paquetes descartados: sin errores, paquetes descartados o paquetes de desbordamiento a nivel de red y tarjeta de interfaz de red del sistema operativo. – Un mandato ifconfig ethX en la captura de NIC debe mostrar un número constante de paquetes descartados o errores. – Si el número aumenta a un ritmo alto, puede haber problemas con la fidelidad del tráfico enviado a la PCA. Puede haber un dimensionamiento inadecuado del hardware de la PCA para el volumen de tráfico o ambos. 14 IBM Tealeaf CX Passive Capture Application: Manual de PCA v IP reales del visitante: el punto de captura puede ver las IP reales del visitante o direcciones de host del IP del visitante. El acceso a las direcciones IP reales de los visitantes es un recurso útil a efectos de resolución de problemas. Para los clientes que utilizan equilibradores de carga, este requisito no puede ser posible. v Tráfico filtrado: el tráfico distribuido se filtra hasta el tráfico esencial solamente. Tealeaf recomienda filtrar tanto tráfico innecesario como sea posible a nivel de red antes de que se entregue a la PCA. Este filtrado descarga los recursos de proceso que la PCA debe utilizar para filtrar tráfico. v Problemas de conexiones persistentes TCP: Para capturar tráfico, la PCA debe ver el inicio de todas las conexiones TCP. Cifrado Diffie-Hellman Diffie-Hellman es un tipo de cifra de cifrado SSL. Está diseñado de forma que los terceros, que son sistemas distintos de los de dos partes en los dos puntos finales de una conversación, no pueden descifrar el tráfico de comunicaciones. Una sesión de usuario que se ha establecido con un servidor web utilizando este cifrado no se puede capturar mediante la IBM Tealeaf CX Passive Capture Application. Nota: IBM Tealeaf no admite el uso del protocolo criptográfico Diffie-Hellman y recomienda la configuración de los servidores web para no utilizarlo. Extensión de SessionTicket de TLS Esta extensión de protocolo SSL la utilizan algunos servidores web para transmitir tráfico cifrado a los navegadores que la soportan. En los módulos OpenSSL de los servidores web Apache más recientes y probablemente otros servidores web, la nueva extensión de protocolo SSL TLS (RFC-5077) para la reanudación de sesión sin estado, que se conoce como la extensión de SessionTicket, cifra la información de estado SSL, que se utiliza únicamente si el navegador del cliente y el servidor web cumplen con el estándar. Nota: La IBM Tealeaf CX Passive Capture Application da soporte a la extensión de Session Ticket de SSL en compilaciones recientes. Si habilita esta extensión en el servidor web, verifique que ha instalado o actualizado a la compilación TLSv1.x in Build 3327 o posterior. Para obtener más información sobre la descarga de IBM Tealeaf, consulte IBM Passport Advantage Online. Consulte “Faltan algunas coincidencias SSL de las sesiones del navegador Firefox” en la página 283. Conexiones TCP La IBM TealeafCX Passive Capture Application requiere supervisar el inicio de todas las conexiones TCP. Si las conexiones persistentes TCP están habilitadas, la PCA puede reensamblar coincidencias de conexiones en curso. Consulte con el equipo de TI para ver si las conexiones persistentes TCP están habilitadas en la infraestructura de TI. Las conexiones persistentes TCP individuales las pueden utilizar varios visitantes de su aplicación web. También se puede desplegar mediante un equilibrador de carga, tal como un dispositivo de red F5, un proxy frontal, tal como un servidor Akamai o el propio servidor web. Capítulo 1. Descripción general de la captura pasiva 15 Para las sesiones SSL, la agrupación de transacciones SSL se considera como una optimización. Sin embargo, la agrupación de transacciones SSL en un set de conexiones persistentes TCP puede causar problemas, que impiden que estas sesiones se descifren. Si una nueva sesión SSL no parece permitir que la PCA almacene en la memoria caché la información de ID de sesión SSL, las sesiones SSL posteriores que vuelvan a utilizar el ID de sesión no se pueden descifrar. En un entorno de este tipo, las conexiones pueden persistir hasta 24 horas, lo que introduce una latencia en la captura de las sesiones cuando la PCA se instala, actualiza o reinicia. Pueden haber posibles soluciones temporales o valores de configuración de compromiso en los dispositivos de red de origen que pueden mitigar el periodo de latencia. v Para obtener más información, póngase en contacto con el equipo de TI. Datos duplicados Cada instancia de IBM TealeafCX Passive Capture Application debe incorporar datos que sean exclusivos en IBM Tealeaf. Nota: Los datos duplicados no se deben pasar de forma intencionada a IBM Tealeaf. Aunque la CX PCA está diseñada para filtrar datos duplicados, los paquetes duplicados innecesarios en un entorno de alto volumen pueden dificultar el proceso. IBM Tealeaf da soporte a la migración tras error pasiva en varias instancias de la IBM Tealeaf CX Passive Capture Application. Consulte “Consola Web de PCA - Pestaña de Migración tras error” en la página 177. 16 IBM Tealeaf CX Passive Capture Application: Manual de PCA Orígenes de los problemas de calidad de tráfico de red Si tiene problemas de tráfico de red, revise los problemas siguientes como ayuda para aislar el problema. Tabla 3. Orígenes de los problemas de calidad de tráfico de red Problema Origen Paquetes TCP de red descartados Los paquetes TCP de red se pueden descartar en cualquiera de las condiciones siguientes: v Puerto de distribución sobrecargado de solicitudes: Los paquetes de red descartados pueden deberse a un puerto de distribución de conmutadores de red que está sobrecargado. En esta configuración, una o más corrientes de tráfico de red seleccionadas se configuran para compartir un único puerto cuando el total de todos los tráficos seleccionados excede el ancho de banda del puerto. Por ejemplo, tres corrientes de tráfico de 500 megabits/s con ancho de banda agregado de 1.5 gigabits/segundo se duplica en un puerto de distribución de conmutadores que pueden gestionar solo 1.0 gigabits/segundo. Durante los periodos de mayor tráfico, este puerto de distribución no puede gestionar la carga y los paquetes se descartan. v Recursos de CPU inadecuados en el conmutador: El puerto de distribución puede depender del CPU del conmutador para que los ciclos disponibles añadan y/o filtren el tráfico necesario para su duplicación. Los conmutadores contemporáneos normalmente asignan ciclos de CPU disponibles para la duplicación de puerto de distribución donde la prioridad de la CPU es gestionar operaciones de conmutación. Si la CPU está ocupada con operaciones de conmutación, no puede haber suficientes ciclos para gestionar la duplicación, en cuyo caso las operaciones de puerto de distribución "mueren de hambre" y los paquetes de red se descartan en el tráfico duplicado. Nota: El ancho de banda del tráfico duplicado no puede estar cerca de los límites prácticos del puerto de distribución. La curva de utilización de conmutador de red se vuelve un factor importante para proporcionar tráfico duplicado de alta integridad. v Otros dispositivos de red: En una infraestructura de red más compleja, se pueden utilizar más dispositivos de red con un origen de tráfico de red duplicado, como por ejemplo, agregadores de tráfico de red y reproductores de puertos de red. Estos tipos de dispositivos pueden provocar pérdida de paquetes de red, especialmente si algún dispositivo activo está alterando el tráfico de red como parte de su proceso. Tráfico unidireccional Un simple error de configuración puede producir que la CX PCA reciba tráfico de red para una sola dirección. En estas instancias, las solicitudes o respuestas HTTP se reenvían a la CX PCA, pero no ambas. Para que la CX PCA reensamble correctamente las coincidencias de HTTP, se debe proporcionar el tráfico TCP para ambas direcciones. En la mayoría de los casos, esta situación es relativamente fácil de identificar y generalmente se debe a un error de configuración del dispositivo de red de origen. Capítulo 1. Descripción general de la captura pasiva 17 Medición de paquetes descartados La PCA proporciona varias medidas para ayudar a identificar las condiciones de los paquetes de red descartados. Estas medidas son solo puntos de datos para ayudarle a evaluar las causas probables de los paquetes descartados. Lamentablemente, pocas medidas del conmutador de red pueden indicar cuándo un conmutador ha excedido sus almacenamientos intermedios internos, generando paquetes de red descartados.Las medidas indirectas como el ancho de banda de puerto y la utilización de CPU pueden indicar un posible problema. Estas medidas muestrean el estado del conmutador de red en algún intervalo de tiempo predeterminado. Sin embargo, si se produce una condición óptima entre periodos de muestreo, no habría ninguna indicación disponible en absoluto. El mejor indicador es evaluar las sesiones de Tealeaf capturadas para ver si faltan páginas o hay páginas parciales. La validación estática de las sesiones de Tealeaf de prueba puede proporcionar únicamente otro punto de datos para el análisis del motivo por el que faltan páginas en las sesiones. El rastreo en tiempo real de sesiones de Tealeaf con eventos compuestos que se activan si faltan páginas puede ayudar a determinar si una solución resuelve el problema. 18 IBM Tealeaf CX Passive Capture Application: Manual de PCA Capítulo 2. Instalación de CX Passive Capture Application Las siguientes instrucciones se pueden utilizar como ayuda para la instalación del software de CX Passive Capture Application. Las arquitecturas de despliegue que se utilizan en Capítulo 1, “Descripción general de la captura pasiva”, en la página 1 representan los entornos de IBM Tealeaf en las instalaciones o basados en nube comunes que están soportados. Nota: Si va a actualizar desde una versión anterior de CX PCA, consulte Capítulo 3, “Actualización del software de CX PCA”, en la página 53. Para empezar a instalar el software de CX PCA en el entorno de IBM Tealeaf: 1. Configure e instale el hardware y el sistema operativo para el servidor de CX PCA (consulte Configuración del Hardware e instalación del sistema operativo). 2. Realice la comprobación previa a la instalación (consulte Lista de comprobación previa a la instalación). 3. Instale el software CX PCA en el servidor de CX PCA indicado (consulte “Instalación de paquete” en la página 30). 4. Configure el servidor de CX PCA (consulte Capítulo 4, “Configuración de CX PCA”, en la página 57). 5. Si el entorno de IBM Tealeaf está basado en nube, despliegue los reenviadores de paquetes del entorno de CX PCA (consulte “Instalación del reenviador de paquetes” en la página 33). 6. Realice las tareas posteriores a la instalación (consulte “Lista de comprobación de postinstalación” en la página 44). Requisitos de instalación de CX PCA Deben cumplirse los requisitos siguientes antes de instalar IBM Tealeaf CX Passive Capture Application y el Packet Forwarder. v Se deben capturar las direcciones IPv6. El proceso de las direcciones IPv6 en toda la solución de Tealeaf está disponible solo para el release 8.4 y posteriores. v Los servidors Apache manejan tráfico de compresión de SSL desde y hacia los navegadores de Chrome. v Para el soporte HTTP_X_FORWARDING, debe utilizar PCA 3502 o posterior. Para ver los requisitos adicionales, consulte: v “Cambios en el servidor PCA (área de control de páginas)” en la página 28 v Requisitos de hardware v “Recomendaciones de punto de montaje en disco duro” en la página 21 v “Varias instancias de PCA” en la página 27 v Requisitos de tráfico de red v “Requisitos del sistema operativo” en la página 22 v “Tarjetas aceleradoras admitidas” en la página 21 © Copyright IBM Corp. 1999, 2015 19 Requisitos de tráfico de red Los dispositivos de red, como por ejemplo, puertos de distribución de conmutadores, conexiones de red y equilibradores de carga son solo algunos de los puntos de captura de tráfico de red que pueden proporcionar una copia de tráfico de red en directo a la Aplicación de Captura Pasiva de IBM Tealeaf. Normalmente, el tráfico duplicado consta del tráfico de servidor web del sitio web del cliente.El tráfico de red duplicado se considera de naturaleza pasiva, ya que los NIC de captura de la PCA no interactúan con el tráfico de red en directo. Nota: La Aplicación de Captura Pasiva de IBM Tealeaf CX da soporte a la captura de tráfico SSL de 128 bits. No se da soporte a los métodos de cifrado utilizando un número menor de bits de cifrado. Antes de comenzar a capturar tráfico de red, debe revisar los requisitos para el tráfico de red que PCA espera recibir. Esta información se debe compartir con el equipo de infraestructura de TI. Nota: Tealeaf no admite el uso del protocolo criptográfico Diffie-Hellman y recomienda la configuración de los servidores web para no utilizarlo. Nota: El IBM Tealeaf CX Passive Capture Application soporta la extensión de tíquet de sesión de SSL. Si habilita esta extensión en el servidor web, actualice a una de las compilaciones de soporte: v TLSv1.1 en la compilación 3611 o posterior v TLSv1.2 en la compilación 3611 o posterior Para obtener más información sobre la descarga de IBM Tealeaf, consulte IBM Passport Advantage Online. Nota: El IBM Tealeaf CX Passive Capture Application espera ver el inicio de todas las conexiones de TCP. Si las conexiones persistentes de TCP son utilizadas por cualquier servidor que alimente con datos a PCA, entonces se puede introducir la latencia en la captura de sesiones, y los datos se pueden perder. Requisitos de hardware de CX PCA La tabla siguiente lista los requisitos de hardware mínimos y recomendados para ejecutar CX Passive Capture Application. 20 IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 4. Requisitos de hardware de CX PCA Requisitos mínimos Requisitos recomendados Nota: Estos son los requisitos mínimos para el funcionamiento del software de CX Passive Capture Application. No pueden soportar con precisión el volumen de datos y los requisitos de proceso para el entorno. Para obtener más información acerca del dimensionamiento para el entorno, póngase en contacto con los servicios profesionales de Tealeaf. v Procesador dual, núcleo cuádruple: Procesador Xeon de núcleo cuádruple de Intel a 2.8 GHz o superior para un total de ocho núcleos como mínimo v 16 GB de RAM como mínimo v 3 NIC, 1 gigabit por cada uno v unidad de disco duro de SAS o SCSI de 100 GB o superior v Procesador dual, doble núcleo: Procesador – tiempo de acceso de 15 ms Xeon de doble núcleo de Intel a 2.8 GHz o – velocidad de unidad de 7200 rpm superior para un total de cuatro núcleos como mínimo El siguiente hardware se recomienda para la instalación de software general y la v 8 GB de RAM como mínimo recuperación de máquina: v 3 NIC, 1 gigabit por cada uno v disco duro de SAS o SCSI de 100 GB o superior – tiempo de acceso de 15 ms – velocidad de unidad de 7200 rpm v unidad de CD-ROM v unidad de disquetes de 1.44 MB v Segunda unidad para la captura y almacenamiento del tráfico de red en los archivos de archivado: 200 GB - 800 GB Recomendaciones de punto de montaje en disco duro Los siguientes son los puntos de montaje recomendados y los tamaños para una unidad de 100 GB para el software de captura pasiva. Tabla 5. Tamaños de puntos de montaje de PCA recomendados Punto de montaje Tamaño / 4 GB /archivo 42 GB (disco restante) /tmp 4 GB /usr 40 GB /var 8 GB swap 2 GB La partición /archive se utiliza para almacenar archivos de paquetes en bruto, si se ha habilitado. De forma predeterminada, la característica está desactivada y se debe utilizar sólo para la resolución de problemas. La partición /usr contiene el software de captura pasiva. El software RPM de captura pasiva de Tealeaf instala archivos en /usr/local. Tarjetas aceleradoras admitidas Consulte Apéndice - Tarjetas aceleradoras del hardware soportado. Integración con módulos de seguridad de hardware Tealeaf PCA se puede estar integrando con claves privadas que se han retenido en los módulos de seguridad del hardware. Consulte Apéndice - Integración de claves de SSL de Tealeaf con HSM. Capítulo 2. Instalación de CX Passive Capture Application 21 Soporte de VMware IBM Tealeaf CX Passive Capture Application da soporte a la instalación en una máquina virtual VMware vSphere 5.5. Los valores de la máquina virtual VMware se deben configurar para que cumplan con los mismos requisitos del sistema operativo y de hardware que el servidor físico que aloje IBM Tealeaf CX PCA. Si la máquina virtual no cumple con los mismos requisitos que un servidor físico, es posible que se encuentre con problemas relacionados con el rendimiento. Nota: Las limitaciones siguientes se aplican a IBM Tealeaf que se haya desarrollado dentro de un entorno de VMware: v Rendimiento límite de hasta 500 Mbps. CX Passive Capture Application da soporte al rendimiento para hasta 500 Mbps. Los entornos con tasas de rendimiento mayores que 500 Mbps pueden experimentar pérdidas de paquetes en el CX Passive Capture Application. v Debe inhabilitar el soporte de múltiples colas en el controlador de red virtual VMware. El soporte de múltiples colas se habilita automáticamente de forma predeterminada cuando se instala VMware. Si el soporte de múltiples colas no está soportado, los paquetes que se envíen a CX Passive Capture Application podrían quedar fuera de servicio y provocar que los paquetes se descarten. Requisitos del sistema operativo Se deben cumplir los siguientes requisitos del sistema operativo antes de instalar IBM Tealeaf CX Passive Capture Application. El IBM Tealeaf CX Passive Capture Application (PCA) se considera un software de conexión de red, como un conmutador de red, que se puede instalar en una plataforma Linux soportada. El software está diseñado para ejecutarse en un entorno dedicado a capturar y procesar un alto volumen de paquetes de red. Como tal, es el único software de aplicación que debe poseer el servidor Linux. No esta pensado para ser compartido con otras aplicaciones generales. Red Hat Enterprise Linux o SUSE Linux Enterprise Server debe estar instalado antes de comenzar la instalación de IBM Tealeaf CX Passive Capture Application. Distribuciones de sistema operativo admitidas para compilaciones de CX PCA Nota: Si el servidor de la CX PCA está ejecutando una compilación anterior a la compilación 3502, se recomienda actualizar a la compilación 3502 o posterior. Antes de actualizar a la compilación 3502 o posterior de CX PCA, debe actualizar el sistema operativo en el servidor de CX PCA a una distribución de Linux que esté soportada por CX PCA. En el momento de esta publicación, las siguientes distribuciones de Red Hat Enterprise Linux y SUSE Linux Enterprise Server son compatibles con CX PCA. v Red Hat Enterprise Linux (RHEL) versiones 5, 6 y 7 Nota: Red Hat Enterprise Linux (RHEL) 7 utiliza el mismo paquete de instalación y procedimientos que Red Hat Enterprise Linux (RHEL) 6. v SUSE Linux Enterprise Server (SLES) versión 11 22 IBM Tealeaf CX Passive Capture Application: Manual de PCA En función del tipo de sistema operativo, es posible que se necesite más instalación. Revise todos los siguientes requisitos. Distribuciones de sistema operativo admitidas para Packet Forwarder El software de Packet Forwarder puede instalarse en sistemas con los siguientes sistemas operativos: v Red Hat Enterprise Linux (RHEL) versiones 6 y 7 v SUSE Linux Enterprise Server (SLES) versión 11 Nota: Red Hat Enterprise Linux (RHEL) 7 utiliza el mismo paquete de instalación y proceso que Red Hat Enterprise Linux (RHEL) 6. En este caso, utilice tealeaf-pca-<nnnn>-<rrr>.RHEL6.i386.rpm para el paquete de instalación. En función del tipo de sistema operativo, es posible que se necesite más instalación. Revise todos los siguientes requisitos. Inhabilitar SELinux Antes de comenzar, se debe inhabilitar SELinux a través del sistema operativo para todas las versiones de Red Hat Linux. Consulte Configuración del Hardware e instalación del sistema operativo. Inhabilitar iptables En el servidor Linux que aloja la IBM Tealeaf CX Passive Capture Application, inhabilite el uso de iptables. Para obtener más información, consulte Configuración del Hardware e instalación del sistema operativo. Hyperthreading Nota: Si CX PCA está alojada en un servidor que da soporte a hyperthreading, no lo inhabilite. Está habilitado en la mayoría de los servidores que lo soportan y se debe habilitar para IBM Tealeaf CX Passive Capture Application. Si utiliza varias instancias de CX PCA, no considere los procesadores virtuales con hyperthreading como núcleos de CPU disponibles. Para calcular el número máximo de instancias de CX PCA, solo considere los núcleos reales de CPU. Consulte “Varias instancias de PCA” en la página 27. SO multinúcleo de 32 bits Para un sistema multinúcleo con un sistema operativo de 32 bits, el proceso de instalación detecta de forma automática los procesadores adicionales e instala un kernel SMP para habilitar el soporte multinúcleo. Se incluye el soporte de la extensión de dirección física (PAE) como parte del kernel SMP y da soporte hasta a 16 GB de RAM en un sistema operativo de 32 bits. SO multinúcleo de 64 bits En un sistema multinúcleo con un sistema operativo de 64 bits, el proceso de instalación no requiere de kernels adicionales. Capítulo 2. Instalación de CX Passive Capture Application 23 Nota: La versión de 32 bits de las bibliotecas necesarias se debe instalar del disco de instalación de la versión de 64 bits de Linux. Consulte “Paquetes necesarios”. Inhabilitar SELinux Las características de la mejora de seguridad de Red Hat Linux no son compatibles con el IBM TealeafCX Passive Capture Application. No se permiten varios valores del sistema en modo SELinux, y el sistema syslog no está disponible, lo que previene que el PCA capture.log funcione. v Si SELinux está habilitado y el script tealeaf se utiliza para iniciar captura, se imprime un aviso. v También se visualiza un mensaje de aviso en la consola web PCA cuando SElinux está habilitado. Antes de instalar el IBM Tealeaf CX Passive Capture Application, SELinux de debe inhabilitar a través del sistema operativo. Para obtener más información, consulte la documentación para su distribución de Linux. Inhabilitar iptables Puede inhabilitar el cortafuegos de Linux inhabilitando iptables. En el servidor Linux que está alojando las IBM Tealeaf CX Passive Capture Application, inhabilite el uso de iptables. Nota: Si las iptables están habilitadas y no se pueden inhabilitar, puede inhabilitar el cortafuegos a través de Linux para acceder a la consola web de PCA. Para obtener más información, revise la documentación que vino con la publicación de Linux. Para inhabilitar iptables, ejecute los mandatos siguientes en el orden listado. Nota: Para obtener más información acerca de iptables, revise la documentación incluida en su publicación de Linux. 1. Mandatos: service iptables save service iptables stop chkconfig iptables off 2. Reinicie el PCA. Paquetes necesarios El RPM de software de CX Passive Capture Application requiere los siguientes paquetes, que se incluyen con una instalación mínima de RHEL y SLES. Como parte de una instalación de sistema operativo de 32 bits, estos paquetes ya deben estar instalados. v Los debe instalar manualmente para las instalaciones de 64 bits. Mientras se instalan automáticamente las versiones de 64 bits de estas bibliotecas, PCA requiere las versiones de 32 bits y deben estar disponibles en el soporte de instalación. Nota: Se necesita una instalación mínima de Red Hat Enterprise Linux para la instalación de Tealeaf. Si se necesita más configuración o software debido a políticas locales relativas a los cortafuegos o software de supervisión, esos componentes se deben instalar y configurar. Esto se lleva a cabo después de que se haya completado la instalación mínima de Tealeaf y de que la captura pasiva esté activa y en ejecución. 24 IBM Tealeaf CX Passive Capture Application: Manual de PCA Red hat Enterprise Linux Server release 5.6 Paquetes necesarios: v bash-3.1-16.1 v coreutils-5.97-12.1.el5 v expat-1.95.8-8.2.1 v gawk-3.1.5-14.el5 v glibc-2.5-18 v libgcc-4.1.2-14.el5 v libgdbm-1.8.0-26.2.1 v libicudata.so.38 – Proporcionado con el rpm de Tealeaf v libicuuc.so.38 – Proporcionado con el rpm de Tealeaf v libstdc++-4.1.2-14.el5 v libxml2-2.6.26-2.1.2 v perl-5.8.8-10 v zlib-1.2.3-3 Red Hat Enterprise Linux Server release 6.1 Paquetes necesarios: v bash-4.1.2-3.el6.i686 v coreutils-8.4-9.el6.i686 v gawk-3.1.7-6.el6.i686 v glibc-2.12-1.7.el6.i686 v libgcc-4.4.4-13.el6.i686 v libstdc++-4.4.4-13.el6.i686 v libxml2-2.7.6-1.el6.i686 v libicudata.so.38 – Proporcionado con el rpm de Tealeaf v libicuuc.so.38 – Proporcionado con el rpm de Tealeaf v openssl-1.0.0-4.el6.i686 v perl-5.10.1-115.el6.i686 v zlib-1.2.3-25.el6.i686 Red Hat Enterprise Linux Server release 6.5 Paquetes necesarios: v glibc-2.12-1.132.el6_5.2.i686.rpm v keyutils-libs-1.4-4.el6.i686.rpm v krb5-libs-1.10.3-15.el6_5.1.i686.rpm v libcom_err-1.41.12-18.el6.i686.rpm v libgcc-4.4.7-4.el6.i686.rpm v libselinux-2.0.94-5.3.el6_4.1.i686.rpm v libstdc++-4.4.7-4.el6.i686.rpm Capítulo 2. Instalación de CX Passive Capture Application 25 v v v v libxml2-2.7.6-14.el6_5.2.i686.rpm nss-softokn-freebl-3.14.3-10.el6_5.i686.rpm openssl-1.0.1e-16.el6_5.14.i686.rpm zlib-1.2.3-29.el6.i686.rpm Red Hat Enterprise Linux Server release 7 Paquetes necesarios: v glibc-2.12-1.132.el6_5.2.i686.rpm v keyutils-libs-1.4-4.el6.i686.rpm v krb5-libs-1.10.3-15.el6_5.1.i686.rpm v libcom_err-1.41.12-18.el6.i686.rpm v libgcc-4.4.7-4.el6.i686.rpm v libselinux-2.0.94-5.3.el6_4.1.i686.rpm v libstdc++-4.4.7-4.el6.i686.rpm v libxml2-2.7.6-14.el6_5.2.i686.rpm v nss-softokn-freebl-3.14.3-10.el6_5.i686.rpm v openssl-1.0.1e-16.el6_5.14.i686.rpm v zlib-1.2.3-29.el6.i686.rpm SUSE Linux Enterprise Server 11 Paquetes necesarios: v bash-3.2-147.3 v coreutils-6.12-32.17 v gawk-3.1.6-1.22 v glibc-2.9-13.2 v libgcc43-4.3.3_20081022-11.18 v libstdc++6-4.7.2 v libxml2-2.7.1-10.8 v zlib-1.2.3-106.34 Instalación de los paquetes necesarios Los paquetes necesarios se deben instalar para que el rpm de tealeaf-pca se instale correctamente. Nota: La instalación se debe ejecutar como raíz. Consulte Configuración del Hardware e instalación del sistema operativo. Para visualizar los paquetes necesarios para la máquina específica, ejecute lo siguiente: rpm -q --requires -p tealeaf-pca-XXXX-1.YYYY.ZZZZ.rpm | fgrep -v rpmlib | \ sort -u | while read x; do rpm -q --whatprovides ${x}; done | sort -u Donde: v XXXX es el número de compilación de PCA v YYYY es la distribución de Linux v ZZZZ es la arquitectura 26 IBM Tealeaf CX Passive Capture Application: Manual de PCA Nota: RHEL (Red Hat Enterprise Linux) 7 utiliza el mismo paquete de instalación de PCA y se procesa como RHEL (Red Hat Enterprise Linux) 6.x. En este caso, utilice tealeaf-pca-<xxxx>-1.RHEL6.<zzzz>.rpm para el paquete de instalación. Si no se pueden encontrar los RPM en el disco/iso de instalación, póngase en contacto con el administrador de Linux. Nota: La mayoría de las versiones de Linux incluyen un sistema automatizado de repositorio de RPM que puede buscar y actualizar los RPM que faltan. RHEL utiliza el sistema de repositorio YUM. SUSE utiliza el sistema de repositorio YAST. Tealeaf no proporciona estos RPM. Varias instancias de PCA Puede instalar varias instancias de IBM TealeafCX Passive Capture Application. Nota: La siguiente fórmula y las notas asociadas se deben utilizar como directrices al configurar varias instancias de PCA. Utilícelas para estimar los requisitos y esté preparado para realizar ajustes en base a patrones de tráfico y uso de CPU. Para calcular el número máximo recomendado de instancias de PCA en el entorno de Tealeaf, utilice la siguiente fórmula: # of PCA instances = # of physical cores - # of PCA pipelines - 1. Por ejemplo, si el entorno tiene 16 núcleos físicos, puede esperar tener hasta 15 instancias de PCA para utilizar. Nota: Para cada conducto de PCA adicional dentro de una instancia de aplicación de PCA, debe deducir uno del número máximo de instancias de PCA, tal como se indica en la fórmula anterior. Nota: No considere a los procesadores virtuales con hyperthreading como núcleos disponibles. El proceso de hyperthreading proporciona pocas mejoras en el rendimiento del proceso de PCA altamente intensivo para CPU y no se debe considerar en el uso esperado. El límite anterior supone que cada núcleo de PCA está utilizando más del 60% de la capacidad. Si los núcleos están utilizando mucho menos que esta capacidad, puede aumentar el número de instancias de PCA sobre este límite. Si utiliza una tarjeta de aceleración, puede aumentar este número máximo, ya que el impacto se descarga en el hardware de la tarjeta. Nota: Cuando se descarga un cifrado en una tarjeta de aceleración de SSL, puede necesitar un mayor número de instancias para capturar y procesar la carga de tráfico de forma eficaz. Segmentar tráfico a través de varias instancias de PCA Puede añadir instancias de PCA a través de la consola web de PCA. PCA soporta varios métodos de segmentación de tráfico: Para instancias de PCA no TLB: v Filtrado de las direcciones IP/Puerto del host del servidor web: el método típico y preferido para la segmentación de tráfico por la instancia de PCA es filtrar a las direcciones IP/Puerto del host del servidor web. Capítulo 2. Instalación de CX Passive Capture Application 27 v Filtrado de la segmentación de puerto de cliente de TCP: La segmentación de puerto de cliente de TCP puede utilizarse cuando el tráfico de captura se presenta como una única dirección IP de web virtual (VIP). Nota: Las instancias de PCA son sensibles al IP/Puerto. No añada instancias de PCA si no dispone de las direcciones IP o puertos para segregar el tráfico de captura. Nota: Si la segregación IP/puerto no está habilitada en el entorno con varios CPU, al menos puede crear dos instancias de PCA. La primera instancia maneja tráfico que no sea de SSL en el puerto 80, mientras que la segunda maneja transacciones de SSL en el puerto 443. Este acuerdo no se aprovecha demasiado de las tarjetas de aceleración de SSL. Algunas opciones: v Mueva el punto de captura luego de cualquier balanceador de carga. v Utilice direcciones IP del lado de cliente para segregar el tráfico en varias instancias. Si tiene un número razonable de direcciones IP de NAT, puede agrupar direcciones entrantes en bloques de máscara de red o basadas de forma discreta en direcciones IP para entregar al manejador apropiado. Para instancias de PCA de TLB: Cuando está habilitada la modalidad TLB, ya no se necesita el proceso de determinar cómo segmentar el tráfico de captura de red. El tráfico de captura de red se segmenta automáticamente y se distribuye para crear un entorno de equilibrio de carga transparente. La modalidad TLB no requiere tanta configuración en la interfaz de red como la modalidad no TLB. Para obtener más información acerca de la adición de instancias de PCA, consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. Cambios en el servidor PCA (área de control de páginas) Cuando se instala el paquete rpm, el PCA se instala de forma predeterminada en /usr/local/ctccap. Además del directorio de instalación, se realizan otros cambios en el sistema. El paquete crea el directorio de archivos de registro en /var/log/tealeaf de forma predeterminada, si no existe. v En versiones anteriores del PCA, el directorio de registro era /usr/local/ctccap/logs. v Al actualizar desde una versión anterior con un directorio no vacío /usr/local/ctccap/logs, el paquete utiliza el directorio existente del directorio más reciente /var/log/tealeaf. Este comportamiento está pensado para evitar sorprender al usuario dejando archivos de registro antiguos en el directorio antiguo (/usr/local/ctccap/logs) y escribir nuevos archivos de registro para el nuevo valor predeterminado (/var/log/tealeaf). Nota: Esta comprobación para /usr/local/ctccap/logs es independiente del prefijo de instalación que se elige para la instalación para la actualización. Si instala la Captura pasiva en /opt/tealeaf, el paquete todavía busca un directorio no vacío /usr/local/ctccap/logs. 28 IBM Tealeaf CX Passive Capture Application: Manual de PCA Los archivos tealeaf-pca no se usan actualmente y están reservados para su uso en el futuro. Los archivos tealeaf-web los utiliza el httpd.conf predeterminado para la consola web. Los archivos tealeaf-tts se proporcionan para su conveniencia al configurar conexiones SSL con el servicio de transporte TeaLeaf. El directorio /usr/local/ctccap/etc es normalmente de escritura por el usuario raíz y de captura, ctccap. v Instalar archivo crontab: /etc/cron.d/tealeaf. El archivo crontab planifica la ejecución de "tealeaf cron" como usuario root. v Instale los scripts siguientes de inicialización en /etc/init.d: – tealeaf-pca – tealeaf-startup v Cree el archivo capture.log file en el directorio de archivos de registro, si el archivo no existe. El paquete realiza las siguientes acciones que modifican directorios y archivos fuera del prefijo de instalación. v Crea el grupo ctccap si no existe. v Crea el usuario ctccap si no existe. v Establece /usr/local/ctccap/bin/listend y /usr/local/ctccap/bin-debug/ listend como raíz de bit de modalidad establecer-ID-usuario (que se necesita para que listend abra dispositivos eth para que realicen el examen del paquete; se despliega a ctccap de usuario después de que se abren los dispositivos eth). v Elimina los archivos de la sesión PHP en /tmp; se asume que son archivos de sesión PHP para la consola web de captura pasiva. v Actualiza /etc/syslog.conf (si es necesario) para asegurarse de que contiene una entrada para el recurso local0 en el archivo capture.log en el directorio de archivo de registro. v Reinicia syslogd para obligarlo a volver a cargar su configuración y utilizar cambios que se realicen a /etc/syslog.conf. v Añade el archivo /etc/ld.so.conf.d/tealeaf.conf o modifica /etc/ld.so.conf para apuntar a /usr/local/ctccap/lib para asegurarse de que las bibliotecas compartidas están enlazadas correctamente en tiempo de ejecución. Requisitos de PCA y reenviador de paquetes para los despliegues basados en la nube El reenviador de paquetes de CX PCA captura el tráfico web que se produce entre un cliente y el servidor web y reenvía los datos a una instancia de PCA virtual centralizada. Cada servicio reenviador de paquetes que esté en ejecución en el servidor web se conecta a un servicio de escucha que está en ejecución en el servidor de PCA. Para obtener más información, consulte “Visión general del Packet Forwarder” en la página 6. Los siguientes requisitos deben cumplirse para utilizar una PCA en un entorno de servidor web basado en nube alojado por Softlayer. Cada reenviador de paquetes necesita los siguientes recursos: v Un procesador principal que esté dedicado al servicio. La velocidad del núcleo de CPU requiere una velocidad de procesador mínima de 2,0 GHz. v El reenviador de paquetes requiere la versión de Red Hat Linux (RHEL) 6.4 como mínimo para funcionar. Capítulo 2. Instalación de CX Passive Capture Application 29 Nota: Si un reenviador de paquetes se despliega en un entorno operativo de 64 bits, debe instalar las versiones de 32 bits de las bibliotecas yum install glibc.i686 yum e install zlib.i686. v En los entornos que utilizan una gran cantidad de ancho de banda, configure los sondeos del reenviador de paquetes para los servidores web y de aplicaciones para generar instancias dinámicas. La generación de instancias dinámicas permiten al reenviador de paquetes utilizar una agrupación de conexiones de socket de red para localizar un escucha de paquetes. v Cada instancia de par de reenviador de paquetes y escucha de paquetes requiere un puerto dedicado. El primer par de reenviador de paquetes y escucha de paquetes utiliza el puerto 1888 para comunicarse. Cada par adicional utilizaría un número de puerto incremental. Por ejemplo, si tiene diez pares de reenviadores de paquetes y escuchas de paquetes, debe asegurarse de que los puertos del 1888 al 1898 estén abiertos en los valores del cortafuegos del sistema operativo y los valores de cortafuegos de red. Cada servicio de escucha de paquetes necesita los siguientes recursos: v Un mínimo de cuatro núcleos de procesador; cada núcleo debe funcionar a una velocidad mínima de 2,0 GHz y debe tener asignado un mínimo de 8 GB de memoria. v Versión de Red Hat Linux (RHEL) 6.4 como mínimo para funcionar. v Cada instancia de par de reenviador de paquetes y escucha de paquetes requiere un puerto dedicado. El primer par de reenviador de paquetes y escucha de paquetes utiliza el puerto 1888. Cada par adicional utilizaría un puerto extra. Por ejemplo, si tiene diez reenviadores de paquetes y escuchas de paquetes, debe asegurarse de que los puertos del 1888 al 1898 estén abiertos en los valores del cortafuegos del sistema operativo y los valores de cortafuegos de red. Instalación de paquete La siguiente información describe el paquete de instalación de IBM TealeafCX Passive Capture Application. El nombre de archivo del paquete de software de captura pasiva de Tealeaf es similar al siguiente: tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm Donde: v <nnnn> es el número de versión de compilación; por ejemplo, 3650. v <rrr> es el número de revisión de RPM. Esto suele ser un número de un solo dígito. v <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. Nota: RHEL (Red Hat Enterprise Linux) 7 utiliza el mismo paquete de instalación de PCA y se procesa como RHEL (Red Hat Enterprise Linux) 6.x. En este caso, utilice tealeaf-pca-<nnnn>-<rrr>.RHEL6.i386.rpm para el paquete de instalación. Puede acceder al paquete de instalación de IBM TealeafCX Passive Capture Application a través de IBM Passport Advantage Online. Pasos previos a la instalación Antes de empezar con el proceso de instalación, siga los pasos siguientes: 30 IBM Tealeaf CX Passive Capture Application: Manual de PCA 1. Enchufe un cable de red en directo desde su LAN en el puerto de red LAN. No enchufe ningún otro cable de red en los otros puertos de red. 2. Inserte el disco 1 del CD-ROM de Instalación de Red Hat Enterprise Linux arrancable en la unidad de CD-ROM. 3. Encienda la alimentación de la máquina. 4. Especifique la configuración del BIOS y establezca el reloj CMOS en la hora media de Greenwich (GMT). 5. Salga del BIOS. La máquina arranca y se visualiza la pantalla inicial de instalación de Red Hat Enterprise Linux. 6. Pulse SPACEBAR para impedir el arranque automático. 7. Continúe a la sección Instalación de Red Hat Enterprise Linux. Nota: El huso horario de Captura pasiva normalmente se configura con el huso horario local. El Paso 4 permite configurar y modificar el huso horario de la Captura pasiva sin tener que cambiar el reloj CMOS. Usuarios del sistema operativo El PCA (área de control de páginas) se debe instalar utilizando la cuenta de usuario raíz. Durante el proceso de instalación, se crea el usuario PCA ctccap. Durante la ejecución, el usuario ctccap ejecuta los procesos PCA, independientemente del usuario que los inició. Nota: No utilice el usuario sudo root para la instalación. Aunque puede mostrar que se ha completado la instalación, varios capturan errores que indican que la instalación ha fallado. Estos errores pueden incluir errores como "restarting too rapidly", errores para iniciar las interfaces, problemas de permisos, y más. Asegúrese de utilizar un inicio de sesión de usuario root verdadero. No es necesario que inicie una sesión en el sistema utilizando el usuario root. Si embargo, el usuario ctccap debe tener los permisos para ejecutar los mandatos tealeaf start y tealeaf stop. Es necesario ejecutar con permisos limitados root como se describe. Como un tráfico de red pasivo que está capturando una aplicación que se ejecuta bajo un sistema operativo de bolsa Linux, el PCA requiere permisos de sistema específicos para capturar pasivamente paquetes de red. Mediante el sistema operativo, el PCA debe ser capáz de colocar NIC (controladores de interfaz de red) del sistema de red en modalidad de captura promiscua. Permite al PCA escuchar pasivamente todo el tráfico de red presentado a los controladores de interfaz de red designados. Es necesario ejecutar el proceso de aplicación específico como un permiso de raíz . Para minimizar los problemas de seguridad, sólo un módulo específico de aplicación PCA necesita permiso para el tráfico que está capturando. Todos los otros módulo de aplicación PCA se ejecutan con permisos de usuario no root. El módulo de captura sólo escucha una copia del tráfico de red suministrado. El módulo no puede inyectar cualquier tráfico en absoluto entre su servidor web y el navegador del cliente. Copia del paquete de instalación desde el disco CD-ROM Utilice el procedimiento siguiente para capturar el paquete de instalación desde el CD-ROM a la unidad local. 1. Inserte el disco CD-ROM en la unidad de CD-ROM. Capítulo 2. Instalación de CX Passive Capture Application 31 2. Escriba los mandatos siguientes, reemplazar <nnnn>, <rrr>, y <distro> con los números apropiados para el archivo de paquete: mount /mnt/cdrom cp /mnt/cdrom/tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm /root umount /mnt/cdrom 3. Expulse el disco CD-ROM y elimínelo. Instalación del software de PCA Utilice la información siguiente para instalar el software de PCA en su servidor físico o en una máquina virtual. Si está desplegando CX Passive Capture Application en un entorno basado en la nube, consulte los procedimientos de instalación para dichos entornos. 1. Inicie sesión en el servidor web utilizando la cuenta root. Nota: La instalación se debe ejecutar como raíz. Consulte Configuración del Hardware e instalación del sistema operativo. 2. Abra un indicador de mandatos. 3. Escriba rpm -ivh tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm para instalar el software de PCA. Donde: v <nnnn> es el número de versión de compilación; por ejemplo, 3650. v <rrr> es el número de revisión de RPM. Los números de revisión suelen ser un número de un único dígito. v <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. Nota: RHEL (Red Hat Enterprise Linux) 7 utiliza el mismo paquete de instalación de PCA y se procesa como RHEL (Red Hat Enterprise Linux) 6.x. En este caso, utilice tealeaf-pca-<nnnn>-<rrr>.RHEL6.i386.rpm para el paquete de instalación. También puede utilizar Yum Package Manager para instalar el paquete tealeaf-pca ejecutando el siguiente mandato: yum install tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm De forma predeterminada, el software de la CX PCA se instala en /usr/local/ctccap.Puede especificar el directorio alternativo utilizando la opción --prefix del mandato rpm junto con los mandatos de instalación y actualización. A continuación se muestran algunos ejemplos de invocaciones rpm. rpm -i --prefix=/opt/tealeaf tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm rpm -U --prefix=/home/tealeaf tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm Si no utiliza la opción --prefix durante una instalación o actualización, RPM utiliza el directorio de instalación predeterminado que se especifica en el archivo del paquete de PCA de Tealeaf, que es /usr/local/ctccap. Una vez reubicado un paquete, debe especificar el directorio alternativo de modo que el paquete compruebe y actualice correctamente las instalaciones anteriores. Cuando se hayan extraído los archivos del paquete rpm, siga la lista de comprobación posterior a la instalación para validar la instalación e iniciar el proceso de configuración. 32 IBM Tealeaf CX Passive Capture Application: Manual de PCA Instalación del reenviador de paquetes El reenviador de paquetes de Tealeaf se utiliza para reenviar el tráfico web que se transmite entre un cliente y un servidor web basado en nube a una PCA basada en nube. El reenviador de paquetes de Tealeaf se empaqueta con el software de Tealeaf PCA y comparte los mismos requisitos que el software de Tealeaf PCA. Instalación basada en nube con un servidor proxy inverso Si la solución web basada en nube incluye un servidor proxy inverso, puede instalar el software de reenviador de paquetes en el servidor proxy inverso y en el servidor de PCA. Después de instalar el software de reenviador de paquetes, debe configurar la instancia de transmisor de reenviador de paquetes en el servidor proxy inverso y las instancias de receptor de reenviador de paquetes en la PCA. Instalación basada en nube con ningún servidor proxy inverso Si la solución web basada en nube no incluye un servidor proxy inverso, puede instalar el software de reenviador de paquetes en cada servidor web en el entorno basado en nube y en el servidor de PCA. Después de instalar el software de reenviador de paquetes, debe configurar las instancias de transmisor de reenviador de paquetes en los servidores web y las instancias de receptor de reenviador de paquetes en la PCA. Cada instancia de transmisor requiere una instancia de receptor dedicado. Ejecute el siguiente mandato para instalar el paquete tealeaf-pktfwdr. v Si utiliza Red Hat Package Manager, escriba lo siguiente: rpm -ivh tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm rpm -ivh --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm Donde: – <nnnn> es el número de versión de compilación; por ejemplo, 3650. – <rrr> es el número de revisión de RPM. Esto suele ser un número de un solo dígito. – <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. Nota: RHEL (Red Hat Enterprise Linux) 7 utiliza el mismo paquete de instalación de reenvío de paquetes y se procesa como RHEL (Red Hat Enterprise Linux) 6.x. En este caso, utilice tealeaf-pca-<nnnn>-<rrr>.RHEL6.i386.rpm para el paquete de instalación. v Si utiliza Yellowdog Updater Modified (Yum), escriba lo siguiente: yum install tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm yum install --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm Donde: – <nnnn> es el número de versión de compilación; por ejemplo, 3650. – <rrr> es el número de revisión de RPM. Esto suele ser un número de un solo dígito. – <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. De forma predeterminada, el software de PCA se instala en /usr/local/ctccap. Capítulo 2. Instalación de CX Passive Capture Application 33 Puede reubicar el paquete en un directorio distinto del directorio predeterminado/usr/local/ctccap. Puede especificar el directorio alternativo utilizando la opción --prefix del mandato rpm junto con los mandatos de instalación y actualización. A continuación se muestran algunos ejemplos de invocaciones rpm. rpm -i --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm rpm -U --prefix=/home/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm Donde: v <nnnn> es el número de versión de compilación; por ejemplo, 3650. v <rrr> es el número de revisión de RPM. Esto suele ser un número de un solo dígito. v <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. Cuando no utiliza la opción --prefix durante una instalación o actualización, RPM utiliza el directorio de instalación predeterminado que se especifica en el archivo de paquete, que es /usr/local/ctccap. Si reubica un paquete, debe asegurarse de especificar siempre el directorio alternativo de modo que el paquete pueda comprobar de forma precisa si hay instalaciones anteriores y actualizarlas. Si no se utiliza un directorio de instalación personalizado, se crea la siguiente estructura de directorios. /opt/tealeaf/ /bin/pktfwdr /bin/ctcstats /etc/fwdr-conf.xml /etc/fwdr-conf-defaults.xml /sbin/ Se instalan los siguientes archivos principales: Nota: Esta no es una lista completa de cada archivo que el instalador copia en el disco. Tabla 6. Componentes de archivos instalados Nombre de archivo Descripción pktfwdr Daemon del reenviador de paquetes Para iniciar una instancia del reenviador de paquetes, ejecute /user/local/ctccap/bin/pktfwdr -t como usuario root. ctcstats Estadísticas/métricas operativas fwdr-conf.xml Archivo de configuración del reenviador de paquetes fwdr-conf-defaults.xml Archivo de configuración predeterminado Nota: Si utiliza una versión de 64 bits de Red Hat Enterprise Linux, ejecute uno de los siguientes mandatos para instalar las bibliotecas de compatibilidad de 32 bits necesarias: yum install glibc.i686 yum install zlib.i686 o yum install rpm -ivh --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686_24thApr14.rpm Una vez que se ha completado la instalación, debe configurar las instancias del reenviador de paquetes. 34 IBM Tealeaf CX Passive Capture Application: Manual de PCA Mandatos del Packet Forwarder Puede ejecutar el programa de utilidad de Packet Forwarder con opciones de mandatos. El Packet Forwarder puede ejecutarse con opciones para iniciar una instancia, detener una instancia y más. Por ejemplo, para iniciar el Packet Forwarder, ejecute /user/local/ctccap/bin/pktfwdr -t donde -t es la opción que inicia al Packet Forwarder que inicie el servicio. Las siguientes opciones están disponibles al ejecutar el Packet Forwarder. Tabla 7. Mandatos del Packet Forwarder Opción Descripción -c <archivo de configuración> Altera temporalmente el archivo de configuración predeterminado y le ofrece la posibilidad de utilizar un archivo de configuración personalizado, donde <archivo de configuración> es el nombre del archivo de configuración. -D Suprimir SHM de transmisor. -d Opción de depuración. -e Encapsular modalidad de paquetes. -f <regla de filtro> Alterar temporalmente las reglas de filtro que se especifican en el archivo de configuración. -h Versión y lista de opciones. -i <interfaz NIC> Alterar temporalmente los valores de NIC que se especifican en el archivo de configuración. -I <instancias#> Especifica el número de instancias de transmisor para cargar, donde <instancias> es el número de instancias que desea ejecutar. -k Detener el servicio y sus instancias. -l Informa si el servicio se está ejecutando. -n Opción de depuración para un entorno autónomo. -t Iniciar el servicio. Instalación de PCA en la nube de Softlayer Las instrucciones siguientes se utilizan para desplegar la PCA en un entorno basado en nube Softlayer. También se recomienda verificar que las máquinas virtuales puedan comunicarse entre sí. Póngase en contacto con el administrador de red para asegurarse de que todos los puertos de red necesarios están abiertos para el software de PCA, los reenviadores de paquetes y los escuchas de paquetes. Las instalaciones de sitio web habituales en la nube utilizan un equilibrador de carga virtual para distribuir el tráfico web a un nivel de servidor web suministrado dinámicamente que consta de varias instancias de servidor web. Cada instancia de servidor web necesita que se instale un reenviador de paquetes para reenviar el tráfico web capturado a una PCA centralizada que se ejecuta en una máquina virtual para su proceso. El proceso de instalación consiste en instalar los reenviadores de paquetes en las instancias web e instalar la PCA centralizada en la máquina virtual alojada. Capítulo 2. Instalación de CX Passive Capture Application 35 Requisitos de PCA para una máquina virtual de Softlayer Antes de instalar la PCA en una máquina virtual Softlayer, asegúrese de que la máquina virtual cumple los requisitos de hardware y software para el software de PCA. Los requisitos de hardware y software se identifican en una lista de comprobación previa a la instalación. Para obtener más información, consulte Lista de comprobación previa a la instalación. Los elementos siguientes también son necesarios: v Softlayer suministra máquinas físicas o servidores virtuales dedicados para proporcionar la máxima flexibilidad de la infraestructura de red. Los servidores pueden configurarse con valores de red dinámica o estática. Puede ser necesario proporcionar direcciones IP internas estáticas para permitir la comunicación interna de instancia a instancia donde las direcciones IP asignadas se mantienen si las instancias se detienen o se cambian de orden. Esto es necesario para volver a establecer las conexiones de red entre la instancia del escucha de PCA y sus instancias de sondeo de reenviador de paquetes. v Cada servidor que aloja una instancia de servidor web debe tener un núcleo de CPU dedicado a la ejecución del servicio reenviador de paquetes. La velocidad mínima del núcleo es 2,0 GHz. v Si la aplicación de servidor web y las instancias del reenviador de paquetes están instaladas en Linux Red Hat, se necesita RHEL 6.4 como versión mínima. v Se recomienda inhabilitar SELinux. Si está habilitado, configure los valores del cortafuegos para permitir la comunicación en los puertos utilizados por los reenviadores de paquetes y los escuchas de paquetes. v Si la instancia de servidor web utiliza una versión de 64 bits de Linux Red Hat, las versiones de 32 bits de glibc y zlib deben estar desplegadas durante el proceso de instalación. v En el servidor de PCA, cada servicio de escucha de paquetes requiere cuatro núcleos de CPU. Cada núcleo de CPU debe ser de 2.0 GHz o más y tener 8 GB de memoria dedicada. v Configure los valores del cortafuegos para permitir la comunicación en el puerto 1888. El número de los puertos se incrementa en uno para cada reenviador de paquetes adicional que se despliegue. Si se despliegan cinco reenviadores de paquetes, los puertos del 1888 al 1892 deben estar abiertos. Los puertos los utilizan los reenviadores de paquetes para enviar información a los escuchas de paquetes, que procesan los datos en la PCA. Instalación del reenviador de paquetes Nota: El número máximo de instancias de servidor web debe conocerse antes de realizar el proceso de instalación. El número de instancias de servidor web se utiliza en la configuración del reenviador de paquetes para determinar el número máximo de conexiones TCP activas que pueden conectarse al receptor de sockets de PCA de destino. Nota: Debe haber iniciado la sesión como usuario root para realizar todas las instalaciones relacionadas con la PCA. La realización de una instalación utilizando otra cuenta puede impedir que se disponga de los permisos que son necesarios para instalar satisfactoriamente el software. 36 IBM Tealeaf CX Passive Capture Application: Manual de PCA Utilice el rpm de instalación para instalar el reenviador de paquetes en cada instancia web. El directorio de instalación predeterminado es /usr/local/ctccap. Puede utilizar la opción --prefix al ejecutar el mandato de instalación para instalar el software en otro directorio. Para instalar el software, ejecute rpm -ivh --prefix=/opt/tealeaf tealeaf-pktfwdr-xxxx-1.RHEL6.i686.rpm, donde xxxx es el número de versión del software de PCA. El reenviador de paquetes requiere bibliotecas de 32 bits adicionales si va a instalarlo en una versión de 64 bits de Linux. Para instalar todas las bibliotecas dependientes, ejecute el mandato siguiente: yum -y install tealeaf-pktfwdr-3650-1.RHEL6.i686.rpm Nota: Si no va a instalar el reenviador de paquetes en el directorio predeterminado, debe instalar las bibliotecas glibc y zlib manualmente con los mandatos siguientes: 1. yum install glibc.i686 2. yum install zlib.i686 Utilice la opción --prefix para especificar la vía de acceso de instalación. Los archivos siguientes se utilizan para configurar y ejecutar el reenviador de paquetes. Tabla 8. Archivos necesarios de configuración y operativos del reenviador de paquetes Nombre de archivo Descripción /bin/pktfwdr Daemon del reenviador de paquetes /bin/ctcstats Métricas y estadísticas operativas /etc/fwdr-conf.xml Archivo de configuración del reenviador de paquetes /etc/fwdr-conf-defaults.xml Archivo de configuración predeterminado Configure el reenviador de paquetes editando el archivo de configuración /etc/fwdr-conf.xml. 1. Edite la etiqueta PrimaryInterface para añadir el nombre de dispositivo NIC virtual que el reenviador de paquetes utiliza para capturar el tráfico del servidor web. En la mayoría de las instalaciones, el nombre del dispositivo NIC es eth0. 2. Localice la etiqueta ListenTos y añada en el archivo de configuración los puertos adicionales de los que desea que se capture el tráfico. Los puertos 80 y 443 aparecen listados de forma predeterminada. 3. Localice la etiqueta Delivery y edite las etiquetas Address y Port para incluir el número de puerto y la dirección IP de la máquina virtual que aloja el servidor de PCA centralizado. Nota: Cada par de reenviador de paquetes y escucha utiliza un solo puerto. El número de puerto predeterminado es 1888. Cuando se utilizan varios pares, la dirección de puerto define el primer número de puerto que se utiliza para definir un bloque de números de puerto. Por ejemplo, si va a capturar tráfico Capítulo 2. Instalación de CX Passive Capture Application 37 de cinco servidores web, se utilizan cinco pares de reenviador de paquetes y escucha de paquetes para capturar el tráfico. En este escenario, se utilizan los puertos del 1888 al 1892. 4. Edite la etiqueta Puerto para definir el número de puerto para la conexión de red. Cada reenviador de paquetes requiere un número de puerto exclusivo para identificar una conexión de red exclusiva a la instancia de máquina virtual de PCA centralizada. Los números de puerto deben asignarse en orden secuencial. Esto lo requiere el receptor de sockets de PCA cuando se configura para las conexiones de red de los reenviadores de paquetes. Si decide empezar por el número de puerto 1888 para el primer reenviador de paquetes, cuando se definan cinco serían explícitamente los puertos del 1888 al 1892. 5. Edite la etiqueta MaxRotatePeers para definir el número máximo de instancias del servidor web que pueden suministrarse dinámicamente. El valor predeterminado es 1. Si va a capturar tráfico de cinco servidores web, establezca este valor en 5. Nota: Si está asignando estáticamente un número fijo de instancias de servidor web con reenviadores de paquetes asociados, MaxRotatePeers permanecerá establecido en el valor predeterminado de 1. Cada reenviador de paquetes tiene que configurarse con un número de puerto exclusivo para identificar una conexión de red exclusiva con la instancia de máquina virtual de PCA centralizada. Los números de puerto deben asignarse en orden secuencial. Esto lo requiere el receptor de sockets de PCA cuando se configura para las conexiones de red de los reenviadores de paquetes. Si decide empezar con el número de puerto 1888 para el primer reenviador de paquetes, si define cinco deberán ir explícitamente del 1888 al 1892. 6. Guarde los cambios en el archivo /etc/fwdr-conf.xml. Instalación de una PCA centralizada en una máquina virtual de Softlayer Una PCA centralizada se utiliza para recibir la comunicación procedente de los reenviadores de paquetes que están desplegados en las instancias de servidor web en el entorno en nube. La instalación del software de PCA en una máquina virtual es parecida al proceso de instalación en un servidor físico. Utilice el proceso siguiente para instalar el software de PCA en una máquina virtual. 1. Instale el software de PCA en la máquina virtual. Si desea más información, consulte los apartados “Instalación de paquete” en la página 30 y “Lista de comprobación de postinstalación” en la página 44. 2. 3. 4. 5. 38 Nota: Ya ha instalado los reenviadores de paquetes en las instancias de servidor web siguiendo las instrucciones de “Instalación del reenviador de paquetes” en la página 36. “Instalación del reenviador de paquetes” en la página 33 no se aplica a este procedimiento de instalación. Inicie la sesión en la consola web de PCA. Vaya a la pestaña Entrega y edite los valores de entrega del entorno. Para obtener más información, consulte “Consola Web de PCA - Pestaña de Entrega” en la página 110. Vaya a la pestaña Interconexión y edite el valor de Instancias de interconexión para configurar el número de instancias de interconexión para la configuración. Para obtener más información sobre las instancias de interconexión, consulte “Instancias de interconexión” en la página 120. Seleccione Guardar cambios para guardar los valores de configuración actualizados. IBM Tealeaf CX Passive Capture Application: Manual de PCA Nota: No reinicie el servidor de PCA. 6. Edite el archivo de configuración de PCA; para ello, abra /usr/local/ctccap/etc/ctc-conf.xml en un editor de texto. 7. Vaya a los valores de la etiqueta Capture y edite los valores siguientes. v Establezca ListenerSocketEnabled en true. v Establezca TransparentLoadBalancingEnabled en false. v Establezca SslSessionInfoOnMemcachedServer en false. Nota: Si el servidor de PCA está configurado para descifrar tráfico SSL que procede del reenviador de paquetes, establezca SslSessionInfoOnMemcachedServer en true. 8. Vaya a los valores de la etiqueta Listener y edite los valores siguientes. v Establezca BasePort de modo que coincida con el número de puerto que se define en los valores de ListenTos del archivo de configuración de reenvío de paquetes. Para acceder al archivo de configuración del reenviador de paquetes, abra /etc/fwdr-conf.xml en una instancia de servidor web. v Establezca Instances de modo que sea igual al número de reenviadores de paquetes con los que la PCA se conecta. 9. Guarde los cambios en /usr/local/ctccap/etc/ctc-conf.xml. 10. Ejecute tealeaf restart para reiniciar los servicios de PCA. Inicio del servidor de PCA y los reenviadores de paquetes Se recomienda iniciar el servidor de PCA central antes de iniciar los reenviadores de paquetes. Si los reenviadores de paquetes se inician antes de que el servidor de PCA esté en ejecución, pueden experimentar condiciones de tiempo de espera agotado de red y provocar un retraso en el tiempo que se tarda en conectar con el servidor de PCA. Para iniciar el servidor de PCA, ejecute tealeaf start all desde la máquina virtual que aloja el servidor de PCA. Para iniciar una instancia del reenviador de paquetes, ejecute service pktfwdr start en cada instancia del servidor web. Para detener un reenviador de paquetes, ejecute service pktfwdr stop en cada instancia del servidor web. Para comprobar el estado operativo de un reenviador de paquetes, ejecute service pktfwdr status en cada instancia del servidor web. Para ver las métricas disponibles de un reenviador de paquetes, ejecute opt/tealeaf/bin/ctcstats -p en cada instancia del servidor web. Para comprobar que un reenviador de paquetes se conecta al servidor de PCA, utilice el programa de utilidad netstat. Si la conexión de puerto está configurada para el puerto 1888, ejecute netstat -an|grep 1888. La salida devuelve un estado de ESTABLISHED si el reenviador de paquetes está conectado al servidor de PCA. Si no se establece una conexión, las reglas de cortafuegos de la red podrían no estar configuradas para permitir la comunicación entre los reenviadores de paquetes y el servidor de PCA. Compruebe los valores de configuración de red para los reenviadores de paquetes y el servidor de PCA; a continuación, asegúrese de que los valores de cortafuegos permiten la comunicación en esos valores de red. Capítulo 2. Instalación de CX Passive Capture Application 39 Instalación de PCA en la nube de Microsoft Azure Las instrucciones siguientes se utilizan para desplegar la PCA en un entorno basado en nube Microsoft Azure. También se recomienda verificar que las máquinas virtuales puedan comunicarse entre sí. Póngase en contacto con el administrador de red para asegurarse de que todos los puertos de red necesarios están abiertos para el software de PCA, los reenviadores de paquetes y los escuchas de paquetes. Las instalaciones de sitio web habituales en la nube utilizan un equilibrador de carga virtual para distribuir el tráfico web a un nivel de servidor web suministrado dinámicamente que consta de varias instancias de servidor web. Cada instancia de servidor web necesita que se instale un reenviador de paquetes para reenviar el tráfico web capturado a una PCA centralizada que se ejecuta en una máquina virtual para su proceso. El proceso de instalación consiste en instalar los reenviadores de paquetes en las instancias web e instalar la PCA centralizada en la máquina virtual alojada. Requisitos de PCA para una máquina virtual de Microsoft Azure Antes de instalar la PCA en una máquina virtual Microsoft Azure, asegúrese de que la máquina virtual cumple los requisitos de hardware y software para el software de PCA. Los requisitos de hardware y software se identifican en una lista de comprobación previa a la instalación. Para obtener más información, consulte Lista de comprobación previa a la instalación. Los elementos siguientes también son necesarios: v Cada servidor que aloja una instancia de servidor web debe tener un núcleo de CPU dedicado a la ejecución del servicio reenviador de paquetes. La velocidad mínima del núcleo es 2,0 GHz. v Si la aplicación de servidor web y las instancias del reenviador de paquetes están instaladas en Linux Red Hat, se necesita RHEL 6.4 como versión mínima. v Se recomienda inhabilitar SELinux. Si está habilitado, configure los valores del cortafuegos para permitir la comunicación en los puertos utilizados por los reenviadores de paquetes y los escuchas de paquetes. v Si la instancia de servidor web utiliza una versión de 64 bits de Linux Red Hat, las versiones de 32 bits de glibc y zlib deben estar desplegadas durante el proceso de instalación. v En el servidor de PCA, cada servicio de escucha de paquetes requiere cuatro núcleos de CPU. Cada núcleo de CPU debe ser de 2.0 GHz o más y tener 8 GB de memoria dedicada. v Configure los valores del cortafuegos para permitir la comunicación en el puerto 1888. El número de los puertos se incrementa en uno para cada reenviador de paquetes adicional que se despliegue. Si se despliegan cinco reenviadores de paquetes, los puertos del 1888 al 1892 deben estar abiertos. Los puertos los utilizan los reenviadores de paquetes para enviar información a los escuchas de paquetes, que procesan los datos en la PCA. Instalación del reenviador de paquetes Nota: El número máximo de instancias de servidor web debe conocerse antes de realizar el proceso de instalación. El número de instancias de servidor web se 40 IBM Tealeaf CX Passive Capture Application: Manual de PCA utiliza en la configuración del reenviador de paquetes para determinar el número máximo de conexiones TCP activas que pueden conectarse al receptor de sockets de PCA de destino. Nota: Debe haber iniciado la sesión como usuario root para realizar todas las instalaciones relacionadas con la PCA. La realización de una instalación utilizando otra cuenta puede impedir que se disponga de los permisos que son necesarios para instalar satisfactoriamente el software. Utilice el rpm de instalación para instalar el reenviador de paquetes en cada instancia web. El directorio de instalación predeterminado es /usr/local/ctccap. Puede utilizar la opción --prefix al ejecutar el mandato de instalación para instalar el software en otro directorio. Para instalar el software, ejecute rpm -ivh --prefix=/opt/tealeaf tealeaf-pktfwdr-xxxx-1.SUSE11.i586.rpm, donde xxxx es el número de versión del software de PCA. El reenviador de paquetes requiere una biblioteca de 32 bits adicional si va a instalarlo en una versión de 64 bits de Linux. Para instalar todas las bibliotecas dependientes, ejecute el mandato siguiente: zypper install zlib-32bit-1.2.7-0.10.128 Ejecute zypper clean -a para borrar la memoria caché de rpm local. Los archivos siguientes se utilizan para configurar y ejecutar el reenviador de paquetes. Tabla 9. Archivos necesarios de configuración y operativos del reenviador de paquetes Nombre de archivo Descripción /bin/pktfwdr Daemon del reenviador de paquetes /bin/ctcstats Métricas y estadísticas operativas /etc/fwdr-conf.xml Archivo de configuración del reenviador de paquetes /etc/fwdr-conf-defaults.xml Archivo de configuración predeterminado Configure el reenviador de paquetes editando el archivo de configuración /etc/fwdr-conf.xml. 1. Edite la etiqueta PrimaryInterface para añadir el nombre de dispositivo NIC virtual que el reenviador de paquetes utiliza para capturar el tráfico del servidor web. En la mayoría de las instalaciones, el nombre del dispositivo NIC es eth0. 2. Localice la etiqueta ListenTos y añada en el archivo de configuración los puertos adicionales de los que desea que se capture el tráfico. Los puertos 80 y 443 aparecen listados de forma predeterminada. 3. Localice la etiqueta Delivery y edite las etiquetas Address y Port para incluir el número de puerto y la dirección IP de la máquina virtual que aloja el servidor de PCA centralizado. Nota: Cada par de reenviador de paquetes y escucha utiliza un solo puerto. El número de puerto predeterminado es 1888. Cuando se utilizan varios pares, la dirección de puerto define el primer número de puerto que se utiliza para Capítulo 2. Instalación de CX Passive Capture Application 41 definir un bloque de números de puerto. Por ejemplo, si va a capturar tráfico de cinco servidores web, se utilizan cinco pares de reenviador de paquetes y escucha de paquetes para capturar el tráfico. En este escenario, se utilizan los puertos del 1888 al 1892. 4. Edite la etiqueta Address para definir la dirección IP o el nombre de host de PCA. Se trata de la dirección IP de la máquina virtual. 5. Edite la etiqueta Puerto para definir el número de puerto para la conexión de red. Cada reenviador de paquetes requiere un número de puerto exclusivo para identificar una conexión de red exclusiva a la instancia de máquina virtual de PCA centralizada. Los números de puerto deben asignarse en orden secuencial. Esto lo requiere el receptor de sockets de PCA cuando se configura para las conexiones de red de los reenviadores de paquetes. Si decide empezar por el número de puerto 1888 para el primer reenviador de paquetes, cuando se definan cinco serían explícitamente los puertos del 1888 al 1892. 6. Edite la etiqueta MaxRotatePeers para definir el número máximo de instancias del servidor web que pueden suministrarse dinámicamente. El valor predeterminado es 1. Si va a capturar tráfico de cinco servidores web, establezca este valor en 5. Nota: Si está asignando estáticamente un número fijo de instancias de servidor web con reenviadores de paquetes asociados, MaxRotatePeers permanecerá establecido en el valor predeterminado de 1. Cada reenviador de paquetes tiene que configurarse con un número de puerto exclusivo para identificar una conexión de red exclusiva con la instancia de máquina virtual de PCA centralizada. Los números de puerto deben asignarse en orden secuencial. Esto lo requiere el receptor de sockets de PCA cuando se configura para las conexiones de red de los reenviadores de paquetes. Si decide empezar con el número de puerto 1888 para el primer reenviador de paquetes, si define cinco deberán ir explícitamente del 1888 al 1892. 7. Guarde los cambios en el archivo /etc/fwdr-conf.xml. Instalación de una PCA centralizada en una máquina virtual de Microsoft Azure Una PCA centralizada se utiliza para recibir la comunicación procedente de los reenviadores de paquetes que están desplegados en las instancias de servidor web en el entorno en nube. La instalación del software de PCA en una máquina virtual es parecida al proceso de instalación en un servidor físico. Utilice el proceso siguiente para instalar el software de PCA en una máquina virtual. 1. Instale el software de PCA en la máquina virtual. Si desea más información, consulte los apartados “Instalación de paquete” en la página 30 y “Lista de comprobación de postinstalación” en la página 44. En la imagen de Azure nativa para Suse 11 SP3 (64 bits), se necesitan las bibliotecas dependientes de 32 bits siguientes: v libgcc_s1-32bit-4.7.2_20130108-0.17.2.x86_64.rpm v libuuid1-32bit-2.19.1-6.54.1.x86_64.rpm v libxml2-32bit-2.7.6-0.25.1.x86_64.rpm v libstdc++6-32bit-4.7.2_20130108-0.17.2.x86_64.rpm v zlib-32bit-1.2.7-0.10.128.x86_64.rpm Para instalar las bibliotecas de 32 bits, ejecute zypper install zlib-32bit-1.2.7-0.10.128. Después de extraer las bibliotecas al disco, ejecute zypper clean -a para borrar la memoria caché de rpm local. 42 IBM Tealeaf CX Passive Capture Application: Manual de PCA 2. 3. 4. 5. Nota: Ya ha instalado los reenviadores de paquetes en las instancias de servidor web siguiendo las instrucciones de “Instalación del reenviador de paquetes” en la página 40. “Instalación del reenviador de paquetes” en la página 33 no se aplica a este procedimiento de instalación. Inicie la sesión en la consola web de PCA. Vaya a la pestaña Entrega y edite los valores de entrega del entorno. Para obtener más información, consulte “Consola Web de PCA - Pestaña de Entrega” en la página 110. Vaya a la pestaña Interconexión y edite el valor de Instancias de interconexión para configurar el número de instancias de interconexión para la configuración. Para obtener más información sobre las instancias de interconexión, consulte “Instancias de interconexión” en la página 120. Seleccione Guardar cambios para guardar los valores de configuración actualizados. Nota: No reinicie el servidor de PCA. 6. Edite el archivo de configuración de PCA; para ello, abra /usr/local/ctccap/etc/ctc-conf.xml en un editor de texto. 7. Vaya a los valores de la etiqueta Capture y edite los valores siguientes. v Establezca ListenerSocketEnabled en true. v Establezca TransparentLoadBalancingEnabled en false. v Establezca SslSessionInfoOnMemcachedServer en false. Nota: Si el servidor de PCA está configurado para descifrar tráfico SSL que procede del reenviador de paquetes, establezca SslSessionInfoOnMemcachedServer en true. 8. Vaya a los valores de la etiqueta Listener y edite los valores siguientes. v Establezca BasePort de modo que coincida con el número de puerto que se define en los valores de ListenTos del archivo de configuración de reenvío de paquetes. Para acceder al archivo de configuración del reenviador de paquetes, abra /etc/fwdr-conf.xml en una instancia de servidor web. v Establezca Instances de modo que sea igual al número de reenviadores de paquetes con los que la PCA se conecta. 9. Guarde los cambios en /usr/local/ctccap/etc/ctc-conf.xml. 10. Ejecute tealeaf restart para reiniciar los servicios de PCA. Inicio del servidor de PCA y los reenviadores de paquetes Se recomienda iniciar el servidor de PCA central antes de iniciar los reenviadores de paquetes. Si los reenviadores de paquetes se inician antes de que el servidor de PCA esté en ejecución, pueden experimentar condiciones de tiempo de espera agotado de red y provocar un retraso en el tiempo que se tarda en conectar con el servidor de PCA. Para iniciar el servidor de PCA, ejecute /usr/local/bin/tealeaf start all desde la máquina virtual que aloja el servidor de PCA. Para iniciar una instancia del reenviador de paquetes, ejecute service pktfwdr start en cada instancia del servidor web. Para detener un reenviador de paquetes, ejecute service pktfwdr stop en cada instancia del servidor web. Capítulo 2. Instalación de CX Passive Capture Application 43 Para comprobar el estado operativo de un reenviador de paquetes, ejecute service pktfwdr status en cada instancia del servidor web. Para ver las métricas disponibles de un reenviador de paquetes, ejecute opt/tealeaf/bin/ctcstats -p en cada instancia del servidor web. Para comprobar que un reenviador de paquetes se conecta al servidor de PCA, utilice el programa de utilidad netstat. Si la conexión de puerto está configurada para el puerto 1888, ejecute netstat -an|grep 1888. La salida devuelve un estado de ESTABLISHED si el reenviador de paquetes está conectado al servidor de PCA. Si no se establece una conexión, las reglas de cortafuegos de la red podrían no estar configuradas para permitir la comunicación entre los reenviadores de paquetes y el servidor de PCA. Compruebe los valores de configuración de red para los reenviadores de paquetes y el servidor de PCA; a continuación, asegúrese de que los valores de cortafuegos permiten la comunicación en esos valores de red. Instalación de PCA en una máquina virtual VMware Puede instalar y ejecutar CX Passive Capture Application en una máquina virtual VMware. Antes de instalar PCA en una máquina virtual, asegúrese de que la máquina virtual cumple con los requisitos de hardware y software definidos para un servidor físico. La máquina virtual requiere hardware virtual definido para un despliegue en un servidor físico. 1. Revise los requisitos de hardware y software. La máquina virtual requiere los mismos recursos de software y hardware que un servidor físico. 2. Realice la instalación. El proceso de instalación de una máquina virtual es el mismo que si realiza la instalación en un servidor físico. 3. Inhabilite el soporte de múltiples colas para el controlador de red virtual VMware. Nota: Debe inhabilitar el soporte de múltiples colas en el controlador de red virtual VMware. Si el soporte de múltiples colas no está inhabilitado, los paquetes que se envíen a PCA podrían estar fuera de servicio y provocar que CX PCA descarte los paquetes. 4. Revise la lista de comprobación posterior a la instalación. 5. Configure PCA para su entorno. Una vez completados los pasos de instalación y la configuración de PCA, puede comenzar a capturar el tráfico de red desde su máquina virtual VMware. Lista de comprobación de postinstalación Utilice la lista de comprobación posterior a la instalación para completar el proceso de instalación de PCA. Validar instalación del PCA Después de completar la instalación de Tealeaf, puede validar la instalación. El mandato siguiente lee una lista de archivos con el usuario, grupo y los valores de permiso esperados y compara la lista con lo que se instaló. Si la coincidencia falla, se imprime un mensaje de error con los valores reales y los esperados. tealeaf ps 44 IBM Tealeaf CX Passive Capture Application: Manual de PCA Si la validación es satisfactoria, la salida que se muestra es parecida a la siguiente: [root@venus ~]# tealeaf ps PID TTY TIME CMD 29939 ? 00:00:00 captured 29940 ? 00:00:00 listend 29941 ? 00:00:00 reassd 29942 ? 00:00:00 tcld 29943 ? 00:00:00 deliverd 29945 ? 00:00:00 pipelined 29964 ? 00:00:00 httpd 29969 ? 00:00:00 httpd 29970 ? 00:00:00 httpd 29971 ? 00:00:00 httpd 29972 ? 00:00:00 httpd 29973 ? 00:00:00 httpd Generar claves SSL Para un transporte seguro, puede aplicar un certificado firmado o autofirmado para uso del PCA (área de control de páginas). Iniciar PCA Después de finalizada la instalación de la PCA rpm, el primer inicio de la PCA debe completarse como el usuario root. La utilización de este usuario permite a la PCA establecer distintas variables kernel del sistema al utilizar el cmd sysctl, el cual está disponible sólo como root. Nota: El usuario ctccap se crea sin una contraseña asignada a él, por lo que no podrá iniciar sesión de manera predeterminada con esa cuenta. Los riesgos de seguridad son mínimos; el usuario ctccap puede iniciar y ser propietario de los procesos de Tealeaf. En función de los requisitos de seguridad de la empresa, puede asignar un contraseña al usuario ctccap desde el usuario root. El cmd sysctl se ejecuta en el script tealeaf principal. Después de iniciar sesión como usuario root, el siguiente mandato inicia la IBM Tealeaf CX Passive Capture Application: tealeaf start Después de que la PCA se inicia por primera vez, las veces siguientes puede ejecutar el script como usuario no root ctccap. Para ejecutar como usuario ctccap: 1. Detenga la PCA, ejecute cmd: tealeaf stop 2. Cambie al usuario ctccap: su ctccap 3. Inicie la PCA como usuario ctccap: tealeaf start Nota: Después de iniciar la PCA como root, también puede reiniciar la máquina PCA para que se ejecute como usuario ctccap. Configuración inicial de PCA Nota: Esta sección proporciona un marco para realizar la configuración inicial de un componente del sistema IBM Tealeaf CX en un modelo de despliegue Capítulo 2. Instalación de CX Passive Capture Application 45 simplificado. Se pueden necesitar más configuraciones, según sea el despliegue de solución de Tealeaf. Si tiene alguna duda sobre la configuración, póngase en contacto con http://support.tealeaf.com. Después de completar la instalación del software de PCA, puede seguir estos pasos para configurar el PCA para capturar el tráfico de aplicación web y reenviar a uno o más servidores de proceso. Comprobar los valores de conexiones permitidos En el momento de instalación, el PCA (área de control de páginas) establece el máximo de conexiones permitidas para cada instancia PCA. De forma predeterminada, estos valores de establecen de la siguiente manera: v Máximo de conexiones actuales: 5000 v Máximo de conexiones SYN/WAIT: 1000 Nota: Los valores definen el máximo de conexiones PCA permitidas para cada instancia. Si el número real de conexiones supera estos valores, se pueden perder datos. Cualquier análisis de rendimiento PCA que se basa en el estado actual puede ser desviado en función del volumen de los datos capturados. Debe revisar estos valores tan pronto como sea posible. Puede comprobar el estado actual de estos valores en la pestaña estadísticas de la consola web PCA. Para cada instancia PCA, las estadísticas para comparar son: Actuales Máximo Current connections Current connections max SYN/WAIT connections SYN/WAIT connections max Si alguna de las métricas actuales está cerca del máximo correspondiente, debe considere elevar el máximo para todas las instancias PCA afectadas. Asegura que los datos se capturen de manera afectiva. Configuración del PCA para la captura de Rich Internet Applications Si su rich internet application (RIA) desplegada está enviando datos para la captura, debe verificar que PCA esté configurado para capturar todos los tipos de datos enviados. Nota: Si PCA no se ha configurado para capturar POST y Mimetypes enviados desde RIA (Rich Internet Application), no se capturan estas coincidencias y los datos que contienen se pierden para Tealeaf. Verifique que tiene una lista de todos los tipos requeridos que PCA debe capturar para la reproducción y creación de informes de RIA. Incluye tipos personalizados que están desplegados. Captura de JavaScripts De forma predeterminada, el PCA excluye la captura de archivos JavaScript. La captura de JavaScript estático por el PCA es raramente necesaria para la 46 IBM Tealeaf CX Passive Capture Application: Manual de PCA reproducción precisa de rich internet applications. En la mayoría de las situaciones, estos archivos pueden almacenarse en una base de datos estática o re-referenciada mediante reglas de reproducción. Nota: Si su aplicación web genera JavaScript dinámica, el PCA se debe configurar manualmente para capturar esto archivos. Captura de XML De forma predeterminada, el PCA captura los siguientes tipos de contenido sin ninguna configuración adicional. v application/xml v text/xml Los contenidos de estos tipos enviados al servidor web se insertan en el almacenamiento intermedio de solicitudes en la sección [xml1] para que los procese el sistema Tealeaf. Tipos de captura RIA típicos Los siguientes tipos de captura debe añadirse a los tipos de captura PCA , en función de la aplicación supervisada. Estos tipos se pueden especificar en la lista de tipos de post XML. v Consulte “Para configurar”. v application/json v application/x-json v text/json v text/x-json En las secciones siguientes, puede revisar conjuntos de ejemplos de tipos para varios tipos de aplicaciones completas para Internet. Ejemplo RIA: Ajax Tipos de captura predeterminados: v application/xml v text/xml v application/json v text/json Los siguientes tipos personalizados pueden estar presentes y se deben configurar: v ajax/xml v JavaScripts generados dinámicamente Para configurar Si está enviando otros tipos de post XML que Tealeaf debe capturar, se requiere una configuración adicional en función del número de Build de su IBM Tealeaf CX Passive Capture Application: v Compilación 3326 o posterior: Debe añadir el tipo de post XML a la lista blanca en la pestaña conducto de la consola web PCA. Consulte “Valores de la interconexión” en la página 119. Capítulo 2. Instalación de CX Passive Capture Application 47 v Compilación 3325 o posterior: Contacto http://support.tealeaf.com. Servicio de software de captura pasiva de Tealeaf Una vez instalado el paquete de software de captura pasiva de Tealeaf, puede utilizar el mandato de servicio para reiniciar, iniciar y detener el software de captura pasiva de Tealeaf. Puede utilizar los mandatos siguientes para reiniciar, iniciar y detener el software de captura pasiva de Tealeaf. tealeaf restart tealeaf start tealeaf stop Si algunos componentes de captura pasiva no se detienen puntualmente, el mandato tealeaf restart no puede iniciarlos después de que haya intentado detenerlos. En su lugar, utilice el mandato tealeaf stop para confirmar que el software de Captura pasiva de Tealeaf se ha finalizado. Utilice el siguiente mandato para determinar si algún proceso de Tealeaf sigue en ejecución: ps Uctccap Parches de la CX PCA Los parches se publican para mejorar el rendimiento y la fiabilidad del software del CX PCA. Una vez que el servidor de la CX PCA se ha instalado y configurado, puede aplicar todos los parches que pueden estar disponibles para la versión del software de la CX PCA. Los parches para la CX PCA pueden descargarse de IBM Fix Central en http://www.ibm.com/support/fixcentral/. Para localizar los parches de la página de Fix Central: 1. Utilice el navegador web para ir a http://www.ibm.com/support/fixcentral/. 2. Localice Product Group y, a continuación, seleccione Enterprise Marketing Management. 3. Localice Select from Enterprise Marketing Management y, a continuación, seleccione Tealeaf Customer Experience. 4. Pulse Continue. 5. En el menú "Identify fixes", seleccione Browse for fixes y pulse Continue para visualizar todos los arreglos de Tealeaf disponibles. Puede utilizar la sección "Filter your content" para filtrar la lista de arreglos disponibles. Asegúrese de descargar el parche correcto para su sistema operativo. Sugerencias de resolución de problemas Utilice las siguientes sugerencias de resolución de problemas para diagnosticar los problemas de su instalación de PCA. Tabla 10. Sugerencias de resolución de problemas Sugerencia de resolución de problemas Archivos principales 48 IBM Tealeaf CX Passive Capture Application: Manual de PCA Descripción La presencia de archivos core.* en el directorio /usr/local/ctccap es un signo de que la captura falló y grabó un archivo principal de volcado. Tabla 10. Sugerencias de resolución de problemas (continuación) Sugerencia de resolución de problemas Retrasos de arranque Descripción Puede notar retrasos durante el procedimiento de arranque cuando ejecuta varios mandatos relacionados con la red si el archivo /etc/resolv.conf contiene la información incorrecta para la red local. Los retrasos puede adoptar el formato de intento de inicio de sesión SSH largo si el daemon SSH de la estación de trabajo de host de captura pasiva excede el tiempo de espera mientras utiliza información de resolución de DNS incorrecta del archivo /etc/resolv.conf. Este archivo puede contener información incorrecta si se ha dejado allí tras una configuración IP estática de una red diferente. También puede haberse dejado cuando se ha cerrado la estación de trabajo mientras se estaba utilizando DHCP, aunque normalmente durante el arranque con DHCP se crea un archivo /etc/resolv.conf. El arreglo del archivo dependerá de si la estación de trabajo host se ha configurado para DHCP o para información IP estática. DHCP Si el software de captura pasiva esta configurado para DHCP, entonces realice los pasos siguientes: 1. Inicie sesión como usuario root. 2. Suprima el archivo /etc/resolv.conf. 3. Ejecute shutdown now para introducir el modo de usuario único. 4. Utilice el mandato exit para dejar la modalidad de usuario único y permitir al sistema generar un archivo /etc/resolv.conf nuevo. IP estática Si el software de Captura pasiva está configurado con una dirección IP estática, siga estos pasos: 1. Inicie sesión como usuario root. 2. Suprima el archivo /etc/resolv.conf. 3. Ejecute tealeaf ipconfig para volver a introducir la información del DNS y salga. 4. El programa genera un nuevo archivo /etc/resolv.conf, el que entra en vigor de inmediato. Capítulo 2. Instalación de CX Passive Capture Application 49 Tabla 10. Sugerencias de resolución de problemas (continuación) Sugerencia de resolución de problemas Modalidad de usuario único Descripción Si acaba de reiniciar la máquina host de Captura pasiva o la ha encendido y debe introducir un modo de usuario único, entonces realice lo siguiente mientras utiliza el cargador de arranque GRUB: 1. Cuando se muestre el menú de arranque GRUB, pulse SPACEBAR para impedir cualquier arranque automático. 2. Utilice las teclas de flecha para seleccionar el kernel y la versión de Red Hat Enterprise Linux que desea arrancar. 3. Pulse la tecla A para añadir opciones de kernel. 4. En la solicitud grub append, añada la palabra single. Pulse SPACEBAR y luego introduzca single. 5. Pulse ENTER para aceptar el nuevo valor y arranque. 6. Para obtener más información, consulte el capítulo Recuperación básica del sistema de la guía de administración de sistema de Red Hat Enterprise de Linux. Visualización de registros de capturas Examinar los archivos de registro de captura pasiva le ayudará a localizar un problema potencial. Si la captura no se inicia, capture.log normalmente muestra la razón por la que no se inicia, como por ejemplo una mala sintaxis en una entrada o una entrada inválida en el archivo de configuración. Otro registro de resolución de problemas, maintenance_200xxxxx.log, muestra las condiciones defectuosas que están forzando el reinicio/conclusión del software de Captura pasiva. Ambos registros pueden visualizarse por la consola web o por un editor de texto Linux en el directorio de registros predeterminado de Captura pasiva. En función de la versión del software de captura pasiva, se pueden encontrar en /usr/local/ctccap/logs o en /var/log/tealeaf. Desinstalación o retrotracción de la CX Passive Capture Application Siga las siguientes instrucciones para desinstalar el software de PCA. Desinstale CX Passive Capture Application Para desinstalar: Detenga Tealeaf PCA. En la línea de mandatos, escriba: tealeaf stop Desde el indicador de mandatos UNIX, compruebe si hay algún proceso en ejecución. Mientras esté conectado a root, especifique el siguiente mandato: PS Tealeaf 50 IBM Tealeaf CX Passive Capture Application: Manual de PCA Si algún proceso está en ejecución, especifique el siguiente mandato: killall <processname> donde <processname> es el nombre del proceso en ejecución. Haga una copia de seguridad de la carpeta ctccap/etc existente. Esta carpeta contiene los archivos de configuración personalizados como ctc-conf.xml, claves PTL almacenadas y más. Para desinstalar el software, ejecute el siguiente mandato: Nota: El siguiente mandato elimina el software de la PCA del servidor Linux. rpm -e tealeaf-pca El software de la PCA se desinstala. Para completar una desinstalación limpia, suprima la carpeta /usr/local/ctccap. Retrotraer la CX Passive Capture Application Para retrotraer a una versión anterior: 1. Complete los pasos de desinstalación. Nota: Verifique que la carpeta /usr/local/ctccap no exista antes de la instalación. 2. Instale el paquete rpm para la versión anterior. Consulte “Instalación del software de PCA” en la página 32. 3. Restaure la versión de copia de seguridad de los archivos de configuración guardados a la carpeta ctccap/etc. Desinstalar el Packet Forwarder Si es necesario pude completar las siguientes instrucciones para desinstalar el software del Packet Forwarder. Puede utilizar Red Hat Package Manager (RPM) para desinstalar el Packet Forwarder. Para desinstalar el Packet Forwarder, escriba lo siguiente en una línea de mandatos: rpm -ev tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686 donde: v <nnnn> es el número de versión de compilación; por ejemplo, 3650. v <rrr> es el número de revisión de RPM; por ejemplo, 1 v <distro> es el identificador de la distribución de Linux, por ejemplo, "RHEL6" para Red Hat Enterprise Linux 6 Capítulo 2. Instalación de CX Passive Capture Application 51 52 IBM Tealeaf CX Passive Capture Application: Manual de PCA Capítulo 3. Actualización del software de CX PCA Puede obtener información acerca de las diferentes consideraciones que es necesario conocer antes de actualizar la versión. Antes de la actualización En esta sección, puede aprender acerca de todo lo que debe hacer antes de actualizar. Si se actualiza a un sistema operativo de 64 bits Si está actualizando desde una versión de 32 bits a una versión de 64 bits de un sistema operativo soportado, debe instalar un conjunto de bibliotecas de 32 bits para soportar el PCA, una aplicación de 32 bits. v Consulte “Paquetes necesarios” en la página 24. Antes de habilitar la modalidad TLB (Transparent Load Balancing) La característica TLB (Transparent Load Balancing) está disponible en PCA Build 3620 o posterior. Si está actualizando desde una compilación de PCA anterior a 3620, puede habilitar TLB en su PCA. Nota: Si habilita TLB para la comunicación de red, se sobrescribirán los valores de la interfaz de red anteriores. Antes de habilitar TLB, asegúrese de copiar los valores de la interfaz de red existentes si inhabilita la modalidad TLB. Para obtener más información sobre el equilibrio de carga transparente, consulte “Descripción general del equilibrio de carga transparente de CX PCA” en la página 12. Validación de las claves SSL actuales Antes de actualizar, debe realizar una prueba para ver si las claves SSL actuales todavía son válidas en el nuevo Build de la PCA. Los siguientes pasos muestran cómo extraer el proceso reassd de la nueva distribución de la PCA y el mandato apropiado para ejecutarlo. 1. Adquiera la última compilación de la PCA. Para obtener más información sobre la descarga de IBM Tealeaf, consulte IBM Passport Advantage Online. 2. Copie el rpm a la PCA a /tmp. 3. Ejecute el siguiente mandato para extraer el proceso reassd del rpm proporcionado y ubicarlo en el directorio actual: rpm2cpio tealeaf-pca-<nnnn>-<rrr>.<distro>.i686.rpm | cpio \ -ivd./usr/local/ctccap/bin-debug/reassd ; \ mv usr/local/ctccap/bin-debug/reassd . Donde: v <nnnn> es el número de versión de compilación; por ejemplo, 3650. v <rrr> es el número de revisión de RPM. Esto suele ser un número de un solo dígito. © Copyright IBM Corp. 1999, 2015 53 v <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. 4. reassd debe estar en el directorio /tmp. 5. Para probar las claves SSL actuales, ejecute el siguiente mandato desde el directorio /tmp: ./reassd -j a. Si las claves SSL actuales se cargan satisfactoriamente, aparecerá el siguiente mensaje: Success loading configuration and SSL keys. b. Si las claves SSL actuales no se pueden cargar, se visualizará el siguiente mensaje: Failed loading configuration (1), likely due to: * Loading bad SSL keys * Error in configuration file * Other unknown error Si la carga falla, el capture.log de la PCA informa el siguiente mensaje de error para cargar claves SSL incorrectas: Couldn’t create reveal object: 1 Para obtener más información sobre el proceso para recrear las claves SSL, consulte "Resolución de problemas - Captura" en la IBM Tealeaf: Guía de resolución de problemas. Actualización básica Utilice la siguiente información para realizar una actualización básica. Nota: La actualización debe ejecutarse como root. Consulte Configuración del Hardware e instalación del sistema operativo. Puede utilizar un único mandato Linux para ejecutar la actualización si su instalación PCA cumple con los requisitos siguientes: v Los valores de configuración PCA se almacenan en el directorio predeterminado: /usr/local/ctccap/etc. v Si está actualizando desde Release 31xx y la autenticación de usuario esta en uso, consulte“Actualización de PCA con la autenticación de usuario” en la página 55. De lo contrario, continúe con los pasos siguientes. Si la instalación cumple los requisitos ya mencionados, para actualizar 1. Realice una copia de seguridad de /usr/local/ctccap/etc: mkdir /root/tmp cp -r /usr/local/ctccap/etc /root/tmp 2. Una actualización básica se puede ejecutar utilizando el mandato siguiente: rpm -Uvh tealeaf-pca-XXXX-1.RHEL6.i686.rpm donde XXXX es igual al número de versión de CX PCA. Por ejemplo, si está actualizando a CX PCA versión 3620, ejecute rpm -Uvh tealeaf-pca-3620-1.RHEL6.i686.rpm . 54 IBM Tealeaf CX Passive Capture Application: Manual de PCA Actualización de PCA con la autenticación de usuario Si PCA funciona en un entorno de Tealeaf en que está habilitada la autenticación de usuario está habilitada, es posible que sean necesarios pasos de actualización adicionales. Antes de la versión 3200 de la PCA, se implementaron grandes cambios en la forma en que se configura la autenticación de usuario. La actualización desde la PCA 31xx a un Build 32xx o 33xx es más compleja si la autenticación de usuario está habilitada. Los siguientes pasos son necesarios para la actualización: 1. Realice una copia de /usr/local/ctccap/etc: mkdir /root/tmp cp -r /usr/local/ctccap/etc /root/tmp 2. Elimine el paquete tealeaf-pca existente. Elimine los archivos restantes en /usr/local/ctccap: rpm -e tealeaf-pca cd /usr/local/ctccap rm -rf * Nota: Verifique que está en el directorio correcto antes de ejecutar el mandato rm. 3. Instale el nuevo paquete PCA: rpm -ivh tealeaf-pca-3315.rpm 4. Copie los archivos ctc-conf.xml, privacy.cfg originales y cualquier archivo *.ptl a /usr/local/ctccap/etc. Si se le solicita, sobrescriba los archivos actuales: cd /root/tmp/etc cp ctc-conf.xml privacy.cfg *.ptl /usr/local/ctccap/etc 5. Copie el archivo httpd.users a /usr/local/ctccap/etc y a tealeaf-web.users: cp httpd.users /usr/local/ctccap/etc cd /usr/local/ctccap/etc cp httpd.users tealeaf-web.users 6. Edite /usr/local/ctccap/etc/runtime.conf y añada las siguientes líneas al final del archivo: httpd_userauth_enable="YES" httpd_userauth_realm="Tealeaf PCAv2" httpd_userauth_require="valid-user" httpd_userauth_type="Basic" 7. Inicie httpd. tealeaf start all 8. Verifique que la consola web esté en ejecución y que la autenticación de usuario todavía esté habilitada. Verifique que la captura esté en ejecución. 9. La actualización ha finalizado. Configuración de nuevos tipos de datos Si ha actualizado desde un build anterior a PCA Build 3324, debe revisar y configurar los tipos de datos capturados por IBM TealeafCX Passive Capture Application para verificar que se están capturando los tipos requeridos. Antes de la compilación 3324, algunos de estos tipos no estaban disponibles para la captura o no estaban configurados para la captura de forma predeterminada. Capítulo 3. Actualización del software de CX PCA 55 Nota: Si actualiza su PCA y está incluyendo una aplicación Rich Internet, debe configurar los tipos de envíos XML. Consulte “Configuración del PCA para la captura de Rich Internet Applications” en la página 46. Para obtener más información acerca de la configuración de tipos de envío XML, consulte “Valores de la interconexión” en la página 119. 56 IBM Tealeaf CX Passive Capture Application: Manual de PCA Capítulo 4. Configuración de CX PCA IBM Tealeaf CX Passive Capture Application puede configurarse a través de una consola basada en la web o a través de los archivos de configuración almacenados en el servidor PCA. La información siguiente le guía por el proceso de configuración de CX PCA. Puede configurar CX Passive Capture Application mediante uno de los métodos siguientes: v Consola web de CX PCA v Editando los archivos de configuración de CX PCA ctc-conf.xml y runtime.conf con el editor vi. Nota: En la mayor parte de las actividades, la consola web es la ubicación principal para configurar CX PCA. Puede editar los archivos de configuración cuando se ha de modificar un parámetro y no está disponible a través de la consola web. Configuración a través de la consola web La consola web de PCA proporciona una interfaz gráfica práctica para supervisar y configurar IBM Tealeaf CX Passive Capture Application y sus conexiones. Nota: Todos los valores de configuración que se necesitan para inicializar IBM Tealeaf CX Passive Capture Application están disponibles a través de la consola web. Nota: La consola web de CX Passive Capture Application no da soporte a la entrada de caracteres de varios bytes en un campo. Si desea configurar un valor con caracteres de varios bytes, debe editar la configuración. Para obtener más información sobre cómo editar el archivo de configuración, consulte “Configuración a través de ctc-conf.xml” en la página 58. v Consulte “Navegadores soportados para la consola web de PCA” en la página 70. Archivos de configuración de CX PCA Los valores de configuración relacionados con IBM TealeafCX Passive Capture Application están disponibles a través de la consola web de PCA o, si es necesario, puede utilizar el editor vi para editar los archivos de configuración que se encuentran en /usr/local/ctccap/etc/. v ctc-conf.xml: Este archivo de configuración contiene los valores de configuración de captura pasiva. v runtime.conf: Este archivo de configuración contiene los valores personalizados y los valores para la configuración de nivel de sistema operativo. Este archivo puede utilizarse para alterar temporalmente los valores predeterminados que figuran en el archivo tealeaf.conf. v tealeaf.conf: Este archivo de configuración contiene los valores predeterminados y los valores para la configuración de nivel de sistema operativo. © Copyright IBM Corp. 1999, 2015 57 Nota: tealeaf.conf debe tener asignados permisos de sólo lectura para todos los usuarios. Nunca debe editarse. Nota: Cuando realiza cambios de configuración en su instalación de Linux, aplique los cambios en el archivo runtime.conf. runtime.conf reemplaza el archivo predeterminado tealeaf.conf. El archivo tealeaf.conf se puede utilizar para revertir cambios en los valores predeterminados si es necesario, y debe configurarse para que sea un archivo de solo lectura. Para modificar un valor de tiempo de ejecución: 1. Copie la entrada de tealeaf.conf. 2. Péguela en runtime.conf y edite el valor. 3. Guarde runtime.conf y reinicie el PCA. Configuración a través de ctc-conf.xml Mientras que todas las opciones de configuración necesarias están disponibles a través de la consola web, debe utilizarse vi para ver y editar el conjunto completo de campos de configuración, si así lo desea. v Consulte “Archivo de configuración de captura pasiva ctc-conf.xml” en la página 187. Configuración mediante runtime.conf Los valores de configuración que están relacionados con IBM TealeafCX Passive Capture Application están disponibles a través de la consola web de PCA o, de ser necesario, ctc-conf.xml. Los valores de configuración que se aplican a la forma en que el PCA interactúa con el sistema operativo se especifican en dos archivos. Estos archivos se encuentran en el siguiente directorio: /usr/local/ctccap/etc/ Archivos v tealeaf.conf - Este archivo contiene los valores predeterminados y valores para la configuración a nivel de sistema operativo. Nota: tealeaf.conf debe tener asignados permisos de sólo lectura para todos los usuarios. Nunca debe editarse. v runtime.conf - Este archivo debe utilizarse para sustituir cualquiera de los valores listados en tealeaf.conf. Para modificar un valor de tiempo de ejecución: 1. Copie la entrada de tealeaf.conf. 2. Péguela en runtime.conf y edite el valor. 3. Guarde runtime.conf y reinicie el PCA. Descifrado SSL Si necesita el descifrado SSL de sus datos web, cárguelo al utilizar la interfaz de usuario Web o mediante la línea de mandatos. 58 IBM Tealeaf CX Passive Capture Application: Manual de PCA A. IU web: 1. Vaya a https://<machineIP>:8443/ y pulse Claves SSL. 2. Pulse Cargadas en la parte superior de la página para ver las claves SSL cargadas y añadir nuevas claves SSL. 3. Pulse Guardar cuando haya terminado. v Para obtener más información sobre la utilización de la consola web de software Captura pasiva, “Navegadores soportados para la consola web de PCA” en la página 70. B. Línea de mandatos: 1. Edite el archivo /usr/local/ctccap/etc/ctc-conf.xml. 2. Edite las CaptureKeys del nodo XML. 3. Modifique las opciones restantes utilizando la IU web o editando el archivo /usr/local/ctccap/etc/ctc-conf.xml. C. Reinicio de servicios: v Si se realizan cambios utilizando la consola web, los servicios se reinician automáticamente para aplicar los cambios. v Si ha editado el archivo ctc-conf.xml, reinicie los servicios de captura manualmente utilizando los mandatos siguientes: tealeaf stop capture tealeaf start capture v Si no está utilizando Tealeaf Cookie Injector para la sesionización, los parámetros de sesionización deben configurarse en el agente de sesiones TLSessioning en el archivo TealeafCaptureSocket.cfg del servidor IBM Tealeaf CX. Consulte "Agente de sesión de sesionización" en el Manual de configuración de IBM Tealeaf CX. Consulta de línea de mandatos de PCA Tealeaf Esta sección contiene una referencia de mandatos, acciones y opciones que se pueden ejecutar mediante la utilización del mandato de script tealeaf. Este mandato se utiliza principalmente para tareas siguientes posteriores a la instalación: v Algunas funciones de administración y mantenimiento v Algunos accesos a las funciones de la consola web cuando no está disponible la interfaz v Operaciones de depuración Mandato básico tealeaf [options] action [service ...] Consulte v “Opciones” v “Acciones” en la página 60 v “Servicios” en la página 61 Opciones Opción Descripción Capítulo 4. Configuración de CX PCA 59 -h Mostrar esta ayuda. -n Mostrar los mandatos sin ejecutarlos. -v Mostrar más mensajes (modalidad verbosa). Las opciones se pasan junto al servicio excepto cuando se especifica el servicio all. Consulte “Servicios” en la página 61. Acciones Acción Descripción allselfsignedcerts Generar todos los certificados autofirmados si faltan. bwmon Ejecutar el programa de utilidad bwMon. capturekeys2ptl Convertir todos los archivos PEM en el directorio capturar claves. clearstats Borrar estadísticas de todas las instancias. configdiffs Mostrar las diferencias para los archivos de configuración actuales y predeterminados. deletestats Suprimir estadísticas para todas las instancias. disable Evitar que se inicien uno o todos los servicios. enable Permitir que se inicien uno o todos los servicios. env Visualizar el "entorno tealeaf". genselfsignedcert Generar un certificado autofirmado. ifdetails Mostrar información detallada sobre el dispositivo de red especificado. ifstat Mostrar estadísticas acerca del dispositivo de red especificado. ifsummary Mostrar información de resumen acerca de los dispositivos de red. ifup Iniciar todos los dispositivos de red. ipconfig Configurar dispositivos de red. maint Ejecutar script de mantenimiento. man Mostrar las páginas del manual proporcionadas. no Establecer una variable de configuración de tiempo de ejecución a "no". openssl Ejecutar el OpenSSL proporcionado. pem2ptl Cifrar archivos PEM en formato PTL. ps 60 Mostrar los procesos de captura mediante la utilización de /bin/ps. IBM Tealeaf CX Passive Capture Application: Manual de PCA restart Detener y reiniciar el servicio especificado. rolllog Retrotraer todos los archivos de registro o el que se ha especificado. showstats Mostrar estadísticas de captura. showstatsxml Mostrar estadísticas de captura en XML. start Iniciar todos o el servicio especificado. stats Ejecutar programas de utilidad de estadísticas. status Mostrar estado de captura y HTTPd. stop Detener todos o el servicio especificado. tcpdump Ejecutar el tcpdump proporcionado. testconn Ejecutar el programa de prueba de la conexión de servicio de transporte de TeaLeaf. top Mostrar los procesos de captura mediante la utilización de /usr/bin/top. tzconfig Configurar huso horario. Nota: Los valores de huso horario debe cumplir con los husos horarios admitidos por PHP. Para obtener una lista de husos horarios admitidos, consulte http://www.php.net/manual/en/timezones.php . userauthpw Añadir o actualizar una contraseña de usuario de consola web. validate Validar el usuario, propietario y los permisos de archivos de PCA. yes Establecer una variable de configuración de tiempo de ejecución en "YES". Servicios Para las acciones disable, enable, start, status, y stop, los siguientes servicios se pueden especificar: v all v capture - mediante captured v httpd - mediante httpd Mandatos de ejemplo tealeaf ifdetails em0 tealeaf showstats tealeaf start v El utilizar start como raíz hace que este script suba las interfaces de captura primarias y secundarias. tealeaf start all Capítulo 4. Configuración de CX PCA 61 v El utilizar start como raíz hace que este script suba las interfaces de captura primarias y secundarias. tealeaf stop tealeaf start capture tealeaf start capture -r Configuración inicial de PCA Nota: Esta sección proporciona un marco para realizar la configuración inicial de un componente del sistema IBM Tealeaf CX en un modelo de despliegue simplificado. Se pueden necesitar más configuraciones, según sea el despliegue de solución de Tealeaf. Si tiene alguna duda sobre la configuración, póngase en contacto con http://support.tealeaf.com. Después de completar la instalación del software de PCA, puede seguir estos pasos para configurar el PCA para capturar el tráfico de aplicación web y reenviar a uno o más servidores de proceso. Requisitos previos Antes de empezar a configurar la PCA, verifique que se cumplan los siguientes requisitos y que ha adquirido la siguiente información: 1. El sistema operativo para el servidor de PCA se ha instalado con los paquetes recomendados de Tealeaf. Consulte Configuración del Hardware e instalación del sistema operativo. 2. El sistema operativo está configurado adecuadamente. Consulte Capítulo 8, “Configuración de la captura pasiva en Red Hat Enterprise Linux (RHEL)”, en la página 255. 3. El software de la PCA se instala en un directorio en el hardware de la PCA. Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. 4. Para completar los pasos en esta configuración, debe adquirir la siguiente información: a. La dirección IP del hardware de la PCA b. Las Tarjetas de interfaz de red que están conectadas al dispositivo de la PCA que están proporcionando la fuente de tráfico c. El nombre de host o dirección IP y el número de puerto del Servidor de procesamiento v Si está utilizando Procesamiento basado en salud (HBR), necesita el nombre de host o la dirección IP y número de puerto para la máquina de HBR. Consulte "Agente de sesión de direccionamiento basado en estado (HBR)" en el Manual de configuración de IBM Tealeaf CX. Nota: El usuario ctccap se crea sin una contraseña asignada a él, por lo que no puede iniciar sesión con esa cuenta de manera predeterminada. Los riesgos de seguridad son mínimos; el usuario ctccap solo puede iniciar y ser propietario de los procesos de Tealeaf. En función de los requisitos empresariales de seguridad, debe asignar una contraseña para el usuario ctccap desde el usuario root. 62 IBM Tealeaf CX Passive Capture Application: Manual de PCA Configuración de ejemplo La configuración del PCA depende del entorno de servidor en el que reside. En este apartado se proporciona un ejemplo de configuración para un sistema simple: v 1 servidor PCA v 1 instancia PCA v 1 servidor de procesos Factores de complicación Para capturar aplicaciones web más complicadas, existen muchas arquitecturas de despliegue de PCA posibles. Pueden incluir el uso de varias PCA, varias instancias de PCA y distintos mecanismos de filtrado. A continuación, puede revisar escenarios de ejemplo en los que puede que necesite asistencia para la configuración del PCA. Nota: Si su entorno de aplicación web cumple con uno o más de los siguientes criterios, se recomienda que se ponga en contacto con http://support.tealeaf.com o Tealeaf Professional Services antes de comenzar la configuración. 1. Aplicaciones web de alto volumen. Si está transmitiendo más de 200 coincidencias sobre SSL o más de 400 coincidencias sobre HTTP de texto simple: v Debe dividir el tráfico entre varias instancias de PCA. v Debe filtrar las direcciones IP de los servidores web desde los que desea capturar. Puede filtrar en el nivel de PCA o en el nivel de red. Tealeaf recomienda que se realice el filtrado en el nivel de red, lo cual disminuye la sobrecarga de procesos en PCA. Nota: El filtrado de IP sólo es posible si los IP no son NAT'd internamente. Para obtener más información, póngase en contacto con su administrador de red. 2. Captura de un rango de direcciones IP. Si está capturando un rango de 25 IP o más en el PCA: v Debe crear filtros de IP para descartar contenido. v Debe utilizar máscaras de red para limitar el número de entradas en la configuración. v Debe dividir el tráfico entre varias instancias de PCA. Para obtener más información, póngase en contacto con http:// support.tealeaf.com. Pasos de configuración La siguiente sección contiene pasos de configuración. Iniciar Apache Para comenzar la configuración, siga estos pasos: 1. Inicie la sesión como root. 2. Ejecute el script de Tealeaf para iniciar el proceso Apache: tealeaf start httpd Capítulo 4. Configuración de CX PCA 63 3. Para verificar que el proceso se ha iniciado de forma satisfactoria, utilice lo siguiente para devolver los procesos Apache que se están ejecutando actualmente. tealeaf ps tealeaf status La salida del mandato debe indicar que como mínimo un proceso está en ejecución. v Si no se ha podido iniciar alguno de los procesos, revise /var/log/tealeaf/ capture.log para obtener algún mensajes de error de inicio para determinar el problema. v Si algún cambio de configuración impide que la consola web de la PCA (proceso HTTPd) se inicie, puede editar manualmente el archivo /usr/local/ctccap ctc-conf.xml/etc/ para corregir la configuración. Consulte “Archivo de configuración de captura pasiva ctc-conf.xml” en la página 187. Abrir la consola web de PCA Después de que se inician los procesos Apache, puede abrir la consola web de PCA para revisar la configuración. v Consulte “Navegadores soportados para la consola web de PCA” en la página 70. 1. Abra la consola web de PCA: a. HTTP segura: https://<servername>:8443 b. HTTP: http://<servername>:8080 2. Si no funcionan las URL anteriores, revise el nombre del servidor y el número de puerto con el administrador de red. Nota: La consola web de PCA puede requerir de autenticación. Configuración de la interfaz de CX PCA Cuando el software de PCA esté instalado e iniciado, todavía no está preparado para capturar tráfico bidireccional. Después de instalar el software de IBM Tealeaf CX PCA, deberá configurar la interfaz de red para capturar tráfico bidireccional. Si hay un equilibrador de carga desplegado entre CX PCA y el servidor web o si tiene varios servidores web operando bajo un único IP virtual (VIP), configure su interfaz de red de CX PCA para un equilibrio de carga transparente. Para obtener más información, consulte “Configuración de la interfaz de CX PCA con el equilibrio de carga transparente”. Si su despliegue de servidor web no utiliza un equilibrador de carga y no opera bajo un único IP virtual (VIP), puede configurar su interfaz de red de CX PCA sin el equilibrio de carga transparente. Para obtener más información, consulte “Configuración de la interfaz de CX PCA sin el equilibrio de carga transparente” en la página 65. Configuración de la interfaz de CX PCA con el equilibrio de carga transparente Puede configurar la interfaz de red de su CX Passive Capture Application con el equilibrio de carga transparente. Para obtener más información sobre los beneficios 64 IBM Tealeaf CX Passive Capture Application: Manual de PCA de habilitar el equilibrio de carga transparente, consulte “Descripción general del equilibrio de carga transparente de CX PCA” en la página 12. Para configurar la interfaz de PCA con el equilibrio de carga transparente: 1. Abra la consola web de CX PCA. Consulte “Configuración a través de la consola web” en la página 57. 2. Pulse la pestaña Interfaz. 3. Seleccione Habilitar equilibrio de carga transparente. 4. Introduzca el número de instancias Reassd que desea ejecutar. El aumento de las instancias Reassd aumenta el número de instancias de PCA que pueden procesar paquetes de TCP. Nota: Puede habilitar hasta N-1 paquetes, donde N es el número total de núcleos de procesador en su servidor. Por ejemplo, si tiene un total de 8 núcleos de procesador en su servidor, puede ejecutar hasta 7 instancias. 5. Si desea desechar la información de sesión de SSL desde memcache cuando se reinicia el servicio CX PCA, seleccione Reiniciar servidor Memcached en reinicio de captura. 6. Si desea inhabilitar la suma de comprobación de paquetes de TCP, seleccione Inhabilitar validación de suma de comprobación de paquetes. Nota: Si su tarjeta de interfaz de red tiene habilitada la suma de comprobación de paquetes, se recomienda inhabilitarla. 7. No debe seleccionarse Captura de varias instancias a menos que desee volver a una modalidad de equilibrio de carga no transparente. 8. Si desea introducir una regla de filtro, localice a Reglas de filtro e introduzca la información para el filtro; a continuación, pulse Crear filtro. 9. Pulse Guardar cambios para guardar los cambios en la configuración de CX PCA. Si desea cancelar los cambios, pulse Revertir cambios. Configuración de la interfaz de CX PCA sin el equilibrio de carga transparente Para configurar la interfaz de CX PCA en un entorno sin equilibrio de carga: 1. Abra la consola web de CX PCA. Consulte “Configuración a través de la consola web” en la página 57. 2. Pulse la pestaña Interfaz. 3. Si Habilitar equilibrio de carga transparente está seleccionado, deseleccione Habilitar equilibrio de carga transparente. Para obtener más información sobre los beneficios de habilitar el equilibrio de carga transparente, consulte “Descripción general del equilibrio de carga transparente de CX PCA” en la página 12. 4. Añada una instancia de CX PCA pulsando Añadir instancia. Puede añadir instancias de CX PCA adicionales para capturar tráfico de red. Cada instancia de CX PCA requiere el uso de un núcleo de procesador adicional. Puede añadir hasta N-1 instancias, donde N es el número total de núcleos de procesador en su servidor CX PCA. Por ejemplo, si su sistema tiene ocho núcleos de procesador, puede habilitar siete instancias de CX PCA. 5. Puede utilizar números de puerto predeterminados para definir los números de puerto en las reglas de filtro pulsando Llenar puertos. Los números de puerto predeterminados son de 1024 a 65535. Si desea filtrar números de puerto diferentes para una instancia de CX PCA, puede añadir una regla de filtro o editar la instancia. Capítulo 4. Configuración de CX PCA 65 6. Si desea cambiar los valores de una instancia, localice la Lista de instancias y pulse la opción Editar que se encuentra junto a la instancia para comenzar a realizar los cambios. También puede suprimir una instancia pulsando Suprimir o eliminar las reglas de filtro para una instancia pulsando Borrar filtros. a. Si está instalando CX PCA por primera vez, edite los filtros para cada instancia de CX PCA. Consulte “Edición de filtros” en la página 105. b. Desde la lista desplegable Interfaz primaria, seleccione el dispositivo de red en el que desea que escuche esta instancia. v En la mayoría de los casos, no debe escuchar a un dispositivo cuya dirección IP esté listada en la lista desplegable. v Si ve un mensaje de estado down para un dispositivo, el sistema operativo no está configurado para activarlo. Esto es inusual. v Para una configuración simple, puede dejar al resto de las opciones de configuración con sus valores predeterminados. v Para obtener más información sobre la especificación de instancias de PCA, consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. c. Pulse Actualizar para guardar los cambios. 7. Pulse Guardar cambios para aplicar los cambios en CX PCA. Si desea cancelar los cambios, pulse Revertir cambios. CX PCA ahora está configurado para capturar tráfico en la NIC seleccionada. Configuración de la entrega de coincidencias La siguiente sección explica cómo configurar la entrega de coincidencias. Entrega de coincidencias a servidor de procesos Ahora, puede especificar el servidor de procesos o servidor HBR a donde el PCA va a entregar datos de coincidencias. v El número de puerto de destino en el servidor de procesos receptor está definido para interconexiones de Windows individuales. Consulte "Editor de interconexión de TMS" en el Manual de administración de IBM Tealeaf cxImpact. 1. Pulse “Consola Web de PCA - Pestaña de Entrega” en la página 110. 2. Pulse Añadir. 3. Especifique el nombre de host o dirección IP del servidor de procesos. v Si está utilizando HBR, puede especificar el nombre de host o dirección IP para la máquina HBR. Consulte "Agente de sesión de direccionamiento basado en estado (HBR)" en el Manual de configuración de IBM Tealeaf CX. 4. Escriba el número de puerto. De forma predeterminada, este valor es 1966. 5. Pulse Aceptar. 6. Pulse Guardar cambios. 7. Para probar su conexión de entrega, pulse los enlaces Ping y Velocidad para su host recién añadido en la pestaña Entrega. v Si las pruebas fallan o sus pruebas de velocidad dan como resultado un bajo rendimiento, revise la configuración de su red y de PCA. Nota: Si tiene más de un destinatario de destino de entrega, es importante que seleccione la modalidad de entrega correcta. Consulte “Consola Web de PCA Pestaña de Entrega” en la página 110. La configuración está establecida para entregar tráfico al servidor de procesos referenciado. 66 IBM Tealeaf CX Passive Capture Application: Manual de PCA v Consulte “Consola Web de PCA - Pestaña de Entrega” en la página 110. Fuente de tiempo de PCA Si es necesario, puede configurar IBM Tealeaf CX Passive Capture Application para que dependa de Tealeaf Transport Service como el origen de la hora local. Cuando está habilitado, PCA consulta a Transport Service en intervalos periódicos para obtener la hora actual. Para resolver discrepancias, la PCA acelera o reduce su incremento de tiempo para que se acerque al valor del origen de la hora local. Nota: A menos que esté sincronizando la hora con otro mecanismo, debe configurar PCA para que su sincronización se lleve a cabo mediante uno de los iguales de entrega como el origen. Para ello, siga estos pasos. 1. Pulse “Consola Web de PCA - Pestaña de Entrega” en la página 110. 2. En el panel Utilizar Tealeaf Transport Service como fuente de hora, especifique el nombre de host o la dirección y el número de puerto de Tealeaf Transport Service que es el origen de la hora maestra. v Estos valores deben establecerse en uno de los compañeros de entrega previamente configurados. v Si no se proporciona, toma el valor de puerto predeterminado 1966 . v Consulte “Consola Web de PCA - Pestaña de Entrega” en la página 110. Entrega de coincidencias de estadísticas Opcionalmente, el PCA puede configurarse para entregar información estadística al servidor de procesos para la inserción en la base de datos TL_STATISTICS para la creación de informes a través del portal. v Junto con las estadísticas del Recipiente y el agente de sesión Extended Decoupler, las coincidencias de estadísticas de PCA se informan en la página Estadísticas del sistema. Consulte "Estadísticas del sistema" en el Manual de administración de IBM Tealeaf cxImpact. 1. Pulse “Consola Web de PCA - Pestaña de Entrega” en la página 110. 2. En el área Entrega de estadísticas de Tealeaf Transport Service, configure las opciones siguientes: a. Para habilitar la entrega, pulse el recuadro de selección Habilitada. b. Especifique el nombre de host o dirección del igual de entrega que va a recibir las coincidencias de estadísticas. Nota: Generalmente, las coincidencias de estadísticas se envían al mismo igual de entrega que recibe las coincidencias capturadas, tal como se ha definido. c. Especifique un intervalo en segundos en el que se van a enviar las coincidencias. d. Especifique un número de puerto en el que escucha el igual de entrega. De forma predeterminada, este valor es 1966. e. Para utilizar el transporte seguro, pulse el recuadro de selección Utilizar SSL. v Consulte “Consola Web de PCA - Pestaña de Entrega” en la página 110. Configuración de interconexión de PCA En esta sección, puede conocer las opciones de configuración básica para la interconexión del procesamiento de IBM Tealeaf CX Passive Capture Application. v La interconexión de PCA se configura a través de la pestaña Interconexión de la consola web de PCA. Consulte “Valores de la interconexión” en la página 119. Capítulo 4. Configuración de CX PCA 67 Nota: La interconexión de PCA tiene una configuración diferente de la configuración basada en agente de sesión para la interconexión de Windows. Para obtener más información sobre la configuración de la interconexión de Windows, consulte "Configuración inicial de la interconexión" en la publicación IBM Tealeaf CX Manual de configuración. Sesionamiento de datos Si se están insertando cookies en la solicitud para identificar exclusivamente a los visitantes, el PCA puede configurarse para sesionizar basándose en estas cookies. Tealeaf da soporte a varios mecanismos para el sesionamiento de sesiones de Tealeaf. v El método preferido para sesionizar es utilizar Tealeaf Cookie Injector, un método del extremo del servidor de ligero para inyectar en los datos de las solicitudes identificadores exclusivos como cookies. Consulte "Instalación y configuración de Tealeaf Cookie Injector" en el Manual de IBM Tealeaf Cookie Injector. v Para obtener una descripción general de los métodos de sesionización soportados, consulte "Gestión de sesionización de datos en Tealeaf CX" en la publicación IBM Tealeaf CX Manual de instalación. v Consulte “Valores de la interconexión” en la página 119. Modalidad de captura IBM Tealeaf CX Passive Capture Application puede configurarse para capturar los tipos basados en texto recomendados de datos de solicitud y respuesta (modalidad de empresa), o puede configurar los tipos binarios y datos de modalidad de empresa, como las imágenes (modalidad BusinessIT). v La modalidad BusinessIT requiere más almacenamiento del sistema. v Consulte “Valores de la interconexión” en la página 119. Métodos de captura de solicitud Puede especificar los métodos de solicitud que se capturan para que tengan cualquiera de la siguiente combinación: v GET v POST v PUT v Consulte “Valores de la interconexión” en la página 119. Calificación por tiempo Se pueden asignar calificaciones a los tiempos medidos por la PCA en base a la interpolación entre indicaciones de fecha y hora observadas en los paquetes de red. Puede asignar valores de umbral y calificaciones para la Generación de página de servidor web, el Transito de red y el Tiempo de ida y vuelta. v Para obtener más información sobre la calificación por tiempo en general, consulte Capítulo 7, “Medida de rendimiento”, en la página 245. v Para obtener más información sobre informes de calificación de tiempo, consulte "Análisis de rendimiento" en la publicación IBM Tealeaf Guía de informes. v Para obtener más información sobre cómo configurar la calificación por tiempo, consulte “Valores de la interconexión” en la página 119. Procesamiento de coincidencias Debe revisar todas las opciones disponibles para la forma en que se procesan las coincidencias mediante el PCA antes de reenviarlos a la pareja de entrega. Estos valores pueden afectar los requisitos de almacenamiento y rendimiento de PCA. 68 IBM Tealeaf CX Passive Capture Application: Manual de PCA v Consulte “Valores de la interconexión” en la página 119. Otras inclusiones y exclusiones de captura También puede configurar el PCA para capturar o eliminar de la captura los tipos de archivos especificados, mimetypes y todos los tipos de POST. v Consulte “Valores de la interconexión” en la página 119. Configuración de privacidad Nota: Antes de habilitar la captura, debe configurar reglas de privacidad para evitar la captura no deseada de información sensible, como por ejemplo números de tarjeta de crédito de clientes. Si se habilita la captura sin reglas de privacidad apropiadas, los datos de los clientes no filtrados se pueden reenviar a la interconexión de Windows y se pueden almacenar en las bases de datos de Tealeaf, donde cualquier usuario con los permisos de Tealeaf puede buscarlos. La privacidad de Tealeaf permite manipular, enmascarar o eliminar la información confidencial en el tráfico de solicitudes o respuestas. En función de las reglas de privacidad que configure, estos datos pueden ocultarse en el tráfico que se almacena en la base de datos de Tealeaf. 1. Iniciación a la privacidad de Tealeaf: Consulte la sección "Gestión de la privacidad de datos en Tealeaf CX" en la publicación IBM Tealeaf CX Manual de instalación. 2. Privacidad en el PCA: La privacidad puede desplegarse en el PCA a través de la consola web de PCA. Consulte “Descarga de la configuración de privacidad” en la página 135. Habilitar Captura Nota: Los pasos siguientes habilitan el PCA para comenzar la captura de tráfico de red que se proporciona a través de la NIC especificada y el reenvío de datos capturados al servidor de procesos. Si el servidor de procesos aún no se ha configurado para capturar y procesar los datos enviados, entonces se pierden datos cuando el PCA no puede establecer una conexión. Sin embargo, puede utilizar estos pasos y los subsiguientes para verificar las operaciones de PCA. Cuando se habilita la captura, el servidor de proceso también debe capturar en orden para que se capturen las hits. 1. Pulse el “Consola web de PCA - Pestaña Consola” en la página 89. 2. Pulse Inicio. El PCA comienza la captura y el reenvío al servidor de procesos especificado. v Consulte “Consola web de PCA - Pestaña Consola” en la página 89. Probar la configuración Tras completar la configuración inicial, puede realizar los siguientes pasos para verificar la configuración. La salida de la IBM Tealeaf CX Passive Capture Application no es fácil de revisar hasta estar configurado el resto del sistema IBM Tealeaf CX. Si solo configura la PCA, puede revisar los siguientes pasos para verificar que la PCA esté funcionando correctamente. Capítulo 4. Configuración de CX PCA 69 1. Si ya no lo ha hecho, habilite la captura a través de la Consola Web de la PCA. Verifique que la captura esté activada. Consulte “Habilitar Captura” en la página 69. 2. Cuando la captura esté en ejecución, compruebe la sección Estado de la máquina de la pestaña Resumen para verificar que todos los procesos estén en ejecución. v En la sección Iguales, debe tener listados los iguales de entrega. El valor de la columna de Estado debe ser connected. Si no configura un Tealeaf Processing Server para recibir datos de PCA, los errores se pueden informar aquí. v En la sección Iguales, las estadísticas Hits Delivered deben tener un valor diferente a cero e irse incrementando, lo que indica que la PCA está entregando las coincidencias a los destinos especificados en la pestaña Entrega. v Consulte “Consola Web de PCA - Pestaña Resumen” en la página 76. 3. Compruebe los archivos de registro para ver los errores. Consulte “Consola web de PCA - Pestaña de copia de seguridad-registros” en la página 175. v En los archivos de registro, puede notar errores donde la PCA no puede contactar un igual si no tiene configurado un Tealeaf Processing Server para recibir datos de PCA. Cuando todos los componentes de Tealeaf estén configurados, debe completar una prueba completa. Navegadores soportados para la consola web de PCA Se soportan los siguientes navegadores para acceder a la consola web de PCA: v Microsoft Internet Explorer 7, 8 y 9 v Firefox 4 o posterior Nota: Los navegadores soportados para acceder a la consola web difieren de aquellos que están soportados para acceder al portal Tealeaf. El utilizar un navegador no soportado puede provocar comportamientos inesperados. v Consulte "Inicio de sesión en el Portal de Tealeaf" en el Manual de usuario de IBM Tealeaf cxImpact. Inicio de sesión de la Consola Web de PCA Para supervisar y configurar el servidor de IBM Tealeaf CX Passive Capture Application, puede utilizar la Consola web, una herramienta de administración basada en la web. Para abrir la Consola web, especifique la siguiente dirección en el campo Dirección del navegador. HTTP segura: https://<servername>:<portnumber> HTTP http://<servername>:<portnumber> donde: v <servername> corresponde al nombre de host del servidor de la PCA. 70 IBM Tealeaf CX Passive Capture Application: Manual de PCA v <portnumber> corresponde al número de puerto utilizado para comunicarse con la Consola web. – Para HTTP, el número de puerto predeterminado es 8080. – Para HTTPS, el número de puerto predeterminado es 8443. Los puertos en los que escucha la consola web de la PCA se pueden configurar. Consulte “Cambio de puertos de escucha de consola web” en la página 73. Nota: Si habilita las características de Windows Enhanced Security, puede experimentar problemas al utilizar Internet Explorer para acceder a la Consola web de la PCA. Consulte "Resolución de problemas - Portal" en la Guía de resolución de problemas de IBM Tealeaf. Cierre de sesión de da Consola Web de la PCA Para cerrar la sesión de la PCA. cierre la ventana del navegador. Nota: A partir de la PCA Build 3500, la consola web impone un valor de tiempo de espera excedido predeterminado de 30 minutos. Si la PCA hace que se supere el tiempo de espera de la sesión, debe iniciar la sesión, aunque la autenticación esté o no esté habilitada. v Si supera el tiempo de espera de la sesión, vuelva a especificar sus credenciales de autenticación para volver a iniciar la sesión. v Si la autenticación está inhabilitada, deje los recuadros de texto vacíos y pulse Iniciar sesión. v Para obtener más información sobre cómo configurar los valores de tiempo de espera excedido, consulte “Consola web de PCA - Pestaña Consola” en la página 89. Pestaña de consola web En la parte superior de la consola web, puede revisar la información de estado. Incluye el número de compilación de Tealeaf, información de host y de puerto, y la versión actual de Linux, así como la hora en la que la página se ha cargado por última vez. v En la esquina superior derecha de la consola, puede acceder a la página SysInfo. Consulte “Página SysInfo” en la página 74. v Cuando la página se carga, la consola web comprueba el espacio de disco disponible en la partición que contiene el software PCA. Si no hay suficiente espacio libre de disco, aparece un mensaje de estado en rojo, y será necesario tomar medidas inmediatamente para liberar espacio en la partición (/usr/local/ctccap de forma predeterminada). Las siguientes páginas de configuración están disponibles en la consola web: Etiqueta de la pestaña Se utiliza para... “Consola Web de PCA - Pestaña Resumen” en la página 76 Estado de los procesos de Captura en ejecución; visualización de coincidencias; coincidencias rechazadas, conexiones/paquetes/errores TCP; conexiones/reconocimientos SSL y bytes de escucha de leídos y escritos. Visualización de información de estado y configuración para la interfaz de red primaria y secundaria Capítulo 4. Configuración de CX PCA 71 “Consola web de PCA - Pestaña Consola” en la página 89 Iniciar/detener captura de paquetes en directo desde la red, Habilitar/inhabilitar captura al iniciar “Consola Web de PCA - Pestaña Interfaz” en la página 90 Definición de interfaces de red (NIC), configuración de la Captura pasiva para un dispositivo de escucha de red o un puerto de conmutador distribuido, configuración de instancias de captura, definición de los servidores web a supervisar y a ignorar, definición de filtros de tráfico y definición parámetros de ajuste de captura “Consola Web de PCA - Pestaña de Entrega” en la página 110 Especificación de servidores de Tealeaf para que reciban las coincidencias empaquetadas desde la captura pasiva, establecimiento de los parámetros de entrega, sincronización de la hora “Consola Web de PCA - Pestaña Claves SSL” en la página 115 Cargar, editar y suprimir claves privadas para servidores web supervisados; obtener más información sobre, ignorar o suprimir claves privadas faltantes “Valores de la interconexión” en la página 119 Editar parámetros de configuración que controlan el procesamiento de aciertos; calificación de tiempo, modalidad de captura, conversión a sesiones, incluir/excluir extensiones. “Descarga de la configuración de privacidad” en la página 135 Habilitación/inhabilitación de la privacidad, creación y edición de reglas de privacidad “Estadísticas por instancia” en la página 153 Visualización de las métricas de la Captura pasiva “Consola web de PCA - Pestaña de copia de seguridad-registros” en la página 175 Realización de copia de seguridad y carga del archivo de configuración; visualización de varios archivos de registro; habilitación/inhabilitación de archivado de paquetes. “Consola Web de PCA - Pestaña de Migración tras error” en la página 177 Gestión de los valores de la migración tras error “Consola Web de PCA - Pestaña de Programas de utilidad” en la página 179 Acceso a diversos programas de utilidades para los administradores de PCA “Consola Web de PCA - Página de depuración” en la página 184 Gestión de los volcados de núcleo de la PCA Configuración Las siguientes secciones contienen algunos pasos de configuración básicos para configurar la consola web de PCA. Habilitación de la autenticación de consola web Se puede restringir el acceso a la consola web de PCA. Consulte Configuración del Hardware e instalación del sistema operativo. Conmutación de acceso HTTP/HTTPS De manera predeterminada, la consola web de la PCA es accesible en modalidad HTTP en el puerto 8080 o en modalidad HTTPS en el puerto 8443. 72 IBM Tealeaf CX Passive Capture Application: Manual de PCA De manera opcional, puede configurar la PCA para que no sea accesible en una de estas modalidades. Pasos: Para conmutar el acceso, complete los siguientes pasos. 1. Edite el archivo /usr/local/ctccap/etc/runtime.conf. 2. Añada o edite las siguientes líneas: httpd_port_enable="NO" httpd_portssl_enable="YES" Modalidad Valores Sólo HTTP httpd_port_enable="YES" httpd_portssl_enable="NO" Sólo HTTPS httpd_port_enable="NO" httpd_portssl_enable="YES" both HTTP and HTTPS httpd_port_enable="YES" httpd_portssl_enable="YES" 3. Guarde el archivo. 4. Reinicie el PCA. Si fuera necesario, puede cambiar los puertos que escucha la consola web de la PCA. Consulte “Cambio de puertos de escucha de consola web”. Para obtener más información sobre el inicio de sesión, consulte “Inicio de sesión de la Consola Web de PCA” en la página 70. Despliegue de un certificado SSL para la consola web Puede desplegar un certificado SSL personalizado. Consulte “Generación de un certificado autofirmado” en la página 224. Cambio de puertos de escucha de consola web De forma predeterminada, la consola web PCA escucha los puertos listados en la parte superior de esta sección. Opcionalmente, puede cambiar los puertos de escucha añadiendo las líneas siguientes al archivo runtime.conf. El archivo runtime.conf se utiliza para sustituir los valores predeterminados almacenados en el archivo tealeaf.conf. Nota: tealeaf.conf debe configurarse para ser de sólo lectura y nunca debe editarse. 1. Edite runtime.conf, que está almacenado en la siguiente ubicación: /usr/local/ctccap/etc/runtime.conf 2. Puerto HTTP (sin cifrar): Añada las líneas siguientes: httpd_listen="X" httpd_port="X" donde X es el número de puerto en el que la consola web debe escuchar tráfico sin cifrar. 3. Puerto HTTPS (cifrado): Añada las líneas siguientes: httpd_listenssl="X" httpd_portssl="X" Capítulo 4. Configuración de CX PCA 73 donde X es el número de puerto en el que la consola web debe escuchar tráfico cifrado. 4. Guarde el archivo. 5. Reinicie el PCA. Soporte IPv6 en la consola web PCA Para nuevas instalaciones de PCA Build 3600, la consola web se configura para aceptar las direcciones IP en formato IPv6 de forma predeterminada. v Antes de PCA Build 3502, las direcciones de IPv6 no se pueden especificar a través de la consola web de PCA. Si está actualizando desde una versión anterior, deben insertar manualmente el siguiente atributo en la sección Conf en el archivo de ctc-conf.xml: <IPv6ConsoleEnabled>1</IPv6ConsoleEnabled> El cambio anterior también se puede aplicar a PCA Build 3502 para configurar la consola web de PCA para aceptar las direcciones IPv6 de forma predeterminada. v Consulte “Archivo de configuración de captura pasiva ctc-conf.xml” en la página 187. Cuando se establece el valor en 1, la consola web de PCA valida la entrada de datos suponiendo que las direcciones IP se introducen en el formato IPv6. v Este cambio afecta principalmente a las direcciones que puede especificar en la pestaña de interfaz. Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. Página SysInfo Cuando pulse el enlace de sysinfo ubicado por encima de la barra de menús de Consola PCA, la página de SysInfo se visualizará. Esta página se genera mediante la ejecución de un conjunto de mandatos Linux en la línea de mandatos y visualizando los resultados en una sola página. Puede revisar los mandatos individuales que generan la página Sysinfo y ejemplos de salidas de cada mandato. Sistema Se puede utilizar el mandato siguiente tanto para la distribución SLES como para la RHEL, las cuales tienen diferentes nombres de archivo. Mandato cat /etc/*-release Salida System release info : LSB_VERSION="1.3" Red Hat Enterprise Linux ES release 3 (Taroon Update 5) Mandato uname-a Salida kernel info : Linux venus.tealeaf.com 2.4.21-32.EL #1 Fri \ > Apr 15 21:29:19 EDT 2005 i686 i686 i386 GNU/Linux 74 IBM Tealeaf CX Passive Capture Application: Manual de PCA Mandato cat /proc/cpuinfo Salida processor : 0 vendor_id : GenuineIntel cpu family : 6 model : 8 model name : Pentium III (Coppermine) stepping : 3 cpu MHz : 664.526 cache size : 256 KB fdiv_bug : no hlt_bug : no f00f_bug : no coma_bug : no fpu : yes fpu_exception : yes cpuid level : 2 wp : yes flags : fpu vme de pse tsc msr pae mce cx8 sep \ > mtrr pge mca cmov pat pse36 mmx fxsr sse bogomips : 1327.10 Mandato cat /proc/meminfo Salida total: used: free: shared: buffers: cached: Mem: 258945024 250028032 8916992 0 110923776 90759168 Swap: 534601728 5242880 529358848 MemTotal: 252876 kB MemFree: 8708 kB MemShared: 0 kB Buffers: 108324 kB Cached: 85572 kB SwapCached: 3060 kB Active: 183328 kB ActiveAnon: 37496 kB ActiveCache: 145832 kB Inact_dirty: 35704 kB Inact_laundry: 7588 kB Inact_clean: 3436 kB Inact_target: 46008 kB HighTotal: 0 kB HighFree: 0 kB LowTotal: 252876 kB LowFree: 8708 kB SwapTotal: 522072 kB SwapFree: 516952 kB CommitLimit: 648508 kB Committed_AS: 285972 kB HugePages_Total: 0 HugePages_Free: 0 Hugepagesize: 4096 kB dmesg Mandato dmesg Capítulo 4. Configuración de CX PCA 75 Salida dmesg device eth2 entered promiscuous mode device eth0 left promiscuous mode device eth4 left promiscuous mode device eth1 left promiscuous mode device eth2 left promiscuous mode device eth0 entered promiscuous mode eth4: Promiscuous mode enabled. device eth4 entered promiscuous mode device eth1 entered promiscuous mode eth2: Setting promiscuous mode. device eth2 entered promiscuous mode Consola Web de PCA - Pestaña Resumen Cuando se conecte a la Consola web, visualizará la pestaña Resumen. La pestaña de Resumen proporciona una instantánea del estado del sistema. Las estadísticas que se muestran en esta página incluyen el estado del dispositivo, conexiones, estadísticas de TCP y SSL actuales, conexiones HTTP y métricas de particiones. v También se suministran estadísticas de compuesto para proporcionar una visión general fácil de entender del estado de la PCA. Consulte “Estadísticas de compuesto de instancias” en la página 79. v Si la PCA genera un volcado del núcleo, se proporciona un enlace a la página de Depuración en la pestaña de Resumen. Consulte “Consola Web de PCA - Página de depuración” en la página 184. v Hay disponible información adicional del sistema operativo a través de la pestaña Programas de utilidad. Consulte “Consola Web de PCA - Pestaña de Programas de utilidad” en la página 179. Seguridad de la consola web Los temas siguientes describen cómo proteger la consola web. Inhabilitación del servidor web para la consola web Puede inhabilitar el servidor web para la consola web de PCA. Si se inhabilita el servidor web se impide que los usuarios accedan a la consola web de PCA. Para inhabilitar el servidor para la consola web: 1. Ejecute el mandato siguiente. tealeaf disable httpd 2. Si la consola web se está ejecutando, deténgala utilizando el mandato siguiente. tealeaf stop httpd v Si el mandato anterior no detiene el proceso HTTPd, verifique que ningún usuario tenga la consola web abierta en una ventana del navegador. v Si ejecuta el mandato anterior sin éxito, puede utilizar el mandato siguiente para detener los procesos HTTPd huérfanos: a. Inicie sesión como usuario raíz. b. Ejecute el mandato siguiente: killall httpd 3. PortalStatus necesita que el servidor web recupera la información de estado. Si inhabilita el servidor web, PortalStatus ya no puede recuperar la información de estado para PCA. 76 IBM Tealeaf CX Passive Capture Application: Manual de PCA Inhabilitación del acceso a la consola web a través del puerto 8080 Puede configurar PCA para que inhabilite el puerto para la consola web de PCA. Si inhabilita el puerto, los usuarios remotos no pueden acceder a la consola web. Para desactivar el acceso a la consola web mediante el puerto 8080: 1. Edite el archivo /usr/local/ctccap/etc/runtime.conf. 2. Busque la línea siguiente: httpd_port_enable= 3. Si la línea no existe, añádala. 4. Establezca el valor después del signo de equivalencia en "NO". Por ejemplo: httpd_port_enable="NO" 5. Guarde el archivo. 6. El archivo de configuración actualizado entra en vigor la próxima vez que se inicie el Servidor web. Habilitación del acceso a la consola web mediante una única dirección IP Puede especificar una sola dirección IP que puede acceder a la consola web. Limitar el acceso a una sola dirección IP ayuda a impedir el acceso no autorizado a través de un sistema desconocido. Para permitir el acceso a la consola web desde una dirección IP: 1. Edite el archivo /usr/local/ctccap/etc/runtime.conf. 2. Busque la línea siguiente: httpd_console_allow_from= 3. Si la línea no existe, añádala. 4. Establezca el valor después del signo de equivalencia por la dirección IP desde donde accedería a la consola web. Por ejemplo: httpd_console_allow_from=1.2.3.4 5. El archivo de configuración actualizado entra en vigor la próxima vez que se inicie el Servidor web. Aplicación de la autenticación durante el acceso a la consola web Puede mejorar la seguridad si habilita la autenticación en la consola web. Cuando utiliza el procedimiento siguiente para restringir el acceso a la consola web, debe utilizar el nombre de archivo index.php cuando accede a la página predeterminada de la consola web. Por ejemplo, después de aplicar los pasos siguientes, el URL siguiente no se muestra como la página de la consola web predeterminada para PCA 1.2.3.4. http://1.2.3.4:8080/ Debe especificar la página index.php del modo siguiente. http://1.2.3.4:8080/index.php Esta restricción también se aplica al acceso HTTPS siguiente: https://1.2.3.4:8443/index.php Para solicitar nombre de usuario/contraseña al acceder a la consola web: Capítulo 4. Configuración de CX PCA 77 Cree el archivo de base de datos de usuario de Servidor web al utilizar los siguientes mandatos: 1. Edite el archivo /usr/local/ctccap/etc/runtime.conf. 2. Busque en el archivo: httpd_userauth_ 3. Si la serie no está presente, añada los siguientes parámetros al final del archivo. Si existen estas entradas, edítelas a los siguientes valores: httpd_userauth_enable="YES" httpd_userauth_realm="PCAv2" httpd_userauth_require="valid-user" httpd_userauth_type="Basic" Nota: Los valores de httpd_userauth_enable deben estar todos en mayúsculas, como en el ejemplo anterior (YES). 4. Para añadir un usuario o cambiar su contraseña, utilice uno de los siguientes mandatos, reemplazando johndoe con el nombre del usuario nuevo o ya existente: Con el siguiente mandato, se le solicitará que especifique la contraseña nueva al ejecutar el mandato: Nota: Tealeaf recomienda utilizar este método para crear contraseñas. Si no se utiliza este método, las contraseñas no pueden tener más de 8 caracteres. /usr/local/ctccap/bin/htpasswd -m \ /usr/local/ctccap/etc/tealeaf-web.users johndoe Cuando se añade la opción -b, se puede especificar la contraseña (mypassword) como parte del mandato: /usr/local/ctccap/bin/htpasswd -mb \ /usr/local/ctccap/etc/tealeaf-web.users johndoe mypassword 5. Los cambios mencionados en el mandato anterior no afectan la utilización por parte de PortalStatus del servidor web para recuperar información de estado. 6. El archivo de configuración actualizado entra en vigor la próxima vez que se inicie el Servidor web. Aplicación de cambios de configuración de forma inmediata Puede aplicar cambios de configuración a PCA reiniciando el servicio. Para aplicar cambios al archivo de configuración /usr/local/ctccap/etc/ runtime.conf de forma inmediata, ejecute los mandatos siguientes para detener el servidor web y, a continuación, reiniciarlo. 1. Ejecute tealeaf stop httpd para detener el servicio. 2. Ejecute tealeaf start httpd para iniciar el servicio. 78 IBM Tealeaf CX Passive Capture Application: Manual de PCA Estadísticas de compuesto de instancias Figura 3. Pestaña de resumen - Estadísticas de compuesto de instancias De forma predeterminada, la página Resumen se renueva automáticamente cada 20 segundos. v Para inhabilitar la función de renovación automática, pulse Inhabilitar renovación automática en la esquina superior derecha de la página. Cuando está inhabilitada, la página no se renueva automáticamente hasta que el usuario deja la página y luego vuelve a ella o la renovación automática se habilita nuevamente. v Para renovar manualmente los datos, pulse Renovar. Cuando el PCA está experimentando problemas con la captura o el proceso de los datos de hits, se puede visualizar un mensaje en la pestaña Resumen con alguna información sobre el problema. v Los elementos que se listan en rojo se deben atender inmediatamente. v Para obtener más información acerca de la evaluación de estos mensajes, consulte “Información adicional de depuración de la consola web de PCA” en la página 88. El porcentaje de paquetes extraños El porcentaje de paquetes que se encuentran en la secuencia de captura que la PCA no puede asociar a una conexión existente. Cuando se inicia la captura por primera vez, se espera que este número sea un porcentaje alto. Pero a medida que la captura continúa la asociación y el proceso de aciertos, esta cifra debe bajar. Análisis: Si esta métrica está marcada en rojo, la calidad de los datos enviados a las conexiones PCA o TCP debe mejorarse. Estos son algunos métodos sugeridos. Capítulo 4. Configuración de CX PCA 79 1. Aplique filtros de tráfico: si todavía no lo ha hecho, puede aplicar filtros para eliminar el tráfico no deseado que se esté reenviando a la PCA. Se pueden aplicar filtros de tráfico a los rangos de puerto o a las direcciones IP. v Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. 2. Modalidad de captura: si la PCA está configurada para estar en la modalidad BusinessIT, se capturan más datos que no pueden ser importantes. El recuento de paquetes extraños puede caer si cambia la PCA para capturar en modalidad Business. Consulte “Valores de la interconexión” en la página 119. 3. Después de realizar los cambios a lo anterior, debe reiniciar la PCA. Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. 4. Compruebe el hardware: el puerto SPAN utilizado para entregar las coincidencias a la PCA puede estar descartando algunos debido a la sobresuscripción. Verifique con el departamento de TI que el puerto SPAN no esté perdiendo los datos. v Los recuentos altos de paquetes extraños y las páginas faltantes pueden estar asociados a un mal funcionamiento de una tarjeta NIC en la máquina que aloja a la PCA. También debe revisar y actualizar, si fuera necesario, el controlador de la tarjeta NIC. 5. Sumas de comprobación incorrectas: si hay un número significativo de sumas de comprobación incorrectas, debe verificar con el personal de TI que el origen del tráfico que se reenvía a la PCA esté generando sumas de comprobación válidas. v Para probar la validez de las sumas de comprobación en los datos del paquete, puede habilitar la validación de la suma de comprobación en la pestaña Interfaz. La validación está habilitada de manera predeterminada. Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. 6. Puede haber información adicional disponible en el registro de estadísticas, que puede descargarse de la consola web de la PCA. Consulte “Consola web de PCA - Pestaña de copia de seguridad-registros” en la página 175. 7. Puede habilitar el archivado en la PCA, que entrega paquetes red en bruto al archivo designado y puede resultar útil para la depuración de problemas en los datos de sesión. Nota: La utilización de las características de archivado de PCA debe realizarse bajo la dirección del personal de Tealeaf. Para obtener más información, póngase en contacto con Tealeaf Soporte al cliente . v Consulte “Consola web de PCA - Pestaña de copia de seguridad-registros” en la página 175. Si es true, reassd no puede mantener listend El proceso de escucha (listend) en la instancia PCA está enviando más hits para el proceso de reensamblaje (reassd) de lo que puede evaluar. Como resultado, se han eliminado hits. v Para obtener más información sobre el flujo de proceso en el PCA, consulteCapítulo 1, “Descripción general de la captura pasiva”, en la página 1. Análisis: Si está métrica está marcada en rojo, debe configurar el PCA para enviar menos hits mediante la instancia individual del PCA. Algunas sugerencias: 1. Añadir instancias PCA: Añadir instancias del IBM Tealeaf CX Passive Capture Application al servidor de hosting puede aliviar el volumen de tráfico a procesos individuales. 80 IBM Tealeaf CX Passive Capture Application: Manual de PCA v Para obtener más información sobre el número máximo de instancias en el servidor, consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. v Para obtener más información sobre añadir instancias, consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. 2. Escucha en más puertos: Añadir puertos de escucha al PCA puede reducir los cuellos de botellas en el proceso sobre cualquier puerto individual. Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. El porcentaje de conexiones de paquete descartadas Esta métrica identifica conexiones completadas que la PCA sospecha de condiciones de paquetes descartados. Análisis: Este problema es causado por la conexión entre la PCA y el dispositivo que la alimenta. Revise la configuración de escucha para la PCA, la configuración de salida para el dispositivo de envío y la topología de la red entre ambas. v Para obtener más información sobre la configuración de las interfaces de red en las que la PCA escucha, consulte “Consola Web de PCA - Pestaña de Programas de utilidad” en la página 179. El porcentaje se convierte en tráfico unidireccional Esta métrica indica el porcentaje de tráfico que se pasa a la PCA que se mueve en una dirección. Para volver a ensamblar una coincidencia, la PCA hace coincidir las solicitudes (el tráfico que se mueve entre el navegador del cliente y el servidor web) con las respuestas (los mensajes que se devuelven al navegador del cliente basados en las solicitudes). Para capturar la experiencia de un visitante, la PCA debe recibir todo el tráfico bidireccional. Análisis: Normalmente, este problema es un problema de configuración con el dispositivo que se encarga del reenvío de datos a la PCA. Consulte con el departamento de TI para verificar que el puerto o conmutador SPAN está reenviando tráfico bidireccional a través de todos los puertos de Tealeaf. v Cuando la PCA detecta coincidencias unidireccionales, esas coincidencias pueden descartarse. Para las coincidencias de tipo solicitud, estas pueden resultar en una coincidencia de solicitud cancelada, sin una respuesta correspondiente presente en la secuencia de captura. La tasa a la que reassd vuelve a montar en la actualidad los aciertos no SSL Esta métrica indica la tasa de procesamiento principal de la PCA. Normalmente, una instancia de PCA debe poder procesar entre 400 y 600 aciertos por segundo. v Para el tráfico SSL, la tasa del proceso es normalmente entre 200 y 300 aciertos por segundo. Análisis: Si esta tasa baja demasiado, entonces el proceso reassd está sobrecargado. Se pueden investigar los siguientes elementos para intentar mejorar las tasas de procesamiento: Capítulo 4. Configuración de CX PCA 81 Compruebe las reglas de privacidad: las reglas de privacidad que se aplican en la PCA pueden ser costosas en lo que concierne al procesamiento, especialmente si utiliza expresiones regulares para evaluar los datos. Siempre que sea posible, evítelo al utilizar expresiones regulares. v Utilice reglas de privacidad para bloquear o cifrar solo los datos más confidenciales. Para obtener más información sobre las reglas de privacidad, consulte “Descarga de la configuración de privacidad” en la página 135. v La evaluación de la privacidad se puede mover de la PCA a la interconexión de Windows, según sea necesario. Mientras que la aplicación de privacidad en la PCA asegura que los datos confidenciales nunca se visualicen en el sistema Tealeaf, el proceso de la privacidad no crítica se puede aplicar mediante la interconexión de Windows utilizando la configuración de reglas idénticas. Consulte "Agente de sesión de privacidad" en el Manual de configuración de IBM Tealeaf CX. v Para obtener más información acerca del despliegue de la privacidad en Tealeaf, consulte "Gestión de privacidad de datos en Tealeaf CX" en la publicación IBM Tealeaf CX Manual de instalación. Si es true, se ha encontrado Diffie Hellman SSL Si esta métrica se marca en rojo, el PCA ha encontrado el algoritmo criptográfico Diffie Hellman SSL, que el PCA. Análisis: El IBM Tealeaf CX Passive Capture Application no puede capturar el tráfico en presencia de Diffie Hellman. Se recomienda que vuelva a configurar sus servidores web para no utilizar este protocolo. Para obtener más información, consulte la documentación que se viene con el producto del servidor web. El porcentaje de conexiones envejecidas Este valor indica el porcentaje de conexiones TCP capturadas por la PCA que han excedido el tiempo de espera. v Las conexiones envejecidas pueden resultar en sesiones finalizadas de forma anómala en los datos de Tealeaf. Análisis: Grandes porcentajes de conexiones envejecidas pueden indicar un problema de configuración de red. Sucede, como lo indica el tiempo de espera excedido de la conexión, que la PCA está esperando datos que nunca se entregan. v De manera predeterminada, la PCA se configura con un valor de tiempo de espera excedido de 60 minutos. v Los tiempos de espera excedidos de conexiones de la PCA pueden configurarse en el archivo ctc-conf.xml. El valor es <AgedTcpConnectionsTimeout> en la sección de captura. Consulte “Archivo de configuración de captura pasiva ctc-conf.xml” en la página 187. Claves de SSL que faltan/seg Esta métrica indica el número de claves de SSL que faltan que se detectan en el tráfico cada segundo. Análisis: Cuando la métrica se marca en rojo, las claves de SSL se actualizan el servidor web, todavía no se ha proporcionado el PCA con las nuevas claves. 82 IBM Tealeaf CX Passive Capture Application: Manual de PCA v Sin las claves de SSL correctas, el PCA no puede descifrar el tráfico basado en SSL y esos hits se eliminan. Debe adquirir las nuevas claves de SSL del servidor web. Póngase en contacto con el equipo de TI responsable de los servidores web. v Para obtener más información sobre la instalación de las claves de SSL para PCA, consulte Capítulo 6, “Claves SSL”, en la página 211. v Si su entorno está utilizando un Hardware Security Module para gestionar claves, puede ser necesaria más configuración. Consulte Apéndice - Integración de claves de SSL de Tealeaf con HSM. KBytes de tráfico filtrados/seg. Este valor indica los kilobytes por segundo del tráfico que el PCA está capturando después de que se aplica cualquier regla de filtros configurados. Análisis: Si el valor es demasiado bajo, entonces puede tener un problema con los filtros de datos que se aplican mediante el PCA. Debe revisar los filtros que ha aplicado. v Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. Para evaluar la calidad del filtrado, debe revisar la calidad de los datos que se capturan. A través de la reproducción, puede identificar rápidamente si los hits significativos se están eliminando. v Para obtener más información sobre cómo utilizar la reproducción mediante Tealeaf Portal, consulte "Reproducción basada en el navegador CX" en la publicación IBM Tealeaf cxImpact Manual del usuario. v Para obtener más información sobre cómo utilizar la aplicación de escritorio de IBM Tealeaf CX RealiTea Viewer, consulte "Visor de RealiTea - Vista de reproducción" en la publicación IBM Tealeaf RealiTea Viewer Manual del usuario. Si es no cero, se están eliminando los hits debido a una sobrecarga de la interconexión. Cuando el valor es no cero, el número indicado de los paquetes TCP se ha eliminado del proceso interconectado debido a condiciones de sobrecarga. Análisis: Este valor no debe ser cero. Puede especificar el máximo de tamaño permitido para paquetes individuales de TCP mediante los parámetros de ajuste en la pestaña de interfaz. v Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. Si se están eliminando algunos hits, varias reglas de privacidad o demasiada complejidad en ellas pueden generar la condición de sobrecarga. v Consulte “Descarga de la configuración de privacidad” en la página 135. En PCA Build 3403 o posterior, puede añadir más instancias del proceso interconectado, que ayuda a distribuir la carga del proceso. v Consulte “Valores de la interconexión” en la página 119. Cuando esta estadística se suma en todas las instancias PCA, el resultado indica el número total de hits perdidos debido al exceso del tamaño especificado de paquete TCP. Para calcular el % del total, divida este valor entre la suma de las estadísticas Capítulo 4. Configuración de CX PCA 83 Captured before hit processing para todas las instancias PCA, que es el total de recuento de hits para entregar a la cola de interconexión. v Consulte “Estadísticas por instancia” en la página 153. El aumentar el número de interconexiones bajo la pestaña de interconexión puede ayudar a aliviar este problema. v Consulte “Valores de la interconexión” en la página 119. Si es distinto de cero, los paquetes se eliminar debido a que sobrepasan la límite de tamaño máximo. Siempre que se recibe un paquete con un tamaño mayor que el límite de tamaño de paquetes de captura de gran tamaño máximo, esta métrica se incrementa en uno. Nota: Si va a utilizar una o más tarjetas de interfaz de red de fibra de 10 gibabits y está experimentando problemas de calidad de tráfico de captura, esto lo pueden causar los problemas de la tarjeta de interfaz de fibra y del controlador. Si el PCA no está utilizando las tarjetas de interfaz de NIC de Intel basadas en chipset, Tealeaf recomienda que cambie sus NIC utilizando los chipsets de Intel. En la pestaña de interfaz en la vista de parámetros de ajuste, el campo Max large capture packet size define el límite de tamaño del paquete de captura de gran tamaño máximo. v De forma predeterminada, este valor se establece en 8 KB. v Según sea necesario, este valor se puede aumentar para acomodar los sistemas que tienen características tales como descarga de recepción grande (LRO) habilitada. El aumento del Max large capture packet size debe detener el aumento de la métrica en la pestaña de resumen. 84 IBM Tealeaf CX Passive Capture Application: Manual de PCA Figura 4. Tamaño de paquete de gran tamaño máximo Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. Conexiones TCP Figura 5. Pestaña de Resumen - Conexiones TCP Nota: La tabla de Conexiones TCP se visualiza en PCA Build 3500 o posterior, en la que se puede detectar el tráfico IPv6. La captura y el procesamiento de IPv6 no cuenta con soporte a partir de la PCA Build 3500. En la tabla de Conexiones TCP, puede revisar los tipos de direcciones IP detectados por la IBM Tealeaf CX Passive Capture Application. Una entrada de TRUE indica que se detecta el tipo de conexión. Capítulo 4. Configuración de CX PCA 85 Estado de la máquina El panel Estado de la máquina indica las métricas actuales en los recuentos y el estado general de cada proceso que se está ejecutando en el servidor de PCA. Figura 6. Pestaña de resumen - Estado de la máquina Valor Descripción Name Nombre del proceso de interconexión de PCA Running Recuento de procesos que se ejecutan en el servidor de PCA KB Size High Tamaño máximo en kilobytes utilizado por todas las instancias de proceso desde el último reinicio PCA. CPU % High Consumo máximo de RAM como un porcentaje de la memoria disponible en la CPU desde el último reinicio de PAC. Estadísticas de montaje Puede revisar las estadísticas en los puntos de montaje configurados en el servidor de PCA. Valor Descripción Mount Point Vía de acceso desde la raíz del punto de montaje especificado Usage Porcentaje de RAM disponible utilizada por el punto de montaje Available RAM disponible utilizada por el punto de montaje Iguales El panel Iguales indica la conectividad entre el servidor PCA y los servidores del Servicio de transporte, que procesan los datos capturados por la PCA. 86 IBM Tealeaf CX Passive Capture Application: Manual de PCA Figura 7. Pestaña de Resumen - Iguales Valor Descripción Delivery Host or Address Nombre de host o dirección IP estática del igual Port El puerto utilizado para comunicarse con el igual de Servicio de Transporte v Normalmente, se utiliza el puerto 1966 o el 1967. Estado Estado actual: disconnected o connected Hits Delivered Recuento de coincidencias que se envían desde entregado al igual desde que la PCA se reinició por última vez Hits Dropped Recuento de coincidencias desde el último reinicio de la PCA que no reconocidos por el igual y por lo tanto descartados. Nota: Los valores distintos a cero se deben investigar con los administradores del servidor del Transport Service, ya que pueden ser indicaciones de problemas de conectividad o problemas en el proceso de coincidencias en la interconexión de Windows. Estadísticas actuales por segundo Para cada instancia del PCA, este panel indica el flujo de coincidencias a través de cada proceso de la aplicación en una base por segundo. Esto se renueva cada 20 segundos de forma predeterminada Figura 8. Pestaña Resumen: Estadísticas actuales por segundo Valor Descripción ID Identificador de la instancia Listend Packets In Recuento de paquetes que ingresan al proceso listend. Esta métrica indica la tasa de paquetes recibidos por el PCA desde la red. Capítulo 4. Configuración de CX PCA 87 Listend Out Volumen de datos que deja el proceso listend por segundo. Reassd In Volumen de datos que se espera que ingrese al proceso reassd por segundo. Esta métrica debe coincidir con el volumen que deja el proceso listend. v Las diferencias entre los valores de Listend Out y Reassd In pueden indicar problemas con las coincidencias del procesamiento de PCA lo suficientemente rápido para coincidir con el flujo actual de tráfico. TCP Connections Recuento de conexiones TCP entre el PCA y el conmutador o extensión que envía datos al mismo SSL Missing Keys Recuento de claves SSL faltantes por segundo. Nota: Este valor debe ser cero. Los valores distintos de cero pueden indicar problemas a investigar. Consulte “Consola Web de PCA - Pestaña Claves SSL” en la página 115. SSL New Handshakes Recuento de reconocimientos SSL nuevos detectados en la secuencia de captura por segundo. Generalmente, esta métrica indica el recuento de sesiones nuevas. Nota: La presencia sistemática de valores anormales puede indicar que el servidor web está inicializando nuevos reconocimientos SSL cuando no debe, lo que puede indicar un problema de configuración del lado del servidor. Reassd Hits Non-SSL Recuento de coincidencias no SSL que están ingresando al proceso reassd por segundo Reassd Hits SSL Recuento de coincidencias SSL que están ingresando al proceso reassd por segundo Reassd Out Recuento de coincidencias que están dejando el proceso reassd por segundo Información adicional de depuración de la consola web de PCA v Obtenga tcpdumps del tráfico de red entregado a PCA. Estos datos pueden ser útiles al evaluar qué problemas se están produciendo dentro de PCA o en otro lado en la infraestructura de red de empresa. v La información estadística puede descargarse en el registro Estadísticas. Consulte “Estadísticas por instancia” en la página 153. v Si el PCA ha generado un volcado del núcleo debido a un error importante, puede descargar el volcado del núcleo y otros datos a través de la página Depuración, a la que se puede acceder desde un enlace en la pestaña Resumen. Consulte “Consola Web de PCA - Página de depuración” en la página 184. v Hay más información disponible en los registros de PCA. Consulte “Consola web de PCA - Pestaña de copia de seguridad-registros” en la página 175. 88 IBM Tealeaf CX Passive Capture Application: Manual de PCA Consola web de PCA - Pestaña Consola La siguiente imagen muestra las funciones disponibles en la pestaña Consola, incluidos los valores predeterminados de las cuatro opciones de configuración: Figura 9. Pestaña de Consola Las opciones disponibles en la pestaña Consola incluyen las siguientes opciones. Valor Descripción Iniciar/detener captura Este botón controla si el dispositivo de Captura pasiva captura paquetes de la red. Al iniciarlo, captura paquetes. Al detenerlo, no captura paquetes. La Captura no se puede iniciar si está inhabilitada. Cuando selecciona Detener captura, se muestra el recuadro de selección Restablecer todas las estadísticas antes de iniciar captura. Nota: Si está habilitada la migración tras error de la máquina maestra/esclava de PCA, no seleccione el recuadro de selección Restablecer todas las estadísticas antes de iniciar captura para borrar las estadísticas. El borrado o restablecimiento de estadísticas impide que la migración tras error funcione correctamente. Si necesita borrar estadísticas, primero detenga la migración tras error en la pestaña Migración tras error. El reinicio del PCA establece el estado de migración tras error de la máquina correctamente con las estadísticas borradas. Habilitar/inhabilitar la Captura Este botón controla el comportamiento de la aplicación de captura principal cuando se inicia el servicio en el tiempo de arranque, desde la línea de mandatos o desde la consola web. Cuando está habilitada, la aplicación de captura principal puede iniciarse. Cuando está inhabilitada, la aplicación de captura principal no puede iniciarse. Habilitar/inhabilitar agotar tiempo de espera de la consola web De forma predeterminada, se configura la consola web de la PCA para agotar el tiempo de espera de las sesiones si no se detecta actividad en 30 minutos. v Para inhabilitar el tiempo de espera excedido de la consola, pulse Inhabilitar. – Si está inhabilitada la autenticación de usuario para la consola web, no es aplicable el tiempo de espera excedido para la consola. Capítulo 4. Configuración de CX PCA 89 v Para habilitar un tiempo de espera excedido para la consola, pulse Habilitar. Especifique un valor que no sea cero para el número de minutos que debe establecer para el tiempo de espera excedido. A continuación, pulse Establecer. – Las pestañas de la consola que se renuevan automática, como por ejemplo la pestaña de Resumen y la pestaña de Consola, no restablecen el tiempo de espera excedido. Nota: El tiempo de espera excedido de la consola puede habilitarse o inhabilitarse en la PCA Build 3600 o posterior. - Puede configurar la duración del tiempo de espera de la consola en la PCA Build 3500 o posterior. Sin embargo, antes de la PCA Build 3600, el tiempo de espera de la consola no se puede inhabilitar. Consola Web de PCA - Pestaña Interfaz En la pestaña Interfaz, puede configurar el número de instancias de la IBM Tealeaf CX Passive Capture Application y las reglas de tráfico para enviar datos a cada instancia. Nota: Puede configurar la consola web PCA para aceptar direcciones IPv6 de forma predeterminada. Consulte “Navegadores soportados para la consola web de PCA” en la página 70. Nota: Después de guardar los cambios en la pestaña Interfaz, es necesario un reinicio manual de PCA. Consulte “Consola web de PCA - Pestaña Consola” en la página 89. CX Passive Capture Application puede configurarse para dar soporte al equilibrio de carga transparente o puede inhabilitar el equilibrio de carga y utilizar el método de herencia de captura de tráfico de red. Para obtener más información sobre los beneficios del equilibrio de carga transparente, consulte “Descripción general del equilibrio de carga transparente de CX PCA” en la página 12. Si desea configurar CX PCA para utilizar el equilibrio de carga transparente, consulte “Configuración de la interfaz de PCA con el equilibrio de carga transparente” en la página 91. Si no desea habilitar el equilibrio de carga transparente en CX PCA, consulte “Configuración de la interfaz de PCA sin el equilibrio de carga transparente”. Configuración de la interfaz de PCA sin el equilibrio de carga transparente Figura 10. Seleccionar vista Desde la parte superior de la página, puede seleccionar la vista de la página. v Para configurar instancias individuales de la IBM Tealeaf CX Passive Capture Application, pulse Ver instancias. Consulte “Ver instancias” en la página 92. v Para editar filtros de datos para cada instancia, pulse Editar filtros. Consulte “Edición de filtros” en la página 105. v Para revisar y editar la interfaz que ajusta los parámetros, pulse Ajuste de parámetros. Consulte “Parámetros de ajuste” en la página 106. 90 IBM Tealeaf CX Passive Capture Application: Manual de PCA Segmentación de tráfico: a través de la pestaña Interfaz, puede segmentar el tráfico en varias instancias de IBM Tealeaf CX Passive Capture Application. Los dos métodos siguientes están disponibles para la segmentación del tráfico para distribuir la carga de tráfico: v “Servidor web host IP/Filtrado de direcciones de puerto” en la página 93 Nota: Siempre que sea posible, la segmentación de la dirección IP es el método preferido antes que la segmentación de puerto. v “Filtrado de segmentación de puerto de cliente TCP” en la página 94 – Consulte “Segmentación del tráfico” en la página 93. Configuración de la interfaz de PCA con el equilibrio de carga transparente Puede configurar la interfaz de red de su CX Passive Capture Application con el equilibrio de carga transparente. Para obtener más información sobre los beneficios de habilitar el equilibrio de carga transparente, consulte “Descripción general del equilibrio de carga transparente de CX PCA” en la página 12. Para configurar En la pestaña Interfaz, puede configurar el número de instancias de IBM Tealeaf CX Passive Capture Application y una regla de tráfico para enviar datos a cada instancia. Nota: Puede configurar la consola web PCA para aceptar direcciones IPv6 de forma predeterminada. Consulte “Navegadores soportados para la consola web de PCA” en la página 70. Nota: Después de guardar los cambios en la pestaña Interfaz, es necesario un reinicio manual de PCA. Consulte “Consola web de PCA - Pestaña Consola” en la página 89. Figura 11. Seleccionar vista Desde la parte superior de la página, puede seleccionar la vista de la página. v Para configurar instancias individuales de la IBM Tealeaf CX Passive Capture Application, pulse Ver instancias. Consulte “Ver instancias” en la página 92. v Para editar filtros de datos para cada instancia, pulse Editar filtros. Consulte “Edición de filtros” en la página 105. v Para revisar y editar la interfaz que ajusta los parámetros, pulse Ajuste de parámetros. Consulte “Parámetros de ajuste” en la página 106. Segmentación de tráfico: a través de la pestaña Interfaz, puede segmentar el tráfico en varias instancias de IBM Tealeaf CX Passive Capture Application. Los dos métodos siguientes están disponibles para la segmentación del tráfico para distribuir la carga de tráfico: v “Servidor web host IP/Filtrado de direcciones de puerto” en la página 93 Capítulo 4. Configuración de CX PCA 91 Nota: Siempre que sea posible, la segmentación de la dirección IP es el método preferido antes que la segmentación de puerto. v “Filtrado de segmentación de puerto de cliente TCP” en la página 94 – Consulte “Segmentación del tráfico” en la página 93. Ver instancias Las instancias de múltiple interfaz le permiten al PCA aprovechar hardware de varios núcleos y de varios CPU al permitir varios procesos para capturar simultáneamente el tráfico de red para el reensamblado de coincidencias HTTP y el descifrado de SSL. Figura 12. Instancias Nota: El número de instancias PCA no debe exceder: (el número de núcleos disponibles) - 1 Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. v Para habilitar la captura de varias instancias, pulse el recuadro de selección. v Para inhabilitar la validación de suma de comprobación de paquetes capturados, pulse el recuadro de selección. Consulte “Inhabilitar validación de suma de comprobación de paquete”. v Para añadir una instancia del PCA, pulse Añadir instancia. Se añade otra instancia a la lista de instancias. Consulte “Lista de instancias” en la página 102. v Para llenar automáticamente números de puerto en todos instancias actuales del PCA, pulse Llenar puertos. Consulte “Llenado de puertos” en la página 95. v Para eliminar todos los filtros actuales de todas las instancias, pulse Eliminar filtros. Inhabilitar validación de suma de comprobación de paquete: De forma predeterminada, el PCA realiza una validación de la suma de comprobación para cada paquete que se le reenvía. En entornos con tarjetas de interfaz de red (NIC) que utilizan la opción grande de recibir (LRO) o la descarga de la suma de comprobación (rx-checksumming) o ambas, la validación de la suma de comprobación de los paquetes de red capturados se gestionan en el hardware de la 92 IBM Tealeaf CX Passive Capture Application: Manual de PCA tarjeta. Dado que la validación de la suma de comprobación se realiza en paquetes individuales en el hardware, no es razonable realizar otra suma de comprobación de los paquetes más grandes, agregados. Cuando se habilita una o ambas de estas opciones, los paquetes resultantes que se reenvían al PCA no contienen una suma de comprobación del paquete recalculado, que hace que la suma de comprobación falle y el paquete se deba descartar. Otros efectos: v Los recuentos de páginas que faltan o parciales aparecen en los datos de la sesión. v Las estadísticas de PCA deben mostrar un aumento significativo en Total checksum errors. Consulte “Estadísticas por instancia” en la página 153. Nota: Si el NIC utilizado por el IBM Tealeaf CX Passive Capture Application utiliza la opción grande de recibir y/o la descarga de la suma de comprobación, debe inhabilitar la validación de la suma de comprobación en la consola web de PCA. Para inhabilitar, seleccione la casilla de comprobación Disable Packet checksum validation en la pestaña de interfaz. Como una alternativa, puede habilitar la validación de la suma de comprobación para el IBM Tealeaf CX Passive Capture Application si inhabilita la descarga de la suma de comprobación a través del nivel de controlador del sistema operativo. No obstante, esta opción añade un uso de procesos para el sistema operativo. v El mandato para inhabilitar la descarga de suma de comprobación para el NIC deben colocarse en el script de configuración de modo de inicio. Segmentación del tráfico: Los paquetes capturados se trafican a instancias individuales de la PCA en base al Tráfico deseado especificado para cada instancia y a los valores globales del Tráfico ignorado. La Captura pasiva examina cada paquete de red y determina cómo traficarlo en base a las reglas de filtro. Con la ayuda de las reglas de filtro, puede especificar dónde quiere que vaya el tráfico requerido, ayudar a equilibrar la carga entre varias instancias de la PCA y definir los tipos de tráfico que puede ignorar la PCA. Nota: La PCA configura automáticamente sus filtros de escucha para permitir la captura de paquetes VLAN 802.1q. Consulte “Filtros de VLAN” en la página 110. v Para eliminar todos los filtros de todas las instancias, seleccione Eliminar filtros en la sección Funciones generales. Cualquiera de los dos métodos siguientes puede configurarse en la pestaña Interfaz para que segmente cargas de tráfico a instancias múltiples de la PCA: v Filtrado de las direcciones IP/Puerto del host del servidor web: el método típico y preferido para la segmentación de tráfico por la instancia de PCA es filtrar a las direcciones IP/Puerto del host del servidor web. Consulte “Servidor web host IP/Filtrado de direcciones de puerto”. v Filtrado de la segmentación de puerto de cliente de TCP: el método alternativo, la segmentación de puerto de cliente de TCP, se utiliza cuando el tráfico de captura se presenta como una única dirección IP de web virtual (VIP). Consulte “Filtrado de segmentación de puerto de cliente TCP” en la página 94. Servidor web host IP/Filtrado de direcciones de puerto: Si al tráfico de captura presentado al PCA lo sirven varios servidores web a traves de sus direcciones de IP de host/puerto, entonces cada instancia PCA puede filtrar para un subconjunto Capítulo 4. Configuración de CX PCA 93 de esas direcciones IP de host. Este método proporciona los medios para distribuir cargas de tráfico a través de varias instancias. Nota: Los filtros IP se listan en el orden en el cuál los escriba, y el orden no puede cambiarse de forma dinámica. Sin embargo, cuando los filtros se compilan en formato binario, se pueden intercalar por dirección y la máscara de red para un proceso óptimo, aunque improbable. Periódicamente, la lista de filtros se debe revisar para comprobar que todos los filtros activos contienen tráfico. Filtros sin tráfico se deben eliminar de la lista. Figura 13. Reglas de filtro (PCA Build 35xx o posterior) Para cada instancia del PCA (área de control de páginas), las secciones Lista de instancia y Tráfico ignorado identifican los paquetes de la red para incluir e excluir. Si el paquete coincide con el tráfico requerido y coincide con el tráfico a ignorar, entonces captúelo para un proceso adicional. v Consulte “Reglas de filtro de tráfico ignorado” en la página 100. En la sección reglas de filtro, puede especificar las direcciones IP/Puertos que se someten datos al PCA. Puede agregar y suprimir direcciones IP específicas o de un rango de direcciones IP. También puede especificar hosts específicos cuyo tráfico no desee que el dispositivo capture. v Para obtener más información sobre buenas prácticas en la gestión de las direcciones IP, consulte “Prácticas recomendadas para reglas de filtro” en la página 101. v Para obtener más información sobre cómo crear reglas para la segmentación de tráfico de este método, consulte “Reglas de filtro para un host” en la página 97. v Para obtener más información sobre cómo crear reglas para ignorar tráfico, consulte “Reglas de filtro de tráfico ignorado” en la página 100. Filtrado de segmentación de puerto de cliente TCP: Cuando el tráfico se sirve desde una dirección IP de web virtual única (VIP), puede utilizar el método de segmentación de puerto de cliente TCP para segmentar el tráfico basado en rangos de puerto de cliente TCP. Nota: Siempre que sea posible, la segmentación de la dirección IP es el método preferido antes que la segmentación de puerto. Consulte “Servidor web host IP/Filtrado de direcciones de puerto” en la página 93. Ya que no existen varias direcciones IP de host de servidor web para distribuir, la segmentación se realiza mediante rangos de puerto de cliente TCP. Cada instancia PCA filtra en un rango de puertos TCP de cliente. El agregado de todos los rangos 94 IBM Tealeaf CX Passive Capture Application: Manual de PCA de puerto en todas las instancias de la PCA abarca el espectro entero de puertos TCP de cliente y por lo tanto, asegura la captura completa. Los siguientes son los requisitos para utilizar este método: v El tráfico de la dirección IP virtual (VIP) debe contener sólo el tráfico de captura requerido. Se utiliza todo el tráfico en esta VIP. v v v v Nota: Verifique que la VIP no tenga ningún tráfico no deseado. Sólo se puede especificar una VIP para este tipo de filtrado. Los números de puerto TCP de host de servidores web deben ser menores a 1024. Por ejemplo, los puertos de host 8443, 4443 y 1443 no son válidos. No se pueden utilizar las reglas de filtro ignoradas. Para obtener más información sobre cómo crear reglas de filtro para este método de segmentación de tráfico, consulte “Reglas de filtro para un rango de puertos” en la página 98. Para obtener más información sobre el soporte de filtros personalizados, póngase en contacto con Tealeaf http://support.tealeaf.com. Llenado de puertos: Nota: La utilización de rangos de puertos para segmentar el tráfico capturado se considera una función avanzada y debe especificarse solamente durante la configuración inicial de la IBM Tealeaf CX Passive Capture Application. Si tiene alguna pregunta, póngase en contacto con Tealeaf http://support.tealeaf.com. Para empezar, puede llenar automáticamente los rangos de puerto que se dirigen a cada instancia de la PCA. Todos los rangos de puerto desde 1024 y superiores, se dividen de forma equitativa entre las instancias de la PCA. Por ejemplo, si tiene tres instancias de la PCA, cada PCA recibe tráfico de una cantidad igual de puertos, lo que equivale a los siguientes puertos: (65,536 - 1024) / 3 = 21,504 ports/instance Nota: Los números válidos de puertos están comprendidos entre 1024 y 65.535. Los números de puerto por debajo de 1024 están reservados. v Para obtener más información, consulte http://www.iana.org/assignments/portnumbers. Nota: El llenado de los puertos elimina todos los demás filtros de escucha de cada instancia de la PCA. 1. Para el llenado de los rangos de puerto, pulse Llenar puertos. 2. Los rangos de puerto se llenan en todas las instancias disponibles de la PCA. Guarde los cambios. 3. Es necesario reiniciar la PCA. Después de llenar los puertos, debe supervisar la carga de tráfico que se envía a cada instancia. Por ejemplo, suponga que el servidor web entrega respuestas HTTP en el puerto 8080. A continuación, la instancia de la PCA que recibe este tráfico puede que esté ejecutándose en caliente, mientras que otras apenas sí se están utilizando. Las estadísticas de Coincidencias por segundo actuales se notifican en el separador Resumen, y cada instancia de PCA se notifica bajo un valor de ID diferente. Capítulo 4. Configuración de CX PCA 95 v El índice de coincidencias/seg SSL se informa en la columna SSL de coincidencias Reassd. v El índice de coincidencias/seg no SSL se informa en la columna no SSL de coincidencias Reassd. Consulte “Consola Web de PCA - Pestaña Resumen” en la página 76. Ajustes: v Si nota desequilibrios, debe considerar la aplicación de más reglas de filtro. v En servidores multinúcleo IBM Tealeaf CX Passive Capture Application, puede crear varias instancias de la PCA y distribuir la carga en rangos de puerto configurables. Consulte “Equilibrio de carga entre instancias PCA mediante la utilización de rangos de puerto”. v Después del llenado automático de puertos, puede configurar una dirección IP virtual. Consulte “Edición de reglas de filtro de rango de puertos existentes” en la página 99. Equilibrio de carga entre instancias PCA mediante la utilización de rangos de puerto: Cuando se llenan los rangos de puertos en todas las instancias disponibles de PCA, el PCA asigna el mismo número de puertos a cada instancia disponible de PCA. Normalmente, sin embargo, la infraestructura de red de empresa no distribuye equitativamente la carga de tráfico en toda la gama de puertos disponibles. Después de que ha llenado los rangos de puertos, puede descubrir que la carga de tráfico no está distribuida uniformemente entre las instancias. Por ejemplo, la instancia 0 de PCA puede estar procesando el 75% de los datos reenviados, mientras que la instancia 1 de PCA está procesando solo el 25%, aunque cada instancia está a la escucha en el mismo número de puertos. Al seguir estos pasos, puede ajustar los rangos de puertos asignados a cada instancia de PCA para equilibrar la carga entre las instancias disponibles. Este proceso puede requerir ajuste iterativo y debería producir periodos de tráfico máximo. 1. Cree una instancia del número requerido de instancias de PCA. Consulte “Ver instancias” en la página 92. 2. En la pestaña de interfaz, pulse Llenar puertos. 3. Guarde los cambios. 4. El paso anterior distribuye el tráfico de carta uniformemente en todos los puertos. Los siguientes pasos se deben repetir hasta que la carga de datos se distribuya uniformemente a todos los puertos disponibles para las instancias de PCA: a. Compruebe el número de hits SSL/seg procesados por cada instancia. El proceso de hits de SSL es la operación más intensiva de CPU y un buen indicador para el equilibro de carga. Si los hits de SSL no son el volumen de tráfico principal, entonces utilice las tasas no hits de SSL/seg para medir la carga. Puede utilizar una combinación de los dos, si es necesario. v Las estadísticas de Coincidencias por segundo actuales se notifican en el separador Resumen, y cada instancia de PCA se notifica bajo un valor de ID diferente. v El índice de coincidencias/seg SSL se informa en la columna SSL de coincidencias Reassd. v El índice de coincidencias/seg no SSL se informa en la columna no SSL de coincidencias Reassd. v Consulte “Consola Web de PCA - Pestaña Resumen” en la página 76. 96 IBM Tealeaf CX Passive Capture Application: Manual de PCA b. Al utilizar las tasas específicas de hits por segundo en cada instancia de PCA, debe revisar y modificar ligeramente los rangos de puertos, expandiendo o modificando según sea necesario, para aproximarse más a la distribución de carga uniforme. c. Ajuste y, a continuación, revise los resultados en la pestaña resumen. Nota: La consola web de PCA no valida los rangos de puertos especificados. Con cada ajuste, verifique que no se creen huecos o solapamientos en los rangos de puertos y que no se especifica la totalidad de rangos de puertos disponibles. d. Es improbable que cualquier conjunto de ajustes produzca una distribución equitativa. La obtención de tasas de hits/seg para cada rango hasta 25% de cada uno de los otros debe ser suficiente, ya que las tasas de carga pueden variar en el tiempo. e. Guarde los cambios. El PCA se reinicia automáticamente y se aplican los cambios. f. Repita los pasos anteriores hasta que la carga se equilibre de acuerdo a su conformidad. 5. Cuando se completen sus ajustes, verifique que todo el rango de puertos disponibles (1024-65535) esté cubierto por el conjunto de rangos de puertos. Las pausas y las superposiciones debe eliminarse. Reglas de filtro: Puede utilizar reglas de filtro para filtrar paquetes de datos entrantes y transportarlos a instancias específicas de PCA. Se pueden definir reglas para filtrar basadas en el nombre de host, la máscara de red y el rango de puerto del tráfico entrante. Nota: El panel Filtrar reglas es útil para añadir una regla de filtro única para aplicar a varios hosts en varias instancias de PCA. Para la creación y depuración inicial, la vista de editar filtros proporciona métodos más fáciles para verificar que todos os puertos están cubiertos por las reglas de filtro para todas las instancias.Consulte “Edición de filtros” en la página 105. Reglas de filtro para un host: Las reglas de filtro basadas en host se pueden utilizar para el tráfico deseado o ignorado de acuerdo al host que está enviando el tráfico. v Para especificar el tráfico basado en puertos, utilice un filtro de rango de puertos. Consulte “Reglas de filtro para un rango de puertos” en la página 98. Para especificar una regla de filtros para un host: Nota: No confunda las reglas de filtro con los dos métodos de segmentación de tráfico. Solo puede utilizar las reglas de filtro especificadas para el método seleccionado. 1. Entre la dirección de IP del host. v Si este valor se deja en blanco, se capturan todos los IP de host al basarse en el número de puerto especificado. Sin embargo, el valor de tamaño de la máscara de red no se puede utilizar sin un valor de host válido. v Para añadir un host, pulse el Añadir más. – En PCA Build 34xx y anteriores, pulse el enlace Añadir un host. 2. Si el tráfico de host procede de una máscara de red específica, entre el valor aquí. Capítulo 4. Configuración de CX PCA 97 3. Si las casillas de comprobación del puerto 1 y el puerto 2 no se han especificado, todo el tráfico del host/máscara de red se filtra basado en una regla. Para una regla basada en host, no especifique los puertos especificados. 4. Desde añadir a desplegar, seleccione la instancia PCA a la que se aplica la regla. 5. A continuación, seleccione el tipo de regla de filtro: v Desired - El tráfico especificado se dirige a la instancia seleccionada. v Ignored - El tráfico especificado se ignora y se elimina del proceso adicional. Consulte “Reglas de filtro de tráfico ignorado” en la página 100. 6. Pulse Añadir. 7. La regla de filtro se añade a la instancia especificada y se aplica inmediatamente al tráfico de entrada. Reglas de filtro para un rango de puertos: Una regla de filtro de rango de puertos se puede utilizar para dirigir el tráfico requerido en un conjunto de puertos específicos a una instancia de PCA. Están soportados los siguientes métodos para especificar los filtros de rango de puertos: Nota: Los números válidos de puertos están comprendidos entre 1024 y 65.535. Nota: No confunda las reglas de filtro con los dos métodos de segmentación de tráfico. Solo puede utilizar las reglas de filtro especificadas para el método seleccionado. v Automático: El método preferido para especificar los filtros de rango de puertos es llenar los puertos automáticamente. Crea la regla de filtro de rango de puertos correcta para cada instancia. El llenado de puertos presupone que todas las instancias requeridas ya se ha creado. Consulte “Llenado de puertos” en la página 95. – Después del llenado automático de los rangos de puertos, puede editar si es necesario. Consulte “Edición de reglas de filtro de rango de puertos existentes” en la página 99. v Manual: Si está especificando manualmente los rangos de puertos (no llenados automáticamente), solo se permite una entrada de dirección IP para el filtrado VIP (IP virtual). Se ignora cualquier dirección IP adicional a los rangos de puertos. – La solución alternativa es utilizar una máscara de subred con una sola dirección IP. – Los siguientes pasos habilitan la especificación manual de una regla de filtro de rango de puertos para la instancia especificada. – Si debe editar las reglas existentes, pulse Editar filtros en la pestaña de interfaz. Las reglas de filtro de rango de puertos pueden filtrar en una dirección VIP requerida, que permite el filtrado de los otros tráficos no deseados con un tráfico de dirección VIP. v Si el tráfico de captura solo contiene el tráfico requerido, entonces aquí no es necesaria la dirección IP. Adición manual o especificación de una regla de filtro para un rango de puertos: 98 IBM Tealeaf CX Passive Capture Application: Manual de PCA Figura 14. Adición manual de reglas de filtro de rango de puertos (PCA Build 35xx o posterior) 1. Si es necesario, bajo las reglas de filtro, entre la dirección IP o el VIP en el campo Host. 2. Para el tipo de regla de filtro, seleccione Port Range, que envía el tráfico especificado a la instancia seleccionada. 3. Utilice la misma dirección IP para cada regla de filtro de rango de puertos. v Si se necesitan varias direcciones IP y se agrupan en una subred, entonces se puede aplicar una máscara de subred a la dirección IP base. Por ejemplo, una entrada de 66.211.169.0/24 coincide con los primeros 24 bits de la dirección IP (los tres primeros octetos) y permite la coincidencia de comodines en cualquier valor en el cuarto octeto, que está especificado como 0. Cualquier rango de puertos que está especificado por este IP virtual coincide con todas las 254 direcciones IP del VIP. 4. Si el tráfico VIP viene de una máscara de red específica, entre aquí el valor de la máscara. 5. Entre el valor de puerto de inicio en el campo Start Port y el valor de puerto final en el campo End Port. 6. Desde la instancia desplegable, seleccione una instancia de PCA a la que aplicar la regla. 7. Pulse Crear filtro. v En PCA 34xx y anteriores, pulse Añadir. 8. La regla de filtro se añade a la instancia especificada y se aplica inmediatamente al tráfico de entrada. Nota: Solo se debe añadir una regla de filtro de rango de puertos a cada instancia. Se ignora cualquier regla de rango de puertos adicional para la instancia. Nota: Después de guardar los cambios en el separador Interfaz, es necesario reiniciar PCA manualmente. Consulte “Consola web de PCA - Pestaña Consola” en la página 89. Edición de reglas de filtro de rango de puertos existentes: Capítulo 4. Configuración de CX PCA 99 Figura 15. Edición de reglas de filtro de rango de puertos existentes con una dirección VIP Nota: Esta modalidad se puede utilizar para añadir una dirección VIP si se ha realizado la opción auto llenar puertos (Botón llenar puertos). 1. Si es necesario, en la pantalla Editar filtros, pulse la casilla de comprobación Rango de puertos. 2. Entre la dirección de IP del VIP en el campo Address. 3. Utilice y aplique la misma dirección de IP para cada regla de filtro de rango de puertos. 4. Cambie cualquier campo de regla de filtros según sea necesario. 5. Para aplicar los cambios, pulse Guardar cambios. Nota: Después de guardar los cambios en la pestaña Interfaz, es necesario un reinicio manual de PCA. Consulte “Consola web de PCA - Pestaña Consola” en la página 89. 6. Los cambios de configuración se aplican a tráfico de entrada. Reglas de filtro de tráfico ignorado: Puede especificar las reglas de filtro para ignorar el tráfico. Estas reglas se aplican en todas las instancias del PCA. Figura 16. Especificación de una regla de filtro de tráfico ignorado 1. Especifique la regla en el recuadro de reglas de filtro. a. Especifique el host el tráfico desde los que desea ignorar. Para ignorar todo el tráfico de un valor de puerto específico, deje estos valores en blanco. 100 IBM Tealeaf CX Passive Capture Application: Manual de PCA b. Especifique el puerto para ignorar, si es necesario. Para ignorar todos el tráfico de un host, deje vacíos los valores de máscara de red y de puerto. Nota: No puede especificar rangos de puerto para reglas de tráfico ignorado. 2. Pulse el recuadro de selección Ignorado. 3. Pulse Crear filtro. v En PCA 34xx y anteriores, pulse Añadir. 4. La regla se llena en el recuadro Tráfico ignorado (Global) en la parte inferior de la pantalla. Figura 17. Tráfico ignorado (Global) Todo el tráfico que se envía desde la dirección que está coincidiendo con las reglas de tráfico ignorado se eliminan del PCA. Prácticas recomendadas para reglas de filtro: Se recomienda limitar el número de reglas de filtro a no más de 20 para cada instancia del PCA. Nota: El rendimiento de los filtros de IP tiende a disminuir a medida que se añaden más entradas. Se recomienda evitar tener más de 20 entradas en una instancia. Para solucionar este problema, puede: v Reducir el número de reglas de filtro utilizando máscaras de subred. Por ejemplo, si está utilizando reglas de filtro individuales para cada puerto en un rango de puertos, puede utilizar una máscara de subred para crear una única regla de filtro para todos los puertos del rango. v Crear varias instancias de la aplicación PCA. Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. Mezclar filtros para direcciones IP específicas y rangos de puertos: Es posible utilizar combinaciones de direcciones IP específicas y rangos de puertos para filtrar tráfico. Nota: El método de configuración de filtros es solo para usuarios avanzados de PCA. No está soportado en la interfaz de la consola web de PCA y se puede implementar solo al editar manualmente el archivo de configuración. Después de que se implementa este método, ya no podrá utilizar la consola web para editar sus filtros. Nota: Si se mezclan estos métodos, el probable que genere tráfico duplicado si implementa manualmente este cambio. Capítulo 4. Configuración de CX PCA 101 Para mezclar modalidades de filtrado en la misma configuración, puede insertar entradas similares a la siguiente en ctc-conf.xml: Nota: Las entradas editadas manualmente se puede perder si se utiliza la consola web de PCA y genera una reescritura de su configuración. <Instance> <ListenTos> <ListenTo> <Address>10.10.100.200</Address> <PortRange>33280-65535</PortRange> </ListenTo> </ListenTos> </Instance> Consulte “Archivo de configuración de captura pasiva ctc-conf.xml” en la página 187. Lista de instancias: Figura 18. Instancias En la lista de instancias, puede configurar, habilitar, inhabilitar y suprimir instancias del IBM Tealeaf CX Passive Capture Application en el servidor. v Para suprimir una instancia creada, pulse el enlace suprimir junto al listado en la lista de instancias. – La instancia principal no se puede suprimir. v Para alternar el uso de una instancia secundaria, pulse el enlace Habilitado o Inhabilitado junto a su nombre v Para eliminar todos los filtros para una instancia específica, pulse borrar filtros. v Para editar una instancia, pulse el enlace editar junto a su lista. Consulte “Interfaces de red de captura” en la página 103. 102 IBM Tealeaf CX Passive Capture Application: Manual de PCA Interfaces de red de captura: Figura 19. Interfaces de red de captura Las opciones que se muestran en la figura incluyen las siguientes descripciones. Nota: Si está utilizando varias instancias, todas las instancias deben establecerse dentro del listado de la instancia primaria. De lo contrario, el PCA no se inicia. Valor Descripción Primary Interface Esta lista desplegable designa una interfaz de red de hardware determinada como la interfaz primaria para la captura. El menú desplegable es una lista compilada dinámicamente de las interfaces importantes. Secondary Interface Esta lista desplegable designa una interfaz de red de hardware determinada como la interfaz secundaria para la captura. El menú desplegable es una lista compilada dinámicamente de las interfaces importantes. Listen Interfaces Seleccione las interfaces en las que escucha la instancia seleccionada: v Both Interfaces - Ambas interfaces escuchan el tráfico. v Primary Interface only - Sólo la interfaz primaria escucha el tráfico. v Inherited from Primary - Las interfaces de escucha se heredan de la instancia primaria. Listen Direction Selecciona las direcciones en las que las interfaces seleccionadas escuchan el tráfico: v Bidirectional - Las interfaces seleccionadas escuchan paquetes entrantes y salientes. v Unidirectional - La interfaz primaria escucha paquetes entrantes, y la interfaz secundaria escucha paquetes salientes. v Inherited from Primary - Las direcciones de escucha se heredan de la instancia primaria. Ejemplos: A continuación se muestran unos ejemplos de interfaces. Capítulo 4. Configuración de CX PCA 103 Interfaz principal sólo bidireccional Esta opción está a la escucha en la interfaz principal para ambos paquetes, de entrada y salida. Utilícela cuando esté conectado a un segmento de red único a través de un conmutador con duplicación de puerto o un concentrador. Interfaz bidireccional principal y secundaria Esta opción escucha en ambas interfaces para paquetes de entrada y salida. Utilícela cuando esté conectado a dos segmentos de red independientes a través de conmutadores con duplicación de puerto o concentrador. Interfaz unidireccional principal y secundaria Esta opción está a la escucha en la interfaz principal para paquetes de entrada y en la interfaz secundaria para paquetes de salida. Utilícela cuando está conectado a un solo segmento de red a través de un tap. Tráfico a ignorar: Esta sección especifica tráfico que el dispositivo debe ignorar explícitamente. Aún cuando un par host-puerto en esta lista cumpla con los criterios en la sección Tráfico deseado, el dispositivo no lo captura. Para ignorar todo el tráfico para un host, especifique * o All como el puerto. Cuando especifica las combinaciones host y puerto a ignorar, añade restricciones que los paquetes coincidentes no deben ser una de las combinaciones de host y puerto. Por ejemplo, suponga que desea capturar todo el tráfico hacia y desde los hosts que se comunican en los puertos 1, 2 y 3 excepto para las siguientes combinaciones de host y puerto: Host Puerto 1.2.3.4 4 5.6.7.8 5 La descripción de ese tráfico es igual a ejecutar el siguiente mandato único: tcpdump -n -i eth0 "((port 1) or (port 2) or (port 3)) and not \ ((host 1.2.3.4 and port 4) or (host 5.6.7.8 and port 5))" En ctc-conf.xml, el ejemplo se traduce al siguiente XML: <Ignores> <Ignore> <Address>1.2.3.4</Address> <Port>4</Port> </Ignore> <Ignore> <Address>5.6.7.8</Address> <Port>5</Port> </Ignore> </Ignores> <ListenTos> <ListenTo> <Port>1</Port> </ListenTo> <ListenTo> <Port>2</Port> </ListenTo> <ListenTo> <Port>3</Port> </ListenTo> </ListenTos> 104 IBM Tealeaf CX Passive Capture Application: Manual de PCA Edición de filtros En la vista Editar filtros, puede editar puertos y rangos de puertos para filtrar los datos enviados a cada instancia de PCA. Puede utilizar esta vista para verificar que todos los rangos de puertos requeridos se especifican correctamente en todas las instancias de IBM Tealeaf CX Passive Capture Application. v También puede especificar filtros de datos en la vista instancias Ver. Consulte “Reglas de filtro” en la página 97. Figura 20. Edición de filtros De forma predeterminada, la vista Editar filtros habilita la especificación de hasta dos puertos individuales para el que se deben enviar los datos a un PCA individual. v Para especificar un rango de puertos, pulse la casilla de comprobación Rango de puertos. Los datos que se visualizan en la casilla de comprobación se convierten en un rango de inicio y finalización para la captura y el reenvío. v Para agregar una fila, pulse el enlace Añadir fila. La nueva fila se inserta. v Para eliminar una fila de filtro de datos, pulse el enlace Suprimir fila. Para especificar un filtro de datos: 1. De la instancia de columna, seleccione el identificador de instancia de PCA a la cual el filtro aplica. Todos los datos que se capturan desde el servidor y los puertos especificados se reenvían a la instancia seleccionada. v Consulte “Lista de instancias” en la página 102. 2. En la columna dirección, especifique la dirección IP del servidor que está proporcionando los datos. Nota: No se aceptan nombres de host. 3. En la columna Máscara de red, puede especificar una máscara de red, si es aplicable. 4. Especifique los puertos para capturar: v Si no se selecciona el rango de puertos, puede especificar hasta dos puertos para capturar desde la dirección especificada. v Si se selecciona el rango de puertos, puede especificar un puerto de inicio y un puerto de finalización en los dos cuadros de textos. Estas entradas indican un rango de puertos, inclusive, que se reenvían a la instancia seleccionada de PCA para captura. Capítulo 4. Configuración de CX PCA 105 Formato CIDR: Para configurar un bloque de direcciones IP permitidas, utilice el formato CIDR. CIDR especifica un rango de direcciones IP por la combinación de una dirección IP y su máscara de red asociada. La notación CIDR utilice el siguiente formato: 192.30.250.00/18 v El 192.30.250.00 de este ejemplo es la dirección de red. El 18 indica que los primeros 18 bits son la parte de la red de la dirección, dejando a los últimos 14 bits para direcciones de host específicas. La tabla siguiente contiene más ejemplos: Formato CIDR Máscara de red equivalente 10.10.0.0/16 255.255.0.0 10.10.10.0/24 255.255.255.0 10.10.10.0/28 255.255.255.240 Tráfico del puerto SPAN: Si está capturando una subred desde un puerto SPAN, debe determinar si el puerto SPAN le está enviando sólo esa subred u otro tráfico. Si recibe sólo esa subred, entonces seleccione Puertos específicos en todos los hosts para capturar puertos específicos. Por ejemplo, para capturar todo el tráfico del puerto 80 y del 443 en todos los hosts, seleccione Puertos específicos en todos los hosts y especifique el puerto 80 y el 443. Si el puerto SPAN duplica tráfico adicional, seleccione Combinaciones host-puerto específicas. Para los hosts, utilice la sintaxis CIDR para que coincida con la subred. En el ejemplo de los puertos 80 y 443, si desea todo el tráfico de la red 1.2.3.0 máscara de red 255.255.255.0, especifique las siguientes Combinaciones host-puerto específicas: Host Puerto 1.2.3.0/24 80 1.2.3.0/24 443 Parámetros de ajuste La sección Parámetros de ajuste especifica las características de rendimiento del sistema. 106 IBM Tealeaf CX Passive Capture Application: Manual de PCA Figura 21. Parámetros de ajuste (Valores de captura) Las opciones que se muestran en la figura anterior incluyen las siguientes opciones: Valor Descripción Max input buffer size Define el tamaño del búfer entre el rastreador de paquetes y el ensamblador de hits. Si el ensamblador de hits se vuelve muy lento, los paquetes se ponen en cola en este búfer para su procesamiento. Cuando el ensamblador de hits tiene recursos disponibles, comienza a extraer paquetes de la cola y a procesarlos. v Cuando se llena el búfer, el PCA comienza a descartar coincidencias. Mediante la imposición de un límite en el búfer, el sistema evitará un bloqueo. Sin embargo, los datos se descartan. Nota: Tealeaf recomienda que mantenga este valor en el valor predeterminado. Se utiliza para los problemas de depuración relacionados con condiciones de tráfico pico que estén sobrepasando el almacenamiento intermedio. No cambie este valor sin la ayuda de Tealeaf. Max memory consumption Define la cantidad máxima de memoria del sistema (en MB) asignada al proceso de captura. El valor predeterminado es 1300 (alrededor de 1.3 GB). v La IBM Tealeaf CX Passive Capture Application es una aplicación de 32 bits, lo que significa que cada proceso PCA puede dirigir un máximo de 2 GB de RAM. Nota: Tealeaf recomienda que mantenga este valor en el valor predeterminado. Se utiliza para los problemas de depuración relacionados con volúmenes de tránsito incrementado que estén sobrepasando la PCA. No cambie este valor sin la ayuda de Tealeaf. Capítulo 4. Configuración de CX PCA 107 Max simultaneous connections Establece el número máximo de conexiones TCP a través de las cuales el sistema puede capturar simultáneamente. Si hay más conexiones que este número de conexiones, el sistema de captura reemplaza las conexiones más antiguas por nuevas. Después de que se cierra una antigua, el sistema comienza a capturar la siguiente conexión nueva. Al imponer este límite, el sistema impide que un pico en la cantidad de conexiones que sobrecargan los recursos del sistema provoque que se cuelgue el mismo. Nota: Este valor se aplica por instancia de la PCA. Como parte de una instalación o actualización inicial de la PCA, este valor debe ser revisado contra volumen de tráfico actual. Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. Max simultaneous connections in SYN State Establece el número máximo de conexiones TCP que pueden estar en el estado SYN a la vez. Si hay más que este número de conexiones en este estado, el sistema reemplaza las conexiones más antiguas con las nuevas. Una vez que una antigua se cierra o transiciona de este estado, el sistema comienza a capturar la siguiente conexión nueva. Al imponer este límite, el sistema impide que los ataques de desbordamiento SYN provoquen que el mismo se cuelgue. Nota: Este valor se aplica por instancia de la PCA. Como parte de una instalación o actualización inicial de la PCA, este valor debe ser revisado contra volumen de tráfico actual. Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. Max SSL sessions to cache Establece el número máximo de sesiones SSL que el sistema puede almacenar en la memoria caché simultáneamente. Después de que el sistema alcanza este límite, éste descarta las entradas antiguas primero. Si una sesión correspondiente a una entrada descartada se reanuda, el sistema no la puede decodificar. Al imponer este límite, el sistema impide que un pico de sesiones terminadas incorrectamente cause que el mismo se cuelgue. v Este valor puede elevarse con algunas restricciones. Para obtener más información, consulte "Resolución de problemas de captura" en la publicación IBM Tealeaf Guía de resolución de problemas. Max wait time for hit responses Establece la duración del temporizador que se utiliza para detenido si un servidor está demorado en una solicitud HTTP. Después que el sistema recibe el último paquete para una solicitud, inicia este temporizador. Si el temporizador caduca antes de recibir el primer paquete de la respuesta, el sistema identifica la solicitud como detenida y la empaqueta como una coincidencia detenida. Si eventualmente llega la respuesta, el sistema la ignora. Al imponer este temporizador, el sistema impide que las solicitudes detenidas utilicen los recursos. Max wait time for hit transmissions Establece la duración del temporizador que se utiliza para determinar si una conexión TCP está congelada. Se inicia este temporizador después que el sistema recibe un paquete para una conexión. Si el temporizador caduca antes de recibir otro paquete, el sistema identifica la conexión como congelada y la descarta. Si la conexión corresponde a una solicitud HTTP, el sistema la ignora por completo. Si la conexión corresponde a una respuesta HTTP, el sistema empaqueta los datos de la respuesta parcial en 108 IBM Tealeaf CX Passive Capture Application: Manual de PCA un acierto. Al imponer este temporizador, el sistema impide que las conexiones congeladas utilice recursos. Max large capture packet size Especifica el tamaño máximo de la captura de paquete TCP. El valor predeterminado es de 8 KB. Cambios manuales en la configuración de interfaz En la mayoría de los casos, puede especificar cualquier interfaz de configuración en la consola web de PCA. En casos excepcionales, debe realizar cambios manuales en la interfaz de configuración mediante el archivo ctc-conf.xml. Valor Descripción All Traffic Esta opción captura todos los paquetes a y desde cualquier host en el segmento de red. Cuando selecciona para capturar todo el tráfico necesario, la descripción es una sentencia vacía que coincide con todos los paquetes TCP/IP posibles. Es el mismo que está ejecutando el mandato: tcpdump -n -i eth0 En el archivo ctc-conf.xml, la elección para capturar todo el tráfico se traduce en el siguiente XML: <ListenTos> <ListenTo>*</ListenTo> </ListenTos> Specific Ports on All Hosts Esta opción captura los paquetes a y desde cualquier host pero solo en puertos específicos. Cuando está seleccionado, debe especificar uno o más números de puertos TCP/IP. La descripción resultante coincide con cualquier paquete que está destinado o enviado al menos a uno de los puertos que especifica. Por ejemplo, suponga que ha especificado los puertos 99, 199 y 200. La descripción resultante de los paquetes a coincidir sería igual a ejecutar el siguiente mandato: tcpdump -n -i eth0 "((port 99) or (port 199) or (port 200))" En el archivo ctc-conf.xml, el ejemplo anterior se traduciría en el siguiente XML: <ListenTos> <ListenTo> <Port>99</Port> </ListenTo> <ListenTo> <Port>199</Port> </ListenTo> <ListenTo> <Port>200</Port> </ListenTo> </ListenTos> Specific Host-Port Combinations Esta opción captura solo aquellos paquetes a y desde combinaciones de puerto de host específicas. Cuando está seleccionado, puede especificar el host y los puertos correspondientes para ese host que se deben capturar. La descripción resultante coincide con al menos una de las combinaciones donde el host de origen o destino coincide con el host que está especificado y el puerto de origen o destino coincide con el puerto especificado. Capítulo 4. Configuración de CX PCA 109 Suponga que ha especificado las siguientes combinaciones de host y de puerto. Host Puerto 127.0.0.1 80 172.16.0.1 1 172.16.0.2 2 El siguiente mandato para registrar el mismo tráfico sería el siguiente mandato: tcpdump -n -i eth0 "((host 127.0.0.1 and port 80) or \ (host 172.16.0.1 and port 1) or (host 172.16.0.2 and port 2))" En el archivo ctc-conf.xml, el ejemplo anterior se traduciría en el siguiente XML: <ListenTos> <ListenTo> <Address>127.0.0.1</Address> <Port>80</Port> </ListenTo> <ListenTo> <Address>172.16.0.1</Address> <Port>1</Port> </ListenTo> <ListenTo> <Address>172.16.0.2</Address> <Port>2</Port> </ListenTo> </ListenTos> Filtros de VLAN: El PCA automáticamente configura sus filtros de escucha para permitir que los paquetes 802.1q VLAN sean capturados sin la configuración explícita. Nota: Excepción: cuando utiliza filtros de rango de puerto, el tráfico VLAN no se captura. Si está utilizando tcpdump para realizar una análisis de tráfico, debe aplicar manualmente las etiquetas VLAN de filtro en la línea de mandatos para ver paquetes VLAN. En la sección anterior, el mandato para comenzar tcpdump se debe aumentar para permitir la captura del paquete VLAN de la manera siguiente: Nota: Elimine las barras inclinadas al final de cada línea, lo que indica la continuación de la línea. tcpdump -n -i eth0 "((host 127.0.0.1 and port 80) or \ (host 172.16.0.1 and port 1) or (host 172.16.0.2 and port 2) or \ (vlan and host 127.0.0.1 and port 80) or \ (vlan and host 172.16.0.1 and port 1) or (vlan and host 172.16.0.2 and \ port 2))" Consola Web de PCA - Pestaña de Entrega: La pestaña de Entrega le permite especificar los destinatarios de destino y los parámetros de ajuste. Las siguientes imágenes muestran las opciones de configuración disponibles a través de la pestaña de Entrega de la consola web. v Las Interfaces de red se mostrarán ahora en la pestaña Programas de utilidad. Consulte “Consola Web de PCA - Pestaña de Programas de utilidad” en la página 179. 110 IBM Tealeaf CX Passive Capture Application: Manual de PCA Destinatarios de destino Esta lista especifica los servidores de Tealeaf a los que el dispositivo debe enviar las coincidencias empaquetadas. Al añadir un destinatario se inician una serie de pantallas para la configuración de la dirección y la seguridad de entrega. Figura 22. Destinatarios de destino Para cada igual, los enlaces en la columna Conexión (Ping y Velocidad) prueban la conexión al hacer ping en el igual o al probar la velocidad de conexión, respectivamente. v Para eliminar un igual, pulse el icono X en la columna Suprimir. Figura 23. Añadir destinatario Valor Descripción Host Address Nombre de host o dirección IP del destinatario de destino. Host Port Número de puerto en el que escucha el destinatario de destino. Enable Secure Delivery Determina si se utiliza o no la entrega segura. Capítulo 4. Configuración de CX PCA 111 v Cuando esta opción está habilitada, debe importar un certificado SSL para que lo utilice la PCA. Consulte “Generación de un certificado autofirmado” en la página 224. Número máximo de destinatarios: En función de la compilación de PCA, puede añadir hasta el siguiente número de destinatarios: v PCA Build 34xx y anteriores: 20 v PCA Build 35xx y anteriores: 40 Nota: Evite utilizar muchas conexiones de iguales, si es posible. El almacenamiento intermedio de cola de entrega para cada igual (Max Queue Length) es 50 MB. Basado en el valor predeterminado, para habilitar 20 iguales, es necesario 20 * 50 MB = 1 GB de memoria de proceso para almacenamientos intermedios de entrega. Si utiliza 40 iguales, es necesario 2 GB de memoria de proceso que supera el límite de memoria de proceso de 32 bits. Si desea utilizar varios iguales, entonces debe reducir la memoria de cola de entrega predeterminada a 25 MB y mantener el uso total de memoria de cola en 1 GB. Para obtener más información, consulte el valor Max Queue Length en “Parámetros de ajuste”. Ejemplo: Agregar Destinatario: Para añadir un destinatario, realice los pasos siguientes: 1. Pulse Añadir. Se inicia la página Añadir destinatario para entrega de hits 2. Escriba el dominio o dirección de IP del destinatario de destino en el campo Dirección de host. 3. 4. 5. 6. Nota: Si el sistema operativo en el servidor de IBM Tealeaf CX Passive Capture Application se configura para conectarse a un servidor DNS, puede escribir el nombre de dominio. De lo contrario, especifique la dirección IP. Tealeaf recomienda utilizar una dirección IP estática para eliminar potenciales problemas de DNS en el futuro. En el campo Puerto de host, escriba el puerto en el que el destinatario de destino escucha los hits empaquetados. La opción Habilitar entrega segura determina si utilizar o no la entrega segura. Para utilizar la entrega segura, seleccione la casilla de verificación seguro, a continuación pulse Aceptar. Se inicia la página Añadir certificado para entrega segura. Entre el certificado que debe utilizar para autenticar el destinatario de destino de entrega al pegar el certificado de destinatario de destino en el certificado para cuadro de texto de nuevo destinatario en esta pantalla. Pulse Aceptar. Si no se utiliza la entrega segura, deje deseleccionada la casilla de verificaciónSeguro, a continuación pulse Aceptar. Parámetros de ajuste Con los Parámetros de ajuste puede establecer las características de entrega máxima. 112 IBM Tealeaf CX Passive Capture Application: Manual de PCA Figura 24. Parámetros de ajuste (entrega) Valor Descripción Delivery Mode La característica de modalidad de entrega permite a la IBM Tealeaf CX Passive Capture Application entregar tráfico mediante diferentes métodos a los iguales de entrega (recuadros css). El tráfico se puede distribuir utilizando los siguientes métodos: v Even Distribution - El tráfico se distribuye de forma uniforme entre los iguales. Por ejemplo, si se configuran cuatro iguales, entonces cada uno recibe aproximadamente el 25% del tráfico total. Nota: En PCA Build 3500 o posterior, cuando uno o más iguales de entrega pasan a estar disponibles, el tráfico se redistribuye automáticamente al resto de los iguales activos. Si un igual inactivo pasa a estar disponible, el tráfico vuelve al igual y se reequilibra para asegurar la distribución equitativa. Este método garantiza al tráfico de entrega que siempre distribuya equitativamente el 100% de su tráfico a todos los iguales de entrega activos. v Failover - Este método requiere dos iguales, uno primario y uno secundario. El primario recibe 100% del tráfico total mientras que el secundario entra en estado inactivo. Si se pierde la conexión al igual primario o se descartan demasiadas coincidencias, la PCA cierra la conexión al igual primario y realiza la migración tras error al secundario. Si el igual secundario falla, la PCA intenta restablecer al igual primario. Si la PCA no puede establecer una conexión saludable tanto con el igual primario como con el secundario, conmuta entre los dos hasta poder establecerla. Nota: Es posible que esta modalidad de entrega caiga en desuso en un release futuro. v Clone - Esta opción era el comportamiento predeterminado previo. Cada igual obtiene el 100% del tráfico total. v None - Esta opción reemplaza la opción 'entregar a nulo'. Si se selecciona esta opción, el tráfico se descarta antes de enviarse a alguno de los iguales de entrega, que son útiles solo a efectos de depuración. Max Delivery Wait Establece la duración del temporizador que se utiliza para enviar Capítulo 4. Configuración de CX PCA 113 coincidencias empaquetadas. Cuando este temporizador caduca, el dispositivo intenta enviar todos las coincidencias empaquetadas a los destinatarios seleccionados. Polling Interval Este valor no se utiliza actualmente. Watchdog Timer El tiempo máximo (en segundos) permitido para realizar una conexión al IBM Tealeaf CX Server. Si el tiempo de espera se excede, la conexión se marca como desconectada. El valor predeterminado es 30 segundos. Max Queue Length Establece la longitud máxima de la cola de entrega. Si la cola llega a esta longitud, el sistema comienza a descartar coincidencias recién empaquetadas hasta que la cola se acorte. Al imponer este límite, el sistema impide que el retraso provoque que se cuelgue. Cómo guardar los cambios Nota: Después de guardar los cambios en la pestaña Interfaz de la consola web, necesita reiniciar manualmente la PCA. Los cambios que se realizan en otras pestañas de la consola web no requieren reinicios manuales. v Se necesita reiniciar después de realizar cambios a través del archivo ctc-conf.xml. Consulte “Consola web de PCA - Pestaña Consola” en la página 89. Uso de Tealeaf Transport Service como fuente de la hora En esta sección, puede obtener información acerca de cómo configurar un host que ejecuta el Tealeaf Transport Service como origen de la hora. Cuando está habilitado, se contacta a Tealeaf Transport Service cada 15 minutos para obtener la hora actual. El reloj del sistema se deriva a la hora del Servicio de transporte. "Derivar" significa que la hora local del software de Captura pasiva no se fuerza al tiempo remoto exacto de la máquina del Servicio de transporte. En su lugar, si la hora local está retrasada con respecto a la hora remota, el reloj del sistema se incremente en una pequeña cantidad. Si la hora local está adelantada con respecto a la hora remota, el reloj del sistema avanza más lentamente hasta que finalmente coincida con la hora remota. Figura 25. Uso de Tealeaf Transport Service como fuente de la hora Valor Descripción Host or Address Designa el nombre de dominio o dirección IP del host que ejecuta Tealeaf Transport Service que se utilizará como origen de la hora. Si no desea sincronizar con un origen de la hora, deje este campo en blanco. 114 IBM Tealeaf CX Passive Capture Application: Manual de PCA Port Designa el puerto en el que el host de origen de la hora escucha las consultas de origen de la hora. Si no desea sincronizar con un origen de la hora, deje este campo en blanco. Entrega de estadísticas a Tealeaf Transport Service Esta sección habilita la configuración de la coincidencia de estadísticas. Puede controlar los siguientes cinco valores para la coincidencia de estadísticas: Figura 26. Entrega de estadísticas a Tealeaf Transport Service Valor Descripción Enabled Si este recuadro de selección está seleccionado, las coincidencias de estadísticas se habilitan como una característica. Si no está seleccionado, la característica se inhabilita. Host or Address Este campo contiene el nombre de host o dirección IP de la máquina que ejecuta Tealeaf Transport Service que debe recibir coincidencias de estadísticas. Interval Este valor, un número positivo, es el número mínimo de segundos a transcurrir entre intentos de enviar coincidencias de estadísticas. Si es cero, las coincidencias de estadísticas no se envían. Port Especifique el número de puerto TCP/IP a utilizar cuando se conecte a Tealeaf Transport Service en el host. Use SSL Indica si la conexión con Tealeaf Transport Service debe utilizar SSL. Consola Web de PCA - Pestaña Claves SSL Puede utilizar esta pestaña para revisar y editar la lista de Claves cargadas y la lista de Claves faltantes. Para alternar entre las listas, utilice el botón de selección adecuado: v La vista Claves privadas cargadas le permite agregar, editar y suprimir claves privadas para los servidores seguros. v La vista Claves privadas faltantes le permite ver información sobre, ignorar o borrar claves privadas. Capítulo 4. Configuración de CX PCA 115 v También puede cargar certificados SSL en varios formatos. Consulte “Capturar claves” en la página 119. Claves cargadas En la pestaña SSL, puede revisar las claves privadas cargadas y las claves privadas que faltan. Las claves cargadas se puede visualizar en formato IPv6. Consulte “¿Cómo gestiona el PCA la captura de direcciones IPv6?” en la página 298. Para obtener más información sobre las vistas de claves que faltan, consulte“Claves que faltan” en la página 117. Figura 27. Pestaña de claves de SSL- Vista de claves cargadas Columna Descripción casilla de verificación Pulse la casilla de verificación para seleccionar un certificado. Etiqueta Visualice la etiqueta para el certificado. v Para obtener más información sobre el cambio de etiqueta de visualización, consulte “Edición de una clave privada” en la página 117. Archivo Vía de acceso y nombre de archivo del archivo .pem. v Para obtener más información sobre cómo cambiar el nombre de archivo de pantalla, consulte“Edición de una clave privada” en la página 117. Fecha 116 Indicación de fecha y hora para la primera aparición cuando el PCA ha encontrado un paquete mediante la utilización de la clave. IBM Tealeaf CX Passive Capture Application: Manual de PCA v Para obtener más información sobre la carga de una clave privada, consulte “Adición de una clave privada”. v Para editar una clave cargada, pulse la casilla de verificación junto a esta. A continuación, pulse Editar. Consulte “Edición de una clave privada”. v Para suprimir una clave cargada, pulse la casilla de verificación junto a esta. A continuación, pulse Suprimir. v Para guardar los cambios, pulse Guardar cambios. v Para revertir los cambios sin guardar para la versión guardada, pulse Revertir a guardado. El conjunto de claves guardadas anteriormente se vuelve a cargar. Edición de una clave privada Puede editar una clave privada para cargar una clave, asignarle un nombre de etiqueta que tenga más sentido y entrar la vía de acceso plenamente cualificada al archivo de claves. v Para guardar cambios, pulse ACEPTAR. Adición de una clave privada Figura 28. Add Private Key - Para añadir una clave privada, siga los siguientes pasos: Nota: Sólo se da soporte a las claves privadas (.pem y .pfx) convertidas a formatos .ptl . 1. Seleccione el botón de selección Loaded. 2. Introduzca el nombre de dominio o dirección IP del destinatario en el campo Etiqueta. El valor ingresado en este campo designa la etiqueta utilizada para identificar la clave a visualizar. 3. En el campo Archivo, introduzca el nombre del archivo que contiene la clave privada que debe intentar utilizar el dispositivo para decodificar sesiones de SSL. Este campo debe contener un nombre de archivo completo absoluto. 4. Pulse Añadir. 5. Pulse Guardar cambios en la parte inferior de la página. 6. A continuación, puede editar, ver o suprimir la clave pulsando los botones correspondientes. Claves que faltan Para revisar y editar la lista de claves privadas que faltan, pulse el botón de selección Falto en la parte superior de la pestaña de claves de SSL. v A partir de PCA Build 3500, las claves que faltan se pueden visualizar en formato IPv6. Consulte “¿Cómo gestiona el PCA la captura de direcciones IPv6?” en la página 298. Capítulo 4. Configuración de CX PCA 117 Figura 29. Pestaña claves de SSL - Vista de claves que faltan Columna Descripción casilla de verificación Pulse la casilla de verificación para seleccionar una clave. Host:Puerto Dirección IP host y número de puerto para el certificado de SSL. Fecha 118 Indicación de fecha y hora para la primera aparición desde el último reinicio de PCA cuando se detectó un paquete de SSL para el cual falta una clave exclusiva de SSL. v Cada paquete de SSL subsiguiente para la misma clave que falta no actualiza el campo Fecha. IBM Tealeaf CX Passive Capture Application: Manual de PCA v Para borrar la fecha, seleccione la casilla de verificación y pulseBorrar seleccionado. Cuando falta la siguiente instancia de paquete, se detecta la clave de SSL borrada, se actualiza la indicación de fecha y hora. Para seleccionar una clave de SSL, pulse la casilla de verificación en el host y el puerto para el certificado. v Para seleccionar todos los certificados que faltan, seleccione Seleccionar todo. v Para ignorar los certificados seleccionados, seleccione Ignorar seleccionado. v Para suprimir los certificados seleccionados, seleccione Borrar seleccionado. v Para guardar los cambios, pulse Guardar cambios. Capturar claves A través de la pestaña SSL, puede cargar certificados SSL en formato .pem de texto simple o formato .pfx protegido por contraseña para la conversión a .ptl para el uso de PCA. Si tiene acceso al software de PCA en el servidor Linux, puede soltar certificados SSL en un directorio especificado para la conversión automática a formato .ptl. v Consulte “Exportación de la clave privada SSL” en la página 216. v Consulte “Exportación de la clave privada SSL” en la página 216. Valores de la interconexión La pestaña de Interconexión permite a los usuarios editar parámetros de configuración tales como captura, límites e ID de cookies. v Si los campos se dejan en blanco, el dispositivo intenta leer valores predeterminados en el archivo ctc-conf-defaults.xml. Puede seleccionar cualquiera de las dos vistas para visualizar los valores de interconexión: v Valores de Interconexión - Defina sesionamiento de datos, calificación por tiempo, modalidad de captura y más. Consulte Valores de la interconexión. v Editar lista de tipos - Especifique los tipos de datos y extensiones de archivo a incluir o excluir de la captura. Consulte “Listas de tipo de captura” en la página 129. Nota: Los tipos de captura de la PCA se deben revisar durante cualquier instalación de la IBM Tealeaf CX Passive Capture Application o si la aplicación web supervisada se actualiza. Consulte “Listas de tipo de captura” en la página 129. Para obtener más información sobre los valores de interconexión, consulte: v “Instancias de interconexión” en la página 120 v “Sesionamiento de datos” en la página 121 v “Reenvío-X” en la página 121 v “Muestreo de sesión” en la página 123 v “Modalidad de captura” en la página 123 v “Métodos de captura de solicitud” en la página 124 v “Calificación por tiempo” en la página 124 v “Proceso de hits” en la página 124 Capítulo 4. Configuración de CX PCA 119 Instancias de interconexión De forma predeterminada, la PCA está configurada para crear una instancia única del proceso de interconexión de la PCA para ser utilizada por todas las instancias de la aplicación PCA. Si es necesario, se pueden crear más instancias del proceso de interconexión para distribuir de manera más eficiente el trabajo entre los recursos disponibles. Nota: Hay disponible varias instancias de la interconexión de la PCA en la PCA Build 3403 o posterior. Cuando se crean varias instancias del proceso de interconexión, cada instancia de la aplicación de la PCA envía los paquetes de la PCA. Estos paquetes se ensamblan a la cola de la interconexión mediante su proceso reassd. Después esta cola distribuye los paquete para ser procesados a las instancias de interconexión configuradas en forma de un sistema circular. v El proceso de interconexión de la PCA toma las coincidencias de HTTP individuales y realiza el procesamiento en ellas, como ser el descarte de coincidencias, la aplicación de privacidad, la compresión de datos y más. Consulte Capítulo 1, “Descripción general de la captura pasiva”, en la página 1. La efectividad de interconexiones múltiples depende del número de núcleos de CPU disponibles. La regla de uso común general es asignar un núcleo de CPU disponible para cada instancia de interconexión. Si cuatro núcleos de la CPU inactivos están disponibles, debe configurar no más de cuatro instancias de interconexión si espera un carga de la CPU completa. Nota: Siempre debe dejar como mínimo un núcleo de CPU en la máquina para procesos basados en el sistema. v El límite máximo teórico en el número de interconexiones es 128. No es probable que deba acercarse a este límite. Nota: Todos las interconexiones operan en el mismo conjunto de reglas de configuración. No debe haber diferencias entre las reglas de privacidad u otras opciones de configuración entre interconexiones múltiples. Valor Descripción Instances Número de instancias del proceso interconectado. v Para crear un número de instancias diferente, especifique un valor en el recuadro de texto y pulse Guardar cambios. Nota: Sea conservador al crear instancias nuevas de interconexión. Incremente las instancias de a una y después evalúe los resultados y el impacto sobre los recursos disponibles en el servidor de la PCA. Para recuperar estadísticas en una instancia de interconexión individual, ejecute los próximos mandatos. Estadísticas de la instancia #0: ctcstats instdata Estadísticas de la instancia #N ctcstats -I<#N> instdata donde 120 IBM Tealeaf CX Passive Capture Application: Manual de PCA v <#N> es el identificador de la instancia. Sesionamiento de datos El PCA puede configurarse para crear un ID de sesión para cada coincidencia que esté basada en cookies inyectadas en la solicitud. Cuando esté habilitado, puede configurar la información de campo y sección de solicitud que contenga el identificador de sesión. v La cookie en la que se va a sesionar debe ser exclusiva y debe persistir para cada coincidencia de una sesión. Cuando está habilitado el sesionamiento de datos, el id/cookie de sesión especificado por el valor Field Name se divide para crear el identificador de sesión de Tealeaf (TLTSID). Si Tealeaf Cookie Injector está en uso, crea este valor. Nota: Si está utilizando Tealeaf Cookie Injector, no habilite esta característica. Tealeaf Cookie Injector proporciona identificadores exclusivos garantizados para los datos de sesión capturados por Tealeaf. Consulte la sección "Instalación y configuración de Tealeaf Cookie Injector" en el Manual de IBM Tealeaf Cookie Injector. Si no hay ninguna cookie de sesión, puede que tenga permitido sesionizar otros datos de coincidencias desplegando el agente de sesión de sesionamiento en la interconexión de Windows en el servidor de procesamiento. Consulte "Agente de sesión de sesionización" en el Manual de configuración de IBM Tealeaf CX. Propiedad Descripción Field Name El nombre de la cookie en la que quiere sesionizar. Los valores aceptados incluyen a jsessionid y aspsessionid. v Para sesionizar en varias cookies, puede insertar varios valores delimitados en este campo. Los delimitadores aceptados son la coma (,) o el punto y coma (;) Field Section Puede utilizar este campo para especificar la sección de la solicitud en la que se va a buscar el Field Name. Si este valor no se especifica, se busca el campo en toda la solicitud, y se utiliza la primera aparición. Field Offsets Para sesionizar en una parte específica de la cookie de sesión, tal como lo especifica el Field Name. Por ejemplo, si el valor de la cookie es de 32 caracteres, el establecimiento del valor en 0 15 sesioniza en los primeros 16 caracteres. Esta característica es útil si la cookie de sesión se añade con una serie estática: . jsessionid=<unique keystuff here>mycookie; Reenvío-X Un estándar común, reenvío-X habilita el seguimiento de la dirección de IP de origen de un cliente que se está conectando a un servidor a través de varios servidores, como servidores proxy o equilibradores de carga. v Cuando se habilita, el campo HTTP_X_FORWARDING se puede llenar con las direcciones de IP de cada servidor que se revisa y ha enviado la solicitud. Capítulo 4. Configuración de CX PCA 121 v Cuando el contenido se ha devuelto desde el servidor web de origen, se pasa a través de cada servidor que está listado en el campo HTTP_X_FORWARDING. Cada servidor elimina la referencia a él en el campo y después lo pasa al siguiente servidor en la cadena. v De esta manera, el contenido se puede pasar a través de varios servidores entre el cliente de la solicitud y el servidor de origen de suministro. v Utilice números de puerto en la dirección IP (por ejemplo, <ip_address>:XXXX) no está soportado. Nota: Esta característica está disponible en la compilación PCA 3501 o posterior. v Si hay disponible una cabecera CLIENT_IP, puede ser preferible utilizarla para el origen Reenvío-X, ya que normalmente contiene sólo una dirección IP. En función de cómo está configurada la aplicación web, puede definir a través del PCA (área de control de páginas) el campo de cabecera que se utiliza para especificar el campo HTTP_X_FORWARDING. Este campo después apunta al campo que es el origen de la dirección IP, en formato IPv4 o IPv6. Nota: Aunque no es necesaria, la característica reenvío-X se puede utilizar para gestionar el reenvío para ambas direcciones IPv4 y IPv6. Empezando en PCA Compilación 3501, puede configurar el origen del valor de dirección REMOTE_ADDR que se inserta en el PCA. 1. Para habilitar el reenvío-X, pulse la casilla de verificación Habilitar. 2. Especifique el valor del nombre de campo el nombre de la variable de la cabecera de solicitud HTTP que contiene la dirección IP del reenvío-X. v Para compilaciones PCA 3501 y 3502, debe insertar el nombre real, formateado de la cabecera HTTP, que no está disponible fácilmente. Los valores que se insertan en la sección [env] de la solicitud no funcionan. v Empezando en PCA Compilación 3600, puede utilizar guiones bajos, guiones, y el prefijo HTTP_ en la entrada de valor de campo, así también como entradas soportadas en las Compilaciones 3501 y 3502. Por ejemplo, para el valor de campo X-FORWARDED-FOR, se aceptan las siguientes variantes: HTTP_X_FORWARDED_FOR X_FORWARDED_FOR X-FORWARDED-FOR Nota: El nombre de campo es sensible a las mayúsculas y minúsculas. Nota: Si el campo de origen reenvío-X puede contener varias direcciones IP, cada dirección IP debe estar separada con una coma. No se soportan el punto y coma u otros delimitadores de campo; en una línea de varias entradas, la primera dirección se utiliza si está claramente demarcada. De lo contrario, se utiliza la línea entera y no se procesa correctamente. 3. Pulse Guardar cambios. Cuando se habilita el reenvío-X a través de la pestaña de conducto, el campo de cabecera especificado se explora para el nombre del campo en la solicitud para ser utilizado para REMOTE_ADDR. Este campo después se explora para que el valor se inserte en REMOTE_ADDR. v La búsqueda es sensible a mayúsculas y minúsculas. v El campo identificado se explora para el formateo correcto. Si no se encuentra ningún valor que coincida, no se toma ninguna acción, y REMOTE_ADDR se llena normalmente. 122 IBM Tealeaf CX Passive Capture Application: Manual de PCA Nota: Antes de la compilación PCA 3501, la identificación HTTP_X_FORWARDING se gestionaba a través de reglas de privacidad en el conducto PCA. Antes de desplegar este nuevo método, que se procesa antes de que el contenido se pase a un conducto PCA, verifique que las reglas de privacidad PCA para gestionar HTTP_X_FORWARDING estén inhabilitadas. Consulte “Descarga de la configuración de privacidad” en la página 135. Si se encuentra una coincidencia, el valor que se inserta en REMOTE_ADDR, y el valor previo se inserta en la variable de solicitud REMOTE_ADDR_ORIG. Ejemplo (IPv4) REMOTE_ADDR=10.20.30.40 IPV6_REMOTE_ADDR=0000:0000:0000:0000:0000:FFFF:0A14:1E28 REMOTE_ADDR_ORIG=10.10.28.82 Ejemplo (IPv6) REMOTE_ADDR=abcd::100:B200:CD10:10 IPV6_REMOTE_ADDR=ABCD:0000:0000:0000:0100:B200:CD10:0010 REMOTE_ADDR_ORIG=10.10.28.82 Empezando con la publicación 8.4, los valores que se detectan en REMOTE_ADDR después del envío-X se convierten en formato IPv6 y se insertan en la variable IPV6_REMOTE_ADDR. Estos valores son indexados para la búsqueda. Consulte “¿Cómo gestiona el PCA la captura de direcciones IPv6?” en la página 298. Muestreo de sesión Si está habilitado, el muestreo de sesión especifica un porcentaje de para enviar al igual de entrega. El resto de las sesiones se suprimen de la captura. El muestreo de sesión permite la captura de volúmenes de datos estadísticamente significativos sin sobrecargar el sistema con volúmenes de producción. Nota: Esta característica elimina los datos de sesión de la secuencia de captura y está pensada como una característica de depuración. No se recomienda habilitarla. Modalidad de captura El valor Modalidad de captura especifica los tipos de datos que PCA captura y suelta desde la secuencia de captura. Están disponibles los valores siguientes: Modalidad de captura Descripción Empresa Configura el software de captura pasiva para capturar sólo objetos de solicitud y respuesta HTTP(S) para solicitudes de página .business. (por ejemplo, HTML, ASP, JSP). Los objetos estáticos como las hojas de estilo, JavaScript y archivos de imágenes no son capturados por el PCA. v Los clientes de reproducción de Tealeaf pueden adquirir y cargar estos elementos en una base, según sea necesario, durante la reproducción. Nota: La modalidad de captura de empresa es el valor predeterminado. Tealeaf recomienda utilizar la modalidad de empresa. BusinessIT Configura la captura pasiva para capturar solicitudes y respuestas HTTP(S), así como los objetos de archivo asociados a cada coincidencia. Capítulo 4. Configuración de CX PCA 123 Estos objetos estáticos, como los archivos de imágenes, son capturados por el PCA y pasados a la interconexión de Windows para continuar con la evaluación. Nota: En la modalidad BusinessIT, el cuerpo de carga útil de objeto de respuesta no se guarda. Sólo el archivo de imagen y la solicitud se capturan y procesan. Nota: Si se modifica la modalidad de captura desde Business a BusinessIT se aumenta de forma significativa el volumen de tráfico que captura, procesa y almacena Tealeaf. Antes de modificar, revise toda la solución de Tealeaf para verificar que tiene los recursos de sistema para gestionar el aumento de la carga útil. Para obtener más información, póngase en contacto con Tealeaf Professional Services. Métodos de captura de solicitud Cuando esté visualizando los métodos de captura de solicitud en el editor de interconexión, puede seleccionar los métodos HTTP que desea capturar en la lista que se proporciona. Nota: Las solicitudes de tipo HEAD no están soportadas para la captura. Calificación por tiempo Si está habilitada, la Calificación por tiempo puede asignar una calificación a una coincidencia en una de las tres áreas siguientes: Área Descripción Web Server Page Gen Cuánto demora el servidor web para servir la página. Network Transit Mide la velocidad de la red basado en cuánto tiempo pasó un paquete en la red. Round Trip La cantidad de tiempo que le toma a un paquete arbitrario ir desde el cliente al servidor Web. Basada en los tres criterios, la Calificación por tiempo asigna a la coincidencia una calificación numérica. Las descripciones de las calificaciones predeterminadas (Excelente, Normal, NormalAlta y Alta) pueden editarse, junto con sus correspondientes valores máximos. Proceso de hits La tabla siguiente describe los valores del proceso de hits. Tabla 11. Valores del proceso de hits 124 Valor Descripción Include Raw Request Determina si RawRequest está activada. Rawrequest es una ayuda en la depuración. El valor predeterminado es False (inhabilitado). Si está habilitado (True), las cabeceras de solicitud de HTTP se añaden al hit. Nota: Tealeaf recomienda que este valor se establezca en False; de lo contrario, se añaden datos a cada hit. IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 11. Valores del proceso de hits (continuación) Valor Descripción Include Response Headers Determina si ResponseHeaders están activados. ResponseHeaders son ayudas en la depuración. El valor predeterminado es False (inhabilitado). Si está habilitado (True), se añaden al hit las cabeceras de respuesta de HTTP, (en formato de Tealeaf, que no es necesariamente la representación HTTP exacta). Nota: Tealeaf recomienda que este valor permanezca en False; de lo contrario, se añaden datos a cada hit. Decode URL fields Esta opción determina si se debe utilizar la decodificación de URL en los campos de URL. Cookie Parser Si se selecciona esta opción, se añade una sección de cookies a la solicitud. Enable UnReq Cancelled Si se habilita, esta opción comprueba los últimos 100 bytes del cuerpo de respuesta para </html cuando capturetype=1 y los marca como cancelado. Inflate compressed response Cuando se selecciona esta opción, las respuestas se inflan automáticamente en la canalización de PCA. Si una respuesta tiene una cabecera de codificación de contenido cuyo valor es deflate, gzip o x-gzip, entonces es un candidato para tener el cuerpo que se infla a partir de su estado comprimido. Si se selecciona esta opción, se realiza un intento de inflar la respuesta. Nota: Este valor debe establecerse en false. La habilitación de esta característica puede aumentar significativamente el volumen de datos que se trasmiten entre el servidor de IBM Tealeaf CX Passive Capture Application y el servicio de transporte. v Si el inflar falla, se registra un mensaje en el nivel de registro notice. v Si el inflar se realiza satisfactoriamente, el valor de la cabecera de codificación de contenido se sobrescribe con X; por ejemplo, codificación de contenido: XXXX. v En PCA Build 3502 o posterior, los POST comprimidos se aumentan automáticamente para los tipos de codificación de contenido, independientemente del tipo de contenido, para dar soporte a la captura de datos desde los marcos de cliente de Tealeaf. – En PCA Build 3501 o anterior, esta opción era Inflate compressed requests and responses. Preserve responses when inflate fails Cuando una respuesta de hit se infla y el proceso de inflar falla, la respuesta se sustituye con HTML que informará que se ha producido un error de inflar. Seleccione esta opción para inhabilitar la sustitución HTML, lo que conserva la respuesta original. Deflate hits sent to target recipients Selección de esta opción a las respuestas de hit que se desinflan antes de que se envíen al recipiente de destino. Las respuestas de hit se comprimen mediante la utilización del método de desinflar de HTTP. Habilite esta opción para reducir la cantidad de ancho de banda de red que se utiliza en la entrega de hits de Tealeaf al servicio de transporte de Tealeaf. Capítulo 4. Configuración de CX PCA 125 Tabla 11. Valores del proceso de hits (continuación) Valor Descripción Enable I18N Cuando esté seleccionado, se habilita el soporte de internacionalización en el PCA. Los urlfields de solicitud se codifican en UTF-8 y se realiza un intento para detectar la codificación del cuerpo de respuesta. Nota: Existe un problema conocido en el que los caracteres especiales que se envían en datos JSON desde un marco de cliente Tealeaf resultan dañados. Nota: Este valor solo se puede habilitar en los PCA conectados a los sistemas IBM Tealeaf CX Release 7.0 o posteriores. Delete Images on PCA side Cuando está habilitada, esta opción suprime los hits de imagen en la secuencia de captura que cumple con los criterios especificados. Consulte “Supresión de imágenes en el lado de PCA”. Enable TLI Si despliega un servidor TLI en el entorno de Tealeaf, puede habilitar la captura del contenido de la imagen para almacenarla en el servidor de TLI en sentido descendente. Consulte “Habilitación de la captura de imagen para TLI” en la página 128. Max Response Size El mayor tamaño aceptable de respuesta (en bytes). El valor predeterminado es 1572864 (1.5 MB). Default Response Encoding Si el PCA no puede detectar el tipo de codificación de una respuesta, se utiliza este valor. Nota: La información siguiente solo se aplica a IBM Tealeaf versión 9.0A. CX PCA Build 3700 a 37xx contiene selecciones adicionales para dar soporte a EICS (Enhanced International Character Support) además de lo que está disponible en CX PCA Build 3650 a 36xx. Default Request Encoding Si el PCA no puede detectar el tipo de codificación de una solicitud, se utiliza este valor. Nota: La información siguiente solo se aplica a IBM Tealeaf versión 9.0A. CX PCA Build 3700 a 37xx contiene selecciones adicionales para dar soporte a EICS (Enhanced International Character Support) además de lo que está disponible en CX PCA Build 3650 a 36xx. Total dropped due to ICU encoding errors Esta estadística informa cada vez que un hit (de solicitud o respuesta) no puede ser codificado en UTF-8 lo que provoca que se elimine la coincidencia completa. Este escenario también genera un error (ERR) en el registro. Supresión de imágenes en el lado de PCA Antes de PCA Build 3502, el PCA utilizaba opciones de configuración y lógica incluida para gestionar el descarte automático de contenido de imagen desde coincidencias capturadas, lo que reducía significativamente el espacio necesario para almacenar sesiones. Cuando el PCA estaba configurado para estar en modalidad BusinessIT, algunos tipos de contenido de imagen podían capturarse y pasarse a la interconexión de Windows. En la interconexión, generalmente se descartaban utilizando el agente de sesión DelImages. 126 IBM Tealeaf CX Passive Capture Application: Manual de PCA v Para obtener más información sobre la modalidad BusinessIT, consulte “Modalidad de captura” en la página 123. v Para obtener más información sobre la característica DelImages para la interconexión de Windows, consulte la sección "Agente de sesión de descarte de datos" en la publicación IBM Tealeaf CX Manual de configuración. A partir de PCA Build 3502, el PCA ahora proporciona la funcionalidad DelImages en la interconexión de PCA. Cuando se habilita DelImages en el PCA, el volumen de datos que se captura, procesa y transfiere al servidor Windows se reduce. Nota: Para garantizar la captura de contenido de imagen en el entorno de Tealeaf, este valor debe aplicarse de forma coherente en los separadores Interconexión en todas las instancias de PCA. Si una coincidencia cumple con los siguientes criterios, la coincidencia se identifica como una coincidencia de imagen y se descarta: v Delete Images on PCA side está habilitado. v Las extensiones de archivo para la respuesta se listan en la lista Extensiones de archivo excluidas. Consulte “Extensiones de Archivos Excluidos” en la página 133. v Se cumple con cualquiera de los criterios siguientes: 1. PCA CaptureType=3 y (StatusCode = 200 o StatusCode = 304) – El criterio anterior determina si el PCA está en modalidad BusinessIT (CaptureType=3) y se devuelve una solicitud de imagen con un estado de "okay" o un estado No modificado (StatusCode =304). 2. HTTP_USER_AGENT contains "RealiTeaViewer" o HTTP_USER_AGENT contains "TeaLeafFileGetter" – El criterio anterior determina si la solicitud la está realizando una aplicación de escritorio de IBM Tealeaf CX RealiTea Viewer de Tealeaf para obtener contenido de imágenes desde el servidor de origen durante la reproducción. Estas solicitudes no deben capturarse. Si se cumplen los criterios anteriores, se descarta la coincidencia de imagen. v Cuando esta característica está habilitada, si CaptureType=1 y el tipo de contenido de respuesta aparecen listado en la lista Extensión de inclusión, se captura tanto la solicitud como la respuesta. En la pestaña Estadísticas, el recuento total de coincidencias de imágenes descartadas se muestra en la métrica Total dropped due to businessIT mode and DelImages feature set. Consulte “Estadísticas por instancia” en la página 153. Método alternativo para caracteres JSON alterados En algunas situaciones, es posible que los caracteres especiales que se envían en los datos JSON (UTF-8) desde una de las infraestructuras del cliente de Tealeaf resulten dañados durante el proceso de Tealeaf A través del PCA, puede configurar los valores para asegurarse que estos caracteres se consumen de manera correcta. Si ha habilitado la traducción I18N en la pestaña Interconexión, complete los siguientes pasos. 1. En la pestaña Interconexión de la consola web PCA, establezca Codificación de solicitud predeterminada en UTF-8. Los urlfields de la solicitud se definen como si estuvieran codificados en UTF-8. El PCA (área de control de páginas) utiliza la codificación UTF-8 si no es capaz de detectar un tipo de codificación. Capítulo 4. Configuración de CX PCA 127 Nota: El cambio anterior para distinguir la solicitud campos de URL como se codifican en UTF-8 puede traer problemas de traducción si los campos no están codificados en ISO 8859 o UTF-8. 2. Pulse Guardar cambios. En función de los cambios de configuración anteriores, los datos JSON enviados en UTF-8 no se traducen a una codificación distinta. Dado que la (JavaScript Object Notation) JSON se somete en la sección [RequestBody], que se incluye en la sección [urlfield], establecer la codificación predeterminada en UTF-8 resulta en la no traducción de los datos. Como resultado, se representa correctamente en Tealeaf. Habilitación de la captura de imagen para TLI En Tealeaf, un servidor TLI se puede desplegar para capturar contenido estático, incluidas las imágenes, los JavaScripts y las hojas de estilo para archivos permanentes. Durante la reproducción, las solicitudes para este contenido estático hacen referencia a los archivos estáticos, los cuales impiden que se produzcan solicitudes innecesarias y algunas veces prohibidas, al servidor de origen. Mediante un servidor de TLI, puede conservar una copia de contenido estático de cada sesión, tal como ha experimentado el visitante original, con propósitos de reproducción y auditoría. v Para obtener más información sobre los servidores TLI, consulte "Gestión de archivos estáticos" en la publicación IBM Tealeaf cxImpact Manual de administración. Cuando se habilita esta opción, el PCA captura los hits de imágenes con el siguiente tipo de contenido asociado a ellas: Content-Type=image Nota: v Otro contenido estático, tal como las hojas de estilo y los JavaScripts, son formatos de texto que se capturan automáticamente mediante el IBM Tealeaf CX Passive Capture Application. – Cuando se despliega un servidor TLI, estos objetos se reenvían desde el PCA al conducto de Windows. En el conducto de Windows, el agente de sesión de TLI los reenvía a servidor TLI para lograr un almacenamiento adecuado. Consulte la sección "Agente de sesión TLI" en el Manual de configuración de IBM Tealeaf CX. v Si se habilitan las opciones Enable TLI y Delete Images on PCA Side, entonces Enable TLI altera temporalmente y determinada el comportamiento de captura del PCA. Consulte “Supresión de imágenes en el lado de PCA” en la página 126. v Para garantizar la captura de contenido de imagen en el entorno de Tealeaf, este valor debe aplicarse de forma coherente en los separadores Interconexión en todas las instancias de PCA. Cuando se recibe el hit mediante el servidor de Windows, este examina el valor TLIHit y, ya que se establece en True, reenvía el hit al servidor TLI para el almacenamiento en el archivo apropiado. v La información de indicación de fecha y hora se retiene con el hit. Habilita al servidor TLI a servir posteriormente la versión de la imagen que ha experimentado y grabado el visitante para que coincida con la sesión del visitante. v Los hits que se envían al servidor TLI no se almacenan en el recipiente. Los datos de sesión se alteran para hacer referencia al contenido de TLI basado en el 128 IBM Tealeaf CX Passive Capture Application: Manual de PCA servidor, desde el cual varias sesiones pueden consultar a una única entidad almacenada. Este método proporciona un importante ahorro en costes de almacenamiento. Esta característica se debe revisar con la lista de extensiones de archivos de incluir y excluir. Si la característica está habilitada Y: v Si la extensión de archivo está en la lista de extensiones de archivos incluidos, entonces el PCA trata al hit como un tipo de captura estándar aceptado por PCA. La aplicación captura la solicitud y la respuesta y marca el objeto de imagen con los siguientes valores para el servidor TLI: CaptureType=1 TLIHit=False v Si la extensión de archivo no está incluido en la lista de extensiones de archivos incluidos, entonces el PCA captura solo el objeto de la imagen. PCA lo marca con las siguientes propiedades para el servidor TLI: CaptureType=3 TLIHit=True v Si la extensión del archivos está en la lista de extensiones de archivos excluidos, entonces el PCA captura el objeto de imagen solamente y lo marca tal como se ha mencionado en la sección anterior. Nota: Cuando se habilita esta característica, los objetos de imagen siempre se capturan, independientemente de si el objeto está incluido o excluido en la lista de extensiones de archivo. – Si se visualiza la extensión de archivo en la lista de extensiones de archivos incluidos, el PCA normalmente trata al hit. Consulte “Extensiones de archivo incluido” en la página 133. – Consulte “Extensiones de Archivos Excluidos” en la página 133. Listas de tipo de captura De forma predeterminada, el PCA está configurado para capturar los tipos de datos que sean interesantes para la mayoría de las aplicaciones web. Particularmente para aplicaciones de internet ricas, los tipos de datos personalizados y las extensiones de archivo pueden estar presentes en la secuencia de captura. v Adicionalmente, el PCA infla automáticamente POST con algunos tipos de codificación de contenido y pueden configurarse para inflar otros tipos. Consulte “Capturar todos los tipos de Contenido-Codificación” en la página 134. Nota: Cuando actualice el PCA, debe revisar las listas de todos los tipos de captura para verificar que todos los tipos de datos necesarios se estén capturando y procesando adecuadamente. Nota: En todas las aplicaciones web, el conjunto de tipos de captura de PCA debe revisarse para que Tealeaf capture y procese todos los datos significativos. Los datos que no están definidos para ser capturados por IBM Tealeaf CX Passive Capture Application se descartan y dan como resultado coincidencias descartadas que se muestran en datos de sesión. Capítulo 4. Configuración de CX PCA 129 Figura 30. Listas de tipo de captura En las secciones Listas de tipo de captura, puede configurar inclusiones y exclusiones que se aplican a solicitudes y respuestas. Por ejemplo, si elimina el tipo de contenido text/json del panel POST de XML, el tipo de contenido sigue siendo 130 IBM Tealeaf CX Passive Capture Application: Manual de PCA capturado como parte de los tipos de contenido capturados predeterminados internos, pero el contenido ya no se inserta en la sección [xml1]. Consulte “Ejemplos JSON” en la página 132. Nota: Después de añadir nuevos tipos de contenido para la captura, también debe añadirlos a través de TMS si desea indexar las respuestas HTTPS del tipo capturado. Consulte la sección "Configuración de la indexación de CX" en la publicación IBM Tealeaf CX Manual de configuración. Cómo el PAC evalúa tipos de captura Cuando se identifican los hits en la pestaña Canalización, el PCA realiza la evaluación del hit en el siguiente orden para determinar si se debe capturar: 1. Solicitud: a. Comprueba la solicitud para el tipo de codificación de contenido. Si el tipo coincide con el conjunto especificado de tipos a inflar, la solicitud se infla para el proceso. Consulte “Capturar todos los tipos de Contenido-Codificación” en la página 134. b. Comprueba la solicitud para los tipos de contenido conocidos internamente. Consulte “Tipos de contenido capturados predeterminados” en la página 132. c. Establece el contenido de solicitudes y los tipos de cuerpo: 1) Comprueba la lista XML POST Type para los POST del tipo XML a capturare. Consulte “Tipos de autoprueba de encendido XML” en la página 133. 2) Comprueba la lista Binary POST Type de los POST del tipo binario a capturar. Consulte “Tipos de POST binarios” en la página 134. d. Comprueba los tipos de extensión de archivos para tipos incluidos y excluidos: v Consulte “Extensiones de archivo incluido” en la página 133. v Consulte “Extensiones de Archivos Excluidos” en la página 133. 2. Respuesta: a. Compruebe las siguientes listas de contenidos de tipos para valores: v “Capturar todos los tipos POST” en la página 133 v “Tipos de POST binarios” en la página 134 v “Capturar todos los Mimetypes” en la página 133 b. Si no se encuentran valores en las listas, el PCA comprueba la lista interna predeterminada para tipos de respuestas. Consulte “Tipos de respuesta predeterminados internos” en la página 132. c. Si hay valores en las listas, compruebe las siguientes listas en el orden que se menciona. 3. Cuerpo de respuesta: Si la solicitud y la respuesta pasan las pruebas anteriores que se incluirán, entonces se procesa el tipo de solicitud. a. Si el tipo de contenido de solicitud se define en una de los anteriores, entonces el PCA procesa el tipo en consecuencia. b. Si el tipo de contenido para el cuerpo de solicitud todavía no se conoce después de las comprobaciones anteriores, comprueba la lista de capturar todos los tipos de envíos. 1) Si el tipo de contenido se encuentra en la lista, entonces el PCA procesa el cuerpo como texto en la sección [RequestBody] de la solicitud generada. Capítulo 4. Configuración de CX PCA 131 2) Consulte “Capturar todos los tipos POST” en la página 133. Ejemplos JSON JSON es un estándar emergente en uso en muchas aplicaciones web. Algunos módulos de Tealeaf, tales como las infraestructuras de registro de Tealeaf de IBM Tealeaf CX Mobile, utilizan los JSON POST para enviar los datos desde el cliente a Tealeaf para su captura. Los siguientes tipos de contenido de ejemplo se pueden visualizar en Tealeaf o en los datos cuyo origen son las aplicaciones. Tipo de solicitud Evaluación de tipo de contenido de PCA text/json Se considera que la solicitud se conoce como un tipo de contenido de texto. Cuando el proceso de cuerpo de solicitud se completa, es un tipo conocido de contenido y se procesa en consecuencia. application/json Si el tipo de contenido de solicitud es application/json y no está definido en la lista de tipos de Capturar All POST, entonces es un tipo desconocido para el PCA. No se realiza ningún proceso del cuerpo de solicitud y el hit se elimina. application/json Si el tipo de contenido de solicitud es application/json y está definido en la lista de tipos de Capturar All POST, entonces es un tipo conocido por el PCA. Si no está listado en las listas de tipos XML o binario, se considera que es un tipo de texto y se procesa como texto. Para obtener más información sobre el esquema JSON de Tealeaf, que se utiliza para capturar contenido de las infraestructuras de cliente de Tealeaf, consulte la sección "Consulta del esquema de objetos JSON de Tealeaf" en la publicación IBM Tealeaf Client Framework Data Integration Guide. Tipos de contenido capturados predeterminados De forma predeterminada, PCA captura los siguientes tipos de contenido. Nota: Los tipos de contenido son valores predeterminados internos del PCA y no requieren ninguna configuración para capturar. Tipos de solicitud predeterminados internos v v v v v application/x-www-form-urlencoded application/xml multipart/form-data text/* text/xml Tipos de respuesta predeterminados internos Nota: Esta lista se aplica a los tipos de contenido de respuesta. Los tipos de contenido de solicitud se evalúan como por el orden definido. Consulte “Cómo el PAC evalúa tipos de captura” en la página 131. v text/* v application/text/* 132 IBM Tealeaf CX Passive Capture Application: Manual de PCA Extensiones de Archivos Excluidos Especifica las extensiones de archivos que se deben excluir del flujo de datos de captura. Este valor se puede utilizar para afinar el comportamiento especificado por CaptureMode. Nota: De forma predeterminada, el PCA no captura los archivosJavaScript. Si su aplicación web está generando archivos JavaScript dinámicos, estos archivos se pueden añadir manualmente al conjunto de tipos capturados, si desea capturarlos. Extensiones de archivo incluido Especifica las extensiones de archivo que se capturan completamente. Los archivos binarios como los PDF se pueden incluir en la captura. Nota: Si despliega un servidor TLI para capturar el contenido estático, debe insertar las extensiones de archivo de los tipos de contenido estático en esta área para capturarlos para su inserción en el servidor TLI. Consulte "Gestión de archivos estáticos" en el Manual de administración de IBM Tealeaf cxImpact. Capturar todos los Mimetypes Especifica los tipos de contenido de respuesta (tipos MIME) para los que se va a capturar una coincidencia completa. Capturar todos los tipos POST Especifica los tipos de contenido en los datos de solicitud que no son parte de los datos XML estándar o de formulario. Tipos de autoprueba de encendido XML En esta sección, puede especificar los tipos de puestos XML para añadir a la solicitud. Cuando un tipo de contenido XML especificado coincide, la sección [xml1] se añade al almacenamiento intermedio de solicitud, el contenido se inserta en el mismo. Nota: Instalaciones nuevas de PCA desde la compilación 3324 están configuradas automáticamente para capturar los tipos de envíos XML que se listan. Estos tipos de envíos XML se añadieron en el PCA compilación 3324. Si está utilizando una compilación anterior o actualizada de una compilación anterior, debe configurar manualmente estos tipos de captura. De forma predeterminada, algunos tipos de contenido se comprueban y capturan automáticamente. No se deben añadir. Consulte “Tipos de contenido capturados predeterminados” en la página 132. Dependiendo del tipo de kit de herramientas JSON, los tipos de contenido siguientes se pueden visualizar en la corriente de captura. Si están presentes, estos tipos de deben añadir. v application/x-javascript v text/javascript v text/x-javascript v text/x-json Capítulo 4. Configuración de CX PCA 133 Tipos de POST binarios El PCA puede configurarse para capturar tipos de POST binarios. Por ejemplo, las aplicaciones basadas en AMF envían solicitudes binarias al servidor web. Para capturar datos de solicitud basados en AMF, añada el tipo application/x-amf a esta lista. v De forma predeterminada, el PCA no captura respuestas binarias. v La decodificación de datos AMF debe estar habilitada en la interconexión de Windows. Consulte "Agente de sesión inflado" en el Manual de configuración de IBM Tealeaf CX. Cuando application/x-tlt-ld está habilitado para la captura, las solicitudes de todas las coincidencias capturadas de este tipo tienen la siguiente variable de solicitud que se inserta en la sección [env]: PostRequestBodyEncoding=Base64 Para otras coincidencias, este valor está establecido en None. Nota: En el release 8.4 o posterior, la captura del tipo de post binario application/x-tlt-d puede estar en desuso. Consulte . Capturar todos los tipos de Contenido-Codificación En PCA Build 3502 y posteriores, puede especificar los tipos de codificación de contenido a través de un cuadro de texto cuyas solicitudes se inflan durante el proceso de captura. Nota: En PCA Build 3502 y posteriores, los siguientes tipos de codificación de contenido se inflan automáticamente y no deben especificarse aquí: v */deflate v */gzip v */x-gzip Cuando una solicitud recibida por el PCA coincide con uno de los tipos de codificación especificados, el PCA infla o extrae automáticamente la solicitud. La tabla siguiente describe los comportamientos: Tabla 12. Capturar todos los tipos de Contenido-Codificación 134 ¿En otras listas de tipo de captura para captura? ¿En Capturar todos los tipos de ContenidoCodificación? ¿Capturado? ¿Inflado? Notas S S S S */deflate, */gzip, y */x-gzip se inflan automáticamente. N S N N descartado IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 12. Capturar todos los tipos de Contenido-Codificación (continuación) ¿En otras listas de tipo de captura para captura? ¿En Capturar todos los tipos de ContenidoCodificación? ¿Capturado? ¿Inflado? Notas S N S N* capturado; no inflado (* a menos que sea uno de los tipos de codificación de contenido inflado de forma predeterminada) N N N N descartado Tipos de contenido e indexación Después de que PCA captura contenido, la solicitud y respuesta de cada coincidencia se reenvía a un Recipiente para llevar a cabo más procesamiento, incluida la indexación del contenido para la búsqueda. v Solicitud: Las acciones específicas de la solicitud se indexan automáticamente para la búsqueda. Consulte la sección "Configuración de la indexación de CX" en la publicación IBM Tealeaf CX Manual de configuración. – Puede configurar reglas de privacidad para mover contenido de una sección de la solicitud a otra sección que se indexa automáticamente. Se recomienda que aplique estas reglas de privacidad al Recipiente. Consulte "Agente de sesión de privacidad" en el Manual de configuración de IBM Tealeaf CX. v Respuesta: Opcionalmente, puede añadir tipos de respuesta HTTP individuales para la indexación. Consulte la sección "Configuración de la indexación de CX" en la publicación IBM Tealeaf CX Manual de configuración. Descarga de la configuración de privacidad Si es necesario, puede descargar el archivo de configuración de privacidad privacy.cfg para modificaciones fuera de línea y archivado en la pestaña Copias de seguridad/Registros. Nota: privacy.cfg debe tener un formato compatible con UTF-8. En la pestaña Copias de seguridad/Registros, hay dos ubicaciones: Nota: La Consola web de la PCA retiene hasta cinco versiones previas de privacy.cfg. Consulte “Cambios en la privacidad” en la página 152. v En la sección Archivo de configuración de privacidad, pulse Descargar selecciones. v En la secciónRegistros, pulse el enlace Archivos de configuración. v Consulte “Consola web de PCA - Pestaña de copia de seguridad-registros” en la página 175. Capítulo 4. Configuración de CX PCA 135 Manipulación de reglas Mandato Descripción Insert Rule 1 Inserta una nueva regla que se aplica en primer lugar y carga la página Editar regla. Enable/Disable Conmuta la regla en esa fila ya sea a habilitada (activa) o inhabilitada. Delete Suprime la regla en esa fila de la sesión. Los cambios deben guardarse para que el archivo privacy.cfg pueda cambiarse. Edit Carga la página Editar para esa regla. Insert Below Inserta una nueva regla debajo de esta fila y carga la página Editar Regla. arrows Mueve la regla hacia arriba o hacia abajo, en función de la flecha pulsada. Las reglas se aplican por orden y se debe cambiar. Los cambios que se realizan al pulsar las flechas se realizan en la sesión. Para guardar los cambios, pulse Guardar cambios. Manipulación de prueba Mandato Descripción Add Carga la página Añadir prueba. Edit Carga la página Editar para esa prueba. Manipulación de acciones Mandato Descripción Add Carga la página Acción Add. Delete/In Use Si la acción puede suprimirse, está disponible un enlace Suprimir en la comuna Acciones a llevar a cabo. v Si la acción está marcada como en uso, una regla hace referencia a la acción y no puede suprimirse. Para suprimir una acción en uso, todas las referencias a la misma deben suprimirse de todas las reglas. Puede ver qué acciones se están utilizando en la columna Acciones a llevar a cabo en la tabla Reglas. Edit Carga la página Editar para esa Acción. Manipulación de claves Mandato Descripción Add Carga la página Añadir clave. Delete Suprime la clave. Edit 136 Carga la página Editar para esa clave. IBM Tealeaf CX Passive Capture Application: Manual de PCA La adición de una clave es opcional y se puede utilizar para definir explícitamente las claves de privacidad junto con su valor (cifrado). Esto normalmente solo se utiliza cuando el filtro de privacidad se está ejecutando en una máquina distinta del servidor IBM Tealeaf CX (en un servidor Web, por ejemplo) donde las claves de privacidad definidas no son accesibles directamente. Las entradas en esta sección deben estar en el siguiente formato: keyID=keydata donde: v keyID es el nombre (ID)de la clave v keydata es la serie de valor de clave cifrada Añadir/Editar reglas Figura 31. Página Añadir/Editar reglas Para definir una única condición (prueba), puede especificar ReqField, ReqOp, y ReqVal en una regla. Para obtener condiciones más complejas, utilice la opción Pruebas y defina las condiciones de prueba por separado. Valor Descripción Capítulo 4. Configuración de CX PCA 137 Name Nombre de la regla Description Descripción legible por el usuario de la regla, que también se visualiza en privacy.cfg. ReqField Esta opción especifica el nombre de un campo, el fragmento de nombre de un par nombre-valor, en el archivo de solicitud. El valor de este campo se utiliza para la comparación. También puede aplicar uno de los siguientes nombres de campo especiales: v TL_URLEXT - La parte de extensión de archivo del URL v TL_URLTAIL - La cola del URL, que incluye el último / en el URL y todo lo que le sigue v TL_VIRTUALDIR - La parte de directorio virtual del URL ReqOp ReqOp define la operación de comparación realizada por esta regla entre ReqField y ReqVal. A continuación se muestran los valores válidos para esta opción: v EQ o = - True si el valor de campo es igual a ReqVal. La comparación de serie no es sensible a mayúsculas y minúsculas v NE o != - True si el valor de campo no es igual a ReqVal. La comparación de serie no es sensible a mayúsculas y minúsculas v GT o > - True si el valor de campo es mayor a ReqVal v LT o < - True si el valor de campo es menor a ReqVal v CONTAINS - True si ReqVal está contenido en el valor de campo v PARTOF - True si el valor de campo es parte de (contenido en) ReqVal v PARTOFLIST - True si el valor de campo coincide con uno de los valores de ReqVal. – La lista de valores en ReqVal puede estar delimitada por signos de punto y coma u otro delimitador especificado por la propiedad ListDelimiter. ReqVal Valor literal o nombre de campo (establezca ReqValIsField=True para el nombre de campo). Cuando ReqOp=PARTOFLIST, este valor debe especificar una lista de valores que están separados por un punto y coma u otro delimitador (especificado utilizando ListDelimiter). v Si ReqField está establecido en TL_URLEXT, este campo contiene las extensiones que incluyen puntos. TestOp Operador lógico a utilizar cuando se especifican varias pruebas. Los valores posibles son AND y OR. Si no se especifica ningún valor, AND se aplica como valor predeterminado. v Cuando TestOp=AND, todas las pruebas deben devolver True para que se procesen las acciones. v Si TestOp=OR, las acciones se procesan si cualquiera de las pruebas devuelve True. List Delimiter El carácter utilizado para separar elementos de lista en ReqVal cuando se utiliza ReqOp=PARTOFLIST. El valor predeterminado es un punto y coma (;). Case Sensitive Valor True o False que indica si las búsquedas de nombres de campo 138 IBM Tealeaf CX Passive Capture Application: Manual de PCA deben distinguir entre mayúsculas y minúsculas. El valor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. ReqValIsField True o False que indica si ReqVal contiene un nombre de campo. Not Valor True o False. Si es True, el resultado de la evaluación de prueba se invierte (NOT lógico). Stop Processing Valor True o False que indica si debe detener el proceso de más reglas si esta regla evalúa a True. Enabled Valor True o False que especifica si esta regla está activa. Actions Uno o más nombres de acción que corresponden a los nombres de secciones de acción para procesar si esta regla devuelve True. Tests Uno o más nombres de prueba que corresponden a los nombres de secciones de prueba. Las pruebas especificadas se evalúan para determinar si las acciones se ejecutan para la regla. Si no se especifica ninguna prueba (y no se especifica ninguna prueba como se describe a continuación), las acciones se ejecutan para cada coincidencia. Añadir/Editar pruebas Figura 32. Página Añadir/Editar prueba Valor Descripción Name El nombre de la prueba. Description Descripción legible por el usuario de la prueba, que también aparece en privacy.cfg. ReqField Parte correspondiente al nombre de un par nombre-valor. Este también puede ser uno de los siguientes nombres reservados: v TL_URLEXT Capítulo 4. Configuración de CX PCA 139 v v ReqOp TL_URLTAIL TL_VIRTUALDIR Operación a realizar - las opciones son: v EQ or = v NE o != o <> v GT o > v LT o < v CONTAINS v PARTOF v PARTOFLIST ReqVal Valor literal o nombre de campo (establezca ReqValIsField=True para el nombre de campo). Cuando ReqOp=PARTOFLIST, este valor debe especificar una lista de valores separados por un punto y coma u otro delimitador (especificado utilizando ListDelimiter). ListDelimiter El carácter utilizado para separar elementos de lista en ReqVal cuando se utiliza ReqOp=PARTOFLIST. El valor predeterminado es un punto y coma (;). ReqValIsField True o False que indica si ReqVal contiene un nombre de campo. CaseSensitive Valor True o False que indica si las búsquedas de nombres de campo deben ser sensibles a mayúsculas y minúsculas. El valor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. Not 140 Valor True o False. Si es True, el resultado de la evaluación de prueba se invierte (NOT lógico). IBM Tealeaf CX Passive Capture Application: Manual de PCA Añadir/Editar acciones Figura 33. Página Añadir/Editar acción En la parte superior de la página Detalles de acción, puede revisar el nombre de la acción y las reglas en las que se hace referencia a la misma, así como las propiedades configuradas actualmente. Valor Descripción Name El nombre de la acción. Description Descripción legible por el usuario de la acción, que también se visualiza en privacy.cfg. Invert Action El valor True o False que indica si se debe invertir la acción (realizar la acción en todos los campos o nombres de valor EXCEPTO los especificados). v Si se especifica Nombre de valor, se procesa todo excepto el nombre(s) especificado en Nombre de valor. v Si Nombre de valor no se especifica, el nombre(s) especificado para Campo se excluye(n) de la acción. Nota: Esto sólo puede utilizarse con acciones Block, Encrypt y Replace. Start Pattern y Start Pattern RE no pueden utilizarse con una acción de inversión. Capítulo 4. Configuración de CX PCA 141 Action La acción a llevar a cabo. Esta puede ser uno de los siguientes valores: v Block - Bloquea los datos coincidentes utilizando el carácter de tachado especificado. v Encrypt - Cifra los datos coincidentes y los enmascara con el carácter de tachado especificado. v Replace - Sustituye los datos coincidentes con una serie de texto especificada. v DropHit - Descarta la coincidencia actual (no se realiza ninguna acción adicional). v DropResponse - Descarta la respuesta de la coincidencia actual. v ReqSet - Establece o sustituye el valor por el par nombre-valor especificado en la solicitud. Crea el par nombre-valor si no existe. Además, crea la sección especificada si no existe. v ReqAppend - Se añade al valor del par nombre-valor especificado en la solicitud. Crea el par nombre-valor si no existe. Además, crea la sección especificada si no existe. v ReqDelete - Elimina el par nombre-valor especificado completamente de la solicitud. Esto no elimina la sección, incluso si está vacía. Key ID de clave para utilizar para el cifrado si Action=Encrypt. Section El nombre de sección de los datos sobre los que se va a actuar. Si se establece en response, se procesa la respuesta. Este también puede ser uno de los siguientes nombres reservados: v urlfield - Realiza la acción para los nombres de valor especificados (o todos si se omite Nombre de valor) para los valores en la sección urlfield, QUERY_STRING, serie de consulta en RawRequest (si está presente) y la serie de consulta en HTTP_REFERER y la cabecera de consulta Referenciador y cuerpo de consulta en RawRequest (si está presente). v cookies - Realiza la acción para los nombres de valor especificados (o todos si se omite Nombre de valor) para los valores de la sección [cookies], pares nombre-valor HTTP_COOKIE y HTTP_SET_COOKIE, cabeceras Set-Cookies en la sección ResponseHeader (si está presente), cabeceras Set-Cookie en la respuesta y la cabecera [cookies] en la sección RawRequest (si está presente). Nota: Si no se especifica una Sección en una acción, se utiliza todo el almacenamiento intermedio de solicitud (REQ). Field Uno o varios nombres de campo opcionales (parte correspondiente al nombre del par nombre-valor). Si se omiten tanto Field como Value Name, se bloquea/cifra toda la sección. Este también puede ser uno de los siguientes nombres reservados: v body - Si Section=response. especifica el cuerpo de la respuesta como el destino. Si Section=RawRequest. se procesa el cuerpo de la respuesta (si está presente). Value Name Uno o varios nombres de valores (en pares nombre-valor de varios valores, como HTTP_COOKIE) o los nombres de los elementos cuando Section=urlfield o Section=cookies. 142 IBM Tealeaf CX Passive Capture Application: Manual de PCA Start Pattern El patrón de serie inicial a buscar dentro de los datos especificados. Se procesan los datos que siguen inmediatamente al patrón coincidente. Si se utiliza Start Pattern, también debe especificar End Pattern o Strike Length, a menos que establezca Inclusive=True. Si está establecido, Start Pattern y el End Pattern opcional se bloquean/cifran también. Esto es útil para bloquear o cifrar una serie de datos constante. Start Pattern RE Versión de expresión regular de Start Pattern. Esto puede utilizarse para especificar una expresión regular estándar para definir el patrón inicial a buscar. Puede utilizar Start Pattern o Start Pattern RE, pero no ambos. End Pattern El patrón de serie que indica el final de los datos que se corresponden con un Start Pattern. Se procesan los datos hasta, pero sin incluir, End Pattern (a menos que Inclusive=True). End Pattern RE Versión de expresión regular de End Pattern. Esto puede utilizarse para especificar una expresión regular estándar para definir el patrón final a buscar. Puede utilizar End Pattern o End Pattern RE, pero no ambos. Strike Character El carácter que se utiliza para sustituir los datos originales que están bloqueados o cifrados. Este puede ser cualquier carácter alfanumérico o símbolo que no esté incluido en la siguiente lista: v . (punto) v , (coma) v / (barra inclinada) v \ (barra inclinada invertida) v [(corchete de apertura) v ] (corchete de cierre) v | (barra vertical) v ' (comillas simples) v " (comillas dobles) Strike Length Longitud opcional (en bytes) de datos de tachado. Este es el número de caracteres de tachado que se utilizan para sustituir los datos originales (si Action=Block o Action=Encrypt). v Si Strike Length es mayor a la longitud de datos original, se añaden más caracteres de tachado. v Si Strike Length es menor que la longitud de datos original, los caracteres de Strike Length se sustituyen con Strike Character y se eliminan los datos restantes. v Si Strike Length es un número negativo, el número de caracteres representado por el valor absoluto de Strike Length se deja tal como está. Por ejemplo, para dejar a los últimos cuatro caracteres o a un valor intactos, establezca Strike Length=-4. (consulte Máscara de bloqueo para ver opciones de bloqueo más flexibles.) Inclusive Valor True o False que indica si Start Pattern (o Start Pattern RE) y (opcional) End Pattern (o End Pattern RE) están bloqueados o cifrados. El valor predeterminado es False. Capítulo 4. Configuración de CX PCA 143 Repeat Count Esto puede utilizarse para acciones que tengan un Start Pattern o Start Pattern RE para especificar cuántas instancias de datos que coincidan con el patrón se procesan. Blocking Mask Una expresión regular opcional que especifica los caracteres de los datos encontrados que se sustituyen con el carácter de tachado (no se aplica a la acción Sustituir). Todos los caracteres dentro de un grupo (definidos por paréntesis) en la expresión regular se sustituyen con el carácter de tachado. v Los caracteres que coinciden con parte del patrón fuera de un grupo no se sustituyen. Por ejemplo, la máscara siguiente bloquearía sólo los números en un Número de seguridad social, dejando a los guiones visibles: BlockingMask=([0-9]{3})-([0-9]{2})-([0-9]{4}) Este ejemplo dejaría a los primeros cuatro dígitos de un número de tarjeta de crédito visibles: BlockingMask=[0-9]{4}([0-9]*) La máscara de bloqueo se utiliza en lugar de Strike Length. Puede utilizar uno u otro, pero no ambos. Nota: Tenga cuidado cuando utilice Blocking Mask. Si los datos no coinciden con la expresión regular especificada para Blocking Mask, los datos no se bloquean ni se cifran. Replace String La serie que se utiliza para sustituir los datos originales cuando Action=Replace. Length (bytes) Utilizado en lugar de End Pattern o End Pattern RE, este valor especifica la longitud de los datos (en bytes) a procesar siguiendo un Start Pattern coincidente (o Start Pattern RE). Case Sensitive Valor True o False que indica si las búsquedas de nombres de campo y/o patrones deben ser sensibles a mayúsculas y minúsculas. El valor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. Ignore Special Valor True o False que indica si se debe ignorar el manejo especial cuando está especificado urlfield o cookies para la Sección. Establecer en True permite que se utilice Start Pattern o Start Pattern RE en las secciones urlfield o cookies. El valor predeterminado es False. ReqSetSection Especifica la sección para el par nombre-valor para una acción ReqSet, ReqAppend, o ReqDelete. ReqSetSection es necesario para estas tres acciones. ReqSetField Especifica el nombre de un par nombre-valor para una acción ReqSet, ReqAppend, o ReqDelete. ReqSetField es necesario para estas tres acciones. ReqSetResult Esta opción se utiliza con Start Pattern RE para producir un valor formateado para una acción ReqSet o ReqAppend. La expresión Start Pattern RE debe contener uno o más "grupos", definidos por paréntesis 144 IBM Tealeaf CX Passive Capture Application: Manual de PCA dentro de la expresión regular. ReqSetResult es una serie que contiene texto literal y marcadores para los datos capturados por Start Pattern RE. Por ejemplo: StartPatternRE=name="(.*?)" value="(.*?)" ReqSetResult=Field {g1} value: {g2} El código puede producir el siguiente resultado: Field name value: Bob El primer marcador, {g1}, se sustituye con el valor del primer grupo en la expresión regular. {g2} obtiene el segundo valor, etc. La serie resultante se utiliza como el valor para la acción ReqSet o ReqAppend. Añadir/editar claves Pueden generarse claves de privacidad en Tealeaf para su uso en el cifrado y descifrado de datos confidenciales, según sea necesario en el sistema. El cifrado y descifrado son gestionados por el filtro de privacidad, que está disponible en PCA y en la interconexión de Windows. v Para obtener más información sobre la privacidad de interconexión, consulte "Agente de sesión de privacidad ampliado" en IBM Tealeaf CX Manual de configuración. v Para obtener más información sobre la creación de reglas de interconexión, consulte "Agente de sesión de privacidad" en la publicación IBM Tealeaf CX Manual de configuración. v Para obtener una descripción general de cómo Tealeaf gestiona la privacidad, consulte "Gestión de privacidad de datos en Tealeaf CX" en la publicación IBM Tealeaf CX Manual de instalación. Las claves de privacidad que se utilizan para el cifrado y descifrado de datos sensibles para el uso en Tealeaf deben añadirse a la consola web de PCA. Nota: Cualquier clave de cifrado que sea utilizada por el PCA para cifrar y por el servidor de búsqueda para descifrar debe definirse en la configuración del servidor de búsqueda y proporcionarse al PCA. Para obtener más información sobre la definición de estas claves, consulte "Configuración del servidor de búsqueda" en la publicación IBM Tealeaf CX Manual de configuración. Puede añadir claves de privacidad para el PCA para utilizar durante operaciones de cifrado realizadas por el filtro de privacidad en el PCA. Para hacer que una clave de privacidad esté disponible para el uso de PCA, introduzca el nombre de la clave y la clave generada en esta sección. v Puede copiar un valor de clave generado desde la configuración del servidor de búsqueda y pegarlo en los campos Detalles de clave listados. Valor Descripción Name Nombre de la clave. Key La propia clave. Capítulo 4. Configuración de CX PCA 145 Referencia Privacy.cfg En esta sección se proporciona una visión general de referencia del archivo privacidad.cfg, que se utiliza para configurar las reglas de privacidad que se aplican a la secuencia de captura en la IBM Tealeaf CX Passive Capture Application. Nota: Evite realizar cambios directos en este archivo de configuración. Se recomienda cambiar la configuración de privacidad en la pestaña Reglas de la consola web, que proporciona una interfaz de usuario en este archivo de configuración. Para obtener más información, consulte “Navegadores soportados para la consola web de PCA” en la página 70. La privacidad permite la eliminación o el cifrado de información confidencial en la secuencia de captura. La privacidad puede aplicarse en los siguientes momentos durante la captura y procesamiento de datos de sesión. 1. Captura de interfaz de usuario 2. PCA 3. Interconexión de Windows consulte "Gestión de privacidad de datos en Tealeaf CX" en el Manual de instalación de CX de IBM Tealeaf. Puede utilizar el programa de utilidad de probador de privacidad basado en Windows para desarrollar y probar las reglas de privacidad. Las reglas probadas se pueden pegar nuevamente en este archivo de configuración para ser aplicadas en la PCA. v Consulte "Programa de utilidad de prueba de privacidad" en el Manual de configuración de IBM Tealeaf CX. Se proporciona documentación adicional en las notas del archivo de configuración Privacy.cfg. Este archivo se encuentra en el directorio /usr/local/ctccap/etc. Se puede editar con el editor vi. Reglas Propiedad Descripción Enabled Valor True o False que especifica si esta regla está activa. Tests Uno o más nombres de prueba que corresponden a los nombres de secciones de prueba. Las pruebas especificadas se evalúan para determinar si las acciones se ejecutan para la regla. Si no se especifica ninguna prueba (y no se especifica ninguna prueba como se describe a continuación), las acciones se ejecutan para cada coincidencia. TestOp Operador lógico a utilizar cuando se especifican varias pruebas. Los valores posibles son AND y OR. v Si TestOp=AND, entonces todas las pruebas deben devolver True para las acciones a procesar. v Si TestOp=OR, entonces las acciones se procesan si alguna de las pruebas devuelve True. Not 146 Valor True o False. Si es True, el resultado de la evaluación de prueba se invierte (NOT lógico). IBM Tealeaf CX Passive Capture Application: Manual de PCA StopProcessing Valor True o False que indica si debe detener el proceso de más reglas si esta regla evalúa a True. Actions Uno o más nombres de acción que corresponden a los nombres de secciones de acción para procesar si esta regla devuelve True. ReqField Parte del nombre de un par nombre-valor. Este también puede ser uno de los siguientes nombres reservados: v TL_URLEXT v TL_URLTAIL v TL_VIRTUALDIR ReqOp Operación a realizar - las opciones son: v EQ o = v NE o != o <> v GT o > v LT o < v CONTAINS v PARTOF v PARTOFLIST ReqVal Valor literal o nombre de campo (establezca ReqValIsField=True para el nombre de campo). Cuando tenga ReqOp=PARTOFLIST, este valor debe especificar una lista de valores separados ya sea por un punto y coma o por otro delimitador (especificado al utilizar ListDelimiter). ReqValIsField True o False indican si ReqVal contiene un nombre de campo. ListDelimiter El carácter que se utiliza para separar los elementos de lista en ReqVal al utilizar ReqOp = PARTOFLIST. El valor predeterminado es un punto y coma, ;. CaseSensitive Valor True o False indican si las búsquedas de nombres de campo deben realizarse en mayúsculas o minúsculas. El valor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. Pruebas Propiedad Descripción ReqField Parte del nombre de un par nombre-valor. Este también puede ser uno de los siguientes nombres reservados: v TL_URLEXT v TL_URLTAIL v TL_VIRTUALDIR ReqOp Operación a realizar - las opciones son: v EQ o = v NE o != o <> Capítulo 4. Configuración de CX PCA 147 v v v v v GT o > LT o < CONTAINS PARTOF PARTOFLIST ReqVal Valor literal o nombre de campo (establezca ReqValIsField=True para el nombre de campo). Si es ReqOp=PARTOFLIST, este valor debe especificar una lista de valores separados por un punto y coma o por algún otro delimitador (especificado al utilizar ListDelimiter). ReqValIsField True o False que indica si ReqVal contiene un nombre de campo. ListDelimiter El carácter que se utiliza para separar elementos de lista en ReqVal cuando ReqOp=PARTOFLIST. El valor predeterminado es un punto y coma, ;. CaseSensitive Valor True o False que indica si las búsquedas de nombres de campo deben distinguir entre mayúsculas y minúsculas. El valor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. Not Valor True o False. Si se establece en True, entonces el resultado de la evaluación de la prueba es invertido (NOT lógico). Acciones Propiedad Descripción Action La acción a llevar a cabo. A continuación se muestran los valores: v Block - Bloquea los datos coincidentes utilizando el carácter de tachado especificado. v Encrypt - Cifra los datos coincidentes y los enmascara con el carácter de tachado especificado. v Replace - Sustituye los datos coincidentes con una serie de texto especificada. v DropHit - Descarta la coincidencia actual (no se realiza ninguna acción adicional). Cualquier regla puede tener una acción de descarte de coincidencia. v DropResponse - Descarta la respuesta de la coincidencia actual. v ReqSet - Establece o sustituye el valor por el par nombre-valor especificado en la solicitud. Crea el par nombre-valor si no existe. Además, crea la sección especificada si no existe. v ReqAppend - Se añade al valor del par nombre-valor especificado en la solicitud. Crea el par nombre-valor si no existe. Además, crea la sección especificada si no existe. v ReqDelete - Elimina el par nombre-valor especificado completamente de la solicitud. Esto no elimina la sección, incluso si está vacía. 148 Key ID de clave para utilizar para el cifrado si Action=Encrypt. Group Nombre de grupo (en el formato dominio\nombregrupo) para utilizar para el cifrado si Action=Encrypt. IBM Tealeaf CX Passive Capture Application: Manual de PCA Nota: Utilice Key o Group para especificar la clave de cifrado, pero no ambos. Section El nombre de sección de los datos sobre los que se va a actuar. Si este valor se establece en response, se procesa la respuesta. Este también puede ser uno de los siguientes nombres reservados: v urlfield - Realiza la acción para el ValueName especificado (o todos si se omite ValueName) para los valores en la sección urlfield, QUERY_STRING, serie de consulta en RawRequest (si está presente) y la serie de consulta en HTTP_REFERER y la cabecera de consulta Referenciador y cuerpo de consulta en RawRequest (si está presente). v cookies - Realiza la acción para el ValueName especificado (o todos si se omite ValueName) para los valores de la sección [cookies], pares nombre-valor HTTP_COOKIE y HTTP_SET_COOKIE, cabeceras Set-Cookies en la sección ResponseHeader (si está presente), cabeceras Set-Cookie en la respuesta y la cabecera [cookies] en la sección RawRequest (si está presente). Nota: Si no se especifica una Sección en una acción, se utiliza todo el almacenamiento intermedio de solicitud (REQ). IgnoreSpecial Valor True o False que indica si se debe ignorar el manejo especial cuando está especificado urlfield o cookies para la Sección. Establecer esto en True permite que se utilice StartPattern o StartPatternRE en las secciones urlfield o cookies. El valor predeterminado es False. Field Uno o varios nombres de campo opcionales (parte correspondiente al nombre del par nombre-valor). Si se omiten tanto Field como ValueName, se bloquea/cifra toda la sección. Este también puede ser uno de los siguientes nombres reservados: v body - Si Section=response, este valor especifica el cuerpo de la respuesta como el destino. Si Section=RawRequest, se procesa el cuerpo de la solicitud (si está presente). ValueName Uno o varios nombres de valores (en pares nombre-valor de varios valores, como HTTP_COOKIE) o los nombres de los elementos cuando Section=urlfield o Section=cookies. Invert El valor True o False que indica si se debe invertir la acción (realizar en todos los campos o ValueNames EXCEPTO los especificados). v Si se especifica ValueName, se procesa todo excepto el nombre(s) especificado en ValueName. v Si ValueName no se especifica, el nombre(s) especificado para Field se excluye(n) de la acción. Nota: Esto sólo puede utilizarse con acciones Block, Encrypt y Replace. StartPattern y StartPatternRE no pueden utilizarse con una acción de inversión. StartPattern El patrón de serie inicial a buscar dentro de los datos especificados. Se procesan los datos que siguen inmediatamente al patrón coincidente. Si se utiliza StartPattern, también debe especificar EndPattern o Length, a menos que establezca a Inclusive en True. Cuando Inclusive=True, Capítulo 4. Configuración de CX PCA 149 StartPattern (y el EndPattern opcional) también se bloquean/cifran. Esto es útil para bloquear o cifrar una serie de datos constante. StartPatternRE Versión de expresión regular de StartPattern. Esto puede utilizarse para especificar una expresión regular estándar para definir el patrón inicial a buscar. Puede utilizar StartPattern o StartPatternRE, pero no ambos. EndPattern El patrón de serie que indica el final de los datos que se corresponden con un StartPattern. Se procesan los datos hasta, pero sin incluir, EndPattern (a menos que Inclusive=True). EndPatternRE Versión de expresión regular de EndPattern. Esto puede utilizarse para especificar una expresión regular estándar para definir el patrón final a buscar. Puede utilizar EndPattern o EndPatternRE, pero no ambos. Length Utilizado en lugar de EndPattern o EndPatternRE, este valor especifica la longitud de los datos (en bytes) a procesar siguiendo un StartPattern coincidente (o StartPatternRE). Inclusive Valor True o False que indica si StartPattern (o StartPatternRE) y (opcional) EndPattern (o EndPatternRE) están bloqueados o cifrados. El valor predeterminado es False. RepeatCount Esto puede utilizarse para acciones que tengan un StartPattern o StartPatternRE para especificar cuántas instancias de datos que coincidan con el patrón se procesan. ReplaceString La serie que se utiliza para sustituir los datos originales cuando Action=Replace. CaseSensitive Valor True o False que indica si las búsquedas de nombres de campo y/o patrones deben ser sensibles a mayúsculas y minúsculas. El valor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. StrikeChar El carácter que se utiliza para sustituir los datos originales que están bloqueados o cifrados. Este puede ser cualquier carácter alfanumérico o símbolo que no esté incluido en la siguiente lista: v . (punto) v , (coma) v / (barra inclinada) v \ (barra inclinada invertida) v [(corchete de apertura) v ] (corchete de cierre) v | (barra vertical) v '(comillas simples) v " (comillas dobles) 150 IBM Tealeaf CX Passive Capture Application: Manual de PCA StrikeLen Longitud opcional (en bytes) de datos de tachado. Este es el número de caracteres StrikeChar que se utilizan para sustituir los datos originales (si Action=Block o Action=Encrypt). v Si StrikeLen es mayor a la longitud de datos original, se añaden más caracteres de tachado. v Si StrikeLen es menor que la longitud de datos original, los caracteres de StrikeLen se sustituyen con StrikeChar y se eliminan los datos restantes. v Si StrikeLen es un número negativo, el número de caracteres representado por el valor absoluto de StrikeLen se deja tal como está. Por ejemplo, para dejar a los últimos cuatro caracteres o a un valor intactos, establezca StrikeLen=-4. v Para ver opciones más flexibles, consulte BlockingMask. BlockingMask Una expresión regular opcional que especifica los caracteres de los datos encontrados que se sustituyen con el carácter de tachado (no se aplica a la acción Sustituir). Todos los caracteres dentro de un grupo (definidos por paréntesis) en la expresión regular se sustituyen con el carácter de tachado. Los caracteres que coinciden con parte del patrón fuera de un grupo no se sustituyen. Ejemplos: La máscara siguiente bloquearía sólo los números en un Número de seguridad social, dejando a los guiones visibles: BlockingMask=([0-9]{3})-([0-9]{2})-([0-9]{4}) Este ejemplo dejaría a los primeros cuatro dígitos de un número de tarjeta de crédito visibles: BlockingMask=[0-9]{4}([0-9]*) BlockingMask se utiliza en lugar de StrikeLen. Puede utilizar uno u otro, pero no ambos. Nota: Tenga cuidado cuando utilice BlockingMask. Si los datos no coinciden con la expresión regular especificada para BlockingMask, los datos no se bloquean ni se cifran. ReqSetSection Especifica la sección para el par nombre-valor para una acción ReqSet, ReqAppend, o ReqDelete. ReqSetSection es necesario para estas tres acciones. ReqSetField Especifica el nombre de un par nombre-valor para una acción ReqSet, ReqAppend, o ReqDelete. ReqSetField es necesario para estas tres acciones. ReqSetResult Esta opción se utiliza junto con StartPatternRE para producir un valor formateado para una acción ReqSet o ReqAppend. La expresión StartPatternRE debe contener uno o más "grupos", definidos por paréntesis dentro de la expresión regular. ReqSetResult es una serie que contiene texto literal y marcadores para los datos capturados por StartPatternRE. Ejemplos: StartPatternRE=name="(.*?)" value="(.*?)" ReqSetResult=Field {g1} value: {g2} Capítulo 4. Configuración de CX PCA 151 El resultado sería un valor como: Field name value: Bob El primer marcador, {g1}, se sustituye con el valor del primer grupo en la expresión regular. {g2} obtiene el segundo valor, etc. La serie resultante se utiliza como el valor para la acción ReqSet o ReqAppend. Notas de acción v Para ReqSet y ReqAppend, el valor a establecer o añadir puede especificarse de un par de maneras diferentes. Puede utilizar una serie literal estableciendo ReplaceString en el texto necesario, o puede obtener datos desde la solicitud o respuesta utilizando Section, Field, ValueName, StartPattern, StartPatternRE, EndPattern y/o EndPatternRE. v Cuando utilice StartPattern o StartPatternRE con una de estas acciones, RepeatCount siempre se establece en 1 (siempre se utiliza la primera coincidencia). v IgnoreSpecial siempre es True para estas acciones cuando se especifica Section. No hay un manejo especial para las secciones urlfield o cookies con estas acciones. v El valor para un campo (par nombre-valor) puede eliminarse sin eliminar el campo completo utilizando ReplaceString sin ningún valor: ReplaceString= v Todos los retornos de carro y avances de línea en la serie de valor se sustituyen con \r y \n. v Los cambios de privacidad se ponen en cola y se aplican una vez completadas todas las acciones. Esto significa que las acciones generalmente ven los datos originales. ReqSet, ReqAppend y ReqDelete hacen un seguimiento de las adiciones, cambios y supresiones de campos, por lo que varios cambios en un único campo (como añadir un campo y concatenar datos de adición al valor) pueden realizarse de forma segura. Puesto que la acción Sustituir puede afectar a fragmentos de datos arbitrarios en la solicitud o respuesta, no se incluye en este rastreo de cambios. Los cambios que se realizan en los valores de campos se realizan de mejor forma utilizando ReqSet y ReqAppend. v Cuando utiliza Field o ValueName con ReqSet o ReqAppend, debe especificar un único campo o nombre de valor. Si hay varios nombres, se utiliza el valor para el último elemento encontrado. v De forma similar a la nota anterior, debe evitar especificar sólo una sección para recuperar el valor para ReqSet o ReqAppend. Esto da como resultado el valor del último campo (par nombre-valor) en la sección que se utiliza para ReqSet o ReqAppend. Cambios de registro La siguiente sección contiene información sobre registro de cambios. Cambios en la privacidad Cuando se realizan cambios en la pestaña Reglas que aplican a privacidad.cfg, se guarda una versión de copia de seguridad del archivo anterior en el siguiente formato: privacidad.cfg.X, donde X es un número de versión. v De forma predeterminada, se retiene un máximo de cinco versiones en cualquier momento. 152 IBM Tealeaf CX Passive Capture Application: Manual de PCA Registro de diferencias Además del registro de cambios de privacidad, las diferencias en todos los cambios de la consola web se registran en el archivo conf_changelog.cfg. Referencia v Para obtener información acerca de la privacidad de Tealeaf, consulte "Gestión de privacidad de datos en Tealeaf CX" en la publicación IBM Tealeaf CX Manual de instalación. v Para obtener más información sobre la configuración de la privacidad, consulte "Agente de sesión de privacidad ampliado" en la publicación IBM Tealeaf CX Manual de configuración. – Tealeaf proporciona varios filtros de privacidad preconfigurados, que se pueden habilitar y modificar para cumplir con los requisitos de la aplicación web. Consulte "Filtros preconfiguados" en la publicación Manual de configuración de IBM Tealeaf CX. – Para obtener más información acerca de la versión mejorada del agente de sesión de Windows, consulte "Agente de sesión de privacidad ampliado" en el Manual de configuración de IBM Tealeaf CX. v Para obtener más información sobre el programa de utilidad de probador de privacidad, consulte "Programa de utilidad de probador de privacidad"en el Manual de configuración de IBM Tealeaf CX. Estadísticas por instancia Cuando selecciona una vista que muestra estadísticas en múltiples instancias, los datos para cada instancia se visualiza en un columna distinta: ID#0, ID#1, etcétera. v El número de las columnas que se visualizan indica el número de instancias configuradas de la IBM Tealeaf CX Passive Capture Application y el número de instancias adicionales configuradas del proceso interconectado. Ejemplo Si tiene tres instancias de la PCA y cinco instancia de interconexión, se visualizan cinco columnas de datos, que es el mayor de los dos conjuntos de instancias. v Las tres primeras instancias contienen toda la información específica para ambas instancias de la PCA y de interconexión. v Las últimas dos instancias solo contienen información específica a las otras dos instancias de interconexión. Ejemplo: Si tiene seis instancias de la PCA y tres instancias de interconexión, se muestran seis columnas de datos, de las cuales sólo las tres primeras instancias contienen información específica a la interconexión, ya que sólo hay tres interconexiones. Nota: Se pueden configurar varias instancias del proceso de interconexión de la PCA en PCA Build 3403 o posterior. v Para obtener las mediciones sobre el rendimiento de interconexiones individuales, consulte “Sección de coincidencias” en la página 165. v Para obtener más información sobre la configuración de instancias adicionales, consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. Capítulo 4. Configuración de CX PCA 153 Comprobación de la salud del sistema a través de stats.xml Puede utilizar la salida de stats.xml para supervisar si el tráfico es recibido por PCA y entregado a los destinatarios de destino. Tabla 13. Tráfico: Valor Descripción y valor esperado <CaptureCurrentFilteredKbytesPerSec> Este valor indica el número de kilobytes por segundo de datos filtrados capturados por el PCA. v Si la captura funciona, este valor debe ser positivo. <SslTotalDhCipherConnections> Este valor indica el número total de conexiones SSL de Diffie-Hellman en uso. Nota: IBM Tealeaf CX Passive Capture Application no da soporte al uso del cifrado Diffie-Hellman. Este valor debe ser cero (0). Tabla 14. Entrega: Valor Descripción y valor esperado <StateText> Este valor indica el estado de la conexión entre el PCA y el servidor Windows de destino. v Este valor debe ser connected. <TotalHitsQueued> Recuento total de coincidencias en cola para la entrega al servidor IBM Tealeaf CX. v Este valor debe ser igual a <TotalHitsDelivered>. Para obtener más información sobre las opciones disponibles para ctcstats en la línea de mandatos, ejecute lo siguiente como el usuario ctccap: ./ctcstats -h Procesos de software de captura Para obtener más información sobre los procesos del PCA, consulte Capítulo 1, “Descripción general de la captura pasiva”, en la página 1. Estadísticas de captura pasiva Las siguientes secciones describen las definiciones de estadísticas de captura pasiva. Leyenda v XML - Nodo XML en stats.xml v Pantalla de consola - Valor de visualización que se muestra en la pestaña de estadísticas de la consola web de PCA – En esta columna, un valor de not available indica que no se informa la estadística de forma predeterminada en la consola web de PCA. v Descripción - Una descripción de texto de la estadística. 154 IBM Tealeaf CX Passive Capture Application: Manual de PCA Sección General Tabla 15. Sección General XML Pantalla de consola Descripción <CaptureVersion> Capture version El número de versión de compilación de software captura pasiva. <CapturedPctCpu> Captured CPU usage percent (high) El uso de CPU actual para el proceso. <CoreDumpCount> Number of coredumps Número de volcado de núcleo que se han producido desde cualquiera de los procesos de captura pasiva. Este es un recuento de los archivos de volcado de núcleo en el subdirectorio /usr/local/ctccap. <CpuLoadPct> CPU load percentage El total de porcentaje de carga de CPU informado por el sistema. <InstanceCount> Number of instances Número de instancias que se están ejecutando (parejas listend y reassd). <PeerCount> Number of delivery peers Número de conexiones de socket entregadas a los servidores de proceso de Tealeaf. <ProcessCount> Number of processes Número total de procesos que conforman el software de captura pasiva, los procesos de servidor Apache, y así sucesivamente. <ProcessClassCount Number of process classes Número total de procesos específicos de Tealeaf que se agrupan en clases. <ReassdPctCpu> Reassd CPU usage percent (high) El más alto uso de porcentaje de CPU que informa el sistema en todo los procesos Reassd. Puede haber varios procesos Reassd, pero normalmente sólo uno. Sección hora Tabla 16. Sección hora XML Pantalla de consola Descripción <LastReset> Last time statistics were reset La hora y fecha cuando se borraron las estadísticas. <LastResetSecondsUtc> Last time statistics were reset in UTC seconds Los segundos UTC desde que las estadísticas se borraron por última vez. <LastResetUtc> Last time statistics were reset in UTC La hora y fecha de cuando se borraron las estadísticas en Tiempo Universal Coordinado. Capítulo 4. Configuración de CX PCA 155 Tabla 16. Sección hora (continuación) XML Pantalla de consola Descripción <LastRestart> Last time capture entered main loop La hora y fecha de cuando Capturado reinició sus procesos hijo. <LastRestartSecondsUtc> Last time capture entered main loop in UTC seconds Los segundos UTC desde que Capturado reinicio sus procesos hijo. <LastRestartUtc> Last time capture entered main loop in UTC La hora y fecha de cuando Capturado reinició sus procesos hijo en UTC. <LocalTime> Local time La hora local del sistema. <LocalTimeSecondsUtc> Local time in UTC seconds La hora local del sistema en segundos UTC. <LocalTimeUtc> Local time in UTC La hora local del sistema en Tiempo Universal Coordinado. <NumSystemRestarts> Number of times capture entered main loop Número total de veces que Capturado reinició su proceso hijo desde que se inició el software de Captura pasiva. <TimeCpuUptime> Time since last OS reboot (days, hours, minutes, seconds) El tiempo transcurrido desde que se reinició el SO del sistema. <TimeCpuUptimeSeconds> Seconds since last OS reboot Número de segundos transcurridos desde que se reinició el SO del sistema. Sección de memoria Las siguientes estadísticas de memoria están todas interrelacionadas y realizan seguimiento entre sí. Tabla 17. Sección de memoria 156 XML Pantalla de consola Descripción <MemoryListendSize> Listend size La ocupación de memoria actual de proceso como notifica el SO, en bytes. Normalmente este valor debe estar debajo de 20 MB. <MemoryListendMaxSize> Listend max size El tamaño máximo de la ocupación de memoria de proceso según se notifica el SO, en bytes. Este valor fluctúa en función de diversos requisitos internos. Normalmente, hace el seguimiento del tamaño actual con poca desviación y es el indicador de marca de límite superior para el mismo. IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 17. Sección de memoria (continuación) XML Pantalla de consola Descripción <MemoryListendMemoryIn_use> Listend memory in use Tamaño de uso de la memoria actual de proceso, en bytes, basado en los requisitos de memoria asignada dinámicamente. Este valor crece, en función de sus necesidades, a un máximo de 100 MB para almacenamientos intermedios de paquetes internos. <MemoryListendMaxMemoryIn_use> Listend max memory in use El indicador de marca de límite superior para el valor anterior en uso. <MemoryReassdSize> Reassd size El tamaño de ocupación de memoria actual de proceso, en bytes, según informa el SO. Este valor es la memoria actual que se asigna a este, incluida su ocupación. Normalmente puede variar de algunos megabytes a 1 GB o más. <MemoryReassdMaxSize> Reassd max size La marca de límite superior para el tamaño de memoria actual anterior. <MemoryReassdMemoryIn_use> Reassd memory in use El tamaño de uso de la memoria actual que se basa en las demandas de memoria asignada dinámicamente a partir de esta. Este valor también puede variar de algunos megabytes hasta más de 1 GB de acuerdo a los requisitos de proceso para la actividad de tráfico de red actual. No hay ningún valor típico, pero suele ser menos de 500 MB. <MemoryReassdMaxMemoryIn_use> Reassd max memory in use La marca de límite superior para el tamaño de memoria actual anterior. Capítulo 4. Configuración de CX PCA 157 Tabla 17. Sección de memoria (continuación) XML Pantalla de consola Descripción <MemoryListendOutputBuffers> Listend output buffers Memoria actual utilizada en el almacenamiento intermedio de salida, en bytes, para el tráfico de paquetes filtrados de proceso listend. Este almacenamiento intermedio se utiliza para almacenar en búfer el tráfico que fluye del listend al reassd a través de su conducto. El proceso reassd extrae paquetes de tráfico tal como puede procesarlos. El tamaño predeterminado de este almacenamiento intermedio es 100 MB. <MemoryListendOutputBuffersMax> Listend output buffers max La marca de límite superior para el valor de tamaño de los almacenamientos intermedios anteriores. <MemoryDeliveryQueue> Delivery queue Tamaño de almacenamiento intermedio de entrega de hit actual que se utiliza, en bytes, para enviar hits a través del socket al servidor de IBM Tealeaf CX. <MemoryDeliveryQueueMax> Delivery queue max La marca de nivel superior para el valor anterior de tamaño de cola. <MemorySslSessionCacheEntries> SSL session cache entries El número actual de entradas de sesión de SSL que se almacenan en la tabla de antememoria. El valor de configuración conf determina cuál es el límite máximo de entradas que se pueden almacenar en un momento. El valor predeterminado más común es de 10,000 entradas. v Para obtener más información sobre el ajuste del valor límite máximo, consulte la estadística Total session cache misses de SSL siguiente. <CpuUsagePctHigh> 158 no disponible IBM Tealeaf CX Passive Capture Application: Manual de PCA Porcentaje de uso de CPU (alto) Tabla 17. Sección de memoria (continuación) XML Pantalla de consola Descripción <CpuUsagePctTotal> no disponible Porcentaje de uso de CPU (total) <Id> no disponible ID de proceso en el contexto de los procesos de PCA <MemUsagePctHigh> no disponible Porcentaje de uso de memoria (alto) <MemUsagePctTotal> no disponible Porcentaje de uso de memoria (total) <Name> no disponible nombre del proceso <ProcessCount> no disponible ProcessCount <VirtualMemorySizeKbytesHigh> no disponible Tamaño de la memoria virtual (kbytes) alto <VirtualMemorySizeKbytesTotal> no disponible Tamaño de la memoria virtual (kbytes) total Sección TCP Tabla 18. Sección TCP XML Pantalla de consola Descripción <TcpTotalPacketsRcvd> Total packets rcvd El recuento de paquetes TCP recibidos por el reensamblador. <TcpTotalPacketsRcvdPerSec> Total packets rcvd per second Índice de paquetes TCP recibidos por segundo <TcpTotalConnections> Total connections El recuento de conexiones TCP nuevas formadas por el reensamblador del TCP. <TcpTotalConnectionsPerSec> Total connections per second Índice de conexiones TCP nuevas que se forman por segundo <TcpTotalClosedConnections> Total closed connections El recuento de conexiones TCP cerradas por el reensamblador del TCP <TcpTotalRstConnections> Total reset connections El recuento de conexiones TCP que se restablecen. Un gran número de conexiones restablecidas puede estar indicando un problema de conexión. <TcpSyn_waitConnections> SYN/WAIT connections Recuento actual de conexiones TCP que solo recibieron el primer paquete de reconocimiento de SYN. Este número debe realizar el seguimiento con el valor "Conexiones "actuales", por debajo del 50 por ciento, dependiendo de la actividad del tráfico de red. Si el valor lo excede constantemente por un gran margen, puede haber un problema con el tráfico del puerto span. <TcpSyn_waitConnectionsMax> SYN/WAIT connections max La marca de límite superior para lo anterior. <TcpTotalSyn_waitConnectionsAged> Total SYN/WAIT connections aged Muestra cuantas conexiones SYN/WAIT se suprimen debido al envejecimiento. <TcpTotalSyn_waitConnectionsDestroyed> Total SYN/WAIT connections destroyed Recuento de conexiones SYN/WAIT destruidas debido a que se está alcanzando el límite máximo. Esto sucede para dejar espacio para que se creen nuevas conexiones. Si este recuento aumenta rápidamente en un periodo corto (5 minutos), puede estar indicando que los límites máximos predeterminados se establecieron demasiado bajos para el volumen de tráfico de red capturado. Ajuste el límite máximo en un valor más alto para minimizar la pérdida. Un aumento rápido del recuento también puede indicar un problema con la infraestructura de red que no proporciona tráfico de red relativamente completo. Capítulo 4. Configuración de CX PCA 159 Tabla 18. Sección TCP (continuación) 160 XML Pantalla de consola Descripción <TcpTotalOutsyncSyn_waitConnections> Total out-of-sync SYN/WAIT connections Recuento total de conexiones donde los paquetes de reconocimiento SYN, SYN1 y SYN2, están invertidos. Recibió el paquete SYN del servidor al cliente antes que el paquete SYN del cliente al servidor. <TcpCurrentConnections> Current connections Recuento actual de conexiones de reconocimiento SYN completadas (conexiones establecidas). <TcpCurrentConnectionsMax> Current connections max La marca de límite superior para lo anterior. <TcpTotalCurrentConnectionsAged> Total Current connections aged Muestra cuántas conexiones actuales se suprimen debido al envejecimiento. <TcpTotalCurrentConnectionsDestroyed> Total Current connections destroyed Recuento de conexiones destruidas debido a que se ha alcanzado el límite máximo. Esto sucede para dejar espacio para que se creen nuevas conexiones. Si este recuento aumenta rápidamente en un periodo corto (5 minutos), puede estar indicando que los límites máximos predeterminados se establecieron demasiado bajos para el volumen de tráfico de red capturado. Ajuste el límite máximo en un valor más alto para minimizar la pérdida. Un aumento rápido del recuento también puede indicar un problema con la infraestructura de red que no proporciona tráfico de red relativamente completo. <TcpTotalConnectionsReaped> Total Connections reaped Conexiones por segundo que no pueden ser descifradas porque falta una clave <TcpTime_waitConnections> TIME_WAIT connections Recuento actual de conexiones en un estado cerrado/en espera pero no cerrado, recibieron los paquetes FIN. <TcpTime_waitConnectionsMax> TIME_WAIT connections max La marca de límite superior para lo anterior. <TcpTotalOooConnectionsDeleted> Total out-of-order connections deleted Indica cuantas supresiones de conexiones dañadas se han producido. El valor de cuenta de esta estadística se restablece automáticamente cuando supera los 5.000.000. <TcpTotalOooConnections> Total out-of-order connections Indica cuántas conexiones de paquetes dañados totales están sucediendo. Si este número es alto o está por alcanzar el número de "Conexiones totales", entonces la infraestructura de red que proporciona el tráfico a los puertos de Captura no se puede limpiar, y algunas coincidencias no se pueden reensamblar apropiadamente debido a que se necesita una reordenación de paquetes excesiva. Esto puede resultar en un uso intensivo de la CPU para el proceso de Captura. <TcpTotalRolloverConnections> Total rollover connections Conexiones totales donde el número de secuencia TCP se renueva a 0 <TcpTotalMissingPktConnections> Total missing packet connections Conexiones totales donde se detecta una condición de paquete faltante <TcpCurrentStreamingConnections> Current streaming connections Sin implementar o utilizar <TcpTotalStreamingConnections> Total streaming connections Sin implementar o utilizar <TcpTotalAckedButUnseenPackets> Total ACKed but unseen packets Un recuento de paquetes de reconocimiento TCP que se recibieron pero que no tenían un paquete de datos TCP correspondiente que se reconoció para la conexión TCP. <TcpTotalAckRollbacks> Total ACK rollbacks Un recuento de números de secuencia de paquete de reconocimiento que son menos que el número de secuencia de paquete de reconocimiento en el reensamlador TCP. <TcpAlienPacketsRcvd> Alien packets rcvd Un recuento de cualquier paquete TCP donde no se pudo encontrar una conexión TCP correspondiente en la tabla de reensamblador TCP de conexiones TCP actualmente conocidas. El recuento de paquetes extraños debe medirse con respecto al valor Total packets captured. Espere ver este recuento por debajo del 10 por ciento. IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 18. Sección TCP (continuación) XML Pantalla de consola Descripción <TcpTotalChecksumErrors> Total checksum errors Recuento de errores de suma de comprobación de paquete TCP erróneo. Si está obteniendo recuentos de error para este valor, entonces la infraestructura de la red está distribuyendo tráfico a la máquina host de Captura pasiva con valores de suma de comprobación de paquete erróneo. Nota: Si está encontrando un gran número de errores de suma de comprobación, el problema puede ser provocado por diferentes factores. Incluye la descarga de la suma de comprobación que se realiza en el NIC. Para verificar, debe ponerse en contacto con el departamento de TI de la red para identificar si está habilitada esta característica y de ser así, inhabilitarla y después volver a comprobar el valor de esta estadística. <TcpErrors> Errors Sin implementar o utilizar. <TcpErrorsperSec> TCP Errors per Second Sin implementar o utilizar. <TcpTotalDuplicatePackets> Total back-to-back duplicate packets Indica cuántos paquetes duplicados consecutivos se producen en el tráfico de captura filtrado. Un número elevado indica que los puertos span del conmutador de red no están configurados correctamente y que están proporcionando tráfico duplicado. En este caso, la estadística se aproxima a la mitad del valor especificado en el valor Total packets rcvd. Mientras que los procesos de Captura pueden manejar paquetes de tráfico duplicado, es una utilización innecesaria que puede afectar el rendimiento cuando el sistema ya está cerca de su nivel máximo. Esto también es un problema cuando el ancho de banda disponible para los NIC de Captura es desperdiciado innecesariamente. v Consulte “¿Cómo maneja el PCA paquetes TCP duplicados?” en la página 291. Sección SSL Tabla 19. Sección SSL XML Pantalla de consola Descripción <SslTotalTIs11Sessions> Total TLS1.1 sessions Este es un recuento total de sesiones SSL que utilizan el protocolo TLS1.1. <SslTotalTIs11SessionsDecrypted> Total TLS1.1 sessions decrypted Este es un recuento total de sesiones SSL que utilizan el protocolo TLS1.1 y que se han descifrado correctamente. SslTotalTls12Sessions Total TLS1.2 sessions Este es un recuento total de sesiones SSL que utilizan el protocolo TLS1.2. SslTotalTls12SessionsDecrypted Total TLS1.2 sessions decrypted Este es un recuento total de sesiones SSL que utilizan el protocolo TLS2.1 y que se han descifrado correctamente. <SslTotalNewHandshakes> Total new handshakes Este es un recuento de la nueva sesión de reconocimiento SSL que se ha producido. Nuevo indica que la sesión de SSL no se encontró en la tabla de la memoria caché de la sesión de SSL. Capítulo 4. Configuración de CX PCA 161 Tabla 19. Sección SSL (continuación) 162 XML Pantalla de consola Descripción <SslTotalResumedHandshakes> Total resumed handshakes Proporciona un total acumulado de los reconocimientos reanudados de SSL que se han producido. Esta estadística muestra que tan bien aprovechan los sitios web el rendimiento SSL mediante su utilización. Si el recuento es cero, esto indica que se está realizando la transacción de los nuevos reconocimientos de SSL de sobrecarga alta en sitios que pueden tener problemas de rendimiento. <SslRecordsRcvd> Records rcvd Este es un recuento de registros de SSL capturados que podrían abarcar varios paquetes. <SslTotalHandshakes> Total handshakes Un recuento de sesiones de reconocimiento SSL negociadas correctamente. Este recuento refleja el descifrado satisfactorio del tráfico SSL. <SslHangingConnections> Hanging connections Sin implementar o utilizar. <SslCurrentConnections> Current connections Sin implementar o utilizar. <SslHitCount> Recuento de aciertos Sin implementar o utilizar. <SslCurrentHitsPerSec> Current hits per second Esta estadística es un indicador importante del rendimiento y la disponibilidad del sistema. Muestra el número actual de la tasa de aciertos por segundo de SSL generados por los Procesos de captura. El número esperado de nuevos aciertos de SSL de reconocimiento es aproximadamente de 150, sin la aceleración de hardware de SSL. El descifrado SSL es una operación intensiva de CPU que utiliza mucha capacidad del sistema de Captura. Estas estadísticas se actualizan cada 5 segundos. <SslMaxHitsPerSec> Maximum hits per second Muestra el número máximo de la tasa de aciertos por segundo de SSL generados por los procesos de Captura. <SslAvgHitsPerSec> Average hits per second Proporciona un promedio dinámico del número de aciertos por segundo de SSL en proceso. Esta estadística proporciona un indicador general de operaciones SSL durante un largo período de ejecución en vez de solo un índice instantáneo. <SslNewHandshakesPerSec> New handshake hits per second Proporciona una instantánea de la tasa de los reconocimientos nuevos SSL que se están produciendo. <SslNewHandshakesPerSecMax> Maximum new handshake hits per second Tasa máxima de reconocimientos SSL nuevos por segundo <SslResumedHandshakesPerSec> Resumed handshake hits per second Tasa máxima de reconocimientos SSL reanudados por segundo <SslResumedHandshakesPerSecMax> Maximum resumed handshake hits per second Tasa máxima de reconocimientos SSL reanudados por segundo IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 19. Sección SSL (continuación) XML Pantalla de consola Descripción <SslConnectionDataLen> Connection data length La longitud de datos promedio en bytes de una conexión SSL durante un período de 5 segundos (muestreo). Esta estadística se utiliza para calcular el promedio de longitud de una coincidencia SSL. <SslHitDataLen> Hit data length El valor calculado del promedio de la longitud de datos de coincidencia de SSL en bytes. <SslTotalNewSessionTicketSessions> Total new SessionTicket sessions Este valor proporciona un recuento de las sesiones SSL nuevas utilizando la extensión SessionTicket de TLS. Tanto el cliente como el servidor deben soportar la extensión para que el recuento sea válido. Por ejemplo, si un cliente solicita utilizar la extensión SessionTicket y el servidor la rechaza debido a que no cuenta con soporte, la sesión no se cuenta. <SslTotalResumedSessionTicketSessions> Total resumed SessionTicket sessions Este valor es el recuento del número de sesiones SessionTicket de TLS que se reanudaron después de ser detenidas. <SslTotalDecryptedSessionTicketSessions> Total decrypted SessionTicket sessions Este valor es el recuento de sesiones SSL nuevas y reanudadas descifradas por la PCA. <SslTotalSessionTicketSessionCacheMisses> Total SessionTicket session cache misses Este valor es el recuento de las sesiones SSL reanudadas que la PCA no puedo descifrar, generalmente debido a que no se pudo ver la sesión SSL nueva inicial. <SslTotalEphemeralRsaConnections> Total ephemeral RSA connections Muestra el número de conexiones SSL que utilizó cifrado "transitorio", como el cifrado RSA leve de 40 bits. Estos normalmente son utilizados por los navegadores a nivel internacional que no tienen permitido utilizar navegadores de cifrado fuerte de 128 bits. Nota: El cifrado feromonal no puede ser descifrado posteriormente. También se genera un mensaje de registro cronológico de errores para proporcionar información IP de cliente. Capítulo 4. Configuración de CX PCA 163 Tabla 19. Sección SSL (continuación) XML Pantalla de consola Descripción <SslTotalDhCipherConnections> Total Diffie-Hellman cipher connections Cuenta el número de conexiones SSL al utilizar el cifrado Diffie-Hellman. v Este cifrado efímero no puede descifrarse posteriormente. Solo puede ser iniciado por el servidor Web, no por el navegador del cliente. Un recuento de un valor distinto a cero indica que uno o más servidores Web han configurado las preferencias de la suite de cifrado SSL para utilizar este cifrado en concreto. v Para permitir el descifrado, el servidor Web necesita cambiar las preferencias de cifrado SSL para eliminar este cifrado y reemplazarlo con otro, como el cifrado RSA AES de 256 bits. 164 <SslTotalNullCipherConnections> Total Null Cipher Connections Recuento de conexiones SSL que no contienen un cifrado. <SslTotalHsmKeysLoaded> Total HSM keys loaded Notifica el número de claves SSL cargadas desde el almacén de claves HSM Sun por la PCA al inicio de cada instancia PCA. <SslMissingKeys> Missing keys Recuento de claves SSL utilizadas que no cuentan con un archivo pem de clave SSL correspondiente. <SslMissingKeysPerSec> Missing keys per second Conexiones por segundo que no pueden ser descifradas porque falta una clave <SslTotalBadHandshakeSeqErrors> Total Bad Handshake Sequence Errors Sin implementar o utilizar. <SslTotalUnknownCipherErrors> Total Unknown Cipher Errors Sin implementar o utilizar. <SslErrors> Errors Sin implementar o utilizar. <SslTotalSessionCacheMisses> Total session cache misses Cuando un registro de sesión SSL llega para ser descifrado, se comprueba para ver si la información de cifrado descifrado para esa sesión se encuentra en la memoria caché. Si no, se cuenta como una falta de memoria caché. Dado que se trata de un Registro, se asume que ocurrió el reconocimiento SSL y que la información de cifrado descifrado se encuentra en la memoria caché. Esto puede suceder si se reinició la Captura pasiva y comenzó a capturar sesiones SSL en curso o excedió el valor predeterminado de 10.000 entradas de memoria caché de sesión SSL simultáneas y las entradas de LRU se suprimieron. <SslSessionCacheMissesPerSec> Session cache misses per second Índice de desaciertos de la memoria caché de sesión por segundo. IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 19. Sección SSL (continuación) XML Pantalla de consola Descripción <SslOldestSessionCacheEntry> Oldest session cache entry Proporciona la entrada de memoria caché SSL residente más antigua en minutos a partir de la hora actual. Esta estadística es útil para detectar si hay suficientes entradas de la memoria caché al dimensionar su tabla para que pueda manejar un sitio de gran volumen con el mínimo de impacto en el rendimiento. SslHitCount> SSL hit count Recuento de coincidencias SSL. <SslTotalCaptureType1> SSL Total Capture Type 1 Recuento captura tipo 1 de aciertos ssl (páginas). <SslPageViewPct> Percent of ssl page views to page views El porcentaje de vistas de página sobre SSL. Sección de coincidencias Tabla 20. Sección de coincidencias XML Pantalla de consola Descripción <HitsCaptured> Captured Recuento de hits donde el analizador HTTP pudo realizar un hit completo de solicitud y respuesta. <HitsCapturedPerSec> Captured before hit processing per second Proporcionar índice actual de hits capturados (superior). Esta estadística proporciona un indicador del número de hits antes del proceso de hits, rechazo, etc. <HitsRejectedResponse> Rejected response Sin implementar o utilizar. <HitsRejectedResponseBody> Rejected response body Sin implementar o utilizar. <HitsRejectedHits> Rejected hits En el tipo de modalidad de captura de Tealeaf BusinessIT, el recuento de hits con respuestas rechazadas en los que la extensión de URL coincide con la lista de exclusiones de extensiones. El hit está aún formado y entregado pero falta la respuesta, es decir, solo el registro de solicitud. Por ejemplo, extensiones URL excluidas, GIF, BMP, CSS, JS, etc. <HitsUndeliveredHitsWhilePassive> Undelivered hits while passive Muestra los hits descartados mientras la captura pasiva en nodo pasivo. <HitsCurrentNonSslHitsPerSec> Current non-SSL hits per second Proporcione índices actuales de hits no SSL que se procesan por segundo. Esta estadística proporciona un indicador de la cantidad de hits procesados que no son SSL descifrados mediante la captura pasiva. Algunos sitios pueden tener todos los tráficos SSL terminados antes de que los reciba la captura pasiva. Capítulo 4. Configuración de CX PCA 165 Tabla 20. Sección de coincidencias (continuación) 166 XML Pantalla de consola Descripción <HitsMaxNonSslHitsPerSec> Maximum non-SSL hits per second Proporcione los índices máximos de hits no SSL que se procesan por segundo. Esta estadística proporciona un indicador de la cantidad de hits procesados que no son SSL descifrados mediante la captura pasiva. Algunos sitios pueden tener todos los tráficos SSL terminados antes de que los reciba la captura pasiva. <HitsAvgNonSslHitsPerSec> Average non-SSL hits per second Proporciona tipos medios de hits no SSL que se procesan por segundo. Esta estadística proporciona un indicador de la cantidad de hits procesados que no son SSL descifrados mediante la captura pasiva. Algunos sitios pueden tener todos los tráficos SSL terminados antes de que los reciba la captura pasiva. <HitsCurrentToDeliveryHitspersec> Current to delivery hits per second Proporcione las tasas actuales de hits enviados al sistema de entrega de la captura pasiva. El sistema de entrega puede saturarse debido a varios problemas de socket de red, tal como la saturación de la banda ancha de NIC, que puede producir que se descarten aciertos. <HitsMaxToDeliveryHitspersec> Maximum to delivery hits per second Proporcione las tasas máximas de hits enviados al sistema de entrega de la captura pasiva. El sistema de entrega puede saturarse debido a varios problemas de socket de red, tal como la saturación de la banda ancha de NIC, que puede producir que se descarten aciertos. <HitsTotalCaptureType1> Total Capture Type 1 Hits Recuentos de hits de captura tipo 1 que se han capturado. <HitsTotalCaptureType2> Total Capture Type 2 Hits Recuentos de hits de captura tipo 2 que se han capturado. <HitsTotalCaptureType3> Total Capture Type 3 Hits Recuentos de hits de captura tipo 3 que se han capturado. <HitsTotalCaptureTypeOther> Total Capture Type Other Hits Recuentos de hits de tipo de captura no identificada que se han capturado. <HitsTotalLargeHits> Total Hits Identified as Too Large Recuentos de hits que se han identificado como demasiado grandes para capturar. <HitsTotalStreamingHits> Total Streaming Hits Recuentos de hits totales de modalidad continua que se han capturado. <HitsTotalNonHttpTypeErrors> Total non-Http type errors Cuenta el número de hits que no tienen la serie de protocolo "HTTP" en su cabecera. El hit se descarta cuando esto se produce. IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 20. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsTotalBogusHttpErrors> Total invalid HTTP errors Recuento de hits que no siguen los requisitos de formato de protocolo HTTP específicos para las cabeceras, tales como la pérdida de caracteres, caracteres CR o LF extraños, etc. El hit se descarta cuando sucede esto. <HitsTotalClientSpeaksFirstErrors> Total responses before requests errors Indica que un hit HTTP se ha vuelto a ensamblar con una respuesta antes de una solicitud. <HitsTotalMoreRespThanReqErrors> Total more responses than requests errors Indica en una conexión TCP donde se han formado varios hits que habían más respuestas que solicitudes. Esto significa que no había suficientes solicitudes que coincidieran con las respuestas. Después de que se detecta esta condición en una conexión TCP, se descartan los siguientes hits. <HitsTotalUnansweredReqErrors> Total unanswered requests errors Indica en una conexión TCP que faltaban respuestas para un número de solicitudes presentes para varios hits. <HitsTotalUnfinishedReqErrors> Total unfinished request errors Recuento total de solicitudes HTTP que han finalizado antes del tamaño notificado indicado. Estos errores se pueden producir si la cabecera de solicitud para la longitud de contenido se ha calculado incorrectamente para los datos de cuerpo de solicitud actual. Por ejemplo, la longitud establecida es mayor que los datos reales. Nota: Esta estadística está disponible en PCA Build 3500 o posterior. <HitsTotalUnfinishedRespErrors> Total unfinished response errors Recuento total de respuestas HTTP que han finalizado antes del tamaño notificado indicado. Estos errores se pueden producir si la cabecera de respuesta para la longitud de contenido se ha calculado incorrectamente para los datos de respuestas reales. Por ejemplo, la longitud establecida es mayor que los datos reales. <HitsTotalRespTimerExpiredErrors> Total response timer expired errors Indica en una conexión TCP que una respuesta no se ha producido después de una solicitud en este valor de configuración del tiempo de espera de trasmisión de TCP. El valor predeterminado es 120 segundos. <HitsTotalXmitTimerExpiredErrors> Total packet transmission timer expired errors Indica en una conexión TCP que los paquetes se deben producir en este valor de configuración de tiempo de espera de trasmisión de TCP. El valor predeterminado es 120 segundos. Capítulo 4. Configuración de CX PCA 167 Tabla 20. Sección de coincidencias (continuación) 168 XML Pantalla de consola Descripción <HitsTotalTlapiReparseRespNullErrors> Total TLAPI invalid response errors Cuenta hits en TLapi donde no está presente ninguna respuesta. <HitsTotalTlapiReqStartExtraBytes> Total TLAPI request start extra bytes Marca hits en TLapi que tienen caracteres extraños CR, LF, o null al inicio de la solicitud. Esto es solo un recuento de condición de aviso. Aunque no conforme, los caracteres adicionales se ignoran y la comprobación continúa si el resto de la solicitud es válida. <HitsTotalTlapiInvalidReqErrors> Total TLAPI invalid request errors Cuenta los hits en TLapi donde no está presente la solicitud. El hit se descarta cuando esto se produce. <HitsTotalTlapiReqCorruptErrors> Total TLAPI request corrupt errors Cuenta los hits en TLapi si la solicitud finaliza de forma imprevista. Normalmente, puede haber algunos caracteres extraños que se quitan sin dejar nada para una solicitud. O si después de un método de solicitud, GET, POST, etc., nada sigue en la línea. El hit se descarta cuando esto se produce. <HitsTotalTlapiReparseRespCorruptErrors> Total TLAPI response corrupt errors Cuenta hits en TLapi que se han encontrado sin que haya una respuesta. Esto se puede producir cuando una conexión TCP se cierra de forma inesperada antes de que se capture una respuesta de hit. El hit incompleto todavía se envía a TLapi para confirmar si existe o no un hit completo. <HitsTotalInflateRequestCandidates> Total candidates for inflate request Número total de hits con un cuerpo de solicitud comprimido (datos POST) donde se intenta la descompresión. <HitsTotalInflateRequestsCompleted> Total requests inflated Número total de hits donde un cuerpo de solicitud comprimido se descomprime satisfactoriamente. <HitsTotalInflateRequestsFailed> Total failed attempts to inflate the request Número total de hits donde falla la descompresión de un cuerpo de solicitud comprimido. <HitsTotalInflateResponseCandidates> Total candidates for inflate response Número total de hits con una respuesta comprimida donde se intenta una descompresión. <HitsTotalInflateResponsesCompleted> Total responses inflated Número total de hits donde una respuesta comprimida se descomprime satisfactoriamente. <HitsTotalInflateResponsesFailed> Total failed attempts to inflate the response Número tota de hits donde falla la descompresión de una respuesta comprimida. <HitsTotalDeflateResponseCandidates Total candidates for deflate response Total de candidatos para aplanar respuesta <HitsTotalDeflateResponsesCompleted> Total responses deflated Total de respuestas aplanadas IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 20. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsTotalDeflateResponsesFailed> Total failed attempts to deflate the response Total de intentos fallidos para aplanar la respuesta <HitsTotalDroppedBusinessModeExtension> Total dropped due to business mode and extension Total descartado debido a la modalidad y extensión del negocio <HitsTotalDroppedBusinessModeResponse> Total dropped due to business mode and response Total descartado debido a modalidad y respuesta de negocio <HitsTotalDroppedByDelimagesFeature> Total dropped due to businessIT mode and DelImages feature set Total de hits de imagen que cumplen los criterios especificados descartados debido a que DelImages se ha habilitado en PCA v Consulte “Valores de la interconexión” en la página 119. <HitsTotalDroppedInvalidMethod> Total dropped due to invalid HTTP method Total de hits descartados debido a un método http no válido <HitsTotalDroppedByParseRequest> Total dropped due to HTTP request parsing errors Total de hits descartados por la función parserequest <HitsTotalDroppedByParseResponse> Total dropped due to HTTP response parsing errors Total de hits descartados por la función de respuesta de análisis <HitsTotalDroppedByPrivacy> Total dropped by privacy rules Total de coincidencias descartadas por privacidad <HitsTotalDroppedBySampling> Total dropped by sampling Total de coincidencias descartadas por muestreo Capítulo 4. Configuración de CX PCA 169 Tabla 20. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsTotalDroppedHitArrivedTooLate> Total dropped because hit arrived too late Total descartado porque la coincidencia llegó demasiado tarde v Si la diferencia entre la indicación de fecha y hora del primer paquete de solicitud y la indicación de fecha y hora de llegada cuando la totalidad de la coincidencia se envía al conducto PCA, es más de una hora, entonces la coincidencia se marca como "demasiado tarde" para el proceso normal. El PCA descarta estas coincidencias del proceso posterior. – El límite de una hora está codificado y no se puede modificar. – Todas las coincidencias que entran al conducto PCA tienen una indicación de fecha y hora de llegada (TLapiArrivalTimeEx) inserta en el registro de solicitud en la sección [timestamp]. v Los retrasos en la llegada de la coincidencia completa en el conducto de PCA los pueden originar diferentes problemas, la mayoría de los cuales se originan fuera del PCA. 170 <HitsTotalDroppedMaxDataSize> Total dropped because hit exceeds max data size Total de coincidencias descartados debido a que la coincidencia excede el tamaño máximo <HitsTotalDroppedReqHeaderExceedsMaxReqSize> Total dropped due to HTTP request hdr too large Total de coincidencias descartadas debido a que la cabecera de solicitud excede el tamaño máximo <HitsTotalDroppedTcldHitError> Total dropped tcld hits error Total de coincidencias descartadas por el proceso tcld debido a alguna condición de error Nota: Este elemento está disponible en PAC Build 3403 o posterior. <HitsAssembledHitsProcessedPerSecAvg> Average assembled hits processed per second Número promedio de coincidencias procesadas por segundo <HitsAssembledHitsProcessedPerSecCurrent> Current assembled hits processed per second Número actual de coincidencias procesadas por segundo <HitsAssembledHitsProcessedPerSecMax> Maximum assembled hits processed per second Número máximo de coincidencias procesadas por segundo <HitsAssembledHitQueueBlocksUsedAvg> Average assembled-hit queue blocks used Promedio de bloques de cola de coincidencias de ensamblado utilizadas <HitsAssembledHitQueueBlocksUsedCurrent> Current assembled-hit queue blocks used Bloques actuales de cola de coincidencias de ensamblado utilizados IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 20. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsAssembledHitQueueBlocksUsedMax> Maximum assembled-hit queue blocks used Máximo de bloques de cola de coincidencias de ensamblado utilizados <HitsAssembledHitQueueCurrentBlocksUsedPct> Current assembled-hit queue blocks used percent Porcentaje de bloques de cola de coincidencias de ensamblado utilizados <HitsAssembledHitQueueCurrentEntriesUsedPct> Current assembled-hit queue entries used percent Porcentaje de entradas de cola de coincidencias de ensamblado actuales utilizadas <HitsAssembledHitQueueEntriesUsedAvg> Average assembled-hit queue entries used Promedio de entradas de cola de coincidencias de ensamblado utilizadas <HitsAssembledHitQueueEntriesUsedCurrent> Current assembled-hit queue entries used Entradas de cola de coincidencias de ensamblado actuales utilizadas <HitsAssembledHitQueueEntriesUsedMax> Maximum assembled-hit queue entries used Máximo de entradas de cola de coincidencias de ensamblado utilizadas <HitsAssembledHitQueueTotalAllocation Failures> Total assembled-hit queue allocation failures Total de fallas de asignaciones de cola de coincidencias de ensamblado <HitsAssembledHitQueueTotalMisses> Total assembled-hit queue misses Total de faltas de colas de coincidencias de ensamblado <HitsAssembledHitQueueTotalPushFailures> Total assembled-hit queue push failures Total de fallas de envíos de colas de coincidencias de ensamblado <HitsAssembledHitQueue2TotalAllocationFailures> Total assembled-hit queue2 allocation failures Recuento total de coincidencias a las que no se pudo asignar espacio en la cola entre el o los conductos y el proceso tcld. Los valores normales son cero o un recuento de no incremento. Puede utilizar la métrica para determinar si el proceso tcld se ha sobrecargado. v Esta estadística se visualiza como el valor If non-zero, hits are being lost due to pipelined being overloaded en el separador Resumen. Consulte “Consola Web de PCA - Pestaña Resumen” en la página 76. v Disponible en PCA Build 3403 o posterior. v Esta estadística se visualiza como el valor If non-zero, hits are being lost due to pipelined being overloaded en el separador Resumen. Consulte “Consola Web de PCA - Pestaña Resumen” en la página 76. Capítulo 4. Configuración de CX PCA 171 Tabla 20. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsAssembledHitQueue2TotalPushFailures> Total assembled-hit queue 2 push failures Recuento total de coincidencias que no han podido hacer cola en la cola entre el o los conductos y el proceso tcld. Los valores normales son cero o un recuento de no incremento. Puede utilizar esta métrica para determinar si el proceso tcld se ha sobrecargado. Nota: Este elemento está disponible en PAC Build 3403 o posterior. <AveragePageSize> Average page size Tamaño promedio de página (captura tipo 1) en bytes. <TotalPageSize> Total page size Se utiliza para calcular vistas de páginas por segundo <PageViewsPerSecMax> Max page views per second Máximo de vistas de páginas por segundo. <PageViewsPerSecCur> Current page views per second Vistas de página actuales por segundo. <PageViewsPerSecAvg> Average page views per second Promedio de vistas de página por segundo. <PageViewPct> Page view percentage of hits El porcentaje de coincidencias que forman parte de las vistas de páginas. <HitsTotalTlapiReqNullErrors> Total TLAPI request null errors Total de errores null de solicitudes de TLAPI <HitsTotalTlapiRespCorruptErrors> Total TLAPI response corrupt errors Total de errores corrompidos de respuestas de TLAPI <HitsTotalTlapiRespNullErrors> Total TLAPI response null errors Total de errores null de respuestas de TLAPI Sección Capturar Tabla 21. Sección Capturar 172 XML Pantalla de consola Descripción <CaptureBytesWrittenByListener> Bytes written by listener Número total de bytes de paquete grabados en el programa de sincronización reassd's mediante listend. <CaptureBytesWrittenByListenerPerSec> Bytes written by listener per second Tasa de bytes de paquete grabados en el programa de sincronización reassd's mediante listend por segundo. <CaptureBytesReadFromListener> Bytes read from listener Número total de bytes de paquete leídos por reassd desde el programa de sincronización reassd's. Este número debe coincidir con lo escrito más arriba por el valor de escucha, que indica que listend y reassd están sincronizados y que mantienen la tasa de tráfico entrante. <CaptureBytesReadFromListenerPerSec> Bytes read from listener per second Tasa de bytes de paquete leídos por reassd desde el programa de sincronización reassd's por segundo. <CaptureFilteredKbytesFromPrimaryInterface> Current filtered KB from primary interface Total de kbytes filtrados desde la interfaz primaria <CaptureFilteredKbytesFromPrimaryInterfacePerSec> Current filtered KB/sec from primary interface Kbytes/seg actuales filtrados desde la interfaz primaria <CaptureFilteredKbytesFromPrimaryInterfacePerSecMax> Maximum filtered KB/sec from primary interface Máximo de kbytes/sec filtrados desde la interfaz primaria <CaptureFilteredKbytesFromSecondaryInterface> Current filtered KB from secondary interface Total de kbytes filtrados desde la interfaz secundaria IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 21. Sección Capturar (continuación) XML Pantalla de consola Descripción <CaptureFilteredKbytesFromSecondaryInterfacePerSec> Current filtered KB/sec from secondary interface Kbytes/seg. actuales filtrados desde la interfaz secundaria <CaptureFilteredKbytesFromSecondaryInterfacePerSecMax> Maximum filtered KB/sec from secondary interface Máximo de kbytes/sec filtrados desde la interfaz secundaria <CaptureTotalPacketsRcvd> Total packets rcvd Recuento de paquete total recibido por pcap como lo notifican sus estadísticas. <CapturePacketsDroppedByPcap> Total packets dropped by pcap Recuento de paquetes totales descartados por pcap como lo notifican sus estadísticas. Este valor debe ser cero, que indica que el SO mantiene el tráfico de red de recepción de interfaz NIC. <CapturePacketsDroppedInOutput> Packets dropped in output Total de paquetes descartados por listend debido a que su almacenamiento intermedio de salida está lleno. Este valor debe ser cero, que indica que listend mantiene el tráfico de red filtrado y que reassd puede extraer paquetes desde el almacenamiento intermedio de salida listend sin desbordarlo. <CaptureTotalPacketsCaptured> Total packets captured Recuento de paquetes totales en paquetes filtrados recibidos desde pcap a listend. <CaptureTotalPacketsCapturedPerSec> Total packets captured per second Tasa de paquetes filtrados recibidos desde pcap por listend por segundo. <CaptureTotalIpChecksumErrors> Total IP checksum errors Recuento de errores totales de errores de suma de comprobación de cabecera de IP. <CaptureTotalLargePacketsExceeded> Total large packets exceeded Número total de paquetes TCP cuyo tamaño ha superado el límite configurado. v El límite de tamaño de paquete TCP se configura en la sección Parámetros de ajuste de la pestaña Interfaz. Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. <CaptureCurrentFilteredKbytesPerSec> Current filtered kbytes per second Muestra la tasa de tráfico de kilobytes por segundo actual basada en el tráfico de captura filtrado desde los puertos de extensión. Esta estadística proporciona una indicación de cualquier tráfico después de que está presente el filtrado y de cuánto tráfico está siendo procesado por los procesos de captura. Si el valor de NIC del puerto de extensión es 100 mbits por segundo, la tasa máxima de tráfico que puede filtrarse es de aproximadamente 10.000 KB por segundo. Estas estadísticas se actualizan cada 5 segundos. <CaptureMaxFilteredKbytesPerSec> Maximum filtered kbytes per second Muestra la tasa de tráfico de kilobytes por segundo máxima basada en el tráfico de captura filtrado desde los puertos de extensión. Esta estadística proporciona una indicación de cualquier tráfico después de que está presente el filtrado y de cuánto tráfico está siendo procesado por los procesos de captura. Si el valor de NIC del puerto de extensión es 100 mbits por segundo, la tasa máxima de tráfico que puede filtrarse es de aproximadamente 10.000 KB por segundo. Estas estadísticas se actualizan cada 5 segundos. <DeliveryMode> Delivery Mode Modalidad de entrega actual <CoreDumps Count="0" /?> no disponible Número de volcados del núcleo Sección destinatarios de destino Tabla 22. Sección destinatarios de destino XML Pantalla de consola Descripción <TotalHitsQueued> Total hits queued Recuento total de coincidencias en cola para la entrega al servidor IBM Tealeaf CX. Capítulo 4. Configuración de CX PCA 173 Tabla 22. Sección destinatarios de destino (continuación) XML Pantalla de consola Descripción <TotalHitsDelivered> Total hits delivered Recuento total de coincidencias entregadas al servidor de IBM Tealeaf CX. Este número debería coincidir con la cantidad de aciertos en cola, para indicar que la entrega de aciertos marcha al mismo ritmo. <TotalBytesDelivered> Total bytes delivered El número total de bytes enviados correctamente al servicio de transporte Tealeaf de destino. <TotalHitsDropped> Total hits dropped El número total de coincidencias descartadas debido a que la cola de entrega por destinatario está llena, lo cual se produce cuando la captura pasiva no puede entregar coincidencias al servicio de transporte de Tealeaf de destino. Estas anomalías pueden deberse a errores de red, tales como, la configuración de la red en la captura pasiva o en la máquina del destinatario, o a otras condiciones relacionadas con el software, tal como cuando el servicio de transporte Tealeaf no se está ejecutando durante un largo periodo de tiempo. Las coincidencias que indica este valor no se han enviado al servicio de transporte de Tealeaf. <UseSslText> Use SSL El estado de conexión de entrega ya sea SSL o no. v Yes - la conexión de entrega está utilizando una conexión SSL v No - la conexión de entrega no es SSL Sección de migración tras error Tabla 23. Sección de migración tras error 174 XML Pantalla de consola Descripción <FailoverNodeRole> Node role Maestro o esclavo. IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 23. Sección de migración tras error (continuación) XML Pantalla de consola Descripción <FailoverNodeState> Node state El estado del nodo está actualmente en. v Active - Tiene control y está capturando hits y enviándolos en sentido descendente. v Ready - Capturando pero no enviando hits. Está listo para asumir el control cuando sea necesario. v Down - No puede asumir el control. <FailoverCaptureState> Identifica si los servicios de captura se están ejecutando en el nodo. Capture state v Running - Indica que los servicios de captura se están ejecutando. v Stopped - Los servicios de captura no están ejecutando cuando se detiene el estado. v Restarting - Indica que los servicios de captura están en proceso de reinicio. <FailoverActive> Indica que ha tenido lugar una migración tras error y el nodo esclavo actualmente tiene el control. Failover active Consola web de PCA - Pestaña de copia de seguridad-registros A través de la pestaña Copias de seguridad/Registros, puede llevar a cabo modificaciones de configuración, gestionar registros y habilitar el archivado de datos de paquetes en bruto capturados por el PCA. Cuando guarda cambios en un archivo de configuración, se graba una copia del anterior en un archivo de copia de seguridad. Se muestra un mensaje de error en el caso de que la copia no se haya completado correctamente. Archivo de configuración de captura Capítulo 4. Configuración de CX PCA 175 La sección Archivo de configuración de captura proporciona una forma de editar el archivo de configuración (ctc-conf.xml) a través de la interfaz web en lugar de utilizando un editor de texto. Los usuarios pueden restaurar, descargar el archivo actual o cargar un archivo de configuración nuevo pulsando los botones correspondientes en la sección Archivo de configuración de captura de la página. Archivo de configuración de privacidad Esta sección habilita la edición directa del archivo privacy.cfg, que se utiliza para especificar las reglas, pruebas y acciones para convertir los datos sensibles en privados antes de que los procese Tealeaf. Puede revisar versiones anteriores del archivo, así como cargar versiones nuevas para que el PCA las utilice. Esta versión del archivo privacy.cfg es una copia de la versión utilizada por el agente de sesión de interconexión de Windows. Para obtener más información sobre su contenido y formato, consulte la sección "Agente de sesión de privacidad ampliado" en la publicación IBM Tealeaf CX Manual de configuración. Para obtener más información sobre la forma en que Tealeaf gestiona la privacidad, consulte "Gestión de privacidad de datos" en la publicación IBM Tealeaf CX Manual de configuración. Registros Puede acceder a los siguientes registros de PCA a través de la pestaña Copia de seguridad/Registros: v Registro de capturas v Registro de accesos v Registro de solicitudes SSL v Registro de errores v Registro de cambios de configuración v Registros de mantenimiento 176 IBM Tealeaf CX Passive Capture Application: Manual de PCA En la parte inferior de la sección Registros, también puede acceder y descargar los siguientes tipos de archivos: v Archivos de registro de captura v Archivos de configuración v Archivos de registro de la consola Registro de archivados En la sección Registro de archivados, puede habilitar el registro de archivados, que suministra paquetes capturados en bruto que se han reenviado a PCA Server en el directorio especificado. Nota: Esta característica está pensada para fines de depuración. Habilítela sólo si detecta problemas con la funcionalidad de captura básica. Tabla 24. Configuración de archivado Valor Descripción Directory Si este campo se deja en blanco, toma el valor predeterminado de /usr/local/ctccap/archive. Las etiquetas <RecordingDirectory> y </RecordingDirectory> se eliminan de ctc-conf.xml. Max archive size Especifica el tamaño máximo acumulativo de los archivos de archivado tcpdump. El valor predeterminado es de 500 MB. Cuando el uso de disco alcanza este valor, se eliminan los archivos de archivado anteriores para dejar espacio para los nuevos. Para habilitar el registro de archivados, pulse Archivado. Consola Web de PCA - Pestaña de Migración tras error En la pestaña de Migración tras error, puede habilitar y configurar la migración tras error entre varios servidores de IBM Tealeaf CX Passive Capture Application. v Cuando está habilitada, la migración por error de la PCA se gestiona mediante el proceso de migración tras error en la IBM Tealeaf CX Passive Capture Application. v Para obtener más información sobre la resolución de problemas de migración tras error de PCA, consulte "Resolución de problemas - Captura" en la publicación IBM Tealeaf: Guía de resolución de problemas. Capítulo 4. Configuración de CX PCA 177 Pulsación Figura 34. Pulsación de migración tras error El subordinado comprueba el estado del maestro al enviar pulsaciones al maestro. Técnicamente estas controles sanitarios son solicitudes al maestro por su estado actual. La pulsación es una solicitud que se envía a través de un socket UDP. Cuando el Maestro ve la pulsación, responde al emisor con su estado actual. El maestro también envía pulsaciones a la máquina de host de captura pasiva para realizar un seguimiento de su estado para determinar si puede realizar una migración tras error al subordinado. Valor Descripción Intervalo de pulsaciones Cuánto tiempo se debe esperar entre pulsaciones Tiempo de espera de pulsaciones La cantidad de captura pasiva de tiempo espera una respuesta de una pulsación antes de llamar a un tiempo de espera excedido Límite de tiempo de espera excedido El número de tiempo de espera excedido de pulsaciones consecutivas que está permitido antes de que se deba realizar una migración tras error Valores automáticos Valor Descripción Auto Failback Esta opción pasa el control (estado activo) desde la máquina de host Slave Passive Capture (Captura pasiva esclava) a la máquina de host Master Passive Capture (Captura pasiva maestra) una vez que la máquina maestra indica que está pronta para volver a tomar el control. Failover on SVC Restart Esta opción determina si se desencadena una migración tras error cuando se reinician los servicios de captura en el servidor PCA activo. Failback Delay El número mínimo de segundos a esperar antes de realizar la migración tras error automática 178 IBM Tealeaf CX Passive Capture Application: Manual de PCA Supervisores remotos En la configuración del Supervisor remoto, puede especificar una lista de servidores autorizados con permiso de acceso a la PCA para supervisar información de estado de migración tras error, controlar la modalidad de migración tras error control o ambas. Figura 35. Supervisores remotos Un Supervisor remoto es un sistema Linux que se identifica por nombre de host o dirección IP al que se permite recibir información de estado de migración tras error y/o controlar una máquina host Captura pasiva configurada para la migración tras error. Nota: Esta estación de trabajo remota no debe ser un servidor PCA. Un Supervisor remoto también puede opcionalmente tener permiso para controlar la migración tras error en una máquina host de Captura pasiva, incluyendo forzar la migración tras error y el restablecimiento. Una IBM Tealeaf CX Passive Capture Application configurada para migración tras error responde a pulsaciones o solicitudes de control de una máquina que esté correctamente configurada como un Supervisor remoto. v Después de que un host reciba autorización, el programa de utilidad failstat instalado en el host puede utilizarse para ayudar a depurar problemas de migración tras error. Consola Web de PCA - Pestaña de Programas de utilidad La pestaña Programas de utilidad proporciona acceso a la información de diagnóstico del sistema operativo, lo cual resulta útil si no tiene acceso a PUTTY. Cuando se pulsa un botón de mandato, se genera la salida y se visualiza en la pantalla. v Cuando se habilita la modalidad detallada, se puede incluir información adicional en la salida generada. Interfaces de red La sección de interfaces de red de la pestaña de programas de utilidad muestra las interfaces de red, distintivos, estado y direcciones IP. Capítulo 4. Configuración de CX PCA 179 Figura 36. Consola web - Pestaña programas de utilidad - Interfaces de red Esta sección lista todas las interfaces de red importantes que se incluyen en la interfaz primaria y secundaria y en la interfaz LAN que se utiliza para conectarse al servicio de transporte de Tealeaf en el servidor de IBM Tealeaf CX. v En compilaciones anteriores, esta sección se mostraba en la pestaña Resumen o en la pestaña Entrega. Esta sección también visualiza información sobre los NIC, tales como soportes admitidos y estadística de paquete. v Para revelar estas estadísticas, pulse (detalles junto al nombre de interfaz. Consulte “Página de detalles”. Valor Descripción Interfaz Identificador de interfaz Distintivos Aquí se listan todas las cuestiones específicas. v up indica el que la interfaz está funcionando correctamente. Estado Estado como informado desde la interfaz. Dirección IP Dirección IP para la interfaz Página de detalles En la página Detalles, puede ejecutar mandatos de Tealeaf y de la línea de mandatos de Linux en interfaces individuales para recuperar la información de diagnóstico. Nota: En función de la interfaz y de su carga de tráfico, estos mandatos pueden necesitar algún tiempo para ejecutarse. 180 IBM Tealeaf CX Passive Capture Application: Manual de PCA Figura 37. Pestaña Utilidades - página de detalles En la imagen anterior, puede ver los resultados de un mandato Ifconfig. Para ejecutar uno de los mandatos disponibles de Linux, pulse el botón apropiado. v Para generar una salida más detallada, seleccione el recuadro de selección. Los siguientes botones ejecutan mandatos Linux en la interfaz seleccionada: v Ethtool v Ifconfig v Tcpdump Para obtener más información sobre los mandatos, utilice man en la línea de mandatos de Linux para mostrar la documentación disponible. v También puede buscar la ayuda en línea de Tealeaf para ver otros usos documentados de estos mandatos con respecto a IBM Tealeaf CX Passive Capture Application. bwMon Proporcionada por Tealeaf, la herramienta bwMon genera un conjunto de estadísticas de supervisión para la interfaz seleccionada. Este mandato consulta la instancia durante un periodo de 10 segundos y devuelve resultados para intervalos de 1 segundo desde la interfaz. Esta herramienta puede utilizarse con actividades que inicia en la aplicación web supervisada para el diagnóstico de problemas de conexión y transferencia. Por ejemplo, puede llevar a cabo acciones en la aplicación web y, a continuación, verificar si la acción ha dado como resultado actividades a través de la interfaz apropiada. v La casilla de verificación Habilitar salida detallada genera el mismo conjunto de estadísticas. Se muestra una salida de ejemplo. Cada fila corresponde a un intervalo de 1 segundo durante el periodo de consulta de 10 segundos. v Si no hay tráfico pasando a la instancia, la salida contiene sólo la lista de nombres de campo. Capítulo 4. Configuración de CX PCA 181 Figura 38. Salida de bwMon de ejemplo Campo Descripción Time Indicación de fecha y hora para el intervalo de 1 segundo seleccionado Dev El dispositivo consultado Mbs La tasa de transferencia de megabits por segundo entre el dispositivo y IBM Tealeaf CX Passive Capture Application. v Un valor de 0 puede indicar un dispositivo inactivo o un problema de configuración. rxbytes Bytes transferidos desde el dispositivo al PCA rxpkts Paquetes transferidos desde el dispositivo al PCA rxerrs Número de errores en la transferencia desde el dispositivo al PCA rxdrop Número de paquetes descartados del dispositivo Programas de utilidad del sistema Los programas de utilidad del sistema que se proporcionan en la parte inferior de la pestaña Programas de utilidad habilitan la generación de información de diagnóstico importante sobre la PCA, el sistema operativo que la aloja y las estadísticas generadas por la PCA. 182 IBM Tealeaf CX Passive Capture Application: Manual de PCA Figura 39. Consola Web - Pestaña de Programas de utilidad - Programas de utilidad del sistema Programa de utilidad Descripción Miscelánea Bootlog Revise el bootlog de Linux del sistema que aloja a la PCA. Diferencias de configuración Revise las diferencias entre el archivo de configuración predeterminado (ctc-conf-defaults.xml) y la configuración actual en uso (ctc-conf.xml). Dmesg Ejectue el mandato dmesg de Linux, que muestra la información de almacenamiento intermedio en anillo del kernel. Ifconfig Ejecute el mandato Ifconfig en cada una de las interfaces de red. Tealeafenv El mandato env de Tealeaf genera información específica de la instalación de PCA de Tealeaf. Procesos Estos mandatos generar información estadística sobre los procesos Linux en uso. Todos Revise todos los procesos del sistema para todos los usuarios. Captura Revise todos los procesos en uso por parte del usuario de IBM Tealeaf CX Passive Capture Application (normalmente ctccap). Top Ejecute el programa top de Linux. top proporciona una vista en tiempo real de la información de resumen del sistema y una lista de tareas actualmente gestionadas por el kernel de Linux. Estadísticas Estos mandatos generan estadísticas sobre la IBM Tealeaf CX Passive Capture Application. Formato en bruto Vea las estadísticas en formato en bruto. Resumen Revise las estadísticas en instancias individuales de la PCA. Capítulo 4. Configuración de CX PCA 183 Formato XML Ve las estadísticas de la PCA como XML generado. Para obtener más información sobre estas estadísticas, consulte “Estadísticas por instancia” en la página 153. Consola Web de PCA - Página de depuración Puede gestionar los archivos principales de volcado al utilizar la página de Depuración en la Consola web de la PCA. A través de esta página, puede descargar, suprimir o depurar volcados del núcleo que se producen durante las operaciones de la PCA. v A través de la página de Depuración, también puede descargar archivos comprimidos para enviarlos al soporte al cliente de Tealeaf. Consulte “Cómo proporcionar el ZIP de la PCA a soporte” en la página 186. Acceso a página de depuración Nota: A efectos de seguridad, para descargar cualquiera de los archivos, debe estar conectado a la consola web a través de ssl, y debe estar habilitada la autenticación de usuarios. Cuando se crean volcados del núcleo, se muestra un mensaje y un enlace en la pestaña Resumen. Para abrir la página Depuración, pulse el enlace Ver. v Consulte “Consola Web de PCA - Pestaña Resumen” en la página 76. Para acceder a la página Depuración de la consola web de PCA directamente: https://<host_name>:8443/debug.php donde: v <host_name> es el host de PCA. Página Visión general Figura 40. Consola web de PCA - página de depuración Nota: Si no está conectado a través de SSL y utilizando autenticación, algunas de las acciones siguientes están inhabilitadas. Campo Descripción 184 IBM Tealeaf CX Passive Capture Application: Manual de PCA file Nombre del archivo principal de volcado date Fecha en que se creó el volcado del núcleo (y cuándo se ha producido el bloqueo) process El proceso que se bloqueó, creación del volcado del núcleo core+process zip Un enlace para descargar el núcleo y el proceso en un único archivo comprimido delete Pulse este enlace para suprimir el archivo principal. Nota: Este mandato es útil si la partición de la unidad de disco duro que está conteniendo el PCA está llena. debug Realizar una depuración simple del volcado. Consulte “Salida de depuración”. Salida de depuración La siguiente es una salida de ejemplo del mandato de depuración: Capítulo 4. Configuración de CX PCA 185 Figura 41. Salida de mandato de depuración Cómo proporcionar el ZIP de la PCA a soporte Cuando trabaje con el soporte del cliente y de ingeniería de Tealeaf para resolver problemas en un sitio del cliente, proporcione el archivo support.zip en el sitio debug.php como ayuda para la resolución del problema. Nota: Cuando proporcione vuelcos de núcleo, suministre el tipo y versión de Linux en el que está instalada la PCA. Contenidos de los archivos ZIP 1. Archivo principal de volcado 2. Archivo binario que creó el vuelco 186 IBM Tealeaf CX Passive Capture Application: Manual de PCA 3. ctc-conf.xml 4. privacy.cfg 5. Registro de mantenimiento y estadísticas del día actual y de los previos. Archivo de configuración de captura pasiva ctc-conf.xml Si no puede iniciar sesión en la consola web, puede editar ctc-conf.xml para configurar IBM Tealeaf CX Passive Capture Application. Nota: Evite realizar cambios directos en este archivo de configuración. Se recomienda realizar cambios a su configuración de PCA mediante la consola web, la cual proporciona una interfaz de usuario en este archivo de configuración. Para obtener más información, consulte “Navegadores soportados para la consola web de PCA” en la página 70. Este archivo se encuentra en el directorio /usr/local/ctccap/etc. Se puede editar con el editor vi. Nota: Algunos de los valores no se muestran en el archivo de configuración predeterminado. Estos valores se pueden insertar en función de los cambios de configuración realizados mediante la consola web. Todos los valores de configuración necesarios para uso general del PCA están disponibles en el archivo predeterminado. Nota: SSH se ejecuta sobre el puerto estándar 22. Nota: Haga siempre una copia de seguridad del archivo de configuración antes de realizar modificaciones en el mismo. Nota: No edite este archivo de configuración o cualquier archivo de configuración de PCA mediante la utilización de un editor en una máquina Windows. Los caracteres de Windows al final de línea (EOL) son diferentes de los UNIX EOL utilizado por Linux. Por lo tanto, se pueden producir errores de configuración cuando se aplica de nuevo el archivo en el entorno de Linux PCA. Las tablas siguientes explican cada opción de configuración en el archivo de configuración predeterminado. <Conf> Tabla 25. Valores de configuración Opción de configuración Descripción <IPv6ConsoleEnabled> Comenzando en PCA Build 3600, puede configurar la consola web PCA para aceptar direcciones IPv6 de forma predeterminada. Para habilitarlo, establezca este valor en 1. Nota: Para sistemas que se han actualizado, debe insertar esta configuración y su valor manualmente en el archivo de configuración. Este cambio de configuración también puede aplicarse a PCA Build 3502. Capítulo 4. Configuración de CX PCA 187 Tabla 25. Valores de configuración (continuación) Opción de configuración Descripción <Timeout> Comenzando en PCA Build 3600, puede configurar este valor en un valor distinto de cero para habilitar tiempos de espera de sesiones de la consola web PCA. El valor especificado define el número de minutos que se permite que una sesión de consola web esté desocupada antes de que sobrepase el tiempo de espera automáticamente. En función de su compilación, este valor puede estar presente en esta ubicación. Busque el archivo. Si el valor no está presente en su archivo, insértelo. Para obtener más información, consulte “Consola web de PCA - Pestaña Consola” en la página 89. <Archivado> Esta sección especifica las opciones de configuración para la habilitación y gestión del archivado de paquetes TCP/IP local. Para obtener más información, consulte “Consola web de PCA - Pestaña de copia de seguridad-registros” en la página 175. Tabla 26. Valor de archivado Opción de configuración Descripción <RecordingEnabled> Habilita el archivado de paquetes TCP/IP local. Cuando está habilitado, los archivos de archivado se guardan en el directorio de registro de archivado (ubicación predeterminada: /usr/local/ctccap/archive) en un archivado acumulado. Los archivados se dividen en particiones de archivos de 50 MB. Este valor está inhabilitado de forma predeterminada. Especifica el tamaño máximo de los archivados de paquetes TCP/IP. <MaxSize> De forma predeterminada, MaxSize está establecido en 500 MB. El tamaño de directorio predeterminado asignado a los archivados es de 18 GB. </Archive> <Captura> Utilice los valores de configuración de captura para configurar la captura de datos desde un puerto de conmutador distribuido o conexión de red. Tabla 27. Valores de captura Opción de configuración Descripción <HangingResponseTimeout> Especifica el valor de tiempo de espera (en segundos) entre el último paquete de la solicitud y el primer paquete de la respuesta. Si el tiempo de espera se excede, la conexión se marca como cancelada por el cliente. El valor predeterminado es de 120 segundos. 188 IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 27. Valores de captura (continuación) Opción de configuración Descripción <HangingTransmissionTimeout> <Especifica el valor de tiempo de espera (en segundos) que define cuánto espera la captura pasiva entre paquetes. Si el tiempo de espera se excede, la conexión se marca como una solicitud cancelada por el cliente. El valor predeterminado es de 120 segundos. <Ignores/> <ListenFullDuplex> Define si la captura pasiva recibe datos bidireccionales desde una conexión de red o unidireccionales desde un puerto SPAN en un conmutador de red o equilibrador de carga. Si la máquina host de captura pasiva recibe datos desde una conexión de red, establezca ListenFullDuplex=False. Si la máquina host recibe datos desde un puerto distribuido, establezca ListenFullDuplex=True. <ListenOnBothInterfaces> Indica si la captura pasiva está a la escucha en una o ambas de sus interfaces de Ethernet. Puede utilizarse para capturar dos puertos SPAN. Si la captura pasiva recibe datos desde una conexión de red, establezca ListenOnBothInterfaces=True. Si recibe datos desde un puerto distribuido, establezca ListenOnBothInterfaces=False. <ListenTo> Anidada dentro de la sección <Capture>, esta subsección especifica el conjunto de servidores web que va a supervisar la captura pasiva. Los atributos <Address> y <Port> deben configurarse para cada servidor web que se está supervisando. La captura pasiva también da soporte a máscaras de red. En el caso de que se utilice un valor de máscara de red, debe añadirse un nodo <NetmaskSize> al archivo de configuración bajo el nodo <Address> y antes del nodo <Port>. Por ejemplo, si el rango de IP para servidores web que se están supervisando es de 10.10.10.0 a 10.10.10.255 y los servidores web están a la escucha en ambos puertos, 80 y 443, la configuración de ListenTo aparecería de la siguiente manera: <ListenTo> <Address>10.10.10.0</Address> <NetmaskSize>24</NetmaskSize> <Port>80</Port> <Port2>443</Port2> </ListenTo> Para obtener más información sobre los métodos recomendados en la gestión de las direcciones IP, consulte “Navegadores soportados para la consola web de PCA” en la página 70. <ListenTos> <Address> Especifica la dirección IP del servidor web que se está supervisando. <Port> Especifica el número de puerto en el que está a la escucha el servidor web. Capítulo 4. Configuración de CX PCA 189 Tabla 27. Valores de captura (continuación) Opción de configuración Descripción <Port2> Especifica un número de puerto extra asociado al atributo Address. Está optimizado para la supervisión típica de dos puertos. <NetMaskSize> Especifica el rango de direcciones IP que se van a supervisar, a través del tamaño de máscara de red en bits. </ListenTo> </ListenTos> <MaxSimultaneousConnections> Define el número máximo de conexiones TCP simultáneas para las que el software de captura pasiva está configurado para manejar. El valor predeterminado es 10000. <MaxConnectionsInSynState> Define el número máximo de conexiones TCP simultáneas donde están establecidas conexiones TCP parciales. El valor predeterminado es 4000. <PrimaryInterface> Especifica el nombre de la interfaz de Ethernet primaria. El valor predeterminado es eth0. <SecondaryInterface> Especifica el nombre de la interfaz de Ethernet secundaria. <MaxSessionCacheSize> Define el número máximo de conexiones SSL simultáneas que pueden procesarse. El valor predeterminado es 10.000. <MaxInputBufferSize> Nota: No modifique este valor sin ponerse en contacto con el soporte técnico primero. Este valor se utiliza para los problemas de depuración relacionados con condiciones de tráfico pico que estén sobrepasando el almacenamiento intermedio.Define el tamaño máximo (en bytes) de la cola de manejo de paquetes TCP. El valor predeterminado es 100.000.000 (aproximadamente 100 MB). Cuando se llena el búfer, el PCA comienza a descartar coincidencias. Mediante la imposición de un límite en el búfer, el sistema evitará un bloqueo. Sin embargo, los datos se descartan. <MaxMemoryConsumption> Nota: No modifique este valor sin ponerse en contacto con el soporte técnico primero. Este valor se utiliza para los problemas de depuración relacionados con condiciones de tráfico pico que estén sobrepasando el almacenamiento intermedio.Define la cantidad máxima de memoria del sistema (en MB) asignada al proceso de captura. El valor predeterminado es 1300 MB (1.3 GB). IBM Tealeaf Passive Capture Application es una aplicación de 32 bits, lo que significa que cada proceso de CX PCA puede dirigir un máximo de 2 GB de RAM. 190 IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 27. Valores de captura (continuación) Opción de configuración Descripción <TransparentLoadBalancingEnabled> Habilita o inhabilita la característica de equilibrio de carga transparente (TLB). Para habilitar el equilibrio de carga, establezca TransparentLoadBalancingEnabled en True. Para inhabilitar el equilibrio de carga, establezca TransparentLoadBalancingEnabled en False. El valor predeterminado es True para habilitar el equilibrio de carga. Para obtener más información, consulte “Descripción general del equilibrio de carga transparente de CX PCA” en la página 12. <ReassInstances> Configura el número de instancias reassd que se va a crear. El valor predeterminado es 1. <SslSessionInfoOnMemcachedServer> Si está habilitado el equilibrio de carga transparente y SslSessionInfoOnMemcachedServer está establecido en True, PCA utiliza memcache para almacenar los datos SSL en memoria caché. El valor predeterminado para SslSessionInfoOnMemcachedServer está establecido en True. <MaxConnectionsRoutingInfo> Define cuánta información de direccionamiento de conexión TCP puede almacenarse en la tabla hash routerd local. Una vez que se alcanza el límite, los datos más antiguos se eliminan de la tabla para que se pueda grabar un valor nuevo en la misma. El valor predeterminado es 100000. <MaxInputRouterdBufferSize> Define el tamaño de búfer, en MB, para el servicio routered. El valor predeterminado es 50 MB. <DeleteTcpLargeConnDisabled> Este valor es un distintivo booleano, establecido en True o False. Si no se especifica, se toma como si estuviese establecido en False. Si se establece en True, este valor impide que se cierren conexiones TCP que tengan tamaños excedidos de solicitudes o respuestas individuales. En casos especiales como, por ejemplo, archivos pdf grandes o conexiones de tráfico de modalidad continua, puede que se tenga que inhabilitar esta característica para mantener la conexión. El tamaño máximo de solicitudes o respuestas individuales está definido por el parámetro MaxTcpConnSize. Capítulo 4. Configuración de CX PCA 191 Tabla 27. Valores de captura (continuación) Opción de configuración Descripción <MaxTcpConnSize> Tamaño máximo permitido de una solicitud o respuesta individual en una conexión TCP. Una única conexión TCP puede tener varias solicitudes o respuestas, y cada una se comprueba con respecto a este límite. El valor predeterminado es 2097152. Si se excede este límite, la conexión TCP se cierra automáticamente cuando el valor DeleteTcpLargeConnDisabled está establecido en False. <CaptureKeys/> <CaptureKey> Esta sección opcional se utiliza para definir las claves SSL necesarias para dar soporte a la captura de tráfico HTTPS desde servidores web. v Para cada clave privada, debe definirse una sección CaptureKey que incluya a los nodos <CertificateFile> (opcional), <Label> y <PrivateKeyFile>. v Las entradas <CertificateFile> y <PrivateKeyFile> son los nombres de dominio completos de los archivos que contienen el certificado y las claves privadas. v La clave privada debe estar en el formato .PTL convertido por Tealeaf para que pueda utilizarse. <Certificate> Especifica la ubicación en la que se va a pegar la clave pública. <Label> Especifica el nombre de texto de la clave privada. <PrivateKey> Define la ubicación donde se va a pegar la clave privada. </CaptureKey> </CaptureKeys/> <InstancesEnabled> Este valor proporciona un valor global para habilitar/inhabilitar varias instancias. Este valor es un distintivo booleano, establecido en True o False. v Si no se especifica, se toma como si estuviese establecido en False. v Si se establece en True, se utilizan las siguientes <Instances> anidadas para la instanciación de varias instancias. De lo contrario, sólo se crea una única instancia. <Instances> Nodo de nivel superior para definiciones de varias instancias anidadas. <Instance> Nodo de instancia para la definición de los atributos de una instancia. <InstanceDisabled> Este valor es un distintivo booleano, establecido en True o False. v Si no se especifica, se toma como si estuviese establecido en False. v Si se establece en True, se inhabilita el nodo de instancia local. Mediante la inhabilitación del nodo de instancia, puede inhabilitar instancias individuales para la depuración o prueba. 192 IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 27. Valores de captura (continuación) Opción de configuración Descripción <ListenFullDuplex> Si se define dentro del nodo de instancia, tiene el mismo significado que la instancia primaria anterior, pero este valor se aplica a esta instancia específica. Si no se define, la instancia hereda el valor de la instancia primaria. Establezca <ListenFullDuplex> en True o False. <ListenOnBothInterfaces> Si se define dentro del nodo de instancia, tiene el mismo significado que la instancia primaria anterior, pero este valor se aplica a esta instancia específica. Si no se define, la instancia hereda el valor de la instancia primaria. Establezca <ListenOnBothInterfaces> en True o False. <TcpChecksumDisabled> De forma predeterminada, CX PCA ejecuta una validación de suma de comprobación de los paquetes TCP que se envían a la misma. En los entornos donde está habilitada una opción de recepción grande (LRO) o descarga de suma de comprobación, falla la validación de suma de comprobación de PCA. Establezca el valor en True para inhabilitarlo. Si este valor no está en el XML predeterminado, CX PCA asume que se desea la validación de suma de comprobación y que está habilitada. Este valor aparece en el XML después de inhabilitada la validación de suma de comprobación de paquetes a través de la pestaña Interfaz de consola web PCA seleccionando el recuadro de selección de validación Inhabilitar suma de comprobación de paquetes. Para obtener más información, consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. <PipelineInstances> Indica el número de procesos de interconexión (interconectados) para crear un sistema capaz de contener varias interconexiones. Puede añadir un proceso interconectado extra para cada núcleo de procesador adicional que esté desocupado. De forma predeterminada, este valor está establecido en 1. Para obtener más información sobre la creación de varias interconexiones, consulte “Valores de la interconexión” en la página 119. <SslHwCheckDisabled> Cuando está establecido en true, CX PCA inhabilita la exploración y el uso de tarjetas de acelerador de hardware de SSL. El valor predeterminado es False. <MaxPipelineSHMQueueSize> Define el tamaño en megabytes de la cola que proporciona coincidencias a las instancias de la interconexión. De forma predeterminada, este valor está establecido en 100 MB. El valor máximo permitido es de 200 MB. Capítulo 4. Configuración de CX PCA 193 Tabla 27. Valores de captura (continuación) Opción de configuración Descripción <MaxPipelineSHMQueue2Size> Define el tamaño en megabytes de la cola que proporciona coincidencias desde las instancias de la interconexión al módulo de motor Tcl. De forma predeterminada, este valor está establecido en 100 MB. El valor máximo permitido es de 200 MB. Para obtener más información sobre la creación de varias interconexiones, consulte “Valores de la interconexión” en la página 119. </Capture> <Entrega> Esta sección incluye los atributos para la configuración del transporte de datos en tiempo real desde la máquina host de captura pasiva al entorno de IBM Tealeaf CX Server. Tabla 28. Valor de entrega Opción de configuración Descripción <DeliveryMode> Configura la modalidad de entrega para la entrega de PCA a sus iguales. Para obtener más información, consulte “Consola Web de PCA - Pestaña de Entrega” en la página 110. <DeliveryMode>2</DeliveryMode> <BatchInterval> Este valor no se utiliza. <MaxQueueDepth> Define el tamaño máximo (en bytes) de la cola para el envío de datos a IBM Tealeaf CX Server. El valor predeterminado es 0, que establece la profundidad de cola en 50MB. <MyCertificate> Este valor no se utiliza. <MyPrivateKey> Este valor no se utiliza. <StatisticsHitEnabled> Este valor es un distintivo booleano, establecido en True o False. v Si se establece en True, las coincidencias de estadísticas se habilitan como una característica. v Si se establece en False, se inhabilita la característica. Si no se establece ningún valor, se toma como False. <StatisticsHitHost> Este valor es el nombre de host o dirección IP de la máquina que ejecuta al servicio de transporte de Tealeaf que recibe coincidencias de estadísticas. <StatisticsHitIntervalSeconds> Este valor, un número positivo, es el número mínimo de segundos a transcurrir entre intentos de enviar coincidencias de estadísticas. Si se establece en 0 (cero), no se envían coincidencias de estadísticas. 194 IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 28. Valor de entrega (continuación) Opción de configuración Descripción <StatisticsHitPort> Este valor, un número de puerto positivo, es el número de puerto TCP/IP que se utiliza al conectarse al servicio de transporte de Tealeaf en el host. <StatisticsHitSecure> Este valor, un distintivo booleano, indica si la conexión al servicio de transporte de Tealeaf está habilitada para SSL. Puede establecerse en True o False. Si no se especifica, se toma como si estuviese establecido en False. <TimeSourceHost> Designa el nombre de dominio o dirección IP del host que ejecuta el servicio de transporte de Tealeaf que se utilizará como fuente de tiempo. Si no desea sincronizar con una fuente de tiempo, deje este campo en blanco. <TimeSourcePort> Designa el puerto en el que el host de la fuente de tiempo escucha las consultas de fuente de tiempo. Si no desea sincronizar con una fuente de tiempo, deje este campo en blanco. <Peers> <Peer> Define la dirección IP o puerto del entorno de IBM Tealeaf CX Server de recepción. Debe definirse una sección <Peer> para cada máquina de IBM TealeafCX Server de recepción. <Host> Especifica la dirección IP o nombre de host de los datos de recepción de IBM TealeafCX Server de la máquina host de captura pasiva. <Port> Especifica el número de puerto IP en el IBM TealeafCX Server al que se están enviando los datos. El valor predeterminado es 1966. </Peers> <PollingInterval> Este valor no se utiliza actualmente. <WatchdogTimer> Especifica el tiempo máximo (en segundos) permitido para establecer una conexión con IBM Tealeaf CX Server. Si el tiempo de espera se excede, la conexión se marca como desconectada. El valor predeterminado es de 30 segundos. </Delivery> Capítulo 4. Configuración de CX PCA 195 Tabla 28. Valor de entrega (continuación) Opción de configuración Descripción <ConfigurationChangeTime> Especifica el tiempo de UNIX (segundos desde el 1 de enero de 1970, Hora Universal Coordinada) transcurrido desde la última actualización realizada en el archivo de configuración a través de la consola web. Nota: No modifique este valor. Este valor se modifica automáticamente cuando se realiza una actualización a través de la consola web. <Extensión/> El valor <Extensión/> no se utiliza. <Análisis> Los siguientes valores de configuración se utilizan para definir los parámetros de sesionización para el inyector de cookies de Tealeaf. Para obtener más información, consulte “Valores de la interconexión” en la página 119. Tabla 29. Valores de análisis Opción de configuración Descripción <UserIDName> (Opcional) Especifica el valor de cabecera HTTP(S) establecido por el inyector de cookies de Tealeaf como el atributo de ID de usuario. El valor predeterminado es TLTUID. <SessionIDName> Especifica el valor de cabecera HTTP(S) establecido por el inyector de cookies de Tealeaf como el atributo de ID de sesión. El valor predeterminado es TLTUID. <HitIDName> Especifica el valor de cabecera HTTP(S) establecido por el inyector de cookies de Tealeaf como el atributo de ID de hit. El valor predeterminado es TLTUID. <TealeafCookies> Especifica si se está utilizando el inyector de cookies de Tealeaf. El valor predeterminado es True. <CaptureMode> Especifica la modalidad de captura que se está utilizando. Existen dos posibles valores: Business y BusinessIT. v Si CaptureMode=Business, el software captura sólo objetos de solicitud y respuesta HTTP(S) para solicitudes de página 'business' (por ejemplo, HTML, ASP, JSP). Los objetos asociados que no sean texto no se capturan (por ejemplo, GIF, JPEG) en esa página. v Si CaptureMode=BusinessIT, el software también captura objetos de solicitud y respuesta HTTP(S) para objetos de archivo que estén asociados con la página 'business' (por ejemplo, GIF, JPEG). v El valor predeterminado es Business. 196 IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 29. Valores de análisis (continuación) Opción de configuración Descripción <ExcludeExtensions> Especifica las extensiones de archivos que se deben excluir del flujo de datos de captura. Este valor se puede utilizar para afinar el comportamiento especificado por CaptureMode. <IncludeExtensions> Especifica las extensiones de archivo que se capturan completamente. Los archivos binarios como los PDF ahora se pueden incluir en la captura. <CaptureAllTypes> Especifica tipos de contenido (tipos MIME) para los que se va a capturar una coincidencia completa (incluida la respuesta). <IncludeMethods> Especifica los métodos HTTP a incluir. Los valores predeterminados son Get, Post y Put. <RawRequest> Determina si RawRequest está activada. Rawrequest es una ayuda en la depuración. El valor predeterminado es False (inhabilitado). Si está establecido en True, las cabeceras de solicitud HTTP se añaden a la coincidencia. Nota: Se recomienda establecer el valor en False para impedir que se añadan datos extra a cada coincidencia. <ResponseHeaders> Determina si ResponseHeaders están activados. ResponseHeaders son ayudas en la depuración. El valor predeterminado es False (inhabilitado). Si está habilitado (True), las cabeceras de respuesta HTTP se añaden a la coincidencia. Nota: Se recomienda establecer el valor en False para impedir que se añadan datos extra a cada coincidencia. <MaxResponseSize> Especifica el mayor tamaño aceptable de respuesta (en bytes). El valor predeterminado es 1572864 (1.5 MB). <MaxDataSizeBytes> El número máximo de bytes permitido para la comunicación entre la captura pasiva y la representación de coincidencia binaria que se utiliza para comunicarse con el servicio de transporte de Tealeaf. El valor predeterminado es de 2 MB (2097152). <MaxRequestSizeBytes> El número máximo de bytes permitido para solicitudes HTTP. Si se excede este valor se descarta el cuerpo de solicitud o toda la solicitud. El valor predeterminado es de 2 MB (2097152). Capítulo 4. Configuración de CX PCA 197 Tabla 29. Valores de análisis (continuación) Opción de configuración Descripción <ShrinkToFit> Si se establece en True, el código de procesamiento de coincidencias no asigna espacio extra cuando redimensiona búfers. El espacio extra minimiza reasignaciones futuras, lo que aumenta el rendimiento. v Establezca este valor en True sólo si desea emplear el código de procesamiento de coincidencias de forma más agresiva y mantener el uso de su memoria a un mínimo. v El valor predeterminado y recomendado es False. <InflateEnabled> Si una respuesta tiene una cabecera de codificación de contenido cuyo valor es deflate, gzip o x-gzip, entonces es un candidato para tener el cuerpo inflado (ampliado a partir de su estado comprimido). v Si se establece en True, se realiza un intento de inflar la respuesta. – Si el inflado falla, se registra un mensaje en el nivel de registro de aviso. – Si el inflado se realiza satisfactoriamente, el valor de la cabecera de codificación de contenido se sobrescribe con el carácter X. Por ejemplo, la cabecera de codificación de contenido tendría el valor de XXXX. v El valor predeterminado es False. 198 <MoveXMLToREQ> Reubica el XML de la respuesta en una sección de XML en la solicitud. Nota: Esta característica está inhabilitada. Independientemente del valor que se defina, el PCA se comporta como si este atributo estuviese establecido en False. <UnReqCancelled> Si se habilita, esta opción comprueba los últimos 100 bytes del cuerpo de respuesta para cuando capturetype=1 y los marca como cancelados. <CookieParsingEnabled> Si se selecciona esta opción, se añade una sección de cookies a la solicitud. <URLDecodingEnabled> Esta opción determina si se debe decodificar la URL de los urlfields. <DelImagesEnabled> Cuando se selecciona, esta opción habilita la característica DelImages en el PCA, que suprime automáticamente coincidencias de imagen que cumplan con criterios específicos. Para obtener más información, consulte “Valores de la interconexión” en la página 119. IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 29. Valores de análisis (continuación) Opción de configuración Descripción <TLISupportEnabled> Esta opción habilita la captura de contenido estático a través de PCA con el fin de almacenarlo en un servidor TLI que se despliega entre sus servidores de Tealeaf basados en Windows. v Un servidor TLI habilita la captura de contenido estático como, por ejemplo, imágenes, JavaScripts y hojas de estilo, en un archivado permanente para una reproducción de máxima fidelidad y por requisitos de auditoría. Para obtener más información, consulte Manual de administración de IBM Tealeaf cxImpact. v Cuando está habilitada, esta opción sustituye la característica DelImages en el PCA. Para obtener más información, consulte “Valores de la interconexión” en la página 119. <SessioningEnabled> Si se establece esta opción, las coincidencias se agrupan en sesiones que se basan en <SessField/>. <SessField> El campo primario en el que se va a sesionizar. Debe definirse si está habilitada la sesionización. Este valor puede ser cualquier campo en el búfer de solicitud, par nombre-valor [urlfield], o REMOTE_ADDR en la sección [env]. Puede especificar el campo de sesionización primario y alternativas como una lista delimitada por comas de nombres de campos. Los nombres de campo en secciones independientes pueden ir precedidos con el nombre de la sección como, por ejemplo, cookies:field1, urlfield:field2. <SessSection> Campo opcional que indica en qué sección del búfer de solicitud se encuentra SessField. Utilice este campo sólo si no se hace referencia a una sección explícita en el valor o valores SessField. Si no se especifica, se busca en toda la solicitud y se utiliza la primera coincidencia. Capítulo 4. Configuración de CX PCA 199 Tabla 29. Valores de análisis (continuación) Opción de configuración Descripción <SessFieldMaskOff> Especifica una subserie del campo de solicitud SessField para utilizar para la sesionización. Este valor puede ser dos desplazamientos basados en cero o un desplazamiento inicial y la palabra end para utilizar todo a partir de la posición inicial hasta el final del valor. Por ejemplo: v PrimarySessFieldMaskOff=0 end utiliza toda la serie v PrimarySessFieldMaskOff=0 19 utiliza los primeros 20 caracteres v PrimarySessFieldMaskOff=14 end-4 utiliza el carácter número 15 hasta el número 4 desde el final v PrimarySessFieldMaskOff=end-9 end-2 utiliza el noveno desde el final hasta el segundo desde el final <SessCaseInsensitive> Cuando se establece en True, SessField y SessSection (si están especificados) pueden tener valores con mayúsculas y minúsculas. Nota: Esta opción debe evitarse, ya que la coincidencia que no distingue entre mayúsculas y minúsculas utiliza más recursos del sistema que la coincidencia que sí lo hace. Este valor sólo se aplica al nombre del parámetro y no al valor del parámetro. <TimeGradesEnabled> Si está habilitada, la Calificación por tiempo puede asignar una calificación a una coincidencia en una de las tres áreas siguientes: v Web Server Page Gen: Cuánto demora el servidor web para servir la página. v Network Transit: Mide la velocidad de la red basado en cuánto tiempo pasó un paquete en la red. v Round Trip: La cantidad de tiempo que le toma a un paquete arbitrario ir desde el cliente al servidor web. 200 <WSGenBreaks> Cuánto demora el servidor web para servir la página. Pares nombre-valor delimitados por coma (name:value, name:value). <NetworkTransitBreaks> Mide la velocidad de la red basado en cuánto tiempo pasó un paquete en la red. Pares nombre-valor delimitados por coma (name:value, name:value)). <RoundTripBreaks> La cantidad de tiempo que le toma a un paquete arbitrario ir desde el cliente al servidor web. Pares nombre-valor delimitados por coma (name:value, name:value). IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 29. Valores de análisis (continuación) Opción de configuración Descripción <SamplingEnabled> El muestreo de sesión, si está habilitado, especifica un porcentaje de sesiones a suprimir de la captura. <SamplePercentage> El porcentaje de tráfico a guardar, si está habilitado el muestreo. <PrivacyEnabled> Determina si está habilitada la privacidad. <InflatePreserveResponseOnErr> La selección de esta opción activa la característica de inflado. Si una respuesta tiene una cabecera de codificación de contenido cuyo valor es deflate, gzip o x-gzip, entonces es un candidato para tener el cuerpo inflado y ampliado a partir de su estado comprimido. Si el inflado falla, se registra un mensaje en el nivel de registro de aviso. Si el inflado se realiza satisfactoriamente, el valor de la cabecera de codificación de contenido se sobrescribe con el carácter X. Por ejemplo, el valor de codificación de contenido podría ser XXXX. <XforwardingEnable> Cuando se establece en True, el PCA se configura para analizar un campo HTTP-X-FORWARDING especificado. Nota: Esta entrada no se crea hasta que se habilite el reenvío-X. Para obtener más información, consulte “Valores de la interconexión” en la página 119. <XforwardingField> Cuando XforwardingEnable se establece en True, este campo identifica el campo HTTP-X-FORWARDING. Esta entrada no se crea hasta que se habilite el reenvío-X. Para obtener más información, consulte “Valores de la interconexión” en la página 119. </Parse> <LastWSDescription> Cuando TimeGrades está habilitado, la descripción para utilizar para la cantidad de veces de WSGen que superan a la última vez definida por WSGenBreaks. <LastNTDescription> Cuando TimeGrades está habilitado, la descripción para utilizar para la cantidad de veces de transito de red que superan a la última vez definida por NetworkTransitBreaks. <LastRTDescription> Cuando TimeGrades está habilitado, la descripción para utilizar para la cantidad de idas y vueltas que superan a la última vez definida por RoundTripBreaks. Capítulo 4. Configuración de CX PCA 201 Tabla 29. Valores de análisis (continuación) Opción de configuración Descripción <DeflateEnabled> Si se establece en True, se comprime la respuesta de cada coincidencia (si no se ha hecho aún) antes de enviarla al igual de entrega. El valor predeterminado es False. <HitArchiveEnabled> Si se establece en True, todas las coincidencias capturadas también se graban en un archivo de archivado (TLA) en la unidad local. Esto se realiza principalmente para la resolución de problemas y no para circunstancias normales de uso. El valor predeterminado es False. <HitArchiveDirectory> Directorio donde se graban archivados de coincidencias cuando HitArchiveEnabled=True. <HitArchiveRollSizeMBytes> Especifica el tamaño de archivo de retrotracción en megabytes, el valor predeterminado es 100 MB. <Migración tras error> Puede configurar los valores de migración tras error a través de “Consola Web de PCA - Pestaña de Migración tras error” en la página 177. Tabla 30. Valores de migración tras error 202 Opción de configuración Descripción <Enabled> Si está habilitada la migración tras error, una máquina host de captura pasiva de copia de seguridad (subordinada) toma el control si falla la principal (Maestra). <MasterAddress> Dirección de la máquina de migración tras error maestra. <MasterPort> Puerto de la máquina de migración tras error maestra. <SlaveAddress> Dirección de la máquina de migración tras error subordinada. <SlavePort> Puerto de la máquina de migración tras error subordinada. <HeartbeatInterval> Cuánto tiempo se debe esperar entre pulsaciones. <HeartbeatTimeout> La cantidad de tiempo que espera la captura pasiva para obtener una respuesta de una pulsación antes de que se exceda el tiempo de espera. <TimeoutLimit> El número de tiempos de espera excedidos de pulsaciones consecutivas que está permitido antes de que se deba realizar una migración tras error. IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 30. Valores de migración tras error (continuación) Opción de configuración Descripción <AutoFailback> Pasa el control (estado activo) desde la máquina host de captura pasiva subordinada a la máquina host de captura pasiva maestra una vez que la máquina maestra indica que está pronta para volver a tomar el control. <FailbackDelay> El número mínimo de segundos a esperar antes de realizar una migración tras error automática. <FailoverOnSvcRestart> Esta opción determina si se desencadena una migración tras error cuando se reinician los servicios de captura en el servidor IBM Tealeaf Passive Capture Application activo. <RemoteMonitors> <RemoteMonitor> Un supervisor remoto es un sistema (representado por un nombre de host o dirección IP) al que se le permite recibir información de estado de migración tras error enviando pulsaciones a una máquina host de captura pasiva configurada para la migración tras error. <Host> Nombre de host del supervisor remoto. <CanControl> Si esta opción está habilitada, el supervisor remoto puede forzar una migración tras error o restablecimiento. </RemoteMonitor/> </Failover> </Conf> <Pool> Puede configurar los valores de agrupación SSL mediante la pestaña SSL de la consola web de PCA. Tabla 31. Valores de agrupación SSL Opción de configuración Descripción <PoolPeer> Contiene los valores de configuración de agrupación SSL para el servidor de PCA local. El valor predeterminado es . <IPv6> Define si la dirección IP utiliza IPv6. El valor predeterminado es false. <Address> Dirección IP para el servidor de PCA El valor predeterminado es 9.19.145.49. <Port> Número de puerto para el servidor de PCA El valor predeterminado es 11211. Capítulo 4. Configuración de CX PCA 203 Tabla 31. Valores de agrupación SSL (continuación) Opción de configuración Descripción <CacheSize> Define el tamaño en MB de la memoria caché que contiene la información de sesión de SSL. El valor predeterminado es 256. <Secure> Habilita o inhabilita la comunicación segura entre servidores de PCA en la agrupación SSL. El valor predeterminado es false. Configuración de varios pares Listend–Routerd Configure varios pares Listend–Routerd (MLRP) para utilizar varias NIC para capturar el tráfico de red en un entorno que genera un gran volumen de tráfico de red. Para configurar MLRP en el servidor de CX PCA: 1. Inicie la sesión en la consola web de PCA. 2. Vaya a la pestaña Interfaz. MLRP solamente está soportado cuando la característica de equilibrio de carga transparente (TLB) está habilitada. Para obtener más información sobre TLB, consulte “Descripción general del equilibrio de carga transparente de CX PCA” en la página 12. 3. Seleccione Habilitar equilibrio de carga transparente. 4. Seleccione Captura de varias instancias para habilitar MLRP. 5. Seleccione Añadir instancia para configurar cuántos pares desea habilitar. 6. Vaya a Lista de instancias y configure los valores de la interfaz para cada instancia. 7. Vaya a Reglas de filtro y aplique las reglas de filtro a cada instancia. Para obtener más información sobre las reglas de filtro, consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. Puede ver la instancia de reassd y las estadísticas de cada par MLRP si selecciona Estadísticas, selecciona una instancia y después selecciona Captura. Configuración de agrupaciones SSL Puede crear agrupaciones SSL para agrupar un conjunto de servidores de PCA de modo que dichos servidores puedan compartir la información de sesión SSL. Si configura un grupo de servidores de PCA de modo que formen parte de una agrupación SSL, una sesión SSL que se haya iniciado en un servidor de PCA se puede reanudar en otro servidor de PCA de la agrupación. Esta capacidad le ofrece la posibilidad de configurar varios servidores de PCA en el entorno de Tealeaf. Además, las agrupaciones SSL pueden utilizarse para impedir la puesta en cola y la pérdida potencial de datos si un servidor de PCA de origen no puede continuar procesando la sesión SSL. Utilice el procedimiento siguiente para añadir un servidor de PCA a una agrupación SSL. 204 IBM Tealeaf CX Passive Capture Application: Manual de PCA Nota: Cada servidor de PCA de la agrupación SSL debe contener una configuración de agrupación SSL idéntica. 1. Vaya a la consola web de PCA. 2. Seleccione la pestaña SSL y desplácese hacia abajo hasta Configuración de agrupación SSL. El servidor de PCA en el que ha iniciado sesión aparece automáticamente en la lista de la configuración de la agrupación. 3. Seleccione Añadir para especificar la información de red de más servidores de PCA en la agrupación SSL. 4. Escriba la dirección IP del servidor de PCA adicional en el campo Dirección de host. 5. Escriba el número de puerto del servidor de PCA adicional en el campo Puerto de host. 6. Seleccione Aceptar para continuar. 7. Cuando el servidor de PCA se haya añadido a la configuración de la agrupación, se mostrará un mensaje de confirmación. Seleccione Aceptar para regresar a Configuración de agrupación SSL. 8. Si tiene un servidor de PCA adicional para añadir a la configuración de la agrupación, repita el paso 3. 9. En el campo Parámetros de ajuste para host local, especifique el tamaño de la memoria caché. La memoria caché contiene la información de sesión SSL para el servidor local. El valor predeterminado es 256 MB. 10. Pulse Guardar cambios de la agrupación para guardar y aplicar la configuración de la agrupación SSL. La configuración de agrupación correspondiente a cada servidor de PCA de la agrupación SSL debe añadirse a cada servidor de PCA. Inicie la sesión en la consola web de cada servidor de PCA que pertenece a la agrupación SSL y repita este procedimiento. Para obtener información sobre la eliminación de un servidor de PCA de la agrupación SSL, consulte “Eliminación de un servidor de PCA de una agrupación SSL”. Para obtener información acerca de los programas de utilidad de resolución de problemas de las agrupaciones SSL, consulte “Resolución de problemas de la agrupación SSL” en la página 283. Eliminación de un servidor de PCA de una agrupación SSL Siga estos pasos para eliminar un servidor de PCA de una agrupación SSL. 1. Vaya a la consola web de PCA. 2. Seleccione la pestaña SSL y desplácese hacia abajo hasta Configuración de agrupación SSL. 3. Localice el servidor de PCA que desea eliminar de la agrupación SSL. 4. Seleccione X en la columna Suprimir para eliminar el servidor de PCA de la configuración de la agrupación. 5. Pulse Guardar cambios de la agrupación para guardar y aplicar la configuración de la agrupación SSL. Para obtener información sobre la adición de un servidor de PCA de la agrupación SSL, consulte “Configuración de agrupaciones SSL” en la página 204. Capítulo 4. Configuración de CX PCA 205 Para obtener información acerca de los programas de utilidad de resolución de problemas de las agrupaciones SSL, consulte “Resolución de problemas de la agrupación SSL” en la página 283. 206 IBM Tealeaf CX Passive Capture Application: Manual de PCA Capítulo 5. Configuración de Packet Forwarder IBM Tealeaf Packet Forwarder puede configurarse a través de los archivos de configuración que se han almacenado en el directorio de instalación. El escenario típico de un sitio web en la nube incluiría un equilibrador de carga elástico (ELB) para distribuir el tráfico web a un nivel de servidor web suministrado dinámicamente que consta de varias instancias de servidor web. Cada instancia de servidor web podría tener instalada una Packet Forwarder para reenviar el tráfico web capturado a una CX PCA centralizada. La CX PCA se ejecuta en una instancia de máquina virtual y procesa el tráfico web. Después de configurar correctamente la instancia de servidor web, se crea una instancia de de máquina Amazon (AMI) para la instancia. La AMI se suministra dinámicamente para proporcionar tantas instancias como sea necesario. Nota: En el momento de esta publicación, es necesario que el número máximo de instancias de servidor web sea conocido. El número de instancias de servidor web se utiliza en la configuración del reenviador de paquetes para determinar el número máximo de conexiones TCP activas que pueden conectarse al receptor de sockets de PCA de destino. Configuración del Packet Forwarder para comunicarse con la CX PCA Para procesar tráfico web en un entorno basado en nube, debe configurarse un reenviador de paquetes para transmitir datos a una CX PCA central que funcione en una máquina virtual. Deben completarse los siguientes requisitos previos antes de configurar el software del reenviador de paquetes. v Todas las operaciones de instalación y configuración deben completarse utilizando la cuenta de usuario root. La utilización del mandato sudo puede que no proporcione permisos suficientes para permitir realizar modificaciones de parámetros del sistema y podría hacer que la instalación fuera incompleta o incorrecta. v Instale el software del reenviador de paquetes. Para obtener más información, consulte “Instalación del reenviador de paquetes” en la página 33. Siga los pasos siguientes para configurar el reenviador de paquetes y CX PCA para la comunicación en el entorno basado en nube. 1. Localice /usr/local/ctccap/etc/fwdr-conf.xml en el servidor proxy inverso o en el servidor web virtual que está alojando el transmisor del reenviador de paquetes. 2. Haga una copia del archivo de configuración existente copiando /usr/local/ctccap/etc/fwdr-conf.xml en un directorio de copia de seguridad. Si el archivo de configuración está dañado o no es válido, puede restaurarlo a partir de la copia de seguridad o crear un nuevo archivo de configuración a partir de fwdr-conf-defaults.xml. fwdr-conf-defaults.xml contiene los valores de configuración predeterminados para el reenviador de paquetes. 3. Edite el archivo /usr/local/ctccap/etc/fwdr-conf.xml. Puede utilizar el editor vi u otro editor de texto para editar el archivo de configuración. © Copyright IBM Corp. 1999, 2015 207 4. Localice la etiqueta <PrimaryInterface> y edite el nombre de dispositivo NIC virtual para el reenviador de paquetes. El reenviador de paquetes captura el tráfico del servidor web. Para la mayoría de las instalaciones, eth0 se utiliza como nombre de dispositivo. 5. Edite los números de puerto de modo que refleje los puertos de tráfico que se utilizan para el servidor. La regla de filtro de tráfico de captura predeterminada está definida para estar a la escucha de tráfico en el puerto 80 y 443. Valores de puerto de ejemplo: <ListenTos> <ListenTo> <Port>80</Port> <Port>443</Port> </ListenTo> </ListenTos> 6. Localice la etiqueta Delivery y edite la conexión de red de entrega para el reenviador de paquetes. Esto conecta el reenviador de paquetes a la instancia de la máquina virtual de la CX PCA centralizada. Valores de conexión de red de entrega de ejemplo: <Peers> <Peer> <Address>127.0.0.1</Address>> <Port>1888</Port> </Peer> </Peers> 7. Localice y edite la etiqueta <Address> y <Port> de modo que coincida con el puerto y la dirección IP internos asignados de la CX PCA que está instalada en la máquina virtual. Valor de ejemplo para la dirección IP interna de máquina virtual de la CX PCA: Nota: La etiqueta <Port> define el número de puerto de la conexión de red base. Este es un número de puerto base donde define el bloque de números de puerto que pueden utilizarse para el número de instancias de servidor web que pueden suministrarse. Por ejemplo, si sabe que habrá un máximo de cinco instancias de servidor web que pueden suministrarse dinámicamente, el bloque de puertos que se utilizan empiezan por 1888. En este ejemplo, se utilizarán los números de puerto 1888 a 1892 basándose en el máximo de cinco instancias. <Peers> <Peer> <Address>127.0.0.1</Address> <Port>1888</Port> </Peer> </Peers> 8. Localice y edite la etiqueta <MaxRotatePeers> para definir el número máximo de instancias del servidor web que pueden suministrarse dinámicamente. El valor predeterminado se establece en 1 para una instancia de servidor web donde no se utiliza ninguna otra instancia del reenviador de paquetes en el nivel del servidor web. Nota: Si está asignando estáticamente un número fijo de instancias de servidor web con reenviadores de paquetes asociados, <MaxRotatePeers> permanecerá establecido en el valor predeterminado de 1. Cada reenviador de paquetes tiene que configurarse con un número de puerto exclusivo para identificar una conexión de red exclusiva con la instancia de máquina virtual 208 IBM Tealeaf CX Passive Capture Application: Manual de PCA de la CX PCA centralizada. Los números de puerto deben asignarse en orden secuencial. Esto es necesario para el receptor de sockets para la CX PCA cuando se configura para las conexiones de red del reenviador de paquetes. Si decide empezar con el número de puerto 1888 para el primer reenviador de paquetes, cuando los defina será de 1888 a 1892. 9. Guarde los cambios en el archivo de configuración. 10. Debe configurar una instancia de receptor del reenviador de paquetes para cada instancia de transmisor del Packet Forwarder que ha desplegado. Para obtener más información, consulte “Configuración de un receptor del Packet Forwarder y la CX PCA para recibir paquetes reenviados”. Una vez que el reenviador de paquetes está en ejecución, también puede realizar las siguientes acciones: v Compruebe el estado de un reenviador de paquetes, ejecutando service pktfwdr status. v Detenga un reenviador de paquetes, ejecutando service pktfwdr stop. v Vea las estadísticas para un reenviador de paquetes, ejecutando ctcstats -p. Configuración de un receptor del Packet Forwarder y la CX PCA para recibir paquetes reenviados Para procesar el tráfico de la web en un entorno basado en nube, las instancias del receptor del Packet Forwarder deben desplegarse en la CX PCA basada en nube central que esté funcionando en una máquina virtual. Para cada instancia de transmisor del reenviador de paquetes que se despliega, también debe desplegar una instancia de receptor del Packet Forwarder en el servidor de la CX PCA. Para obtener más información sobre la instalación del reenviador de paquetes, consulte “Instalación del reenviador de paquetes” en la página 33. Complete los siguientes pasos para configurar los valores para un receptor de paquetes. 1. Inicie la sesión en la consola web de la CX PCA. Para obtener más información, consulte “Inicio de sesión de la Consola Web de PCA” en la página 70. 2. Cambie el número de instancias interconectadas en la pestaña Interconexión. En función de si se han aplicado las reglas de privacidad de CX PCA, el número predeterminado de procesos CX PCA pipelined se establece en uno. Esto podría ser insuficiente y se puede aumentar para manejar la carga de proceso. Esto da por supuesto que la instancia de VM tiene suficientes recursos, como por ejemplo, suficientes núcleos de procesador para dar soporte al aumento. 3. Guarde los cambios en la CX PCA pero no reinicie la CX PCA en este momento. 4. Edite el archivo de configuración de CX PCA ctc-conf.xml. Para obtener más información, consulte “Archivo de configuración de captura pasiva ctc-conf.xml” en la página 187. 5. Localice la sección con la etiqueta Capture en el archivo de configuración y cambie el contenido de esta sección por: <ListenerSocketEnabled>true</ListenerSocketEnabled> <TransparentLoadBalancingEnabled>false</TransparentLoadBalancingEnabled> <SslSessionInfoOnMemcachedServer>false</SslSessionInfoOnMemcachedServer> Capítulo 5. Configuración de Packet Forwarder 209 Nota: Si la CX PCA está configurada para descifrar tráfico SSL que procede del reenviador de paquetes, establezca <SslSessionInfoOnMemcachedServer> en true. 6. Localice los valores de receptor de sockets y edite los valores para el entorno de red. El siguiente ejemplo muestra los valores de receptor de sockets predeterminados: <Listener> <Module>pktr</Module> <Logfile>/var/log/tealeaf/listener.log</Logfile> <BasePort>1888</BasePort> <Instances>1</Instances> <Options> <Option> <Value>-p</Value> </Option></Options> </Listener> La etiqueta BasePort define el número de puerto base que utilizan los reenviadores de paquetes. Este debe ser el mismo número de puerto para CX PCA para capturar correctamente tráfico procedente del reenviador de paquetes o de los reenviadores de paquetes. El valor predeterminado es utilizar un puerto base de 1888 y solo recibir de un único reenviador de paquetes. La etiqueta Instances define el número máximo de reenviadores de paquetes con los que CX PCA se conectará. Establezca este valor según el número total o el número máximo tal como lo determina el número de reenviadores de paquetes desplegados. 7. Guarde los cambios en ctc-conf.xml. 8. Inicie CX PCA. Para obtener más información, consulte “Iniciar PCA” en la página 45. 9. Después de que CX PCA se haya reiniciado, puede iniciar el nivel del servidor web y cualquier reenviador de paquetes. Ejecute service pktfwdr start para iniciar el daemon del reenviador de paquetes. Una vez que el receptor de reenviador de paquetes está en ejecución, también puede realizar las siguientes acciones: v Compruebe el estado de un reenviador de paquetes, ejecutando service pktfwdr status. v Detenga un reenviador de paquetes, ejecutando service pktfwdr stop. v Vea las estadísticas para un reenviador de paquetes, ejecutando ctcstats -p. 210 IBM Tealeaf CX Passive Capture Application: Manual de PCA Capítulo 6. Claves SSL Para descifrar las transmisiones mediante protocolo SSL, IBM Tealeaf CX Passive Capture Application debe proporcionar las claves SSL en uso en la corriente de transacción. Revise y complete las instrucciones en esta sección para generar y exportar la clave privada para el uso deIBM Tealeaf CX Passive Capture Application. 1. “Configuración de la clave cifrada SSL” 2. “Exportación de la clave privada SSL” en la página 216 3. “Generación de un certificado autofirmado” en la página 224 Configuración de la clave cifrada SSL Para descifrar las conexiones SSL, los clientes deben proporcionar un software de captura de pasivo con sus claves de SSL válidas. Nota: Normalmente, claves privadas SSL se proporcionan en formato PEM y se convierten para su uso en el PCA. Antes de empezar, verifique que cualquier archivo PEM que planea convertir contiene la clave privada RSA y nada más. Por ejemplo, no debe contener el certificado y la información de atributo erróneo. v Los archivos PEM que contienen datos adicionales aún pueden convertirse y añadirse al PCA. Sin embargo, el tráfico de claves SSL no puede ser correctamente descifrado por el PCA utilizando estas claves y la aplicación no emite errores ni advertencias. Esta sección describe cómo preparar sus claves válidas de SSL para utilizarlas y cargarlas en el PCA. v Auto convertir: Puede permitir que el PCA convierta de manera automática archivos PEM de texto simple a claves PTL cifradas en el servidor PCA. Estas claves se cargan automáticamente en el PCA para su uso. Existen algunas limitaciones en la configuración de este proceso, consulte“Conversión automática de claves SSL” en la página 212. v Conversión manual: si desea controlar cada paso del proceso de conversión, puede seguir los pasos de conversión manual. Consulte “Pasos para convertir manualmente las claves SSL” en la página 213. Descripción general El software no carga directamente la clave SSL. En su lugar, carga un archivo cifrado que contiene la clave SSL y un ID hash específico de máquina. v El cifrado protege el contenido de la clave SSL frente a accesos no autorizados. El archivo se cifra utilizando el algoritmo 3DES. v El hash específico de máquina impide que el archivo cifrado se utilice con otra instalación de captura pasiva. Nota: Como parte del proceso de generación de la clave PTL cifrada, algunos datos exclusivos de la tarjeta de interfaz de red instalada en la máquina host PCA están incorporados en la clave. Si añade, elimina NIC o mueve el PCA a un © Copyright IBM Corp. 1999, 2015 211 nuevo equipo con diferentes tarjetas, debe volver a generar las claves de PTL mediante la clave maestra de archivos PEM y las instrucciones que se proporcionan. Este archivo se almacena en el servidor de captura pasiva en el formato PTL de propiedad. Después de que el archivo se carga y se configura, el archivo de claves SSL original se puede suprimir. Conversión automática de claves SSL Puede utilizar un proceso de conversión automático para ayudarla a convertir las claves SSL que se pueden importar a CX PCA. Nota: La conversión automática requiere que las claves SSL se almacenen en el directorio capturekeys en el servidor PCA. Si desea almacenarlas en un directorio diferente o realizar otros cambios de configuración al proceso, les debe convertir manualmente. Consulte “Pasos para convertir manualmente las claves SSL” en la página 213. Conversión automática de PEM a PTL en el servidor de CX PCA CX PCA puede generar automáticamente un archivo PTL a partir de un archivo PEM durante el arranque. Cuando tenga un archivo PEM, CX PCA puede generar el PTL. Nota: Este proceso sólo funciona para archivos PEM sin protección de contraseña. 1. Copie el archivo PEM al siguiente directorio: /usr/local/ctccap/etc/capturekeys Nota: Este proceso elimina el archivo PEM en este directorio. Asegúrese de retener una copia en otra ubicación. 2. Reinicie el IBM Tealeaf CX Passive Capture Application software. 3. Durante el arranque, CX PCA convierte automáticamente el PEM en una clave PTL. Por ejemplo, si el archivo myprivatekey.pem genera una clave PTL denominada myprivatekey.ptl. v El archivo PEM (myprivatekey.pem) se elimina del directorio. 4. Para verificar que la clave PTL se cargó correctamente, revise el archivo de regristro de capturas (var/log/tealeaf/capture.log). Si el PTL se cargó correctamente, un mensaje similar al siguiente debe aparece en el registro: reassd[4681]: Autoloaded key file: /usr/local/ctccap/etc/capturekeys/myprivatekey.ptl Nota: Después de verificar una conversión satisfactoria, elimine los archivos PEM desde el directorio capturekeys. Siempre que se inicia o reinicia CX PCA, se sondea este directorio en busca de archivos y éstos se vuelven a convertir. Conversión de la clave privada PFX SSL a PTL Si posee una clave privada PFX de un origen desconocido, puede utilizar los siguientes mandatos para hacer de él una clave PTL para utilizarlo con Tealeaf: 1. Descifre el archivo y vuelva a nombrarlo como un archivo PEM al ejecutar el siguiente mandato en la máquina Host de captura pasiva: openssl pkcs12 -nodes -nocerts -in key1.pfx -out key1.pem 212 IBM Tealeaf CX Passive Capture Application: Manual de PCA 2. Cuando se le solicite la contraseña de importación, escriba la contraseña que se utilizó cuando se exporte el certificado a un archivo PFX. Debe recibir el siguiente mensaje: MAC verified OK. 3. Para validar el archivo resultante del mandato pkcs12: openssl rsa -check -noout -in <private_key_filename> Pasos para convertir manualmente las claves SSL En las siguientes secciones se describe cómo realizar pasos manuales para convertir certificados en claves que el PCA puede utilizar. Carga de CX PCA con claves SSL En esta sección puede obtener información acerca de cómo cargar PCA con claves SSL. Para cargar CX PCA con claves SSL, debe: 1. Cargar CX PCA con las claves SSL necesarias. 2. Vaya a la consola web de CX PCA y al separador Claves SSL. 3. Edite la configuración para añadir los archivos .PTL necesarios. Carga de CX PCA con archivos de claves SSL Utilice los pasos siguientes para cargar CX PCA con una o varias claves SSL. Para cargar la captura pasiva con una o más claves SSL: 1. Adquiera un archivo PEM para cada clave SSL. Suele ejecutar este paso en el servidor web que contiene las claves SSL. El software de captura pasiva necesita la clave SSL para estar en formato PEM y que el nombre del archivo finalice con una extensión .pem. El archivo PEM es un archivo de texto ASCII que contiene la clave SSL en un formato codificado. Este es un ejemplo se una clave SSL en formato PEM: -----BEGIN RSA PRIVATE KEY----MII ... (many lines of encoding here) .... -----END RSA PRIVATE KEY----- Si el servidor web no almacena sus claves privadas en formato PEM, deberá exportar las claves y posiblemente convertirlas al formato PEM. Por procedimientos de exportación, consulte la sección“Exportación de la clave privada SSL” en la página 216. 2. Transfiera los archivos PEM al directorio /usr/local/ctccap/etc en la máquina de host de captura pasiva. 3. Inicie sesión en la máquina host de la captura pasiva como usuario root y vaya al directorio /usr/local/ctccap/etc. 4. Cifrar los archivos PEM para producir un archivo PTL. a. Utilice el mandato tealeaf pem2ptl para generar los archivos PTL para uno o más archivos PEM. Por ejemplo, si tiene dos archivos PEM denominadosserver1.pem y server2.pem, puede generar archivos PTL para ambos utilizando el siguiente mandato: tealeaf pem2ptl server1.pem server2.pem El mandato anterior crea archivos denominados server1.ptl y server2.ptl en el mismo directorio que los archivos PEM. Capítulo 6. Claves SSL 213 v El mandato tealeaf pem2ptl no crea archivos PTL si ya existen. El mandato establece la propiedad y permisos de los archivos PTL resultantes para permitir solamente al usuario ctccap acceder a los archivos. b. Si posee una publicación anterior del paquete Tealeaf-pca que no proporciona el mandato tealeaf pem2ptl, utilice los siguientes mandatos para cada archivo PEM que desee cifrar, sustituyendo server1.pem con el nombre de su archivo PEM: /usr/local/ctccap/bin/tltenc -in server1.pem chmod u=rw,go= server1.ptl chown ctccap server1.ptl Para convertir varios archivos PEM, utilice los mandatos ls y xargs para cifrarlos. a siguiente línea de mandatos debe escribirse en una línea. Utiliza el mandato ls para generar una lista de nombres de archivos. La barra vertical permite que el mandato xargs utilice esta lista y ejecute el programa de utilidad tltenc mediante el uso de cada nombre de archivo en la lista. ls -1 server1.pem server2.pem server3.pem | xargs -L 1 -t \ /usr/local/ctccap/bin/tltenc -in Después de ejecutar el mandato anterior, utilice los siguientes mandatos para establecer la propiedad y los permisos de todos los archivos PTL. Resulta seguro utilizar comodines porque la propiedad y los permisos son los que necesita el PCA para acceder a cualquier archivo PTL. chmod u=rw,go= *.ptl chown ctccap *.ptl 5. Elimine los archivos PEM de la máquina host de captura pasiva. Espere hasta confirmar que la captura pasiva decodificó correctamente conexiones SSL antes de suprimir los archivos PEM. Después de que las claves SSL están cargadas en una máquina host de captura pasiva y cifradas en archivos PTL, configure captura pasiva para utilizar los archivos PTL. Cuando debe configurar algunos archivos PTL, utilice el separador Claves SSL en la consola web. Cuando configura archivos PTL, le puede resultar más fácil utilizar un editor de texto como nano o vi para editar el archivo de configuración directamente. Carga de PCA con consola web Para utilizar el separador de consola web Claves SSL: 1. Inicie sesión en la consola web de captura pasiva con un explorador web. 2. Pulse el separador Claves SSL. 3. Pulse Cargados en la parte superior de la página para visualizar las claves SSL cargadas. 4. Escriba una clave de etiqueta de HTTPS descriptiva en el campo Etiqueta. 5. Escriba el nombre completo de vía de acceso para el archivo PTL en el campo de nombre de archivo Archivo de claves. Por ejemplo: /usr/local/ctccap/etc/ server1.ptl. 6. Pulse Añadir. La entrada recién añadida para el archivo PTL se visualiza en la página actualizada. 7. Repita los pasos 4 a 6 para cada archivo PTL que desee utilizar por la captura pasiva. 8. Pulse Guardar cambios para guardar los archivos PTL añadidos al archivo de configuración. Los programas de captura se reinician y utilizan los nuevos archivos PTL que agregó. 214 IBM Tealeaf CX Passive Capture Application: Manual de PCA 9. Si la captura no se puede iniciar, visualice capture.log para determinar el motivo. Adición de archivos PTL Puede añadir manualmente los archivos PTL a su configuración de CX PCA editando el archivo ctc-conf.xml. Para editar el archivo de configuración para añadir archivos PTL: 1. Inicie sesión en la máquina host de la captura pasiva como usuario root y vaya al directorio /usr/local/ctccap/etc. 2. Edite el archivo de configuración de captura pasiva ctc-conf.xml. 3. Busque la línea siguiente: <CaptureKeys></CaptureKeys> 4. Si ya se ha configurado la captura pasiva con archivos PTL, los etiquetas <CaptureKeys> y </CaptureKeys> están en líneas separadas. 5. Añada una entrada <CaptureKey> para cada archivo PTL entre <CaptureKeys> y </CaptureKeys>. Cada entrada requiere una etiqueta y el nombre completo de vía de acceso del archivo PTL. Por ejemplo, la entrada <CaptureKey> para un archivo PTL hipotético denominado /usr/local/ctccap/etc/web1.ptl se parecería a la siguiente: <CaptureKey> <Label>Web1 Key </Label> <PrivateKeyFile>/usr/local/ctccap/etc/web1.ptl</PrivateKeyFile> </CaptureKey> A continuación, se muestra un ejemplo de dos entradas <CaptureKey> configuradas en una máquina host de captura pasiva: <CaptureKeys> <CaptureKey> <Label>Web1 Key </Label> <PrivateKeyFile>/usr/local/ctccap/etc/web1.ptl</PrivateKeyFile> </CaptureKey> <CaptureKey> <Label>Web2 Key </Label> <PrivateKeyFile>/usr/local/ctccap/etc/web2.ptl</PrivateKeyFile> </CaptureKey> </CaptureKeys> 6. Guarde los cambios en el archivo de configuración y salga del editor. 7. Reinicie los programas de captura utilizando los mandatos siguientes: Tealeaf stop capture Tealeaf start capture 8. Si la captura no se puede iniciar, visualice capture.log para determinar el motivo. 9. Inicie sesión en la consola web de la captura pasiva con un navegador web y pulse el separador Claves SSL para ver los archivos PTL que ha configurado. Archivos PTL cargados de forma automática A través de la consola web, puede cargar automáticamente certificados SSL en un texto legible .pem o en un formato protegido con contraseña .pfx. Nota: Por razones de seguridad, esta funcionalidad sólo está accesible a través de SSL con un usuario autenticado. Si no accede a esta página a través de https, sólo podrá visualizar las claves de PTL existentes. 1. Abra la consola web. 2. Pulse el separador Claves SSL. Capítulo 6. Claves SSL 215 3. Pulse el enlace Claves de captura en la parte superior de la página. 4. Se visualiza la siguiente página: Figura 42. Carga de claves 5. Para seleccionar un archivo, pulse Examinar.... 6. Si la clave .pem es un archivo protegido con una clave .pfx, escriba la clave en el campo Contraseña. v Si el archivo es un texto legible .pem, deje el campo Contraseña en blanco. 7. Para convertir el certificado con una clave, pulse Cargar. General v Las claves convertidas están almacenadas en /usr/local/ctccap/etc/ capturekeys. v Los archivos pem o pfx cargados que son claves válidas se convierten a ptl. v Los archivos comprimidos cargados que contienen archivos pem válidos tienen su contenido que se convierte a ptl. v Sobre la terminación de una conversión, todos los archivos que no son ptl se eliminan de/usr/local/ctccap/etc/capturekeys. v Después de que se cargan los archivos necesarios, el PCA debe reiniciarse en el separador Consola. pfx v Las claves protegidas con contraseñas (pfx) se convierten solamente si se proporciona la contraseña correcta. v Las claves protegidas por contraseñas se convierten directamente en archivos ptl. pem v Los archivos comprimidos deben ser planos (sin directorios). v Los archivos comprimidos solamente pueden contener archivos pem. Exportación de la clave privada SSL En casos donde el tráfico de aplicación web se transmite a través de HTTPS, el software de captura pasiva se debe configurar para descifrar la conexión SSL. Esta configuración requiere la exportación de una copia de la clave privada desde un servidor web existente para el software de captura pasiva. Nota: Estas instrucciones se proporcionan para exportar claves privadas desde sistemas de terceros en los que Tealeaf no es un componente. Esta información se 216 IBM Tealeaf CX Passive Capture Application: Manual de PCA proporciona con fines de referencia solamente y no está soportada por Tealeaf. Tealeaf no asume ninguna responsabilidad por estas instrucciones. Consulte la documentación que se proporciona con el servidor web del producto. Para obtener más información sobre la conversión de claves SSL para utilizarlas en el PCA, consulte “Configuración de la clave cifrada SSL” en la página 211. IIS 5 y 6 de Microsoft Las siguientes instrucciones proporcionan los pasos para exportar la clave privada desde IIS en un formato PKCS #12 (*.PFX), utilizando el certificado de asistente de exportación IIS de Microsoft. v Para obtener más información sobre cómo convertir un PFX desde un origen distinto a IIS, consulte “Configuración de la clave cifrada SSL” en la página 211. 1. Inicie el gestor de Internet Information Service. 2. En el panel izquierdo, bajo el nombre de la máquina local, pulse en la carpeta sitios web. 3. En el panel del lado derecho, pulse con el botón derecho del ratón Sitio web predeterminado y seleccione Propiedades. 4. Pulse la pestaña Seguridad de directorio. 5. Pulse Visualizar certificado para visualizar el certificado. 6. Pulse en la pestaña Detalles. 7. Pulse Copiar en archivo.... Se inicia el asistente de exportación de certificados. 8. Pulse Siguiente. Aparece la ventana de Exportar clave privada. 9. Seleccione el botón de selección Si, exportar la clave privada y después pulse Siguiente. Aparece la ventana de archivo de exportación de formato. 10. Seleccione el botón de selección Intercambio de información personal - PKCS #12 (.PFX). Seleccione Habilitar protección segura e Incluir todos los certificados en la vía de acceso del certificado si es posible. Pulse Siguiente. Aparece la ventana de contraseña. 11. Si es necesario, ingrese la contraseña. Esta contraseña proporciona acceso protegido al archivo si el sistema se configura para solicitar una contraseña. 12. Pulse Siguiente. Aparece la ventana para exportar el archivo. 13. Especifique o examine en busca del nombre de archivo, y a continuación, pulse el botón Siguiente. Aparece la ventana Completar el certificado de asistente de exportación. 14. Pulse el botón Finalizar. El certificado se exporta al archivo y se muestra un mensaje que lo indica. 15. Copie el archivo en la máquina de host de captura pasiva de Tealeaf. Asegúrese de que su nombre sea descriptivo para el servidor desde el que se ha exportado. 16. Descifre el archivo y cambie su nombre como un archivo PEM ejecutando el siguiente mandato en la máquina host de captura pasiva: openssl pkcs12 -nodes -nocerts -in key1.pfx -out key1.pem 17. Cuando se le solicite la contraseña de importación, escriba la contraseña que se utilizó al exportar el certificado a un archivo PFX. Debe recibir el siguiente mensaje: MAC verified OK. 18. Para validar el archivo resultante del mandato pkcs12: openssl rsa -check -noout -in <private_key_filename> Capítulo 6. Claves SSL 217 IIS 3.0 y 4.0 de Microsoft Las siguientes instrucciones proporcionan los pasos para exportar la clave privada desde IIS 3.0 y 4.0 de Microsoft. 1. Exportar un archivo de copia de seguridad de los certificados del gestor de claves. 2. Desde el menú de claves en el gestor de claves, seleccione Exportar clave y después seleccione Archivo de copia de seguridad. 3. Después de leer el aviso sobre cómo bajarse información confidencial en el disco duro, pulse aceptar. 4. Escriba el nombre de clave en el recuadro Nombre de archivo, y pulse Guardar. Al archivo se le dará una extensión *.KEY y se guarda en un disco de 3 1/2 pulgadas en la unidad A: o en la unidad de disco duro. 5. Transfiera los archivos de clave al directorio/usr/local/ctccap/etc en la máquina host de captura pasiva. 6. Inicie sesión en la máquina de host de captura pasiva como un usuario root. 7. Ejecute los siguientes mandatos para generar un archivo PEM desde el archivo de claves IIS. Es posible que se le solicite una contraseña si la clave privada está protegida con contraseña. Los siguientes mandatos utilizan varios nombres de archivos como ejemplos: cd /usr/local/ctccap/etc ./sbin/iis-extract-net-key.pl iis.key > iis-net.key ./bin/openssl rsa -inform NET -in iis-net.key -out iis.pem iis.key: El archivo de claves IIS que se exporta desde el servidor web IIS y se transfiere a la máquina host de captura pasiva iis-net.key: La parte de iis.key en el formato NET iis.pem: La clave resultante en formato PEM 8. Valide el archivo utilizando OpenSSL: ../bin/openssl rsa -check -noout -in iis.pem 9. Valide el resultado: Si el resultado es RSA key OK, entonces la clave se convirtió correctamente. Si el resultado es Enter pass phrase for iis.pem, entonces la clave está cifrada. Si el resultado es otro mensaje o un mensaje de error, entonces el archivo está ya sea en el formato equivocado, o no es una clave. 10. Con un archivo PEM válido, ahora puede suprimir los archivos de claves IIS. SunOne (iPlanet) 6.0 Las siguientes instrucciones proporcionan los pasos para exportar las claves privadas desde SunOne 6.0: Nota: Este procedimiento requiere que se instale OpenSSL en el servidor web del que se está extrayendo la clave. 1. Recopile el decibelio del certificado y el decibelio de la clave para la instancia de la que extrae la clave. Normalmente, está disponible en SERVER_ROOT/alias. 2. Añada lo siguiente a la variable PATH: SERVER_ROOT/bin/https/admin/bin 3. Añada lo siguiente a la variable LD_LIBRARY_PATH: SERVER_ROOT/bin/https/lib:$\{LD_LIBRARY_PATH\} 4. Exporte PATH; LD_LIBRARY_PATH 218 IBM Tealeaf CX Passive Capture Application: Manual de PCA 5. Este programa de utilidad pk12util se utiliza para exportar el certificado desde la base de datos hacia el formato de clave. Al exportar la clave, se le solicitará que especifique la contraseña de clave. Ejecute pk12util con la siguiente opción: pk12util -o <export filename> -n <cert filename> -d <certdir> -P <db \ filename prefix for Sun DS> Nota: -o - El nombre del archivo al que se exporta el certificado. -d - Opción que se utiliza par especificar la ubicación del directorio de certificados (Vía de acceso a cert8.db/key3.db) -P - Opción que se utiliza para especificar el nombre del prefijo decibelio (opcional) Ejemplos: pk12util -o myCert.pk12 -n webServer.cert -d /sun/alias pk12util -o myCert.pk12 -n webServer.cert -d /sun/alias -P "https-hostname-" 6. Al utilizar Open SSL, convierta este archivo al formato PEM requerido mediante el uso de la siguiente opción: openssl pkcs12 -nodes -nocerts -in {Certname} -out https-{webinstance}.pem Nota: -in - Opción que se utiliza para especificar el archivo de entrada binario y es el archivo que especificó como el archivo con el -d en el paso 4. -out - Opción que se utiliza para especificar el archivo de salida ASCII. Resolución de problemas de iPlanet 6.0 Si encuentra el siguiente error de DLL que establece pk12util: find cert by nickname failed: Failure to load dynamic library, entonces realice los siguientes pasos: 1. Ejecute el mandato siguiente: wib@<servername>$ ldd pk12util 2. Copie los siguientes archivos al directorio /usr/lib: Archivo Ubicación de origen libssl3.so /opt/netsite/SunOne6.1/bin/https/lib/libssl3.so libsmime3.so /opt/netsite/SunOne6.1/bin/https/lib/libsmime3.so libnss3.so /opt/netsite/SunOne6.1/bin/https/lib/libnss3.so libplc4.so /opt/netsite/SunOne6.1/bin/https/lib/libplc4.so libplds4.so /opt/netsite/SunOne6.1/bin/https/lib/libplds4.so libnspr4.so /opt/netsite/SunOne6.1/bin/https/lib/libnspr4.so Capítulo 6. Claves SSL 219 libthread.so.1 /usr/lib/libthread.so.1 libnsl.so.1 /usr/lib/libnsl.so.1 libsocket.so.1 /usr/lib/libsocket.so.1 librt.so.1 /usr/lib/librt.so.1 libdl.so.1 /usr/lib/libdl.so.1 libc.so.1 /usr/lib/libc.so.1 libpthread.so.1 /usr/lib/libpthread.so.1 libmp.so.2 /usr/lib/libmp.so.2 libaio.so.1 /usr/lib/libaio.so.1 libnspr_flt4.so /opt/netsite/SunOne6.1/bin/https/lib/cpu/sparcv8plus/ libnspr_flt4.so libc_psr.so.1 /usr/platform/SUNW,Sun-Fire-480R/lib/libc_psr.so.1 3. Copie el cert y la clave dbs a cualquier directorio. A continuación, haga lo siguiente en ese directorio para verificar su nombre: ls -la /opt/netsite/SunOne6.1/alias v A continuación aparece la salida: drwxr-xr-x 3 wib webmaster 1024 Feb 15 11:26. drwxr-xr-x 15 wib webmaster 1024 Nov 26 23:25 .. drwxr-xr-x 7 wib webmaster 1024 Dec 7 12:53 certs -rwxr-xr-x 1 wib webmaster 2481 Feb 15 07:40 gte.pem -rwxr-xr-x 1 wib webmaster 212992 Feb 15 12:52 https-<www.company.com>-<servername>-cert8.db -rwxr-xr-x 1 wib webmaster 65536 Feb 15 12:52 https-<www.company.com>-<servername>-key3.db -rwxr-xr-x 1 wib webmaster 32768 Feb 15 07:40 secmod.db 4. Ejecute el mandato pk12util. Incluya el nombre de certificado completo en la opción -P, incluyendo el nombre de servidor y el guión (-) en el nombre del archivo (nada antes de cert8 o key3): pk12util -o https-sunone.<URL> -n Server-Cert \ -d /opt/netsite/SunOne6.1/alias -P https-<www.company.com>-<servername>\- 5. Se crea un nuevo archivo en el directorio que se especifica en la opción -d que tiene el nombre de dominio sin ninguna extensión. Sun iPlanet 4.x Las siguientes instrucciones proporcionan los pasos para exportar la clave privada desde la versión 4 de Sun iPlanet. 1. Inicie sesión en el servidor web como root. 2. Copie el certificado y clave de iPlanet. 220 IBM Tealeaf CX Passive Capture Application: Manual de PCA 3. 4. 5. 6. 7. a. Los archivo de instancia de iPlanet se encuentran en /apps/netscape/ server4/alias/. b. Copie la instancia iPlanet del archivo https-name**Key3.db hacia /.netscape/key3.db. c. Copie la instancia iPlanet del archivo https-name-*cert7.db hacia /.netscape/cert7.db. Copie la instancia iPlanet secmod.db hacia /.netscape/secmodule.db. Configure X-display hacia el escritorio. Inicie el navegador Netscape desde el servidor web (/opt/netscape/netscape). Pulse el icono de bloqueo Seguridad. En el diálogo, pulse Certificados, y luego pulse Suyo (como se muestra en la siguiente figura). Figura 43. - Sus certificados 8. Pulse sus certificados y, a continuación, pulse Exportar. El nombre predeterminado es Server-Cert. 9. Escriba la contraseña para el archivo de clave privada DB. 10. Escriba una contraseña para proteger el archivo a exportar. 11. Guarde el archivo exportado en /.netscape/xxxxx.p12, donde el nombre del archivo es xxxxx. 12. Cerrar el navegador Netscape. Capítulo 6. Claves SSL 221 Apache 1.3.x, 2.0.x Las siguientes instrucciones proporcionan los pasos para exportar la clave privada de Apache versiones 1.3.x y 2.0.x. Nota: Este procedimiento requiere que se instale OpenSSL en el servidor web del que se está extrayendo la clave. 1. Si la clave se cifra, conviértalos en una tecla sin cifrar. El mandato básico sería: openssl rsa -in <old_private_key_filename> -out <new_private_key_filename> Nota: Necesita la contraseña para realizar esta conversión. 2. Extraiga la clave desde el directorio /etc/httpd/conf/ssl.key. 3. Cambie el nombre del archivo para tener una extensión .PEM. 4. Valide el archivo utilizando OpenSSL: openssl rsa -check -noout -in <private_key_filename> 5. Valide el resultado: Si el resultado es clave RSA aceptar, entonces la clave se exportó correctamente.Si el resultado es Escribir la frase de contraseña para <private_key_filename>, entonces es una clave, pero cifrada.Si el resultado es otro mensaje o un mensaje de error, entonces está ya sea en el formato equivocado, o no es una clave. Servidor HTTP de IBM Las siguientes instrucciones proporcionan los pasos para exportar la clave privada desde el servidor HTTP de IBM. 1. Seleccione el certificado en iKeyMan, y después seleccione Archivo > Exportar. 2. Guarde el archivo con la extensión PFX, establezca una contraseña y seleccione cifrado débil. 3. Transfiera el archivo (en modalidad binario) a la máquina host de captura pasiva. 4. Inicie sesión en la máquina de host de captura pasiva como usuario de raíz. Ejecute el mandato siguiente: openssl pkcs12 -nodes -nocerts -in x.pfx -out x.pem 5. Escriba la contraseña establecida cuando exportó el archivo. 6. Valide el archivo utilizando OpenSSL: openssl rsa -check -noout -in key1.pem 7. Valide el resultado: Si el resultado es clave RSA aceptar, entonces la clave se exportó correctamente. Si el resultado es Escribir la frase de contraseña para <private_key_filename>, entonces es una clave, pero cifrada. Si el resultado es otro mensaje o un mensaje de error, entonces está ya sea en el formato equivocado, o no es una clave. Exportación desde un almacén de claves (JKS) Java El almacén de claves Java™ es la implementación predeterminada para certificados y gestión de claves en aplicaciones Java. Por motivos de seguridad, no se proporciona un método simple para extraer la clave privada del almacén de claves. Un ejemplo común de exportación es utilizar la clave en un servidor web Apache utilizando el estándar PEM. 222 IBM Tealeaf CX Passive Capture Application: Manual de PCA v Si el almacén de claves está configurado para utilizar OpenSSL para crear su certificado digital, entonces la clave privada está disponible de forma transparente. v Sin embargo, si está utilizando ikeyman (IHS) o la herramienta de claves basada en Java, las funciones de exportación de claves privadas no se proporcionan por razones de seguridad. – Hay un método alternativo para la exportación desde la herramienta de claves. Consulte“Solución temporal de la herramienta de claves Java”. La clave privada es necesaria para convertir un certificado firmado con formato DER que se recibe desde una entidad emisora de certificados a un formato PKC12, que puede utilizar Tealeaf. Utilización de ikeyman para generar el certificado original, puede recibir el certificado firmado de una entidad emisora de certificados. v ikeyman puede recibir un certificado en DER binario o en formato codificado en base 64. v ikeyman puede importar desde formatos CMS, JKS, JCEKS o PKCS12. Nota: La extracción desde entornos de servidor HTTP de IBM requieren un paso adicional para guardar la base de datos CMS como JKS a través de ikeyman. Después de la conversión, la extracción funciona como si la base de datos estuviera en un formato JKS nativo. Las claves PEM se pueden exportar a continuación a un formato DER, que puede ser consumido por Apache. Para exportar la clave privada desde JKS, debe encontrar y compilar soluciones de origen Java. v Por ejemplo, visitehttp://se9.blogspot.com/2008/10/extracting-private-keyfrom-java.html. v Otros métodos se describen en detalle en internet. Para revisar una clave PEM en un formato DER, utilice los siguientes mandatos: v Para un certificado recibido de una entidad emisora de certificados: openssl x509 -noout -text -in CRT.der v Para una clave privada RSA: openssl rsa -noout -text -in rsa.key Solución temporal de la herramienta de claves Java De forma predeterminada, la herramienta de claves deJava no proporciona medios directos para exportar la clave privada. Sin embargo, si la versión del programa de utilidad admite la exportación de un tipo de almacén de claves JKS hacia un formato diferente de almacén de claves, entonces es capaz de aplicar el siguiente método alternativo. Nota: Si la herramienta de claves no admite esta exportación de almacén de claves, los métodos en la sección anterior se pueden aplicar. Para exportar mediante el uso de la herramienta de claves de Java: En el siguiente ejemplo, el almacén de claves JKS se exporta a pkcs12, la cual Tealeaf puede consumir. 1. Exporte el almacén de claves hacia uno diferente. En el siguiente ejemplo, el almacén de claves se exporta a un tipo pkcs12 con un solo mandato: Capítulo 6. Claves SSL 223 keytool -importkeystore -srckeystore test-app.keystore -destkeystore mystore.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass test-app-pwd -deststorepass test-app-pwd -srcalias test-app -destalias test-app -srckeypass test-app-pwd -destkeypass test-app-pwd -noprompt donde: v test-app.keystore = vía de acceso al almacén de claves de aplicación v mystore.p12 = vía de acceso al almacén de claves con destino pkcs12 v JKS = tipo de almacén de claves de origen. Se debe establecer en JKS. v PKCS12 = tipo de almacén de claves de destino. Se deben establecer en PKCS12 cuando se exporta a pkcs12. v test-app-pwd = la contraseña al almacén de claves se puede utilizar para almacén de claves de origen y contraseñas de claves y lo mismo para las de destino. v test-app = el alias para el almacén de claves puede ser el mismo para el origen y el destino. 2. Cuando el almacén de claves se exporta a PKCS12, puede utilizar openssl para exportar la clave privada desde un archivo de claves pkcs12 formateado: openssl pkcs12 -in mystore.p12 -out mystore.pem \ -passin pass:test-app-pwd -passout pass:test-app-pwd 3. La clave privada protegida por una contraseña ahora está contenida en mystore.pem. 4. Tealeaf puede consumir esta clave privada. v Para obtener más información sobre validar claves PEM, consulte “Generación de un certificado autofirmado”. v Para obtener más información sobre la importación de la clave, consulte “Configuración de la clave cifrada SSL” en la página 211. Generación de un certificado autofirmado Para generar un certificado autofirmado, debe utilizar el programa de utilidad openssl para generar una clave privada y un certificado autofirmado para esa clave. El paquete Tealeaf-pca proporciona la utilidad openssl en el directorio /usr/local/ctccap/bin. Los siguientes pasos suponen que inició sesión en la máquina host de captura pasiva como un usuario root. Para generar un certificado autofirmado: 1. Genere una clave privada. En el ejemplo siguiente se genera un archivo de clave RSA de 2048 bits denominado ejemplo.clave: /usr/local/ctccap/bin/openssl genrsa -out example.key 2048 2. Genere un certificado autofirmado.En el siguiente ejemplo se genera un archivo de certificado autofirmado denominado example.crt mediante el uso del archivo de clave privada example.key que se generó en el paso 1. Con la opción -days 365, el certificado es válido durante los siguientes 365 días (un año): /usr/local/ctccap/bin/openssl req -x509 -days 365 -newkey rsa:2048 -key \ example.key -out example.crt El mandato openssl req solicita de manera interactiva varios valores. La siguiente tabla muestra las solicitudes y las respuestas de ejemplo: 224 IBM Tealeaf CX Passive Capture Application: Manual de PCA Solicitud Respuesta de ejemplo Nombre de país (código de 2 letras) Estados Unidos Estado o provincia (nombre completo) California Nombre de la localidad (por ejemplo, ciudad) San Francisco Nombre de la organización (por ejemplo, la compañía) Tealeaf, una compañía de IBM Nombre de la unidad organizativa (por ejemplo, sección) Ingeniería de release Nombre común (por ejemplo, su nombre) pca.Tealeaf.com Dirección de correo electrónico [email protected] El nombre común debe ser el nombre DNS totalmente calificado de la máquina host de captura pasiva. Si la máquina host no tiene un nombre DNS asignado, a continuación, utilice la dirección IP de la máquina. 3. Ahora, establezca la propiedad y los permisos de archivo adecuados: a. Todos los archivos de clave privada debe ser legibles sólo para los que la cuenta de usuario necesita acceso de lectura al archivo. Los siguientes mandatoschmod y chown establecen la propiedad y los permisos de modo que solamente los procesos de captura ejecutándose como ctccap pueden acceder al archivo example.key: chmod go= example.key chown ctccap example.key b. Coloque los archivos en un directorio accesible para la cuenta de usuario. Para certificados y archivos de claves que se utilizan mediante el software de captura pasiva, ubique los archivos en el directorio /usr/local/ctccap/ etc. Utilización del algoritmo SHA-2 para generar el certificado autofirmado De forma predeterminada, el mandato openssl utiliza el algoritmo SHA-1 para generar el certificado autofirmado en el PCA. De manera opcional, puede utilizar SHA-2 para la firma digital hash mediante la adición de la opción -sha256, como en el siguiente mandato: Nota: El siguiente mandado está admitido in PCA Build 3500 o posterior. /usr/local/ctccap/bin/openssl req -x509 -sha256 -days 365 -newkey rsa:2048 \ -key example.key -out example.crt Si no es PCA Build 3500 o posterior, puede generar la clave SHA-2 en otro sistemaLinux. Para determinar si es posible, ejecute el siguiente mandato en un entorno que no sea de PCA: openssl dgst ?h La siguiente línea se puede visualizar en la salida generada: Capítulo 6. Claves SSL 225 -sha256 to use the sha256 message digest algorithm Si se visualiza el mandato anterior, entonces la instalación de Linux acepta la opción SHA-2. Puede ejecutar el siguiente mandato sin proporcionar la vía de acceso específica de PCA: openssl req -x509 -sha256 -days 365 -newkey rsa:2048 -key example.key -out \ example.crt Generación de una solicitud de certificado firmado para uso interno de CA Si desea utilizar su propia autoridad de certificación interna (CA) para generar un certificado firmado, realice los siguientes pasos. Los pasos siguientes utilizan el programa de utilidad openssl como el programa de utilidad de ejemplo, aunque se pueden utilizar otros programas de utilidad. 1. Adquiera una clave privada RSA de 2048 bits. Esta clave se puede auto generar como en el siguiente ejemplo, que utiliza la vía de acceso de instalación de PCA predeterminada para acceder al openssl de PCA cmd: /usr/local/ctccap/bin/openssl genrsa -out example.key 2048 2. Utilice la clave privada RSA para crear la petición del certificado firmado (CSR). Si el archivo de claves es example.key, entonces el siguiente cmd genera un archivo CSR cert_req.csr: /usr/local/ctccap/bin/openssl req -new -key example.key -out cert_req.csr Si el mandato anterior genera un mensaje de error que hace referencia a openssl.cnf, entonces se debe configurar la vía de acceso de instalación de PCA para ubicar de manera correcta el archivo openssl.cnf. En este caso, puede aplicar la opción -config para definir la nueva, no predeterminada vía de instalación. En el siguiente ejemplo, esta vía de acceso es /opt/tealeaf. /opt/tealeaf/bin/openssl req -new -config /opt/tealeaf/ssl/openssl.cnf -key \ example.key -out cert_req.csr 3. Durante la generación de la CSR utilizando uno de los mandatos anteriores, se le solicitarán valores de certificado público. Para obtener más información acerca de los valores de inserción, consulte “Generación de un certificado autofirmado” en la página 224. 4. Cuando el archivo CSR se generó de forma satisfactoria, se puede utilizar por parte del CA interno para completar el proceso para crear el certificado firmado. 5. El archivo de certificado firmado se puede aplicar ahora de la misma forma que un certificado autofirmado para el uso de PCA. Scripts de programa de utilidad El paquete Tealeaf-pca proporciona un script simplificar los pasos para crear certificados autofirmados. La vía de acceso completa para el archivo de script es /usr/local/ctccap/sbin/ gen-self-signed-cert.sh. Especifique los nombres de la nueva clave privada y los archivos de certificados como argumentos paragen-self-signed-cert.sh. El script crea un archivo de claves RSA de 2048 bits y un certificado autofirmado que es válido durante 10 años (3.650 días). Los archivos resultantes son propiedad del usuario ctccap y la clave privada es legible sólo para ese usuario. A continuación se muestra una invocación de ejemplo de este script: 226 IBM Tealeaf CX Passive Capture Application: Manual de PCA /usr/local/ctccap/sbin/gen-self-signed-cert.sh example.key example.crt El paquete Tealeaf-pca crea varios certificados autofirmados según sea necesario cuando instala el paquete. Si cambia el nombre de host de la máquina host de captura pasiva, puede volver a generar estos certificados. Utilice el siguiente mandato para volver a generar todos estos certificados: env FORCE=YES /usr/local/ctccap/sbin/all-self-signed-certs.sh El mandato anterior suprime y vuelve a crear los siguientes archivos: /usr/local/ctccap/etc/tealeaf-pca.crt /usr/local/ctccap/etc/tealeaf-pca.key /usr/local/ctccap/etc/tealeaf-tts.crt /usr/local/ctccap/etc/tealeaf-tts.key /usr/local/ctccap/etc/tealeaf-tts.pem /usr/local/ctccap/etc/tealeaf-web.crt /usr/local/ctccap/etc/tealeaf-web.key Despliegue de certificados SSL para que las utilice la consola web PCA Según sea necesario, puede desplegar certificados SSL personalizados para utilizar con la consola web PCA para asegurar el acceso seguro a la consola. Nota: La fortaleza de cifrado y otras características del certificado deben ser definidas para satisfacer sus requisitos empresariales. 1. Adquiera o genere el certificado SSL. v El PCA utiliza el certificado autofirmado predeterminado y clave proporcionado. Para obtener más información acerca de la creación de un certificado autofirmado, consulte“Generación de un certificado autofirmado” en la página 224. v Tealeaf proporciona un script de programa de utilidad que simplifica el proceso de creación de un certificado autofirmado. Este script genera un certificado utilizando un conjunto reducido de opciones de configuración. Consulte “Scripts de programa de utilidad” en la página 226. 2. El certificado generado y el archivo clave se deben añadir al archivo de configuración Apache. Este archivo se almacena en la siguiente ubicación: /usr/local/ctccap/etc/httpd.conf 3. En el siguiente ejemplo, el nombre del certificado es tealeaf-web.crt, y el nombre del archivo de claves es tealeaf-web.key: Define SSLCERTFILE ${SYSCONFDIR}/tealeaf-web.crt Define SSLKEYFILE ${SYSCONFDIR}/tealeaf-web.key 4. Guarde el archivo. 5. Reinicie el PCA. 6. Todos los usuarios de la consola web ahora deben conectarse utilizando SSL. v Para obtener más información sobre cómo conectarse mediante SSL, consulte“Navegadores soportados para la consola web de PCA” en la página 70. v Para obtener más información acerca del cambio de los puertos en los que escucha la consola web PCA, consulte “Navegadores soportados para la consola web de PCA” en la página 70. Capítulo 6. Claves SSL 227 Configuración del Servicio de transporte de Tealeaf para cifrado SSL Para cifrar la comunicación entre la máquina host de captura pasiva y el servicio de transporte de Tealeaf, debe obtener un certificado SSL. A continuación, configure el software de captura pasiva y el servicio de transporte de Tealeaf para utilizarlo. v El certificado debe ser una clave privada de 2048 bits. v El certificado se instala en el PCA y en la máquina de servicio de transporte de Tealeaf. El PCA necesita el certificado para el inicio, y el servicio de transporte de Tealeaf utiliza el certificado para gestionar conexiones seguras con el PCA. Nota: La transmisión a través de SSL entre el PCA y el servicio de transporte de Tealeaf necesitan más procesos pueden afectar el rendimiento general. 1. Adquiera el certificado SSL. v Si crea su propio certificado autofirmado, debe crear una clave privada de 2048 bits. Consulte “Generación de un certificado autofirmado” en la página 224. a. El paquete Tealeaf-pca crea un certificado autofirmado para que lo utilice cuando configure el cifrado de SSL de la comunicación de red entre la máquina de host de captura pasiva y el servicio de transporte de Tealeaf. Este certificado autofirmado contiene el nombre de host de la máquina host en el momento de la instalación del paquete. b. Los siguientes certificados y archivos de claves se crean mediante el paquete Tealeaf-pca: v /usr/local/ctccap/etc/tealeaf-tts.crt (archivo de certificado) v /usr/local/ctccap/etc/tealeaf-tts.key (archivo de claves) v /usr/local/ctccap/etc/tealeaf-tts.pem (archivo de claves y certificados combinados en DOS EOL) 2. Puede elegir utilizar el archivo PEM anterior o crear el suyo propio. a. Después de generar el certificado y los archivos de clave privada, utilice el script /usr/local/ctccap/bin/crlf.sh para generar un único archivo ASCII DOS-EOL que necesita el servicio de transporte de Tealeaf. : Por ejemplo, si su clave privada se encuentra en el archivo example.key y su certificado se encuentra en el archivo example.crt, utilice el siguiente mandato para generar un único archivo DOS EOL denominado example.pem /usr/local/ctccap/bin/crlf.sh example.key example.crt > example.pem b. El archivo resultante contiene una clave privada, por lo que debe restringir su propiedad y los permisos utilizando los mandatos chmod y chown. 3. Transfiera el único archivo PEM DOS EOL a la máquina que está ejecutando el servicio de transporte de Tealeaf. De forma ideal, debe restringir su acceso sólo al servicio de transporte de Tealeaf. v El certificado se debe instalar en el directorio de instalación de raíz de Tealeaf. 4. Si es necesario, puede utilizar el lector de archivos de Tealeaf para verificar que el certificado es válido y se puede utilizar. Consulte“Prueba del certificado SSL utilizado por el servicio de transporte” en la página 230. 5. En el servidor de servicio de transporte de Tealeaf, edite el archivo TealeafCaptureSocket.cfg. v También puede realizar cambios de configuración a través del editor de interconexión en TMS, que proporciona mantenimiento de versiones 228 IBM Tealeaf CX Passive Capture Application: Manual de PCA centralizadas y asignaciones de los archivos de configuración de Tealeaf. Edite el archivo de configuración del servicio de transporte en bruto e inserte los valores en la sección [Globales]. Consulte "Pestaña TMS WorldView" en el Manual de administración de IBM Tealeaf cxImpact. a. Añada o edite las siguientes directivas en la sección [Globales] al nombre de vía de acceso o el archivo PEM. Si los archivos no están en el directorio de instalación Tealeaf, a continuación, especifique la vía de acceso completa a los archivos. CertificateFile=css-cert.pem PrivateKeyFile=css-cert.pem b. Utilizando nuestro ejemplo example.pem, modificaría css-cert.pem para producir los siguientes resultados: CertificateFile=example.pem PrivateKeyFile=example.pem c. En la sección [Globales], ingrese el número de puerto en el que el servicio de transporte de Tealeaf escucha el tráfico de SSL. Ingrese el siguiente código: SSLPort=1967:DataDrop v 1967 es el número de puerto en que el servicio de transporte de Tealeaf escucha el tráfico SSL. Este valor es el valor predeterminado. Puede cambiarlo, según sea necesario. Nota: Este número de puerto no debe ser utilizado por ninguna otra interconexión o componente de Tealeaf para escuchar el tráfico. v DataDrop es el primer agente de sesión en la interconexión que se configura para procesar el tráfico de SSL recibido. 6. Inicie sesión en la configuración web de captura pasiva de UI y pulse el separador Entrega. Consulte “Consola Web de PCA - Pestaña de Entrega” en la página 110. a. En la sección destinatarios de destino, pulse Añadir. b. Se muestra la página Añadir destinatario para entrega por coincidencia. Ingrese la dirección del host y del puerto en los campos correspondientes, seleccione el recuadro de selección Asegurar, y después pulse Aceptar. Nota: El puerto especificado debe coincidir con el puerto de escucha de SSL en el servicio de transporte. El valor predeterminado para el transporte SSL es 1967. 7. Se visualiza la página Añadir certificado para entrega segura. Pegarlo en el certificado y luego pulse Aceptar para guardar los cambios. El certificado es el fragmento de texto ASCII que empieza con la siguiente línea: -----BEGIN CERTIFICATE----- y se amplía hasta e incluyendo la siguiente línea: -----END CERTIFICATE----- 8. Copie y pegue todo desde (e incluyendo) la línea EMPEZAR hasta (e incluyendo) la línea FINAL. 9. Reinicie el PCA. 10. Reinicie el servicio de transporte. Capítulo 6. Claves SSL 229 Prueba del certificado SSL utilizado por el servicio de transporte Antes de desplegar el certificado SSL a la máquina que aloja el servicio de transporte Tealeaf, verifique que el certificado sea válido y utilizable utilizando el lector de archivos de Tealeaf. 1. Deje el certificado SSL instalado en el PCA. 2. En el archivo ArchiveReader.cfg en el directorio de instalación de Tealeaf en la máquina que contiene el servicio de transporte de Tealeaf, ubique la sección [Socket]. 3. Para configurar el socket para utilizar SSL, especifique o establezca el siguiente código: USESSL=True 4. Establezca el servidor para que sea localhost. 5. Configure los siguientes valores para el nombre de archivo del certificado que está instalado en el directorio de instalación de raíz de Tealeaf. Elimine la marca (#) antes de que la línea de configuración lo habilite. CertificateFile=css-cert.pem PrivateKeyFile=css-cert.pem 6. Guarde el archivo. 7. Utilice ArchiveReader para enviar coincidencias al servicio de transporte. v Consulte "Lector de archivos de TeaLeaf - Ejecutar sesiones archivadas" en el Manual de configuración de IBM Tealeaf CX. 8. En el separador de estado de interconexión de TMS, verifique que se están capturando y procesando coincidencias mediante las interconexiones adecuadas. v Consulte "Pestaña de estado del conducto del SGT" en el Manual de administración de IBM Tealeaf cxImpact. 9. Si se están capturando y procesando coincidencias, el certificado SSL está trabajando de manera correcta. 10. Ahora puede aplicar los cambios de configuración a la sección [Globals] del TealeafCaptureSocket.cfg. Consulte “Configuración del Servicio de transporte de Tealeaf para cifrado SSL” en la página 228. Habilitación de estados PCA en el estado Tealeaf Para habilitar que se visualice información sobre estadísticas de PCA en el informe de estado de Tealeaf, debe crear una referencia en el servidor Capture Application en la página Gestión de portal. v En el menú Portal, seleccioneTealeaf > Gestión de portal. v Consulte la sección "Gestión de servidores Tealeaf" en la publicación IBM Tealeaf cxImpact Manual de administración. Elimine o visualice el certificado Si 1. 2. 3. 4. 230 desea eliminar o ver el certificado, utilice el siguiente procedimiento: Inicie Internet Explorer en la estación de trabajo que ejecuta PortalStatus. Seleccione Herramientas > Opciones de Internet. Pulse el separador Contenido. Pulse Certificados. IBM Tealeaf CX Passive Capture Application: Manual de PCA 5. Se muestra la ventana Certificados. Pulse la pestaña Autoridades de certificación de confianza de raíces. 6. Ahora puede seleccionar el certificado para extraerlo o visualizarlo. Validación de claves PEM Para validar el archivo mediante OpenSSL, utilice el siguiente mandato: /usr/local/ctccap/bin/openssl rsa -check -noout -in <filename> A continuación se muestra el formato esperado: -----BEGIN RSA PRIVATE KEY----.... (many lines of encoding here) .... -----END RSA PRIVATE KEY----- Sistema de gestión de claves SSL de nCipher Algunas instalaciones de Tealeaf utilizan una tarjeta nCipher para descargar el procesamiento de SSL de los procesadores principales. La sección siguiente explica cómo establecer este tipo de configuración. Aunque las tarjetas de nCipher pueden utilizarse para aceleración SSL mediante la descarga de operaciones SSL a la tarjeta, su centro de atención principal es proporcionar una caja fuerte de almacén de claves sumamente segura para las claves SSL. También se conoce como Módulo de seguridad de hardware (HSM) o el Sistema de gestión de claves de nCipher. Nota: No todas las tarjetas nCipher proporcionan soporte de HSM. Consideraciones sobre nCipher El número de instancias que puede manejar una tarjeta nCipher depende de la serie de las tarjetas que tiene y del número de CPU. Nota: nCipher puede cambiar los estándares de sus tarjetas de acelerador SSL. Para trabajar correctamente con el PCA de Tealeaf, los controladores que se proporcionan con la tarjeta nCipher deben reconocer OpenSSL y deben proporcionar acceso transparente. nCipher tiene varios modelos de tarjetas de acelerador SSL y de gestión de claves, admitiendo cada una un número máximo diferente de transacciones por segundo de SSL. Por ejemplo, una tarjeta de acelerador SSL de la serie 4000 puede manejar aproximadamente 4000 transacciones como máximo. La sobrecarga de operaciones de la tarjeta es probable que reduzca el índice de rendimiento, y varias instancias del PCA pueden también disminuir este número. v Para obtener más información sobre el PCA de varias instancias, consulte “Valores de la interconexión” en la página 119. Con el ejemplo anterior, la tarjeta de la serie 4000 de nCipher tiene un máximo de capacidad de instancia única de aproximadamente 300-400 (SSL de 1024 bits) transacciones por segundo. Este número varía con el número de instancias PCA, normalmente en dirección descendiente. Nota: Evite proporcionar más tráfico SSL a cada instancia del PCA cuando se alcanza la capacidad de rendimiento máximo de la tarjeta del acelerador. Capítulo 6. Claves SSL 231 Compatibilidad entre IBM Tealeaf CX PCA y nCipher Las claves de nCipher siguientes son compatibles con este release de IBM Tealeaf CX PCA: Tabla 32. Compatibilidad de claves de nCipher con IBM TealeafCX PCA Clave de nCipher Fortaleza de cifrado (en bits) Protocolo DES-CBC-SHA 56 bits SSL3, TLS1.0 RC4-MD5 128 bits SSL3, TLS1.0, TLS1.1, TSL1.2 RC4-SHA 128 bits SSL3, TLS1.0, TLS1.2 AES128-SHA 128 bits SSL3, TLS1.0, DTLS1, TLS1.1, TLS1.2 AES256-SHA 256 bits SSL3, TLS1.0, DTLS1, TLS1.1, TLS1.2 DES-CBC3-SHA 192 bits SSL3, TLS1.0, DTLS1, TLS1.1, TLS1.2 AES128-SHA256 128 bits TLS1.2 AES256-SHA256 256 bits TLS1.2 AES128-GCM-SHA256 128 bits TLS1.2 AES256-GCM-SHA384 256 bits TLS1.2 Instalación de nCipher Consulte “Instalación del HSM de nCipher para PCA” en la página 234. Integración de claves SSL de Tealeaf con HSM Este apéndice describe metodologías de integración para proveedores de HSM específicos. Un Módulo de seguridad de hardware (HSM) proporciona protección lógica y física de datos sensibles del uso no autorizado y de adversarios potenciales. Nota: Estos métodos de integración son métodos generalizados para integrar Tealeaf con los productos de cada proveedor. El método descrito debe personalizarse para cumplir con los requisitos del entorno, y esto lo debe hacer un administrador con conocimientos del producto HSM. En un entorno HSM, el archivo de claves se almacena en el HSM y retiene una capa adicional de control de acceso para impedir su movimiento. Tealeaf crea claves de referencia para acceder a las claves que se almacenan en el HSM. Por lo tanto, las claves utilizadas por el tiempo de ejecución de Tealeaf heredan las medidas de protección que ofrece el HSM. Métodos de integración del fabricante v “Integración con el HSM de nCipher” v “Instalación del HSM de nCipher para PCA” en la página 234 Integración con el HSM de nCipher La sección siguiente describe un método general para integrar Tealeaf con claves SSL almacenadas en un Módulo de seguridad de hardware (HSM) para productos nShield de nCipher. 232 IBM Tealeaf CX Passive Capture Application: Manual de PCA v Este método debe personalizarse para su solución HSM. v Este método se aplica a nShield, payShield, y los ultra módulos de payShield de nCipher. Supuestos A continuación se enuncian los supuestos de este método: v Ha instalado el HSM en su entorno. v Ha creado y configurado la seguridad mundial de nCipher. v Posee un acceso de nivel de administrador al entorno de seguridad mundial y se siente cómodo al utilizarlo. Requisitos previos Para proporcionar el mejor soporte posible para el HSM que se utiliza, el HSM debe cumplir con los siguientes requisitos: v Los controladores que se proporcionan con la tarjeta deben reconocer OpenSSL. v La tarjeta debe configurarse para proporcionar acceso no aparente al inicio. v Verificar que la instalación clave funciona al arrancar el sistema. Para obtener más información sobre el cumplimiento de estos requisitos previos, consulte Interfaces de aplicación de nCipher en la Guía del usuario de nShield/payShield que se proporciona con el producto nCipher. Cuando se cumplen los requisitos mencionados anteriormente, Tealeaf puede acceder de forma transparente las claves privadas true mediante la creación de un alias. También puede hacer referencia a claves generadas por las claves SSL proporcionadas a Tealeaf. Configuración de PCA Consulte “Generación de un certificado autofirmado” en la página 224. Configuración e integración de HSM Para integrar Tealeaf con el sistema de gestión de claves nShield de nCipher, aplique estas instrucciones generales a su entorno específico. Nota: Estos pasos son solo una referencia general y no un procedimiento paso a paso para la instalación. Los siguientes pasos opcionales suponen que usted está familiarizado con el software de gestión de claves instalado. Para obtener más información, consulte la Guía del usuario de nShield/payShield que se proporciona con el producto nCipher. Nota: Para almacenar claves SSL, el formato de texto simple PEM de las claves puede ser necesario. El programa de utilidad nCipher generatekey crea archivos de claves PEM de referencia equivalente. Estos archivos de claves de referencia son utilizados por Captura pasiva para la conversión a su formato PTL cifrado, utilizando la opción de script de Tealeaf PEM2PTL. Para obtener más información, consulte Generación e importación de claves en la Guía del usuario de nShield/payShield. Integración Para integrar: 1. Confirme que Linux y el software de Captura pasiva esté instalado y que el servidor IBM Tealeaf CX Passive Capture Application arranque correctamente. Capítulo 6. Claves SSL 233 2. Verifique que la tarjeta y el software de nCipher esté correctamente instalado, incluyendo el lector del dispositivo de tarjeta inteligente. Para obtener más información, consulte Prueba de la instalación en la Guía del usuario de nShield/payShield. 3. Instale el software de nCipher en el servidor del PCA. 4. Añada el directorio de la biblioteca CHIL de nCipher (/opt/nfast/toolkits/ hwcrhk) a la vía de acceso de la librería de carga del archivo /etc/ld.so.conf, si no está presente. 5. Rearranque el servidor PCA para confirmar que arranca correctamente. 6. Ejecute el cmd de la lista de módulos kernel para confirmar que el módulo kernel de nCipher (lsmod) está cargado. 7. En el HSM, cree el mundo de seguridad para la importación de claves. 8. Genere y/o importe los archivos de claves PEM en el HSM. v Para obtener más información, consulte Generación e importación de claves en la Guía del usuario de nShield/payShield. 9. Verifique que las claves estén listadas en KeySafe. 10. En el servidor PCA, ejecute el programa de utilidad nCipher para listar las claves el mundo de seguridad de nCipher: /opt/nfast/bin/nfkminfo -l 11. Confirme que se esté ejecutando Captura pasiva y que esté decodificando tráfico SSL. Inhabilitar HSM Para inhabilitar el inicio de la integración HSM a la hora de arranque de Captura pasiva: 1. Cree un directorio DISABLED en /etc/init.d. 2. Mueva los scripts nCipher del directorio anterior al directorio DISABLED. 3. Reinicie Captura pasiva. Nota: Este procedimiento debe realizarse antes de retirar el hardware para permitir a Captura pasiva arrancar sin el Módulo de seguridad de hardware (HSM). Instrucciones para la instalación Para obtener más información sobre la instalación, consulte “Instalación del HSM de nCipher para PCA”. Instalación del HSM de nCipher para PCA Estas instrucciones de instalación se aplican a la serie de placas de Gestión de claves de nCipher para trabajar con el IBM Tealeaf CX Passive Capture Application. Requisitos A continuación se hallan las instrucciones de instalación: v HSM de nShield 6000e v Software de nCipher versión 11.40 v Plataformas Linux validadas, consulte “Requisitos” para obtener una lista de plataformas admitidas. 234 IBM Tealeaf CX Passive Capture Application: Manual de PCA Nota: Si utiliza un sistema operativo de 64 bits, deben instalarse bibliotecas de 32 bits. Aunque estas instrucciones no están validadas, como se establece en la sección Requisitos, en el software de nCipher y las plataformas Linux también deben funcionar para las siguientes tarjetas: v Tarjetas serie 4000 nForce/nFast/nShield más antiguas Requisitos adicionales v Estas placas pueden utilizarse solamente para aceleración SSL, pero las claves SSL aún se necesitan para operar correctamente. v Puede utilizar otras placas nCipher que admitan solo aceleración SSL (sin Gestión de claves). Los controladores deben funcionar de forma transparente con OpenSSL (como por ejemplo el controlador de la biblioteca CHIL) y debe configurarse para reconocer automáticamente OpenSSL al iniciarse. Verifique que la instalación funciona también en el arranque del sistema. v Si la tarjeta de nCipher se utilizará como almacén de claves de HSM, se debe crear un Mundo de seguridad de nCipher. Consulte “Creación de Mundo de seguridad de nCipher para PCA” en la página 240. Nota: Los siguientes pasos opcionales suponen que está familiarizado con el software de gestión de claves de nCpiher. Estos pasos son solo una referencia general y no un procedimiento paso a paso para la instalación. Cuando sea posible, informe a la ayuda de soporte de nCipher sobre la instalación del software, ya que normalmente requiere la compilación de los controladores en el sistema host. Requisitos previos Antes de comenzar, verifique o complete lo siguiente. 1. El controlador kernel de nCipher necesita compilación en la plataforma Linux requerida, por lo que debe realizar esta compilación en un entorno de desarrollo Linux instalado para la plataforma. Intente compilar en la máquina de producción esperada primero, para determinar si es suficiente para la creación de controladores. Nota: Para la plataforma Redhat RHEL 5.6 de 64 bits, el controlador kernel de nCipher debe compilarse para sistemas operativos de 64 bits. El software del PCA es una aplicación de 32 bits. La biblioteca de intercomunicación de nCipher (libnfhwcrhk.so) también debe ser de 32 bits. Para verificar que libnfhwcrhk.so sea de 32 o de 64 bits, ejecute file libnfhwcrhk.so desde un indicador de mandatos. 2. Después que el controlador ha sido creado (nfp.ko), puede aplicar el controlador nfp.ko creado y el software del script de inicio correspondiente de nCipher al sistema de producción para su instalación y despliegue. v Para obtener más información, consulte la documentación de nCipher/Thales. 3. Estas instrucciones suponen que no tiene el PCA instalado en IBM Tealeaf CX Passive Capture Application. v Si ya tiene el PCA instalado, debe detener el PCA durante el tiempo en que instala e integra el software de nCipher. 4. Consulte “Importación de claves SSL al almacén de claves de nCipher” en la página 242. Capítulo 6. Claves SSL 235 Instalación de nCipher y pasos de creación Detalles sobre cómo crear e instalar el controlador kernel de nCipher, confirmar la instalación y configurar los scripts de inicio de nCipher para que arranque antes que el PCA. Controlador kernel de la compilación 1. Recupere lo siguiente de la versión 11.40 del DVD (de 64 bits) de Linux. Los mandatos siguientes suponen que la unidad de DVD está montada como /mnt/cdrom: cd / tar xvf /mnt/cdrom/linux/libc6_3/amd64/nfast/hwsp/agg.tar tar xvf /mnt/cdrom/linux/libc6_3/amd64/nfast/ctls/agg.tar 2. Recupere los siguientes archivos: a. Para la aplicación de 32 bits del PCA, adquiera una versión de 32 bits de libnfhwcrhk.so: Nota: libnfhwcrhk.so se suministra como un archivo binario, sin compilación local. Esta versión no es una versión específica openSSL. 1) Recupere la versión de 32 bits del archivo siguiente: tar xvf /mnt/cdrom/linux/libc6_3/nfast/hwcrhk/user.tar 2) Cuando el archivo tar anterior se extrae, contiene un archivo con el nombre de vía de acceso relativo al libnfhwcrhk.so: opt/nfast/toolkits/hwcrhk/libnfhwcrhk.so 3) Copie libnfhwcrhk.so en el siguiente directorio: opt/nfast/toolkits/hwcrhk b. También puede extraer los mismos archivos tar que se almacenan en el DVD de los iso disponibles desde el sitio de descarga de nCipher. Recupere los siguientes iso que contienen software nCSS de nCipher: nCSS_linux64_user_11_40.iso nCSS_linux_user_11_40.iso 3. En base a los mandatos anteriores, el software descomprimido debe estar en el directorio siguiente: /opt/nfast 4. Para crear el controlador kernel de nCipher (nfp.ko): a. Para obtener instrucciones, consulte nShield_Quick_Start_Guide.pdf en el directorio del documento del DVD v11.40. En el Capítulo 2, encuentre la Instalación en la sección Linux en la página 11. b. El script de configuración busca las cabeceras de kernel en el directorio predeterminado (/lib/modules/current_kernel_version/build/include). 1) Si las cabeceras de kernel están en un directorio diferente, configure la variable de entorno KERNEL_HEADERS para que estén en $KERNAL_HEADERS/include/. Para obtener más información, consulte Configuración de variables de entorno en la página 46 del documento. 2) Históricamente, las cabeceras están en /usr/SRC/Linux/include/. Si las cabeceras de kernel todavía no están instaladas, instálelas desde el disco de distribución o póngase en contacto con su proveedor de kernel. 5. Mandatos de construcción: cd /opt/nfast/driver ./configure make 6. Si no se añade usuario, ejecute el mandato siguiente: 236 IBM Tealeaf CX Passive Capture Application: Manual de PCA useradd -r nfast 7. Valide el kernel ejecutando el siguiente mandato: groups nfast Instalar el controlador kernel de nCipher Nota: Antes de comenzar, verifique que la placa nCipher esté instalada en el servidor de PCA. 1. El mandato siguiente instala nfp driver.ko y sus scripts de inicio. a. Mandato: /opt/nfast/sbin/install b. Seleccione la opción 4. Esta opción puede ser necesaria para añadir user:group. 2. Añada la vía de acceso a biblioteca CHIL de OpenSSL al archivo ld.so.conf, que es necesario para el rearranque. Opciones: a. Opción 1: 1) Añada la línea /opt/nfast/toolkits/hwcrhk al archivo siguiente a través de vi: vi /etc/ld.so.conf 2) Ejecute ldonfig -v para almacenar una nueva entrada al archivo /etc/ld.so.cache b. Opción 2: Exporte LD_LIBRARY_PATH=/opt/nfast/toolkits/hwcrhk c. Opción 3: copie el /opt/nfast/toolkits/hwcrhk/libnfhwcrhk.so de 32 bits a /usr/lib. Nota: La opción 3 es el método recomendado, pero puede no ser el preferido debido a la política de administración del sistema. 3. Si se seleccionó la Opción 1 anterior, puede verificar entradas actuales ld.so.cache para hwcrhk, ejecutando el código siguiente: ldconfig -p |grep hwcrhk Confirmar el software instalado Dependiendo de la opción que haya seguido para instalar el software, verifique su ubicación en alguno de los siguientes directorios: /opt/nfast/toolkits/hwcrhk/libnfhwcrhk.so /usr/lib/libnfhwcrhk.so Nota: Estos pasos suponen que la instalación del controlador kernel ha sido completada. Consulte “Instalar el controlador kernel de nCipher”. 1. Ejecute el mandato siguiente para verificar el controlador kernel nfp cargado: lsmod |grep nfp 2. La salida esperada es algo como: nfp 42116 2 Método alternativo de inicio: Si no ve la salida esperada, intente detener e iniciar el controlador nCipher: /opt/nfast/sbin/init.d-ncipher stop /opt/nfast/sbin/init.d-ncipher start Capítulo 6. Claves SSL 237 Para iniciar/detener el servidor nCipher manualmente, utilice el mandato siguiente que se proporciona con el software de nCipher 11.40: /opt/nfast/sbin/init.d-ncipher start /opt/nfast/sbin/init.d-ncipher stop Dos nuevos scripts de inicio para el software v11.40 que se encuentra en /etc/init.d: 1. Controladores de inicio: nc_drivers start donde: nc_drivers -> /opt/nfast/scripts/init.d/drivers 2. Inicio de hardserver: nc_hardserver start donde: nc_hardserver -> /opt/nfast/scripts/init.d/hardserver Verifique que los scripts anteriores funcionen para la operación del controlador de nCipher válida. Nota: Los scripts de inicio anteriores pueden no funcionar para rearrancar. Los scripts de inicio del controlador de la tarjeta y del hardserver deben iniciarse primero para el PCA para reconocerlos. Instalar el software del PCA Si no instaló el software del PCA, puede hacerlo ahora. v Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. Configurar los scripts de inicio de nCipher para que arranquen antes que el PCA Los pasos siguientes configuran los scripts de inicio de nCipher para arrancar o rearrancar antes que se ejecuten los scripts de inicio del PCA. La tarjeta de nCipher debe ser inicializada antes que se inicie el PCA. Dependiendo del sistema operativo en uso, complete los siguientes conjuntos de instrucciones: 1. “Configuración de los scripts de inicio de RedHat” 2. “Configuración de los scripts de inicio de SLES” en la página 239 Configuración de los scripts de inicio de RedHat: Para los servidores que utilizan RedHat, complete el siguiente conjunto de instrucciones: 1. Configuración de prueba: 1. Ejecute el mandato de lista de inicio del nivel de ejecución: chkconfig --list |grep nc_ 2. Si se devuelve una lista, significa que los scripts de inicio predeterminados de nCipher se configuraron correctamente. Para probar, rearranque el PCA y valide que es el controlador kernel nCipher. Consulte “3. Validar el acceso del PCA al controlador kernel de nCipher” en la página 239. 3. Si no se lista nada, los scripts de inicio nCipher predeterminados no están correctamente configurados. Consulte “2. Configuración manual” en la página 239. 238 IBM Tealeaf CX Passive Capture Application: Manual de PCA 2. Configuración manual: 1. Los siguientes scripts de inicio deben tener las cabeceras de nivel de ejecución correcto en el script para que se les reconozca: nc_drivers nc_hardserver 2. Los scripts de inicio de nCipher están enlazados simbólicamente a lo siguiente: /opt/nfast/scripts/init.d/drivers /opt/nfast/scripts/init.d/hardserver 3. Editar los scripts de inicio de nCipher: a. Editar /opt/nfast/scripts/init.d/drivers. Añadir las líneas siguientes: # chkconfig: 2345 45 55 # description: nCipher drivers b. Editar /opt/nfast/scripts/init.d/hardserver. Añadir las líneas siguientes: # chkconfig: 2345 50 50 # description: nCipher hardserver c. Por ejemplo: #!/bin/sh # generated by inst-def.sh # chkconfig: 2345 45 55 # description: nCipher drivers 4. El sistema puede tardar algunos minutos para añadir los scripts automáticamente a la chkconfig --list. Si los scripts no se muestran, habilite los niveles de ejecución manualmente, como se muestra en el paso siguiente: a. Utilice chkconfig para activar el nivel de ejecución 2,3,4,5 para nc_drivers y nc_hardserver. chkconfig --level 2345 nc_drivers on chkcofnig --level 2345 nc_hardserver on 5. Validar que el PCA puede acceder al controlador kernel. Consulte “3. Validar el acceso del PCA al controlador kernel de nCipher”. 3. Validar el acceso del PCA al controlador kernel de nCipher: 1. Reinicie el PCA. 2. Después del arranque, ejecute el mandato siguiente: # lsmod |grep nfp 3. La salida es la siguiente. El código 2 indica que es 'utilizado por': nfp 42116 2 4. Para confirmar que los scripts de inicio del PCA y de nCipher tienen las prioridades de arranque correctas, los ejemplos siguientes muestran que nCipher se inicia primero, seguido por el inicio del PCA: /etc/rc.d/rc2.d/S45nc_drivers /etc/rc.d/rc2.d/S50nc_hardserver /etc/rc.d/rc2.d/S60tealeaf-pca /etc/rc.d/rc2.d/S55tealeaf-startup 5. Después de completar las instrucciones siguientes, debe validar que el PCA ve el controlador kernel de nCipher. Consulte “Verificación del uso de claves privadas SSL” en la página 243. Configuración de los scripts de inicio de SLES: Capítulo 6. Claves SSL 239 Nota: Estas instrucciones se aplican a nCipher v11.40 y posterior, a menos que se indique lo contrario. Verifique que nCipher se inicie correctamente con la aplicación Captura pasiva. A partir de nCipher v11.40, se proporcionan dos scripts de inicio (enlaces simbólicos symlinks) en los siguientes directorios. Para un inicio correcto, estos scripts deben ejecutarse en el siguiente orden que se lista: 1. /etc/init.d/nc_drivers 2. /etc/init.d/nc_hardserver Nota: Para que nCipher sea reconocido adecuadamente, estos scripts de inicio de nCipher deben ejecutarse antes que los scripts de inicio de Captura pasiva. 1. Arranque alternativo: Nota: Pueden existir problemas con la secuencia de arranque, al no funcionar correctamente con Suse SLES. Pasos: Para SLES, el método alternativo sugerido es la secuencia siguiente. 1. Inhabilitar niveles de ejecución para nc_drivers y nc_hardserver: chkconfig -s nc_drivers off chkcofnig -s nc_hardserver off 2. Actívelos nuevamente con los niveles de ejecución 3 y 5: chkconfig -s nc_drivers on 3 5 chkcofnig -s nc_hardserver on 3 5 3. De forma predeterminada, la prioridad de ambos scripts se establece en S01. Cambie la prioridad del nivel de ejecución de arranque de cada uno de estos scripts en los directorios rc3.d y rc5.d utilizando los mandatos siguientes: mv /etc/rc.d/rc3.d/S01nc_drivers /etc/rc.d/rc3.d/S09nc_drivers mv /etc/rc.d/rc5.d/S01nc_hardserver /etc/rc.d/rc5.d/S10nc_hardserver 2. Validar el controlador nCipher: 1. Después del arranque, para validar que el controlador nCipher está cargado correctamente, utilice el siguiente cmd: lsmod |grep nfp 2. La respuesta esperada debe ser similar a: nfp 42116 2 (where ’2’ is expected) Después de completar las instrucciones anteriores, debe validar que el PCA se vea en el controlador kernel de nCipher. Consulte “Verificación del uso de claves privadas SSL” en la página 243. Creación de Mundo de seguridad de nCipher para PCA Nota: Si la tarjeta de nCipher se utilizará como almacén de claves de HSM, se debe crear un Mundo de seguridad de nCipher. Las siguientes instrucciones se aplican a la creación de un Mundo de seguridad de nCipher con algunas modificaciones específicas para IBM Tealeaf CX Passive Capture Application. Estas instrucciones sirven para: v nCipher nShield 4000 v nCipher nShield 6000e 240 IBM Tealeaf CX Passive Capture Application: Manual de PCA Si el entorno de red requiere un conjunto de políticas diferente o mayor configuración, consulte nShield_Quick_Start_Guide.pdf para obtener más instrucciones. 1. Conecte el lector del dispositivo de tarjeta inteligente e inserte una tarjeta. Una luz verde en el lector indica una buena conexión. 2. 3. 4. 5. Nota: Para crear un almacén de claves de Mundo de seguridad, el lector del dispositivo de tarjeta inteligente debe conectarse con una tarjeta para escribir el grupo de dispositivos de tarjetas inteligentes de AES. a. La importación de claves SSL no necesita que el lector de tarjetas esté conectado para el nivel 2 de FIPS140-2 predeterminado. b. El lector de tarjetas debe estar instalado para ejecutar la PCA utilizando el almacén de claves del Mundo de seguridad para sus claves SSL. Crear un Mundo de seguridad. Para obtener más información, consulte la página 13 de nShield_Quick_Start_Guide.pdf. Inicie sesión en el sistema host como usuario en el grupo nfast. Coloque el conmutador del módulo del panel trasero del nShield en la posición I, que es el modo de inicialización previa. Para borrar el módulo, ejecute el siguiente mandato: /opt/nfast/bin/nopclearfail ca 6. Ejecute el mandato siguiente: /opt/nfast/bin/new-world -m 1 -s 0 -Q 1/2 -k rijndael 7. El mandato anterior crea un Mundo de seguridad de doble cumplimiento de Nivel FIPS, con recuperación y sustitución OCS que está habilitada, y 1/2 ACS. El Mundo de seguridad está protegido por una clave AES. a. El mandato anterior genera 2 dispositivos de tarjeta inteligente ACS, pero se necesita solo una para el acceso de seguridad. b. Durante el proceso de generación del dispositivo de tarjeta inteligente, debe introducir la frase de contraseña. Por ejemplo: ACS smartcard test passphrase: testcard123 c. Este proceso tarda 1-2 minutos por tarjeta. d. Cuando se genera el Mundo de seguridad, debe mostrarse un mensaje similar al siguiente: Security World generated on module #1; hknso = 26b0b0fed1e2753c665b34af15523ebbb2a995a3 8. Ponga el conmutador del módulo en la parte trasera de nShield en la posición O, en el modo Operacional. Validar la seguridad mundial Para validar que el entorno de seguridad mundial está creado correctamente, complete los pasos siguientes. 1. Ejecute el mandato siguiente: /opt/nfast/bin/nfkminfo 2. La salida esperada debe ser la siguiente, con Usable indicando la correcta validación: World generation # state 0x17270000 Initialised Usable ... ... Module #1 generation # state 0x2 Usable Capítulo 6. Claves SSL 241 3. Para obtener más información sobre añadir claves SSL al almacén de claves del mundo de seguridad de nCipher, revise las instrucciones para la utilización del mandato siguiente: /opt/nfast/bin/generatekey v Consulte “Importación de claves SSL al almacén de claves de nCipher”. 4. La salida del mandato anterior es una clave SSL de referencia .pem. Esta clave debe convertirse al formato .ptl que utiliza el PCA. Para convertir el archivo de claves de referencia en clave .ptl, utilice el mandato siguiente: tealeaf pem2ptl <nCipherReference>.pem 5. Las claves .ptl del PCA recientemente creadas ahora pueden cargarse de forma explícita en el PCA: a. Manualmente: consulte “Configuración de la clave cifrada SSL” en la página 211. b. Automático: cargue las claves en el directorio predeterminado: /usr/local/ctccap/etc/capturekeys Nota: Debe crear el directorio y habilitar los permisos de acceso apropiados. Consulte “Configuración de la clave cifrada SSL” en la página 211. 6. Después de completar alguno de los dos métodos, las claves .ptl se cargan para que las utilice el PCA. Importación de claves SSL al almacén de claves de nCipher Para almacenar claves SSL privadas para ser utilizadas por el PCA, se requiere el formato de texto simple PEM de las claves. El programa de utilidad nCipher, generatekey, crea archivos de claves de referencia equivalente PEM, que luego pueden convertirse para ser utilizadas por el PCA. A continuación se describe el procedimiento general para importar claves SSL al almacén de claves nCipher. Para instalar el Sistema de gestión de claves SSL de nCipher: 1. Confirme que esté instalado Linux. 2. Instale la tarjeta de hardware de nCipher. 3. Instale el software de nCipher, que instala los directorios /opt/nfast/..., los scripts nfast y así sucesivamente. 4. Añada el directorio de biblioteca CHIL de nCipher a la ruta de la librería de carga, /opt/nfast/toolkits/hwcrhk, al archivo /etc/ld.so.conf, si no está presente. 5. Confirme que el software de Captura pasiva esté instalado. 6. Reinicie el servidor IBM Tealeaf CX Passive Capture Application para confirmar que arranque correctamente. 7. Ejecute el mandato de lista de módulos kernel para confirmar que el módulo kernel nfp de nCipher esté cargado, lsmod. 8. Cree el entorno de mundo de seguridad necesario para la importación de claves. 9. Importe los archivos de clave PEM de RSA al mundo de seguridad de nCipher utilizando el programa de utilidad nCipher, /opt/nfast/bin/ generatekey. Por ejemplo: /opt/nfast/bin/generatekey -i embed 242 IBM Tealeaf CX Passive Capture Application: Manual de PCA a. Este ejemplo supone que las claves están almacenadas en formato cifrado. 1) Ejecute el mandato siguiente: [root@tstsys]# /opt/nfast/bin/generatekey -i embed 2) Aparece la siguiente solicitud: protect: Protected by? (token, softcard, module) [module] > 3) Pulse RETURN para aceptar el valor predeterminado. A continuación, solicite: pemreadfile: PEM file containing RSA key? [] 4) Introduzca el archivo de claves privado tealeaf-web.pem. A continuación, solicite: embedsavefile: Filename to write key to? [] 5) Introduzca el nombre del archivo de referencia para escribir tealeaf-web_ref.pem. A continuación, solicite: plainname: Key name? [] 6) Introduzca el alias del nombre de clave tealeaf-web. 7) Introduzca RETURN para las solicitudes restantes para aceptar los valores predeterminados. 10. Puede ser necesaria la solicitud interactiva para la información restante. 11. Ejecute el programa de utilidad nCipher para listar claves en el mundo de seguridad: /opt/nfast/bin/nfkminfo \-l Verificación del uso de claves privadas SSL Mediante el registro de captura del PCA, puede verificar que el PCA es capaz de ver y utilizar la tarjeta nCipher. En el archivo capture.log del PCA, debe ver el siguiente mensaje durante el inicio: May 26 15:30:11 mammoth reassd[22722]: OpenSSL hw engine(1): CHIL hardware engine support El número de claves también debe indicarse en el registro: Aug 20 16:53:37 mammoth reassd[10889]: Loaded 1 keys from Capture.CaptureKeys. Un mensaje como el siguiente indica un error en el acceso a la tarjeta nCipher: hw engine(0) Inhabilitar el inicio de nCipher en el momento de arranque de Captura pasiva Nota: Este procedimiento debe realizarse antes de retirar el hardware de nCipher para permitir que Captura pasiva arranque sin el hardware. 1. Cree un directorio DISABLED en /etc/init.d. 2. Si ya está presente, mueva el script nfast desde el directorio /etc/init.d al directorio DISABLED. 3. Si utiliza software v11.40 o posterior, mueva los dos scripts, nc_drivers y nc_hardserver, del directorio /etc/init.d al directorio DISABLED. 4. En /usr/lib, cambie el nombre del libnfhwcrhk.so para añadir la extensión .disabled mv libnfhwcrhk.so libnfhwcrhk.so.disabled 5. Reinicie Captura pasiva. Capítulo 6. Claves SSL 243 244 IBM Tealeaf CX Passive Capture Application: Manual de PCA Capítulo 7. Medida de rendimiento La medida de rendimiento proporciona detalles sobre el rendimiento del software de captura pasiva y las medidas de indicación de fecha y hora. Las indicaciones de fecha y hora no forman parte del flujo de datos HTTP, por lo que PCA debe insertar las indicaciones de fecha y hora como parte de su proceso de captura. Visión general de las indicaciones de fecha y hora Puede utilizar los valores de timestamp para analizar el rendimiento de CX PCA. La captura pasiva proporciona un amplio conjunto de valores de tiempo disponibles para el análisis. Nota: Esta información de indicación de fecha y hora solo es relevante para los datos capturados con la captura pasiva. No refleja ninguna indicación de fecha y hora ni ningún proceso realizado por otro software de Tealeaf. Supuestos Se aplican los siguientes supuestos a las indicaciones de fecha y hora. v El software de captura pasiva crea todas las indicaciones de fecha y hora en el punto de captura. Cuando el software ve los datos en su punto de captura, asigna una indicación de fecha y hora. v La máquina host de la captura pasiva está a una distancia corta, insignificante del origen de generación de HTTP. Sin embargo, este factor no debe repercutir sobre la indicación de fecha y hora, ya que los datos generalmente fluyen sin obstáculos del servidor web al cliente. v Los datos se envían tan rápido como la vía de acceso de red integral permite. Hay posibles problemas que pueden afectar la precisión de la indicación de fecha y hora del tráfico que está llegando a la PCA. Si el punto de captura es un puerto de distribución de conmutadores, los almacenamientos intermedios internos que se utilizan para agregar el tráfico de distribución pueden cambiar su llegada de datos en tiempo real. Los almacenamientos intermedios pueden retener y separar el puerto de tráfico de distribución en cualquier momento que repercuta sobre la precisión. Otros dispositivos de red también pueden cambiar las horas de llegada de los datos si forman parte de la vía de acceso de tráfico de captura, pero no en la vía de acceso de tráfico en directo. v Todas las indicaciones de fecha y hora se especifican en GMT con granularidad de microsegundo. Un microsegundo es una millonésima de segundo. Nota: Las indicaciones de fecha y hora registradas por Tealeaf CX Passive Capture Application constituyen las mejores estimaciones. En la instalación predeterminada de Tealeaf cxImpact, estas indicaciones de fecha y hora no incluyen información de representación del navegador del cliente. Cuando se instala y se habilita la captura de interfaz de usuario de Tealeaf en la aplicación web, dicha información se captura y notifica mediante el portal. v Para obtener más información sobre informes del lado de cliente, consulte "Análisis de rendimiento" en la Guía de informes de IBM Tealeaf. © Copyright IBM Corp. 1999, 2015 245 v Tealeaf CX UI Capture for AJAX es un componente con licencia separada de la plataforma Tealeaf CX. v Consulte la publicación "UI Capture for Ajax Guide" en la publicación IBM Tealeaf UI Capture for Ajax Guide. Indicaciones de fecha y hora de ejemplo en la solicitud Los valores de ejemplo siguientes se visualizan en la solicitud después de que la PCA genera sus indicaciones de fecha y hora. RequestTimeEx=2009-02-26T15:33:58.347692Z RequestEndTimeEx=2009-02-26T15:33:58.347836Z ResponseStartTimeEx=2009-02-26T15:33:58.352928Z ResponseTimeEx=2009-02-26T15:33:58.552479Z ResponseAckTimeEx=2009-02-26T15:33:58.693390Z TLapiArrivalTimeEx=2009-02-26T15:33:58.676361Z ReqTTLB=144 RspTTFB=5092 RspTTLB=199551 RspTTLA=140911 ConnSpeed=628604 ConnType=DSL WS_Generation=5092 WS_Grade=ExcellentWS WS_GradeEx=0 NT_Total=340462 NT_Grade=ExcellentNT NT_GradeEx=0 RT_Total=345554 RT_Grade=ExcellentRT RT_GradeEx=0 Elementos Uso* RequestEndTimeEx=2009-02-26T15:33:58. ResponseStartTimeEx=2009-02-26T15:33:58. ResponseAckTimeEx=2009-02-26T15:33:58. WS_Generation=5092 NT_Total=340462 RT_Total=345554 Se utiliza en el cálculo de indicaciones de fecha y hora y comportamiento de red 347836 352928 693390 Valores de indicación de fecha y hora que se utilizan para cálculos posteriores Valores y definiciones de indicación de fecha y hora en la solicitud La tabla siguiente proporciona una explicación de cada uno de los valores en la sección [timestamp] de la solicitud: 246 IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 33. Valores de indicación de fecha y hora y definiciones Valor Descripción RequestTimeEx Inicio de la solicitud. La indicación de fecha y hora cuando la PCA vio el primer paquete de la solicitud. RequestEndTimeEx Fin de la solicitud. La indicación de fecha y hora cuando la PCA vio el último paquete de la solicitud. ResponseStartTimeEx Inicio de la respuesta. La indicación de fecha y hora cuando la PCA vio el primer paquete de la respuesta. Si no se ha visto ningún paquete de respuesta, se utilizará el valor RequestEndTimeEx. ResponseTimeEx Fin de la respuesta. La indicación de fecha y hora cuando la PCA vio el último paquete de la respuesta. Si no se ha visto ningún paquete de respuesta, se utilizará el valor RequestEndTimeEx. ResponseAckTimeEx La indicación de fecha y hora cuando la PCA vio que el cliente/navegador reconoció el último paquete TCP de la respuesta. Si no se ha visto ningún paquete de respuesta, se utilizará el valor RequestEndTimeEx. TLapiArrivalTimeEx Esta indicación de fecha y hora indica cuándo la coincidencia llega dentro del proceso interconectado de la PCA. El tiempo completo de aciertos reensamblados puede suceder más adelante si un acierto incompleto se ha reensamblado o se ha atrasado debido a un último paquete de datos muy tardío. En un caso normal, esta indicación de fecha y hora debería ser aproximadamente la misma que ResponseTimeEx. Una gran diferencia podría indicar un problema de red. ReqTTLB Tiempo en microsegundos desde el primer paquete de la solicitud hasta el último (RequestEndTimeEx menos RequestTimeEx). Este valor no incluye el tiempo de red. RspTTFB Tiempo (en microsegundos) desde el inicio de la solicitud hasta la primera de la página de respuesta (ResponseTimeStartEx menos RequestTimeEx). Este valor suele ser una aproximación precisa del tiempo que el servidor web ha necesitado para generar la página de respuesta. En particular, si la página completa se almacena en el almacenamiento intermedio (el valor predeterminado para ASP .NET y muchos entornos J2EE), entonces esta medida es un predictor exacto de cuánto demoro la infraestructura del lado del servidor en responder. Es posible que este valor no sea preciso si el servidor web ha servido los datos en trozos. RspTTLB Tiempo en microsegundos desde el primer paquete de la respuesta hasta el último (ResponseTimeEx menos ResponseStartTimeEx). Este valor no incluye el tiempo de red. Capítulo 7. Medida de rendimiento 247 Tabla 33. Valores de indicación de fecha y hora y definiciones (continuación) Valor Descripción RspTTLA Tiempo de reconocimiento de cliente/navegador del último paquete de datos (ResponseACKTimeEx menos ResponseTimeEx). Este valor es una indicación del recorrido completo de red. Para calcular el tiempo unidireccional, divida este valor por 2. ConnSpeed Velocidad de conexión, especificada en bits por segundo (bps). Este valor se calcula dividiendo el tamaño promedio de la respuesta por el tiempo promedio que tardó en entregarse. Cuando se determina la velocidad de conexión, se ignoran los eventos de interfaz de usuario de cliente detectados. ConnType En función del valor ConnSpeed, este valor se establece en Dialup, ISDN, DSL o T1. WS_Generation Tiempo en microsegundos para que el servidor web genere la respuesta. Este valor se calcula como: ResponseStartTimeEx - RequestEndTimeEx WS_Grade El grado asignado al tiempo de generación de la página del servidor web (WS_Generation). Los valores posibles son los siguientes: ExcellentWS, Very GoodWS, GoodWS, FairWS, PoorWS o IncompleteWS. Este valor se indexa de forma predeterminada. WS_GradeEx Un número que representa la agrupación de rango de tiempo TimeGrades entre 0 y 4 para el tiempo de generación de la página del servidor web. Consulte “Valores de la interconexión” en la página 119. NT_Total Tiempo en microsegundos para el tiempo de viaje de red. NT_Grade El grado asignado al tiempo de viaje de red (NT_Total). Los valores posibles son los siguientes: ExcellentNT, Very GoodNT, GoodNT, FairNT, PoorNT o IncompleteNT. Este valor se indexa de forma predeterminada. NT_GradeEx Un número que representa la agrupación de rango de tiempo TimeGrades entre 0 y 4 para el tiempo de viaje de red. RT_Total El tiempo total de viaje de recorrido completo en microsegundos. RT_Grade El grado general para el rendimiento de red. Los valores posibles son los siguientes: ExcellentRT, Very GoodRT, GoodRT, FairRT, PoorRT o IncompleteRT. Este valor se indexa de forma predeterminada. 248 IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 33. Valores de indicación de fecha y hora y definiciones (continuación) Valor Descripción RT_GradeEx Un número que representa la agrupación de rango de tiempo TimeGrades entre 0 y 4 para el tiempo de viaje de recorrido completo. Consulte “Valores de la interconexión” en la página 119. Cálculo de horas de la indicación de fecha y hora Puede medir el rendimiento calculando las horas a partir de los valores de las indicaciones de fecha y hora. Las siguientes indicaciones de fecha y hora son las más importantes para ayudarle a determinar el rendimiento. v RequestTimeEx v ResponseStartTimeEx v ResponseAckTimeEx 1. El primer valor de tiempo en microsegundos es la diferencia entre que la PCA ve el final de la petición y el inicio de la respuesta: RspTTFB = ResponseStartTimeEx - RequestTimeEx 2. El segundo valor de tiempo en microsegundos es la diferencia entre que la PCA ve el inicio de la solicitud al final de la respuesta: RspTTLB = ResponseTimeEx ResponseStartTimeEx 3. El tercer valor de tiempo en microsegundos es la hora en la que la última respuesta debe viajar de la PCA al visitante. El tiempo que se necesita para que la solicitud inicial vaya del usuario a la PCA, que es una medida de tiempo de recorrido completo de red: RspTTLA = ResponseACKTimeEx minus ResponseTimeEx Factores que afectan los valores de indicación de fecha y hora Se deben tener en cuenta los factores siguientes cuando se evalúan las indicaciones de fecha y hora. v En un entorno de red de varios niveles, normalmente no hay almacenamientos en la red. Sin embargo, las granjas de servidores grandes y sofisticadas pueden emplear un equilibrador de carga (por ejemplo, F5), por lo que algunos almacenamientos de datos de la solicitud HTTP pueden afectar los valores de indicación de fecha y hora. Dado que estos dispositivos dedicados son altamente personalizados para la velocidad, esta repercusión apenas se percibe. v Los dispositivos de almacenamiento en memoria caché de contenidos en el entorno pueden distorsionar los valores de tiempo. Cuando el contenido se almacena en memoria caché, se reducen los valores de tiempo. v Para tamaños de páginas en promedio mayores, es más eficaz comprimir los datos para una transferencia más rápida. v Si la opción de estado activo de HTTP/1.1 está habilitada, puede afectar la velocidad a la que pueden realizarse varias solicitudes HTTP. v Los valores de entrega de aplicaciones repercuten en la medida de rendimiento. ¿Está encendido el almacenamiento intermedio? Es decir, ¿la aplicación comienza a transmitir cuando el primer byte está listo o espera a que toda la página esté lista primero? v La fragmentación afecta a los valores de indicación de fecha y hora. La respuesta se puede entregar en un trozo o fragmentarse y entregarse a petición, como por ejemplo, un archivo PDF con servidor de bytes. Capítulo 7. Medida de rendimiento 249 v Los valores de navegador del lado de cliente pueden afectar al rendimiento y a los valores de tiempo. Por ejemplo, si el almacenamiento en memoria caché está habilitado, se reducen los tiempos de transferencia de páginas que contienen contenido almacenado en memoria caché. El tamaño de la memoria caché es un factor. Indicaciones de fecha hora en las coincidencias ReqCancelled Cuando el visitante o el servidor cancelan una solicitud, puede que las indicaciones de fecha y hora no se inserten como siempre según la hora de cancelación. Tealeaf inserta indicaciones de fecha y hora de acuerdo con la tabla siguiente. Tabla 34. Indicaciones de fecha hora en las coincidencias ReqCancelled La acción actual en el momento de la cancelación Indicación de fecha y hora de la solicitud Indicación de fecha y hora de la respuesta Solicitud indicación de fecha y hora de la enviada, solicitud respuesta no iniciada (tamaño de la respuesta = 0) Utilice el valor RequestEndTimeEx Solicitud enviada, respuesta iniciada (tamaño de la respuesta > 0) indicación de fecha y hora de la respuesta indicación de fecha y hora de la solicitud La razón para que una respuesta no inicie puede incluir cualquiera de las siguientes: 1. Cancelación del visitante 2. Cancelación del servidor 3. Problema de red 4. El servidor ha tardado demasiado en responder y se ha excedido el tiempo de espera de PCA 5. PCA no ha podido hacer coincidir la solicitud con la respuesta Nota: Cuando crea informes utilizando el evento Req Cancelled Count, puede tabular los recuentos de todas las apariciones especificando el tipo de datos para que el evento sea una [Sum], en lugar de un [Count]. Coincidencias sin indicaciones de fecha y hora Si se recibe una coincidencia con información de indicación de fecha y hora incompleta o con un formato inadecuado, la PCA no genera estas indicaciones de fecha y hora asociadas. 250 IBM Tealeaf CX Passive Capture Application: Manual de PCA Cuando la coincidencia se pasa al servidor de procesos para su evaluación, este aplica un valor de indicación de fecha y hora de 01/01/1970 a la coincidencia. La coincidencia después se graba en un archivo de sesión con la misma indicación de fecha y hora. Cada hora, el servidor de procesos suprime los archivos de archivado de sesión que sean más antiguos que el número de días de los datos que se han configurado para ser retenidos en el servidor de procesos. Así, la coincidencia se suprime automáticamente cada hora. El número de días de datos que el servidor de procesos retiene está definido en el separador Servicios de recipiente de la configuración de recipiente en el sistema de gestión de Tealeaf. Consulte "Configuración del Recipiente de CX" en el Manual de configuración de IBM Tealeaf CX. Además de las indicaciones de fecha y hora faltantes o con un formato erróneo, los siguientes tipos de coincidencias no pueden tener indicaciones de fecha y hora: 1. Las estadísticas del sistema de Tealeaf que envían los diferentes componentes de Tealeaf para informar acerca de su estado no se pueden filtrar fuera de la corriente de capturas del recipiente mediante el agente de sesión del direccionador de sesiones. v Para obtener más información acerca de estas coincidencias, consulte "Estadísticas del sistema" en el Manual de administración de IBM Tealeaf cxImpact. v Consulte "Agente de sesión de direccionador de sesión" en el Manual de configuración de IBM Tealeaf CX. 2. Si se despliega la base de datos de búsqueda de IBM Tealeaf cxReveal, pueden haber referencias a estas coincidencias en los datos que se insertan en la base de datos. Cuando se ejecuta una búsqueda de IBM Tealeaf cxReveal, las coincidencias ya pueden estar depuradas. Aunque la base de datos indica que las coincidencias existen, estas no existen en los datos de recipiente. Nota: La base de datos de búsqueda de IBM Tealeaf cxReveal requiere una instalación y configuración independientes. Consulte "Configuración de la búsqueda de atributo de sesión" en el Manual de administración de IBM Tealeaf cxReveal. Capítulo 7. Medida de rendimiento 251 Informes de indicaciones de fecha y hora en el portal y RTV El portal y RTV proporciona los siguientes valores de indicación de fecha y hora. Tabla 35. Valores de indicación de fecha y hora y descripciones Valor de indicación de tiempo y hora Tiempo de generación de páginas Descripción El tiempo de generación de páginas es el tiempo necesario, después de que se recibe la solicitud, para que la infraestructura web (WS/AS/DB) procese la respuesta y comience a transmitirla al navegador del cliente. Este valor de tiempo en microsegundos es el tiempo entre que la PCA vio el último paquete de la solicitud hasta el momento en que la PCA recibe el primer paquete de la respuesta. Este valor se calcula e inserta en la solicitud como WS_Generation : WS_Generation = ResponseStartTimeEx - RequestEndTimeEx En la solicitud de ejemplo que se visualiza arriba, el valor de tiempo WS_Generation es 352928-347836 = 5092 microsegundos. Tiempo de red El tiempo de red es la diferencia de tiempo entre que el servidor web comienza a enviar la respuesta y la PCA recibe el acuse de recibo del visitante. Este valor se calcula e inserta en la solicitud como NT_Total: NT_Total =ResponseAckTimeEx - ResponseStartTimeEx En la solicitud de ejemplo que se visualiza, el valor de tiempo NT_Total es 693390 - 352928 = 340462 microsegundos. Tiempo de recorrido completo El tiempo de recorrido completo es la diferencia de tiempo entre que la PCA recibe el último paquete de la solicitud y recibe el acuse de recibo del visitante de que llega toda la respuesta. Este valor se calcula e inserta en la solicitud como RT_Total: RT_Total = ResponseAckTimeEx - RequestEndTimeEx En la solicitud de ejemplo que se visualiza arriba, el valor de tiempo RT_Total es: 693390 - 347836 = 345554 microsegundos Revisión de las dos secciones anteriores: RT_Total = WS_Generation + NT_Total Tiempo de representación La captura de interfaz de usuario de Tealeaf se puede desplegar para capturar eventos de interfaz de usuario en el navegador del cliente y para supervisar medidas del lado de cliente, como por ejemplo, el tiempo necesario para representar la página en el navegador. Si la captura de interfaz de usuario se ha desplegado, el tiempo de presentación se notifica a Tealeaf en milisegundos. Prueba del rendimiento del proceso de Tealeaf Puede utilizar la siguiente prueba para comprobar la rapidez con la que Tealeaf procesa las coincidencias. En un sistema ideal, la longitud de tiempo entre que la PCA captura una coincidencia y esta aparece en el recipiente a corto plazo es de unos pocos segundos. 252 IBM Tealeaf CX Passive Capture Application: Manual de PCA Nota: Si el recipiente a corto plazo pone las coincidencias en cola en el disco, el proceso se retarda aún más y esta prueba no es un indicador fiable del rendimiento normal del sistema. 1. Inicie una sesión en el portal de Tealeaf. 2. Para visualizar las sesiones activas actualmente, seleccione Activo > Portal. Clasifique el orden de visualización por hora. 3. 4. 5. 6. 7. 8. 9. Nota: Estas operaciones pueden tomar hasta cinco segundos en completarse y pueden presentar un factor de retraso en la medida de rendimiento. Abra una herramienta de reloj en el sistema, que muestre el segundero. Registre la hora de inicio de una nueva sesión. v Continúe renovando la página Sesiones activas hasta que comience una nueva sesión. v Inicie una nueva sesión desplazándose hacia la aplicación web mediante una ventana de navegador nueva. Tan pronto como aparezca una nueva sesión, anote el valor actual del segundero. Abra la misma sesión en la aplicación de Reali-Tea Viewer o en la Reproducción basada en navegador. En la primera coincidencia de la sesión, abra la solicitud. En la sección [timestamp], revise el valor de ResponseTimeEx. La diferencia en segundos entre el valor anterior y la hora en la que la sesión comenzó proporciona una aproximación más precisa del tiempo que Tealeaf requiere actualmente para procesar una nueva coincidencia en el recipiente a corto plazo. Informes Los informes basados en la información de las indicaciones de fecha y hora que captura y calcula Tealeaf se pueden configurar y revisar mediante el portal de Tealeaf. Los informes basados en la información de las indicaciones de fecha y hora que captura y calcula Tealeaf se pueden configurar y revisar mediante el portal de Tealeaf. Si despliega la biblioteca de IBM Tealeaf CX UI Capture for AJAX, hay más información de temporización del lado de cliente en informes basados en el portal. Capítulo 7. Medida de rendimiento 253 254 IBM Tealeaf CX Passive Capture Application: Manual de PCA Capítulo 8. Configuración de la captura pasiva en Red Hat Enterprise Linux (RHEL) Las secciones siguientes contienen información importante para la configuración de la Captura pasiva en un entorno de Red Hat Enterprise Linux: v “Captura pasiva en RHEL - Configuración de DNS” v “Captura pasiva en RHEL - Configuración de interfaces de red” en la página 256 v “Configuración NTP para la captura pasiva en RHEL” en la página 258 v Captura pasiva en RHEL - Configuración del acceso de Puerto serie Captura pasiva en RHEL - Configuración de DNS Esta sección proporciona una breve descripción de los archivos de configuración de (DNS) Servicio de nombre de dominio, el servicio que se utiliza para realizar conversiones entre nombres del sistema principal y direcciones IP. El archivo /etc/nsswitch.conf controla la utilización de varios archivos de base de datos de sistemas y nombres de servicio. Cuando el archivo nsswitch.conf habilita el DNS, el archivo /etc/resolv.conf controla cómo se realizan las búsquedas. Los cambios que se realizan a estos archivos de sistema toman efecto después de que guarda los cambios en los archivos. También puede utilizar el programa de utilidad gráfico redhat-config-network para configurar el DNS. Está disponible cuando se instala el paquete redhat-config-network. El paquete y los mandatos que proporciona no están disponibles con una mínima instalación RHEL. Inhabilitar DNS Para inhabilitar búsquedas DNS: 1. Editar archivo /etc/nsswitch.conf. 2. Coloque un signo de almohadilla (#) al principio de la línea que lee hosts: archivos dns. 3. Después de editar, la línea se debe parecer al código siguiente: #hosts: archivos dns Habilitar DNS Para habilitar búsquedas DNS: 1. Edite /etc/nsswitch.conf. 2. Elimine signos de almohadilla (#) al principio de la línea que lee hosts: archivos dns. Después de editar, la línea que se parece a: hosts: archivos dns /etc/resolv.conf Para especificar el dominio DNS y los servidores: 1. Edite el archivo /etc/resolv.conf. 2. Cuando DHCP está habilitado para una interfaz de red, el archivo /etc/resolv.conf se genera automáticamente gracias al programa cliente DHCP con los servidores DNS especificados por el servidor DHCP. © Copyright IBM Corp. 1999, 2015 255 v Normalmente se edita /etc/resolv.conf sólo cuando se utilizan direcciones de IP fijas (estáticas). 3. El archivo /etc/resolv.conf debería especificar el sufijo del nombre del dominio para utilizar cuando el nombre de host no está totalmente calificado. 4. También debe especificar el nombre de al menos un servidor DNS para utilizar para el nombre de host y la resolución IP. El siguiente es un ejemplo de /etc/resolv.conf para las máquinas del dominio Tealeaf.com con dos servidores DNS: search machines.tealeaf.com nameserver 172.16.0.5 nameserver 172.16.0.6 Captura pasiva en RHEL - Configuración de interfaces de red Los archivos de configuración de red en el directorio /etc/sysconfig se leen y se procesan durante la inicialización del sistema. Para aplicar cambios, inicie la máquina utilizando el mandato shutdown -r ahora. v En lugar de reiniciar la máquina, también puede traer la máquina en modo de usuario único mediante el uso del mandato shutdown now. En el indicador de mandatos, escriba el mandato exit para dejar el modo de usuario único y vuelva a escribir el modo de usuario múltiple, el cuál habilita la conexión de red e inicia las interfaces de red. Ejemplo DHCP Este ejemplo configura una máquina denominada capture.my.domain que recupera la información de red, a través de DHCP en la interfaz eth0. El archivo /etc/hosts contiene la línea siguiente para asegurar una correlación de nombre de host/dirección IP para la máquina: 127.0.0.1 capture.my.domain capture localhost.localdomain localhost El archivo /etc/sysconfig/network contiene la línea siguiente: HOSTNAME=capture.my.domain El archivo /etc/sysconfig/network-scripts/ifcfg-eth0 contiene sólo las líneas siguientes: BOOTPROTO=dhcp DEVICE=eth0 ONBOOT=yes Ejemplo ETHTOOL_OPTS Todas las interfaces de red que se utilizan con la captura pasiva se deben configurar para la modalidad dúplex. La modalidad dúplex asegura el uso máximo de las interfaces de red para capturar paquetes y entregarle coincidencias de Tealeaf al servicio de transporte de Tealeaf. Puede añadir una variable denominada ETHTOOL_OPTS al archivo ifcfg para una interfaz de red para forzar su modalidad dúplex. Usualmente debe hacerlo si el dispositivo se auto-negocia a sí mismo en medio dúplex. A continuación verá la línea de muestra que establece la variable ETHTOOL_OPTS para forzar la interfaz de red en dúplex en 1 gigabit. ETHTOOL_OPTS="autoneg off duplex full speed 1000" 256 IBM Tealeaf CX Passive Capture Application: Manual de PCA Debe especificar el dúplex y la velocidad en conjunto y en el orden que se enumeran. La auto-negociación de debe inhabilitar primero, y luego el dúplex y la velocidad se pueden establecer. El dúplex y velocidad se deben establecer en conjunto para asegurar que el controlador de dispositivo de interfaz de red no restablezca el tiempo de dúplex o la velocidad cuando se modifica. Con la variable ETHTOOL_OPTS definida en el archivo ifcfg para una interfaz de red, el mandato ifup ejecuta el programa de utilidad y pasa las opciones que están definidas por la variable. Por ejemplo, si editó ifcfg-eth0 con el ejemplo anterior, entonces ifup ejecuta el mandato: ethtool -s eth0 ${ETHTOOL_OPTS} El mandato proporciona la salida siguiente: ethtool -s eth0 autoneg off duplex full speed 1000 Los cambios que realice en el archivo ifcfg para una interfaz de red entran en vigor sólo cuando el script ifup se ejecuta, lo que sucede usualmente cuando la máquina rearranca. Puede ejecutar el mandato ethtool de manera manual para que entre en vigor inmediatamente. Por ejemplo: ethtool -s eth0 autoneg off duplex full speed 1000 Ejemplo de escucha de la interfaz Este ejemplo configura la interfaz de red eth2 para capturar paquetes desde un conmutador o un dispositivo de escucha. Cuando se capturan desde un conmutador, sólo se necesita una interfaz de red ya que está recibiendo tráfico bidireccional. Un dispositivo de escucha envía tráfico unidireccional (de entrada y salida) utilizando dos cables de red. Por lo tanto, para un dispositivo de escucha debe configurar dos interfaces de red, una para cada cable. En ambos casos, configure la interfaz de red de la misma manera. Una interfaz a la escucha no necesita una dirección IP ya que solo recibe paquetes de un conmutador o de un dispositivo de escucha. Nunca se utiliza para enviar paquetes en la conexión. El archivo /etc/sysconfig/network-scripts/ifcfg-eth2 contiene sólo las siguientes líneas: DEVICE=eth2 ONBOOT=yes Ejemplo de IP estática Esta configuración de ejemplo muestra cómo se configura un servidor de capturas con valores de IP estática. La tabla siguiente muestra un ejemplo de los valores de IP estática para un servidor de capturas. Tabla 36. Valores de IP Valor Valor DNS my.domain Nombre de host captura dirección IP 172.16.1.100 Máscara de red 255.255.255.0 Capítulo 8. Configuración de la captura pasiva en Red Hat Enterprise Linux (RHEL) 257 Tabla 36. Valores de IP (continuación) Valor Valor Pasarela 172.16.1.1 Los siguientes archivos de configuración muestran dónde se almacenan los valores de host de ejemplo. El archivo /etc/hosts contiene las líneas siguientes: 127.0.0.1 localhost.localdomain localhost 172.16.1.100 capture.my.domain capture El archivo /etc/sysconfig/network contiene la línea siguiente: HOSTNAME=capture.my.domain El archivo /etc/sysconfig/network-scripts/ifcfg-eth0 contiene las líneas siguientes: BOOTPROTO=static IPADDR=172.16.1.100 NETMASK=255.255.255.0 GATEWAY=172.16.1.1 DEVICE=eth0 ONBOOT=yes Lectura adicional Para obtener más información, consulte el directorio Red Hat Enterprise Linux Guía de referencia: El directorio sysconfig: http://www.redhat.com/docs/manuals/enterprise/RHEL-3-Manual/ref-guide/chsysconfig.html Red Hat Enterprise Linux Guía de referencia: Interfaces de red: http://www.redhat.com/docs/manuals/enterprise/RHEL-3-Manual/ref-guide/chnetworkscripts.html Configuración NTP para la captura pasiva en RHEL Puede configurar un daemon NTP para sincronizar la hora de la máquina con uno o más servidores NTP. Primero, instale el paquete NTP, que no está incluido con una mínima instalación. Después de instalar el paquete NTP, seleccione los servidores NTP, cree archivos de configuración, y después habilite e inicie el servicio. Tabla 37. Configuración de NTP Visión general de la configuración Instale el paquete NTP 258 Pasos de configuración Si todavía no lo ha hecho, instale el paquete NTP desde su distribución Linux. IBM Tealeaf CX Passive Capture Application: Manual de PCA Tabla 37. Configuración de NTP (continuación) Visión general de la configuración Pasos de configuración Seleccione servidores NTP Para sincronizar la hora de la estación de trabajo, el daemon NTP en sus contactos de estación de trabajo en uno o más servidores NTP especificado en el archivo de configuración /etc/ntp.conf. Si un servidor NTP no está disponible en la red local, siga uno de los pasos siguientes: v Seleccione un servidor NTP público (visite http://www.ntp.org/ y pulse Listas de servidor de horas). Si selecciona un servidor NTP público, lea las Reglas de Compromiso (pulse Reglas de Compromiso en la página principal en el sitio NTP). v Utilice la agrupación del servidor de horas NTP (visite http://www.pool.ntp.org/ y pulse How do I use pool.ntp.org). Como usuario root en la estación de trabajo, verifique que la máquina pueda contactar los servidores NTP seleccionados. Utilice el mandato ntpdate con la consulta opción -q. Por ejemplo, para consultar un servidor NTP cuya dirección IP es 1.2.3.4, utilice el mandato siguiente: ntpdate -q 1.2.3.4 La salida se debe ver de la siguiente manera, que muestra el servidor contactado y la diferencia de tiempo entre la estación de trabajo local y el servidor. server 1.2.3.4, stratum 2, offset 150.695779, delay 0.03366 17 Nov 10:27:09 ntpdate[21597]: step time server 1.2.3.4 offset 150.695779 sec Si la consulta falla, la salida probablemente sea la siguiente: server 1.2.3.4, stratum 0, offset 0.000000, delay 0.00000 17 Nov 10:29:04 ntpdate[21599]: no server suitable for synchronization found Cree archivos de Siga los pasos siguientes como usuario root en la máquina: configuración 1. Creación del archivo /etc/ntp/step-tickers. Puede hacer una copia de seguridad de cualquier versión existente del archivo. El archivo contiene los nombres de hosts o de direcciones IP de los servidores NTP para ponerse en contacto durante el inicio para inicialmente establecer el tiempo. Si utiliza el grupo de servidores NTP, debe utilizar los nombres de host, lo que requiere DNS. Por ejemplo, si los dos servidores NTP que se van a utilizar son 1.2.3.4 y 5.6.7.8, entonces utilice los siguientes mandatos para crear el archivo: echo 1.2.3.4 > /etc/ntp/step-tickers echo 5.6.7.8 >> /etc/ntp/step-tickers 2. Crear archivo /etc/ntp.conf con los mandatos siguientes. Puede hacer una copia de seguridad de cualquier versión existente del archivo. echo restrict default ignore > /etc/ntp.conf echo restrict 127.0.0.1 >> /etc/ntp.conf echo driftfile /var/lib/ntp/drift >> /etc/ntp.conf 3. Añada entradas utilizando las palabras claves restringir y servidor para cada servidor NTP. El ejemplo siguiente añade entradas para los servidores NTP hipotéticos 1.2.3.4 and 5.6.7.8. Las opciones la máscara, nomodify, notrap, y noquery evitan que el servidor modifique el servicio NTP en la máquina host captura pasiva. nullecho restrict 1.2.3.4 mask 255.255.255.255 nomodify notrap noquery >> /etc/ntp.con echo server 1.2.3.4 >> /etc/ntp.conf echo restrict 5.6.7.8 mask 255.255.255.255 nomodify notrap noquery >> \ /etc/ntp.con echo server 5.6.7.8 >> /etc/ntp.conf Capítulo 8. Configuración de la captura pasiva en Red Hat Enterprise Linux (RHEL) 259 Tabla 37. Configuración de NTP (continuación) Visión general de la configuración Habilite e inicie el servicio NTP Pasos de configuración Siga los pasos siguientes como usuario root en la máquina: 1. Configurar el servicio para que se inicie durante el arranque utilizando el mandato siguiente: chkconfig ntpd on 2. Inicie el servicio inmediatamente utilizando el mandato siguiente: service ntpd start 3. Verifique que el servicio haya iniciado y contactado un servidor utilizando el mandato siguiente: ntpq -np 4. Vea los mensajes de registro para el daemon NTP en el archivo /var/log/messages. Instalación del paquete NTP y selección de los servidores NTP Para sincronizar la hora de la estación de trabajo, el daemon NTP en sus contactos de estación de trabajo en uno o más servidores NTP especificado en el archivo de configuración /etc/ntp.conf. Si todavía no lo ha hecho, instale el paquete NTP para su distribución Linux. Si un servidor NTP no está disponible en la red local, siga uno de los pasos siguientes: 1. Seleccione un servidor NTP público (visite http://www.ntp.org/ y pulse Listas de servidor de horas). Si selecciona un servidor NTP público, lea las Reglas de Compromiso (pulse Reglas de Compromiso en la página principal en el sitio NTP). 2. Utilice la agrupación del servidor de horas NTP (visite http:// www.pool.ntp.org/ y pulse How do I use pool.ntp.org). Como usuario root en la estación de trabajo, verifique que la máquina pueda contactar los servidores NTP seleccionados. Utilice el mandato ntpdate con la consulta opción -q. Por ejemplo, para consultar un servidor NTP cuya dirección IP es 1.2.3.4, utilice el mandato siguiente: ntpdate -q 1.2.3.4 La salida se debe ver de la siguiente manera, que muestra el servidor contactado y la diferencia de tiempo entre la estación de trabajo local y el servidor. server 1.2.3.4, stratum 2, offset 150.695779, delay 0.03366 17 Nov 10:27:09 ntpdate[21597]: step time server 1.2.3.4 offset 150.695779 sec Si la consulta falla, la salida probablemente sea la siguiente: server 1.2.3.4, stratum 0, offset 0.000000, delay 0.00000 17 Nov 10:29:04 ntpdate[21599]: no server suitable for synchronization found Creación de Archivos de configuración Siga los pasos siguientes como usuario root en la máquina: 1. Creación del archivo /etc/ntp/step-tickers. Puede hacer una copia de seguridad de cualquier versión existente del archivo. El archivo contiene los nombres de hosts o de direcciones IP de los servidores NTP para ponerse en 260 IBM Tealeaf CX Passive Capture Application: Manual de PCA contacto durante el inicio para inicialmente establecer el tiempo. Si utiliza el grupo de servidores NTP, debe utilizar los nombres de host, lo que requiere DNS. Por ejemplo, si los dos servidores NTP que se van a utilizar son 1.2.3.4 y 5.6.7.8, entonces utilice los siguientes mandatos para crear el archivo: echo 1.2.3.4 > /etc/ntp/step-tickers echo 5.6.7.8 >> /etc/ntp/step-tickers 2. Crear archivo /etc/ntp.conf con los mandatos siguientes. Puede hacer una copia de seguridad de cualquier versión existente del archivo. echo restrict default ignore > /etc/ntp.conf echo restrict 127.0.0.1 >> /etc/ntp.conf echo driftfile /var/lib/ntp/drift >> /etc/ntp.conf 3. Añada entradas utilizando las palabras claves restringir y servidor para cada servidor NTP. El ejemplo siguiente añade entradas para los servidores NTP hipotéticos 1.2.3.4 and 5.6.7.8. Las opciones la máscara, nomodify, notrap, y noquery evitan que el servidor modifique el servicio NTP en la máquina host captura pasiva. nullecho restrict 1.2.3.4 mask 255.255.255.255 nomodify notrap noquery >> /etc/ntp.con echo server 1.2.3.4 >> /etc/ntp.conf echo restrict 5.6.7.8 mask 255.255.255.255 nomodify notrap noquery >> \ /etc/ntp.con echo server 5.6.7.8 >> /etc/ntp.conf Habilitar e iniciar el servicio Siga los pasos siguientes como usuario root en la máquina: 1. Configurar el servicio para que se inicie durante el arranque utilizando el mandato siguiente: chkconfig ntpd on 2. Inicie el servicio inmediatamente utilizando el mandato siguiente: service ntpd start 3. Verifique que el servicio haya iniciado y contactado un servidor utilizando el mandato siguiente: ntpq -np 4. Ver mensajes de registro para el daemon NTP en el archivo /var/log/messages. Capítulo 8. Configuración de la captura pasiva en Red Hat Enterprise Linux (RHEL) 261 262 IBM Tealeaf CX Passive Capture Application: Manual de PCA Capítulo 9. Supervisión de captura pasiva Puede supervisar la captura pasiva para diagnosticar problemas de rendimiento. Esta sección proporciona información sobre cómo supervisar la IBM Tealeaf CX Passive Capture Application. Lista de comprobación para el diagnóstico de problemas de CX Passive Capture Application La consola web de PCA proporciona información detallada acerca de cómo diagnosticar problemas con la IBM TealeafCX Passive Capture Application. Puede utilizar la lista de comprobación siguiente para verificar las operaciones de PCA mediante los separadores de la consola web de PCA. Lista de comprobación principal La siguiente lista de comprobación se puede utilizar para verificar el estado de su entorno de captura pasiva. 1. “Consola web de PCA - Pestaña Consola” en la página 89 Habilitar/inhabilitar la captura pasiva. a. Verifique que la captura pasiva esté habilitada. 2. “Consola Web de PCA - Pestaña Resumen” en la página 76 - Contiene medidas e información de estado sobre procesos de PCA individuales, pares e interfaces de red. Los mensajes de aviso y error se visualizan aquí. Verifique que: a. Todos los procesos de captura están en funcionamiento. b. Los pares de entrega están definidos y conectados y están entregando coincidencias c. Las interfaces de red están activas. v Para obtener estadísticas de una interfaz de red, pulse (detalles). v Para obtener más diagnósticos, pulse el enlace Programas de utilidad. v Para obtener más información sobre los mensajes que se visualizan en el separador Resumen, consulte “Consola Web de PCA - Pestaña Resumen” en la página 76. 3. “Consola Web de PCA - Pestaña Interfaz” en la página 90 - Configuración de varias instancias de PCA, interfaces de red, segmentación de datos y filtros de datos. Contiene parámetros de ajuste de rendimiento. Verifique que: a. La interfaz primaria está en funcionamiento y escuchando ambas direcciones de tráfico. b. Las direcciones de cada interfaz se han configurado correctamente. Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90. c. Los números de puerto de tráfico necesarios se han establecido correctamente. d. Los filtros de tráfico ignorados no están filtrando datos deseados. e. Si utiliza varias instancias de PCA, verifique que las configuraciones de segmentación de datos dirijan el tráfico a la instancia adecuada. © Copyright IBM Corp. 1999, 2015 263 f. Las reglas de filtro definidas incluyen o excluyen correctamente el tráfico de puerto. g. Los valores de parámetro de ajuste no están repercutiendo en el rendimiento del sistema. 4. “Consola Web de PCA - Pestaña de Entrega” en la página 110 - Definir y probar las conexiones con destinatarios de datos de PCA. Habilitar y configurar la entrega de estadísticas de PCA a la interconexión de Windows. Verifique que: a. Los nombres de host y números de puerto de destino se han especificado correctamente b. Para diagnosticar problemas, entregar coincidencias de estadísticas de PCA a la interconexión de Windows permite un mejor rastreo de rendimiento del sistema. Para obtener más información sobre la coincidencia de estadísticas, consulte “Estadísticas por instancia” en la página 153. Lista de comprobación de configuración de PCA adicional Además de la lista de comprobación principal, puede realizar algunas comprobaciones adicionales basadas en los problemas siguientes: 1. Problemas de SSL: si la PCA no captura adecuadamente el tráfico HTTPS, revise la configuración de las claves SSL. v Verifique que no falte ninguna clave privada. v Verifique en el servidor web que la clave SSL actual se exporte y proporcione a la PCA. v PCA requiere que la clave privada del servidor web se exporte, convierta y después importe en la PCA. 2. Datos sensibles: si los datos sensibles se pasan mediante la PCA a la interconexión de Windows y a las bases de datos, puede configurar las reglas de privacidad para bloquear o enmascarar estos datos tan pronto como lleguen a la PCA. v Verifique que las reglas de privacidad se configuren correctamente. v Revise el uso de expresiones regulares en las reglas de privacidad, que pueden afectar significativamente el rendimiento de la PCA. 3. Problemas de migración tras error: la PCA se puede configurar para que realice la migración tras error desde la instancia de PCA primaria a una secundaria según sea necesario. Sugerencias adicionales para el diagnóstico de problemas Si la lista de comprobación principal no ha ayudado a diagnosticar el problema, puede revisar los elementos siguientes para verificar el rendimiento del servidor de IBM TealeafCX Passive Capture Application. En algunos casos, los problemas que aparecen en la IBM Tealeaf CX Passive Capture Application se originan en el sistema operativo o a nivel de red. Las siguientes sugerencias son pasos de validación útiles antes de ponerse en contacto con el soporte de consumidor de Tealeaf. v Compruebe el espacio de disco en el volumen donde la PCA está alojada v Compruebe los procesos del sistema operativo v Verifique el historial reciente de las modificaciones de la consola web de la PCA, que están registradas en el siguiente archivo: /var/log/tealeaf/confxxx.log 264 IBM Tealeaf CX Passive Capture Application: Manual de PCA v Verifique el estado de los NIC utilizando herramientas externas como ifconfig y ethtool v Verifique las conexiones físicas entre el servidor, los NIC y la red Supervisión de la captura pasiva mediante el estado de Tealeaf El informe de estado de Tealeaf, sondea cada servidor de Tealeaf activo que esté configurado en la página Gestión del portal por información de estado y genera un informe de resumen dentro del portal. Proporciona una vista del panel de control en el estado del sistema. Para incluir informes de la PCA en el informe de estado de Tealeaf, realice los siguientes pasos para habilitar la aplicación de portal. Se comunica con el servidor o servidores que alojan la PCA. 1. Inicie sesión en el portal como administrador Tealeaf. 2. En el menú Portal, seleccione Tealeaf > Gestión del portal. 3. En la página Gestión del portal, pulse el enlace Gestionar servidores. 4. Revise la lista de servidores. Verifique que la lista contenga una referencia por cada servidor de PCA del que desee recibir información de estado de Tealeaf. 5. Si un servidor no figura en la lista, cree una entrada para el mismo: a. Pulse Nuevo. En el menú desplegable, seleccione Servidor de aplicaciones de capturas. b. En la parte inferior de la página, especifique las propiedades que habilitan que la aplicación de portal se conecte con el servidor de PCA. c. Verifique que la casilla de verificación esté seleccionada. d. Para guardar la entrada, pulse Guardar. e. La entrada debe visualizarse en la lista de servidores. f. Seleccione la entrada. En la parte superior de la lista de servidores, pulse la herramienta ping para probar la conexión entre la aplicación de portal y el servidor. 6. Repita los pasos anteriores para crear entradas para otros servidores de PCA en el entorno. 7. Cuando haya terminado de crear las entradas para todos los servidores de PCA, genere un informe de estado de Tealeaf: a. En la página Gestión de portal, pulse el enlace Registros en el panel de navegación izquierdo. b. Pulse el enlace Ver estado de Tealeaf. c. Se visualiza el informe de estado de Tealeaf. d. Busque en el informe PCA. Registro para CX Passive Capture Application La IBM Tealeaf CX Passive Capture Application utiliza los registros siguientes. Registros de PCA Se puede utilizar los siguientes archivos de registro para la resolución de problemas. Capítulo 9. Supervisión de captura pasiva 265 Tabla 38. Descripciones de los registros de CX PCA Nombre de archivo de registro Descripción capture.log Registro de mensajes de software principales de CX PCA, incluidos los mensajes de error y de arranque. v Este registro se retrotrae regularmente, según el tamaño de su archivo. v syslog se utiliza para la generación de mensajes. Otros registros utilizan métodos de generación nativa. conf_changelog.log Registro de cambios de configuración de CX PCA. Cambios al archivo de configuración ctc-conf.xml. statistics_YYYYMMDD.log Instantánea minuto a minuto de estadísticas de CX PCA. Este registro se retrotrae a diario. maintenance_YYYYMMDD.log Supervisión de estado de salud y mensajes de sincronización de hora de CX PCA. Este registro se retrotrae a diario. privacy_changelog.log Cambio de la configuración de privacidad del inicio de sesión que se aplica mediante CX PCA. Registros de servidor de Apache Se pueden utilizar los siguientes archivos de registro para la resolución de problemas de la consola web de PCA alojada en el servidor Apache. Tabla 39. Descripción de los registros del servidor Apache 266 Nombre de archivo de registro Descripción access_log Mensajes de error de operación de Apache. ssl_engine_log Mensajes de operaciones SSL de Apache. ssl_request_log URL de solicitudes SSL de Apache. IBM Tealeaf CX Passive Capture Application: Manual de PCA Capítulo 10. Visión general del mantenimiento de la captura pasiva El programa de utilidad de mantenimiento realiza tareas de mantenimiento y de registro de rutina la captura pasiva de Tealeaf. Puede utilizar el programa de utilidad para mantener la posibilidad de captura pasiva de PCA. Comprobación de estado de salud de la captura El programa de utilidad de mantenimiento supervisa los procesos de captura para determinar si están en buen estado. Si el programa de utilidad decide que los procesos de captura no están en buen estado, realiza un reinicio forzado. El reinicio forzado detiene los procesos de captura, borra las estadísticas de tiempo de ejecución que recolectan y después los reinicia. La comprobación de estado le ayuda a los procesos de captura a recuperarse de situaciones que disminuyan su eficacia y rendimiento. Cuando el programa de utilidad determina que la captura es incorrecta y necesita ser reiniciada, escribe un mensaje en el archivo de registro de mantenimiento para indicar esta situación. Reinicio de la captura Según una planificación predefinida, el programa de utilidad detiene los procesos de captura, borra las estadísticas de tiempo de ejecución recopiladas y reinicia los procesos. El reinicio se realiza a una hora específica cada día o cada semana a una hora determinada de un día específico. El reinicio forzado impide que los procesos de captura entren en situaciones no aceptables que provocarían un error en la comprobación de estado. Nota: La hora especificada (y el día de la semana opcional) debe ser una hora en que se pueda forzar el reinicio de la captura sin repercutir en la entrega de coincidencias al servicio de transporte de Tealeaf. Los servicios incluyen el periodo de mantenimiento de redes de rutina o un periodo de volúmenes bajos de tráfico a capturar. Ubicación de los archivos de registro En IBM TealeafCX Passive Capture Application, los archivos de registro se encuentran en los directorios siguientes: /var/log/tealeaf Cuando se actualiza la PCA, la ubicación de los directorios de archivos de registro nunca se actualiza. Si actualiza la PCA desde una instalación inicial antes de la compilación 3206, los archivos de registro se almacenan en la ubicación siguiente: /usr/local/ctccap/logs El directorio del archivo de registro se almacena en el siguiente archivo: /usr/local/ctccap/etc/tealeaf.conf © Copyright IBM Corp. 1999, 2015 267 Localice la siguiente entrada: logfiledir="/var/log/tealeaf" Limpieza de archivos de registro Los archivos de registro supervisados por el programa de utilidad se encuentran en el directorio /var/log/tealeaf e incluyen la feche en el nombre de archivo, como por ejemplo, statistics_20050602.log. El programa de utilidad supervisa la edad y el tamaño de archivos de registro específicos. También los suprime si son anteriores a un número especificado de días o más grandes que un tamaño especificado. Registro de estadísticas Los archivos de registro de estadísticas se generan en el directorio de registros de PCA. El programa de utilidad de mantenimiento genera un archivo que contiene varias estadísticas de tiempo de ejecución a lo largo del tiempo. Este archivo está pensado para la depuración y el diagnóstico de varios problemas de entrega de coincidencias y capturas. Los archivos de registro de estadísticas se generan en el directorio de registros de PCA, que es la siguiente ubicación de forma predeterminada: /var/log/tealeaf/ Los archivos de registro tienen el siguiente formato de nombre de archivo: statistics_yyyymmdd.log. v Los registros más recientes están formato de texto sin formato. v Los registros más antiguos se comprimen en archivos comprimidos. Conversión de archivos de registro de estadísticas en formato de salida Si es necesario, puede utilizar un script proporcionado por Tealeaf para convertir un archivo statslog de PCA al formato .csv o .xml para un análisis adicional. El script se encuentra en la siguiente ubicación: /usr/local/ctccap/sbin/stat2csv Nota: En este script se presupone que el software PCA se instala en /usr/local/ctccap. Si el software de PCA se instala en otra ubicación, el shebang en la línea 1 del script debe cambiarse para que apunte a la ubicación correcta del binario de php: <pca install location>/bin/php. Uso: ./stat2csv -t type -f infile -w outfile donde: v infile, el archivo de registro de estadísticas en texto sin formato o formato comprimido. v outfile, el nombre del archivo .csv o .xml a generar. v type, el tipo de archivo a generar: csv o xml 268 IBM Tealeaf CX Passive Capture Application: Manual de PCA Ejemplos: ./stat2csv -t csv -f statistics_20090406.log -w statistics_20090406.csv ./stat2csv -t xml -f statistics_20090406.log.gz -w statistics_20090406.xml Sincronización de la hora El programa de utilidad sincroniza la fecha y hora actuales con la fecha y hora actuales de un servidor de IBM TealeafCX que ejecuta el servicio de transporte de Tealeaf. El archivo de registro de mantenimiento contiene la salida de la tarea de sincronización horaria si está habilitado. Configuración manual Puede configurar manualmente el programa de utilidad editando el archivo de configuración para el programa de utilidad. Para configurar el programa de utilidad de mantenimiento, edite el archivo /usr/local/ctccap/etc/runtime.conf, y añada líneas que asignen valores a las variables. Las líneas que contienen un signo de almohadilla ("#") al principio de la línea son comentarios y el programa de utilidad de mantenimiento los ignora. Una asignación de variables debe ser una única línea en el formato siguiente: variable_name="value" Nota: No incluya espacios al principio o al final de la línea y antes o después del signo de igual. Especifique el valor entre comillas. La lista siguiente documenta las variables de configuración, sus valores predeterminados (si no se especifica en el archivo runtime.conf) y sus significados. Varios son valores booleanos que deben ser YES o NO. Comprobación de estado de salud de la captura capture_health_capture_packets_dropped_in_output_high_threshold="50000" Si las estadísticas de captura Packets dropped in output están por encima de este valor, el estado de la captura es incorrecto. Este valor es alto cuando la captura no puede reensamblar coincidencias tan rápido como se capturan fuera de las interfaces de red. capture_health_enable="YES" Habilita las comprobaciones de estado de captura. Esta comprobación está habilitada de forma predeterminada para supervisar el estado de los procesos de captura. capture_health_reassd_pct_cpu_high_threshold="90" Si el proceso de reensamblaje de coincidencia utiliza más de 90% de la CPU, el estado de la captura es incorrecto. capture_health_reassd_virtual_size_high_threshold="1024000" Si el proceso de reensamblaje de coincidencias utiliza más del número especificado de kilobytes (1,024,000 kilobytes es aproximadamente de 1 gigabyte), el estado de la captura es incorrecto. Capítulo 10. Visión general del mantenimiento de la captura pasiva 269 capture_health_schedule_minutes="5" El número de minutos entre comprobaciones de estado. Reinicio de la captura capture_restart_enable="NO" Fuerza a la captura a reiniciarse a una hora específica cada día o semanalmente, en un día determinado de la semana. Esta comprobación está inhabilitada de forma predeterminada porque el programa de utilidad no conoce una hora de volumen de tráfico bajo o seguro para forzar un reinicio. Para habilitarla, asígnele un valor de YES y establezca la hora de reinicio de la captura en la propiedad siguiente. capture_restart_time_local="00:30" Reinicie la captura a la hora local especificada (utilizando un reloj de 24 horas). Si desea reiniciar la captura a las 11:30 PM, utilice el valor "23:40". No incluya el cero inicial si la hora es menor que 10. Por ejemplo, para especificar 6:30 AM, utilice el valor "6:30". capture_restart_weekday_local (no default) Reinicie la captura en el día especificado de la semana a la hora especificada mediante la variable capture_restart_time_local. El valor debe ser uno de los siguientes (todos en minúsculas): sunday, monday, tuesday, wednesday, thursday, friday, Saturday. Reinicie la captura en el día especificado de la semana a la hora especificada mediante la variable capture_restart_time_local. Si especifica este valor, el reinicio forzado se produce en el día especificado a la hora especificada.Si no establece este valor (el predeterminado), los reinicios forzados se producen todos los días a la hora especificada. Depuración maintenance_debug_enable="NO" Habilita el registro detallado de los valores y la ejecución. Esta opción existe para ayudar a diagnosticar el comportamiento del programa de utilidad de mantenimiento. Genera muchas salidas en el archivo maintenance.log y solo se debe utilizar cuando sea necesario. Limpieza de archivos de registro logfile_cleanup_enable="YES" Habilita la limpieza de archivos de registro. logfile_cleanup_keepdays="14" v Conserva los archivos de registro durante el número de días especificado. Los archivos de registro que sean más antiguos que el número de días especificado se suprimen. v Los archivos de registro que el programa de utilidad de mantenimiento supervisa contienen una fecha en el nombre de archivo en el formato <Año><Mes><Día>, como por ejemplo, 20050601 para el 1 de junio de 2005. v El programa de utilidad utiliza la fecha que se extrae del nombre de archivo, no la fecha y hora del archivo que el sistema operativo mantiene. logfile_cleanup_keepsize_kb="5120" 270 IBM Tealeaf CX Passive Capture Application: Manual de PCA v Mantiene archivos de registro más pequeños que el número de kilobytes especificado. El valor predeterminado mantiene archivos de registro más pequeños que aproximadamente 5 megabytes. v Los archivos más grandes que este tamaño se suprimen. El objetivo de este valor es evitar que los archivos grandes se acumulen en la máquina host de captura pasiva. logfile_cleanup_schedule_minutes="30" El número de minutos entre comprobaciones para la limpieza de archivos de registro. Registro de estadísticas statistics_logging_enable="YES" Habilita el registro de estadísticas. Cuando está habilitado, el programa de utilidad de mantenimiento crea archivos en el directorio /usr/local/ctccap/logs con el nombre statistics_YYYYMMDD.log, donde YYYYMMDD es el año, mes y día actuales, como por ejemplo, statistics_20050602.log. statistics_logging_schedule_minutes="1" El número de minutos entre registros de estadísticas. Sincronización de la hora timesource_sync_enable="NO" v Habilita la sincronización de la hora con un servidor de IBM Tealeaf CX que ejecuta Tealeaf Transport Service. v Los valores de configuración para el host y el puerto del servicio de transporte de Tealeaf del archivo /usr/local/ctccap/etc/ctc-conf.xml normalmente se asignan mediante el separador Entrega de la consola web. v Cuando los valores de configuración para el host y el puerto se especifican, el programa de utilidad de mantenimiento habilita esta característica de forma predeterminada. De lo contrario, el programa de utilidad de mantenimiento inhabilita la sincronización horaria. timesource_sync_schedule_minutes="15" El número de minutos entre sincronizaciones horarias. Capítulo 10. Visión general del mantenimiento de la captura pasiva 271 272 IBM Tealeaf CX Passive Capture Application: Manual de PCA Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) El contenido siguiente incluye las preguntas frecuentes o los casos de uso que se pueden utilizar como ayuda para aislar o resolver un problema con CX Passive Capture Application. Sistema operativo v “¿Captura pasiva admite Linux de 64 bits?” en la página 274 v “¿Captura pasiva admite FreeBSD?” en la página 275 Actualización del sistema operativo Si está realizando una actualización de la versión del sistema operativo importante, desinstale primero la PCA y después ejecute la actualización. Después de finalizada la actualización, instale la versión nueva de la PCA. Por ejemplo, si realiza la actualización de SLES9 a SLES10, debe desinstalar el software de la PCA para SLES9. A continuación, actualice el sistema operativo, verifique que la actualización del SO es satisfactoria y entonces instale la versión SLES10 de la PCA. Instalar v “¿Cómo puedo automatizar la instalación y configuración del PCA?” en la página 275 v “¿Qué paquetes necesita el RPM de tealeaf-pca?” en la página 276 v “¿Qué cambios realiza el RPM del PCA de Tealeaf al servidor de PCA?” en la página 276 v “¿Cómo puedo especificar el directorio para el enlace simbólico de Tealeaf?” en la página 278 v “¿Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf?” en la página 278 v “¿Cómo puedo instalar en un directorio que no sea el predeterminado?” en la página 279 v “¿Qué directorios y archivos no se encuentran en el directorio de instalación?” en la página 279 Configuración del servidor web v “¿Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del servidor web?” en la página 281 v “Faltan algunas coincidencias SSL de las sesiones del navegador Firefox” en la página 283 Configuración de PCA v “¿Cómo puedo especificar archivos de configuración alternativos?” en la página 286 © Copyright IBM Corp. 1999, 2015 273 Consola v “¿Por qué la consola web de PCA ignora mis cambios guardados?” en la página 287 v “¿Por qué no puedo detener los procesos de la consola web?” en la página 288 Registros v “¿Dónde está el directorio de registros ctccap?” en la página 288 v “¿Cómo puedo cambiar manualmente el directorio del archivo de registro?” en la página 289 Otros v “¿Cómo identifica el PCA páginas ReqCanceled?” en la página 292 v “¿Cómo maneja el PCA paquetes TCP duplicados?” en la página 291 v “¿Cómo puedo hacer que el PCA borre automáticamente sus estadísticas?” en la página 290 v “¿Cuál es el número de puerto predeterminado para la migración tras error?” en la página 291 v “¿Cómo gestiona el PCA la captura de direcciones IPv6?” en la página 298 Resolución de problemas Para obtener más información sobre la resolución de problemas, consulte "Resolución de problemas - Captura" en la publicación IBM Tealeaf: Guía de resolución de problemas. ¿Captura pasiva admite Linux de 64 bits? Pregunta ¿Captura pasiva admite Linux de 64 bits? Respuesta En este momento, Tealeaf no proporciona una versión de IBM Tealeaf CX Passive Capture Application de 64 bits para distribuciones de 64 bits de RHEL (Red Hat Enterprise Linux) y SUSE Linux Enterprise Server (SLES). No obstante, puede instalar el PCA en un sistema operativo de 64 bits. Tealeaf proporciona un paquete de 32 bits solamente, que depende de bibliotecas de 32 bits. Estas bibliotecas no se incluyen en instalaciones mínimas de distribuciones de 64 bits de RHEL y deben instalarse antes de instalar el PCA. Nota: Para instalar el IBM Tealeaf CX Passive Capture Application en una versión de 64 bits de Linux, debe instalar las versiones de 32 bits de los paquetes necesarios para su sistema operativo. Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. 274 IBM Tealeaf CX Passive Capture Application: Manual de PCA ¿Captura pasiva admite FreeBSD? Pregunta ¿La aplicación Captura pasiva admite el sistema operativo FreeBSD? Respuesta FreeBSD ya no se admite. Nota: Los clientes que están utilizando el PCA en un sistema operativo no admitido o una versión no admitida de un sistema operativo admitido no obtienen soporte para problemas relacionados con capturas. En varias releases importantes anteriores, Tealeaf daba soporte a FreeSBD, un sistema operativo similar a UNIX. Tealeaf no ha probado IBM Tealeaf CX Passive Capture Application en FreeBSD desde que Tealeaf comenzó a dar soporte a Linux. El problema potencial más grande es el reconocimiento de versiones entre la entrega de PCA y Transport Service en los servidores Windows de Tealeaf. Lo ideal es que los clientes que están actualmente utilizando sistemas operativos no admitidos deban cambiarse a una de nuestras versiones admitidas, disponibles en los enlaces “Referencias” a continuación. Referencias requiere-texto Configuración del hardware del PCA e Instalación del sistema operativo v Configuración del Hardware e instalación del sistema operativo Instalación del PCA v Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19 ¿Cómo puedo automatizar la instalación y configuración del PCA? Pregunta ¿Cómo puedo automatizar la instalación y la configuración del PCA? Respuesta Nota: Esta solución requiere como mínimo una fecha y versión de tpcinstaller.sh: 05/07/2007, revisión 17. Puede utilizar el script tpcinstaller.sh para automatizar la instalación y configuración del paquete del PCA de Tealeaf. El script está en el subdirectorio bin después de la instalación, o puede solicitarlo a Tealeaf. Referencias v Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19 Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 275 ¿Qué paquetes necesita el RPM de tealeaf-pca? Pregunta ¿Qué paquetes necesita el RPM de tealeaf-pca? Respuesta Utilice la siguiente línea de mandatos para que RPM muestre la lista de paquetes que el archivo de paquete denominado abc.rpm necesita: rpm -q --requires -p abc.rpm | fgrep -v rpmlib | sort -u | while read x; \ do rpm -q --whatprovides "\${x}"; done | sort -u Nota: v Ejecute el mandato como root. v Sustituya el nombre de archivo abc.rpm con el nombre del archivo que desea consultar. v El mandato utiliza la sintaxis shell Bourne, por lo que debe se deben estar ejecutando /bin/sh, /bin/bash, /bin/ksh y así sucesivamente. A continuación, se muestran los resultados de la ejecución del mandato anterior en las distribuciones a las que Tealeaf da soporte. Nota: El RPM de tealeaf-pca se instala en un instalación mínima de Red Hat Enterprise Linux sin necesitar más paquetes. En la práctica, se pueden necesitar más paquetes. La instalación del RPM de 32 bits de Tealeaf en un sistema Linux de 64 bits normalmente requiere la instalación de más bibliotecas de 32 bits. v Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. Nota: El paquete que proporciona una capacidad que el paquete de Tealeaf necesita puede diferir entre distribuciones y distintos releases y actualizaciones de la misma distribución. Para obtener más información sobre los paquetes necesarios para los releases específicos del sistema operativo, consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19. ¿Qué cambios realiza el RPM del PCA de Tealeaf al servidor de PCA? Pregunta ¿Qué cambios realiza el RPM del PCA de Tealeaf al servidor de IBM Tealeaf CX Passive Capture Application? Respuesta Puede instalar Captura pasiva en un diccionario que no sea el predeterminado /usr/local/ctccap. v Consulte “¿Cómo puedo instalar en un directorio que no sea el predeterminado?” en la página 279. 276 IBM Tealeaf CX Passive Capture Application: Manual de PCA El paquete crea el directorio del archivo de registro, que de forma predeterminada es /var/log/tealeaf, si no existe. Era /usr/local/ctccap/logs en versiones anteriores. v Cuando actualiza desde una instalación más antigua que contiene un directorio /usr/local/ctccap/logs no vacío, el paquete utiliza el directorio existente /usr/local/ctccap/logs en lugar de /var/log/tealeaf. Este comportamiento está pensado para evitar sorprender al usuario dejando archivos de registro antiguos en el antiguo directorio (/usr/local/ctccap/logs) y escribir nuevos archivos de registro en el nuevo predeterminado (/var/log/tealeaf). v Esta comprobación de /usr/local/ctccap/logs es independiente del prefijo de instalación que se elija para la instalación para la actualización. De modo que si instala Captura pasiva en /opt/tealeaf, el paquete aún busca un directorio no vacío /usr/local/ctccap/logs. El paquete realiza las siguientes operaciones de archivo: v Crea los siguientes archivos de certificado autofirmado de SSL en /usr/local/ctccap/etc. El paquete los crea automáticamente como una conveniencia para instalaciones que no proporcionan sus propios certificados SSL: /usr/local/ctccap/etc/tealeaf-pca.crt /usr/local/ctccap/etc/tealeaf-pca.key /usr/local/ctccap/etc/tealeaf-tts.crt /usr/local/ctccap/etc/tealeaf-tts.key /usr/local/ctccap/etc/tealeaf-tts.pem /usr/local/ctccap/etc/tealeaf-web.crt /usr/local/ctccap/etc/tealeaf-web.key Nota: – Los archivos tealeaf-pca no se usan actualmente y están reservados para su uso en el futuro. – Los archivos tealeaf-web los utiliza el httpd.conf predeterminado para la consola web. – Los archivos tealeaf-tts se proporcionan para su conveniencia al configurar conexiones SSL con el servicio de transporte TeaLeaf. – El directorio /usr/local/ctccap/etc es normalmente de escritura por el usuario raíz y de captura, ctccap. v Instalar archivo crontab: /etc/cron.d/tealeaf. El archivo crontab planifica la ejecución de tealeaf cron como usuario root. v Instale los siguientes scripts de inicialización en /etc/init.d: tealeaf-pca, tealeaf-startup. v Cree el archivo capture.log en el directorio logfile si el archivo no existe. El paquete realiza las siguientes acciones que modifican directorios y archivos fuera del prefijo de instalación: v Crea el grupo ctccap si no existe. v Crea el usuario ctccap si no existe. Nota: Este usuario se crea sin una contraseña que se le asigna, de modo que no puede iniciar sesión con esa cuenta de forma predeterminada. Los riesgos de seguridad son mínimos; el usuario ctccap solo puede iniciar y poseer los procesos de Tealeaf. Dependiendo de los requisitos de seguridad de su empresa, puede asignar una contraseña al usuario ctccap desde el usuario root. v Establece /usr/local/ctccap/bin/listend y /usr/local/ctccap/bin-debug/ listend como raíz de bit de modalidad establecer-ID-usuario (que se necesita Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 277 para que listend abra dispositivos eth para que realicen el examen del paquete; se despliega a ctccap de usuario después de que se abren los dispositivos eth). v Elimine archivos de sesión PHP de /tmp. Se supone que estos archivos son archivos de sesión PHP para la consola web de Captura pasiva. v Actualice /etc/syslog.conf (si es necesario) para asegurar que contiene una entrada para que el recurso local0 archive capture.log en el directorio logfile. v Reinicie syslogd para volver a cargar su configuración y utilizar cualquier cambio que se realice a /etc/syslog.conf. Referencias v Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19 ¿Cómo puedo especificar el directorio para el enlace simbólico de Tealeaf? Pregunta ¿Cómo puedo especificar el directorio para el enlace simbólico de Tealeaf? Respuesta De forma predeterminada, el paquete del PCA de Tealeaf crea un enlace simbólico de /usr/local/bin/tealeaf a /usr/local/ctccap/bin/tealeaf. Puede especificar un directorio alternativo para el enlace simbólico en lugar de /usr/local/bin configurando la variable de entorno TEALEAFCMDDIR. Debe ser el nombre completo de un directorio. Debe establecer la variable de entorno antes de iniciar los mandatos de instalación y actualización de RPM y el script tpcinstaller.sh. A continuación se muestra una invocación de ejemplo que especifica una ubicación de instalación alternativa para el enlace simbólico: env TEALEAFCMDDIR=/usr/bin rpm -U tealeaf-pca-3204-1.RHEL4.i386.rpm ¿Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf? Pregunta ¿Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf? Respuesta De forma predeterminada, el paquete de PCA de Tealeaf crea un enlace simbólico que apunta al mandato /usr/local/ctccap/bin/tealeaf. Puede inhabilitar la creación de este enlace simbólico estableciendo la variable de entorno TEALEAFCMDENABLE en NO. Debe establecer la variable de entorno antes de iniciar la instalación de RPM y actualizar mandatos y el script tpcinstaller.sh. A continuación se muestra una invocación de ejemplo que inhabilita la creación del enlace simbólico. env TEALEAFCMDENABLE=NO rpm -U tealeaf-pca-3204-1.RHEL4.i386.rpm 278 IBM Tealeaf CX Passive Capture Application: Manual de PCA ¿Cómo puedo instalar en un directorio que no sea el predeterminado? Pregunta ¿Cómo puedo instalar en un directorio que no sea /usr/local/ctccap? Respuesta Nota: Esta solución requiere como mínimo una fecha y versión de tpcinstaller.sh: 05/07/2007, revisión 17. Puede reubicar el paquete de tealeaf-pca en un directorio distinto al predeterminado /usr/local/ctccap. Puede especificar el directorio alternativo utilizando la opción --prefix del mandato rpm junto con los mandatos de instalación y actualización. A continuación se muestran algunas invocaciones RPM de ejemplo: rpm -i --prefix=/opt/tealeaf tealeaf-pca-3204-1.RHEL4.i386.rpm rpm -U --prefix=/home/tealeaf tealeaf-pca-3204-1.RHEL4.i386.rpm Cuando no utilice la opción --prefix durante una instalación o actualización, RPM utiliza el directorio de instalación predeterminado que se especifica en el archivo del paquete del PCA de Tealeaf, que es /usr/local/ctccap. Una vez que reubica un paquete, debe especificar de forma coherente el directorio alternativo de modo que el paquete compruebe y actualice correctamente las instalaciones anteriores. Si está utilizando el script instalador, tpcinstaller.sh, puede especificar la variable de entorno TPCINSTALLPREFIX antes de iniciar el script para instalar el paquete del PCA de Tealeaf. Si no especifica la variable de entorno TPCINSTALLPREFIX antes de iniciar el script, esto determina el prefijo de instalación actual y automáticamente lo pasa a los mandatos RPM que ejecuta. Si el paquete no está actualmente instalado o no es una versión reubicable, el paquete del PCA de Tealeaf utiliza el directorio predeterminado /usr/local/ctccap. A continuación se muestra una invocación de ejemplo del script tpcinstaller.sh. env TPCINSTALLPREFIX=/opt/tealeaf /etc/opt/tpcinstaller.sh \ tealeaf-pca-3204-1.RHEL3-i386.rpm ¿Qué directorios y archivos no se encuentran en el directorio de instalación? Pregunta ¿Qué directorios y archivos no se encuentran en el directorio de instalación? Respuesta Nota: Esta solución requiere como mínimo una fecha y versión de tpcinstaller.sh: 05/07/2007, revisión 17. La lista siguiente describe varios directorios y archivos asociados con la captura pasiva que no residen en el directorio de instalación que, de forma predeterminada, es /usr/local/ctccap. El software utiliza directamente algunas Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 279 vías de acceso. Algunas son configurables por el usuario y otras se marcan mediante el curso de la administración y el uso normal del software. /archivo [opcional] El directorio opcional se documenta en el procedimiento para realizar una instalación mínima de Red Hat Enterprise Linux. Existe en caso de que el archivado de paquetes se deba habilitar para diagnosticar diversos problemas de captura. No es necesario para las operaciones normales y no se utiliza de forma predeterminada. /etc/cron.d/tealeaf El paquete tealeaf-pca instala crontab para que lo utilice el paquete. /etc/init.d/tealeaf-pca.sh /etc/init.d/tealeaf-startup.sh El paquete tealeaf-pca instala los scripts tealeaf-pca.sh y tealeaf-startup.sh para controlar el inicio y el cierre del software. /etc/opt/tealeaf La captura pasiva utiliza el directorio para varios valores de instalación y configuración. Por ejemplo, el paquete tealeaf-pca utiliza este directorio para registrar el directorio de instalación en el archivo /etc/opt/tealeaf/config/ installprefix y para registrar la ubicación del enlace simbólico de tealeaf en el archivo /etc/opt/tealeaf/config/tealeafcmd. El script tpcinstaller.sh utiliza este directorio para sus archivos de configuración, incluidas las claves SSL que deben importarse automáticamente. /etc/syslog.conf La captura pasiva utiliza el recurso syslog para registrar mensajes, que están configurados en el archivo. /etc/group, /etc/passwd y otros archivos relacionados con cuentas de usuario. El paquete tealeaf-pca crea un usuario y una cuenta de grupo para ejecutar el software si estos no existen. Estas operaciones modifican varios archivos de sistema que se actualizan cuando las cuentas de usuario se crean o actualizan. /tmp/tealeaf-pca-11-prein.log /tmp/tealeaf-pca-12-postin.log /tmp/tealeaf-pca-21-preun.log /tmp/tealeaf-pca-22-postun.log El paquete tealeaf-pca crea los archivos de registro para registrar diversas actividades relacionadas con la instalación. /tmp/tealeaf-pca.log El paquete tealeaf-pca, anterior a la compilación 3204, utilizaba el archivo de registro para registrar diversas actividades relacionadas con la instalación. 280 IBM Tealeaf CX Passive Capture Application: Manual de PCA /tmp/tpcinstaller.log El script tpcinstaller.sh utiliza el archivo de registro para registrar sus actividades. /usr/local/bin/tealeaf El archivo anterior es un enlace simbólico al mandato de Tealeaf en el subdirectorio bin del directorio de instalación. Por ejemplo: /usr/local/ctccap/ bin/tealeaf. Las variables de entorno TEALEAFCMDDIR y TEALEAFCMDENABLE gestionan la ubicación y creación de este enlace simbólico. /var/log/messages La captura pasiva utiliza el recurso syslog para registrar mensajes, que pueden afectar el archivo de registro, configurado en /etc/syslog.conf. /var/log/tealeaf La captura pasiva utiliza el directorio para sus archivos de registro. ¿Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del servidor web? Diffie-Hellman es un tipo de cifra de cifrado SSL. Está diseñado para terceros, que son sistemas diferentes de las otras dos partes en ambos extremos de una conversación, y no puede decodificar el tráfico de comunicaciones. Una sesión de usuario que se establece con un servidor web utilizando este cifrado no puede capturarse utilizando el IBM Tealeaf CX Passive Capture Application. De forma predeterminada, las versiones del navegador Firefox más nuevas pueden intentar negociar por la familia de cifrado Diffie-Hellman. Dada la creciente popularidad de Firefox, Tealeaf proporciona las siguientes instrucciones a nuestros clientes sobre cómo inhabilitar la negociación Diffie-Hellman en sus servidores web, si optan por hacerlo. Nota: Si la infraestructura del servidor web incluye un dispositivo de terminación o aceleración SSL en sentido ascendente más cercano al navegador web del visitante que el punto en el cual el servidor Tealeaf IBM Tealeaf CX Passive Capture Application (servidor PCA) está supervisando el tráfico, entonces el servidor PCA puede ver todo el tráfico como texto simple no SSL, incluso si se aplica Diffie-Hellman. En esta situación, la solución siguiente no se aplica. El dispositivo SSL de terminación es libre de negociar Diffie-Hellman con el navegador del visitante. Esto se debe a que el servidor PCA se encuentra en sentido descendente en relación al tráfico cifrado y no tiene que realizar ningún descifrado. Localización de servidores utilizando Diffie-Hellman En un entorno de aplicación web con varios servidores, la localización de servidores que están utilizando el cifrado Diffie-Hellman no es trivial. Utilizando Wireshark, puede aplicar un filtro de visualización para afinar la lista de servidores e identificar aquellos que están utilizando el cifrado Diffie-Hellman. v Para obtener más información sobre Wireshark, visite http://www.wireshark.org. Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 281 1. Inicie Wireshark. 2. Cargue o capture un archivo TCPdump del tráfico que se envíe al PCA. 3. En el recuadro de texto Filtro, copie la cadena siguiente. Edítela para eliminar los caracteres de barra inclinada al final de cada línea, que se utilizan para indicar continuación. A continuación, pegue la cadena para filtrar el tráfico de wireshark. ssl.handshake.ciphersuite == 0x10 || ssl.handshake.ciphersuite == 0x1a || \ ssl.handshake.ciphersuite == 0x1b || ssl.handshake.ciphersuite == 0x30 \ ||ssl.handshake.ciphersuite == 0x31 || ssl.handshake.ciphersuite == 0x32 || \ ssl.handshake.ciphersuite == 0x33 || ssl.handshake.ciphersuite == 0x34 \ ||ssl.handshake.ciphersuite == 0x36 || ssl.handshake.ciphersuite == 0x37 || \ ssl.handshake.ciphersuite == 0x38 || ssl.handshake.ciphersuite == \ 0x39||ssl.handshake.ciphersuite == 0x3a || ssl.handshake.ciphersuite == 0x63 \ || ssl.handshake.ciphersuite == 0x65 || ssl.handshake.ciphersuite == 0x66 4. El tráfico filtro ahora muestra solo tráfico de cifrados Diffie-Hellman. 5. El uso del cifrado Diffie-Hellman debe inhabilitarse en los servidores listados. Para obtener más información complete los pasos siguientes, dependiendo del tipo de servidor. Inhabilitar Para inhabilitar la suite de cifrado Diffie-Hellman del servidor web, siga una de las opciones a continuación. Si el servidor web no está listado, consulte la documentación del servidor web en búsqueda de instrucciones para inhabilitar esta suite de cifrado para su servidor web en particular. Inhabilitar Diffie-Hellman en servidores IIS 1. Añada o modifique la siguiente clave de registro en cada servidor web: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\ SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman\ Enabled = 0 (DWORD value) 2. Reinicie el servidor web para que los cambios entren en vigor. Inhabilitar Diffie-Hellman en servidores Apache En cada servidor web, en el archivo ssl.conf, o, en algunos casos, el archivo de configuración principal de Apache, añada el identificador !DH: al inicio de la serie de opciones de configuración de SSLCipherSuite. 1. En el directorio de configuración de Apache, localice el archivo: ssl.conf o httpd.conf 2. Busque la palabra clave de SSLCipherSuite, cuyo valor de serie debe ser similar a la siguiente cadena: "ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP" 3. Añada !DH: después de la lista ALL: de modo que la línea se vea como la cadena siguiente: "ALL:!DH:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP" Nota: La cadena !ADH: de la cadena anterior ahora es redundante y puede ser eliminada. 4. Repita esta edición en cada sección de configuración de SSL, si no está utilizando una sección global. 5. Guarde el archivo. 282 IBM Tealeaf CX Passive Capture Application: Manual de PCA 6. Reinicie el servidor web para que los cambios entren en vigor. Faltan algunas coincidencias SSL de las sesiones del navegador Firefox Nota: Este problema se ha solucionado en PCA Build 3611 y posterior. Nota: A partir de la compilación 3327, el IBM Tealeaf CX Passive Capture Application admite la extensión de boleto de sesión TLSv1 de SSL. Si está utilizando la compilación 3327 o posterior y tiene esta extensión que está habilitada en el servidor web, el PCA puede capturar todos los datos de sesión correctamente. v Si está utilizando una compilación anterior a la 3327, debe actualizar a la compilación más reciente para el release en lugar de utilizar esta solución temporal. v A partir de la compilación 3611 del PCA, éste puede capturar TLSv1.1 de SSL. Esta explicación se aplica a TLSv1.1 para compilaciones de soporte también.Para obtener más información sobre la descarga de IBM Tealeaf, consulte IBM Passport Advantage Online. Cuando las sesiones se inician en el navegador Firefox versión 3 y se reanudan más tarde, las coincidencias SSL no están siendo descifradas. Por lo tanto, faltan del tráfico capturado. v Este problema no se muestra en tráfico que no sea SSL. v Este problema no se conoce o no se visualiza en otro navegador que no sea Firefox 3. Este problema se produce por una característica de la extensión SSL que se implementa en la versión 3 de Firefox y en los módulos OpenSSL utilizados en los servidores web Apache más recientes (y posiblemente otros servidores web). Una nueva extensión de protocolo TLSv1 de SSL (RFC-5077) para la reanudación de sesión sin estado, conocida como extensión SessionTicket, cifra la información del estado SSL que se utiliza solo si ambos, el navegador cliente y el servidor web, cumplen con el estándar. Tealeaf no admite esta característica de extensión SSL. Si instala o ha actualizado a la compilación más reciente del servidor Apache v2.2 en los últimos meses, es probable que esta nueva extensión le afecte. Las instrucciones siguientes se proporcionan para inhabilitar esta extensión en Apache. Nota: Debe inhabilitar esta característica en los servidores web. Resolución de problemas de la agrupación SSL Puede probar y solucionar los problemas de los servidores de PCA de la agrupación SSL. Los programas de utilidad siguientes están disponibles para ayudarle a resolver los problemas de la agrupación SSL. Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 283 Tabla 40. Programas de utilidad para la resolución de problemas de la agrupación SSL Cabecera Cabecera Memping Hace ping al servidor de PCA utilizando la dirección IP y el número de puerto que se visualiza. Memstats Muestra las estadísticas del servidor de PCA listado. Memflush Nota: Los datos se pierden cuando se ejecuta este programa de utilidad. Se recomienda ponerse en contacto con el soporte técnico de IBM antes de utilizar el programa de utilidad Memflush. Borra de la memoria caché del servidor de PCA toda la información de sesión SSL almacenada. Para obtener información sobre la configuración de una agrupación SSL, consulte “Configuración de agrupaciones SSL” en la página 204. Para obtener información sobre la eliminación de un servidor de PCA de una agrupación SSL, consulte “Eliminación de un servidor de PCA de una agrupación SSL” en la página 205. Síntomas Cuando los visitantes de su aplicación web están utilizando SSL a través de Firefox 3 y se detienen, después de reanudar su sesión, las coincidencias no son capturadas por el PCA. Esto se debe al soporte predeterminado de Firefox 3 de esta nueva extensión SSL. Cuando el navegador Firefox negocia el reconocimiento SSL con su servidor web para reanudar la sesión, el navegador espera que el servidor suministre un identificador de sesión única de SSL de 32 bytes al navegador cliente. v La intención de la característica es reutilizar información de clave de sesión SSL y reducir el uso de SSL en sesiones SSL posteriores. Como Tealeaf no admite esta extensión SSL, no reconoce este identificador SSL de 32 bytes. Sin este ID, el PCA de Tealeaf no puede de descifrar más tráfico SSL utilizando el ID en sesiones SSL reanudadas. En los ejemplos siguientes, se puede ver cómo los identificadores de sesión se envían al visitante que está reanudando una sesión en Firefox 3 versus Internet Explorer. Para Firefox: SSL cipher used: Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) Session ID Length: 0 Para IE: SSL cipher used: Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) Session ID Length: 32 Session ID: 2FD9AAAEE999B2EA3DEF8FA005CD0CDD3D6EAE62E05E4975... 284 IBM Tealeaf CX Passive Capture Application: Manual de PCA Como se observa en lo anterior, la longitud de ID de sesión SSL de Firefox es 0, lo que no proporciona ningún valor utilizable. Esta nueva extensión de protocolo TLSv1 de SSL para reanudación de sesión sin estado, conocida como extensión SessionTicket, cifra la información de estado de SSL, como por ejemplo el identificador de sesión de SSL en un paquete de "boletos" que tanto el navegador cliente como el servidor deben utilizar. Actualmente, Firefox 3 es el único navegador que utiliza esta extensión de forma predeterminada. Para aceptar esta extensión, el servidor también debe admitirla. Para probarlo Para probar si este problema se está produciendo, puede forzar el servidor web o proxy a utilizar el cifrado seleccionado por IE para ver si las sesiones de Firefox se capturan entonces correctamente. Para solucionarlo Actualmente, el único método para solucionar el problema es inhabilitar el uso de esta extensión SSL en el servidor web o en proxy web. Navegador Firefox Para omitir el problema como usuario individual, puede inhabilitar el uso de esta extensión a través de Firefox. Para inhabilitar el uso de esta extensión en Firefox, siga los pasos siguientes: 1. Abra Firefox. 2. Inhabilite el cifrado TLS 1.0 en Firefox. a. En el menú de Firefox, seleccione la pestaña Herramientas > Opciones > Avanzadas > Cifrado. b. En la sección Protocolos, deje en blanco el recuadro de selección Utilizar TLS 1.0. c. Seleccione el recuadro de selección Utilizar SSL 3.0. d. Pulse Aceptar y guarde los cambios. v Para obtener más información, consulte https://kb.bluecoat.com/ index?page=content&id=KB2887&actp=RSS. Proxy web Si el servidor proxy está gestionando el procesamiento SSL, puede inhabilitar el uso de la característica de extensión SessionTicket TLSv1 de SSL en el proxy. Consulte la documentación que se entrega con el producto servidor proxy. Servidores web de Apache Dependiendo de la versión de Apache, esta característica puede habilitarse de forma predeterminada. El mod_ssl de Apache más reciente utiliza openSSL 9.8j o posterior, que habilita esta extensión SessionTicket de TLS de forma predeterminada. v Es probable que esta característica se muestre primero en el servidor Apache versión 2.2. Para inhabilitar: 1. En la máquina del servidor web, edite /usr/local/apache2/conf/httpd.conf. Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 285 2. Añada el siguiente fragmento de código a la ubicación correspondiente del archivo: SSLEngine on SSLOptions +StrictRequire <Directory /> SSLRequireSSL </Directory> SSLProtocol +all -TLSv1 -SSLv3 SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM:!DH Nota: En el código anterior, la referencia !DH elimina el algoritmo de cifrado Diffie-Hellman, que requieren todas las soluciones Tealeaf. Consulte “¿Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del servidor web?” en la página 281. 3. Guarde el archivo. 4. Reinicie el servicio Apache. v Para obtener más información, consulte http://www.securityfocus.com/ infocus/1818. Servidores web no Apache La mayoría de lo servidores no proporcionan un método sencillo de inhabilitar el uso de la extensión. Puede inhabilitar esta extensión mediante la inhabilitación del uso de TLS 1.0 en las opciones de configuración del servidor web. Para obtener detalles específicos, consulte la documentación del producto. ¿Cómo puedo especificar archivos de configuración alternativos? Pregunta ¿Cómo puedo especificar archivos de configuración alternativos? Respuesta Puede utilizar el script tpcinstaller.sh para automatizar la sobrescritura de varias configuraciones que son creadas por el paquete del PCA de Tealeaf cuando lo instala inicialmente. Estos archivos de configuración se crean normalmente cuando no existen. Una vez que existen, el paquete del PCA de Tealeaf no los modifica ni los actualiza. Si el paquete del PCA de Tealeaf detecta que no modificó los archivos, los elimina durante la desinstalación. Utilice el mandato tpcinstaller.sh del script postinstall para sobrescribir varios archivos de configuración. El script está en el subdirectorio bin bajo el directorio de instalación después de la instalación. El script automatiza la instalación y la configuración, pero este ejemplo solo demuestra su mandato postinstall que sobrescribe archivos de configuración y después inicia el software. A continuación se muestra un breve ejemplo que demuestra el sabor básico de esta prestación. v Supone que el paquete del PCA de Tealeaf ya está instalado en directory /opt/tealeaf. v Los mandatos que ha de ejecutar raíz tienen como prefijo el símbolo de numeral (#). 286 IBM Tealeaf CX Passive Capture Application: Manual de PCA 1. Inicialice el directorio /etc/opt/tealeaf: # sh /opt/tealeaf/bin/tpcinstaller.sh init 2. Cree y/o coloque los archivos de configuración personalizada en el directorio /etc/opt/tealeaf que crea el paso 1. a. Para sobrescribir ctc-conf.xml, proporcione el archivo ctc-conf-custom.xml. Para que el script instalador automáticamente convierta archivos PEM en archivos PIL y actualice el archivo ctc-conf.xml antes de sobrescribir: 1) Coloque los archivos PEM en /etc/opt/tealeaf/capturekeys. 2) Sustituya la sección <CaptureKeys> del ctc-conf-custom.xml por: <CaptureKeys>CAPTUREKEYSCONF</CaptureKeys> b. Para sobrescribir httpd.conf, proporcione el archivo httpd-custom.conf. c. Para sobrescribir privacy.cfg, proporcione el archivo privacy-custom.cfg. d. Para sobrescribir runtime.conf, proporcione el archivo runtime-custom.conf. 3. Cree un archivo de configuración que indique al script instalador que siempre sobrescriba archivos de configuración en lugar de sobrescribir archivos solo cuando no se han cambiado de los archivos predeterminados. A continuación está el contenido de dicho archivo de configuración, que debe designarse /etc/opt/tealeaf/tpcinstaller.conf: custom_capture_conf_enable="YES" custom_httpd_conf_enable="YES" custom_privacy_conf_enable="YES" custom_runtime_conf_enable="YES" 4. Sobrescriba los archivos de configuración e inicie todos los servicios: # sh /etc/opt/tealeaf/bin/tpcinstaller.sh postinstall Si desea indicar al script de instalación que también instale/actualice el RPM, debe guardar una copia del script de instalación en /etc/opt/tealeaf y entonces iniciarlo con el nombre del archivo RPM. A continuación está el ejemplo: # env TPCINSTALLPREFIX=/opt/tealeaf sh /etc/opt/tealeaf/tpcinstaller.sh \ /root/tealeaf-pca-3204-1.RHEL4.i386.rpm Nota: El uso de TPCINSTALLPREFIX requiere como mínimo la versión de compilación 3204 del PCA. ¿Por qué la consola web de PCA ignora mis cambios guardados? Pregunta ¿Por qué la consola web ignora mis cambios guardados? Respuesta Confirme que las cookies estén habilitadas. La consola web de PCA requiere que las cookies estén habilitadas para poder mantener el estado de la sesión mientras realiza varias tareas. Si las cookies están inhabilitadas, después de pulsar Guardar cambios, la página que está viendo vuelve al estado en que se encontraba antes de que realizara los cambios. Referencias v “Consola Web de PCA - Pestaña Resumen” en la página 76 Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 287 ¿Por qué no puedo detener los procesos de la consola web? Pregunta ¿Por qué no puedo detener los procesos de la consola web? Respuesta En la compilación 3100, la ubicación predeterminada del archivo httpd.pid que el script tealeaf utiliza para encontrar la consola web ha cambiado. Este archivo solía residir en logfile directory pero se ha trasladado al directorio /usr/local/ctccap/var para acomodar otro trabajo de característica. Si ha modificado anteriormente el httpd.conf de forma que difiere del httpd.conf.default, entonces el httpd.conf se conserva cuando un paquete tealeaf-pca posterior instala el nuevo httpd.conf.default. Esta conservación significa que el script de Tealeaf más reciente en un paquete 3100 o posterior no puede encontrar el httpd.pid porque la consola web lo continúa escribiendo en la ubicación anterior especificada por el httpd.conf. Para solucionar este problema, siga estos pasos: v Detenga todos los procesos de la consola web utilizando el siguiente mandato como raíz: killall httpd v Revise los cambios entre httpd.conf y el archivo predeterminado desde el paquete, httpd.conf.default. Por ejemplo, puede ver los cambios utilizando el mandato diff de la siguiente manera: cd /usr/local/ctccap/etc diff -c httpd.conf.default httpd.conf v Aísle los cambios que se han realizado localmente para el servidor de aplicaciones de captura pasiva (por ejemplo, autenticación básica, inhabilitación de un puerto que no es SSL) de los cambios introducidos por el paquete. v Guarde el httpd.conf existente, sobrescriba el httpd.conf con el httpd.conf.default y fusione los cambios aislados del paso 3. ¿Dónde está el directorio de registros ctccap? Pregunta ¿Dónde se encuentra el directorio /usr/local/ctccap/logs? Respuesta A partir de la compilación 3102, el directorio predeterminado para los archivos de registro de captura pasiva es /var/log/tealeaf. Cuando instala el paquete tealeaf-pca por primera vez en un sistema, este crea y utiliza /var/log/tealeaf. Si está actualizando desde una versión anterior y el directorio /usr/local/ctccap/logs no es un directorio vacío, la captura pasiva continúa utilizando ese directorio en lugar de /var/log/tealeaf. La página Copia de seguridad/Registros de la consola web se actualiza para mostrar el directorio de archivos de registro en uso. 288 IBM Tealeaf CX Passive Capture Application: Manual de PCA ¿Cómo puedo cambiar manualmente el directorio del archivo de registro? Pregunta ¿Cómo puede cambiar manualmente el directorio del archivo de registro de /var/log/tealeaf a XYZ? Respuesta A partir de la compilación 3100, se muestra a continuación el directorio logfile predeterminado que utilizan las instalaciones nuevas: /var/log/tealeaf Si no desea que Captura pasiva utilice ese directorio, siga los pasos a continuación. Los pasos configuran el directorio logfile para que sea /var/tealeaf. v Lleve a cabo todos los pasos como usuario root. v Estos pasos suponen que Captura pasiva ya está instalada en /usr/local/ctccap. 1. Detenga todos los daemons de Captura pasiva: tealeaf stop tealeaf stop failoverd 2. Cree el directorio, si no existe, y asígnele su propiedad y permisos. mkdir /var/tealeaf chmod u=rwx,go= /var/tealeaf chown ctccap:ctccap /var/tealeaf Un prolongado listado solo del directorio debe producir los siguientes resultados: # ls -ld /var/tealeaf drwx-----2 ctccap ctccap 4096 Sep 6 14:41 /var/tealeaf Nota: El grupo ctccap se introdujo en la compilación 3101. 3. Cree archivos de registro vacíos. Puede utilizar tealeaf initlogs. Si ese mandato no está disponible en la versión que está ejecutando, debe crear al menos el archivo capture.log utilizando los mandatos siguientes: touch /var/tealeaf/capture.log chmod u=rw,go= /var/tealeaf/capture.log chown ctccap:ctccap /var/tealeaf/capture.log Un prolongado listado del directorio debe producir los siguientes resultados: # ls -l /var/tealeaf total 0 -rw------1 ctccap ctccap 0 Sep 6 14:42 capture.log De forma opcional, puede optar por copiar todos los archivos de registro de /var/log/tealeaf en el nuevo directorio. 4. Edite el archivo de configuración daemon de syslog:/etc/syslog.conf. Sustituya la línea para local0 desde : local0.* -/var/log/tealeaf/capture.log con este código: local0.* -/var/tealeaf/capture.log 5. Reinicie el daemon de syslog: Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 289 /etc/init.d/syslog stop /etc/init.d/syslog start En sistemas Red Hat puede utilizar: service syslog stop service syslog start 6. Edite el archivo /usr/local/ctccap/etc/runtime.conf, que es utilizado por la Captura pasiva. Elimine todas las definiciones de variables existentes para logfiledir y añada la siguiente línea: logfiledir="/var/tealeaf" 7. Inicie los daemons de Captura pasiva: tealeaf start failoverd tealeaf start Si examina /var/tealeaf/capture.log, debe ver mensajes de inicio de Captura pasiva. Todos los pasos anteriores se basan en el procesamiento para la variable de configuración logfiledir realizado por el script postinstallimp.sh posterior a la instalación de la distribución de Captura pasiva (en el subdirectorio sbin). ¿Cómo puedo hacer que el PCA borre automáticamente sus estadísticas? Pregunta ¿Cómo puedo hacer que el PCA borre automáticamente sus estadísticas? Respuesta Cree un trabajo cron en /etc/cron.d/tealeaf para despertar y borrar las estadísticas. Ejemplos: * * * * * root /usr/local/ctccap/bin/tealeaf cron > /dev/null 2>&1 # the command ’tealeaf cron’ is run every minute (already exists in # /etc/cron.d/tealeaf 30 3 * * * root /usr/local/ctccap/bin/tealeaf clearstats > /dev/null 2>&1 # ’tealeaf clearstats’ is run at 3:30 a.m. every day. 15 4 * * 2 root /usr/local/ctccap/bin/tealeaf clearstats > /dev/null 2>&1 # ’tealeaf clearstats’ is run at 4:15 a.m. on Tuesdays. 01 0 1 * * root /usr/local/ctccap/bin/tealeaf clearstats > /dev/null 2>&1 # ’tealeaf clearstats’ is run at 12:01 a.m. on the first day of every month. 290 IBM Tealeaf CX Passive Capture Application: Manual de PCA ¿Cuál es el número de puerto predeterminado para la migración tras error? Pregunta ¿Cuál es el número de puerto predeterminado (o recomendado) para la migración tras error? Respuesta Si no se especifica un número de puerto al configurar una migración tras error maestra o subordinada, la migración tras error utiliza el puerto 9866. ¿Cómo maneja el PCA paquetes TCP duplicados? Solo los paquetes TCP de la conexión TCP se comprueban con sus números de secuencia TCP. Los duplicados se determinan en base a números de secuencia TCP. Si bien los procesos de PCA pueden manejar paquetes de tráfico duplicados, representan un uso innecesario que puede afectar el rendimiento cuando el sistema se acerca a su nivel de rendimiento máximo. El envío de paquetes duplicados al PCA debe reducirse siempre que sea posible. A nivel del paquete TCP, el IBM Tealeaf CX Passive Capture Application comprueba la presencia de paquetes duplicados en una conexión TCP. El PCA lo hace mediante la evaluación de sus números de secuencia TCP. Cuando se detectan duplicados, se manejan de las siguientes formas: v Si se muestran dos paquetes opuesto con opuesto en la misma conexión, el segundo paquete se descarta. v Si se muestran dos paquetes en la misma conexión, contienen un número de secuencia repetido pero no se muestran opuesto con opuesto, el segundo paquete se descarta. v Si los orígenes y los destinos de los paquetes son diferentes, PCA acepta los paquetes y los vuelve a ensamblar para su entrega a recipientes en sentido descendiente. Mediante la pestaña Estadísticas de la consola web del PCA, puede supervisar la frecuencia de paquetes TCP duplicados. A continuación se muestran las estadísticas clave a supervisar: Total back-to-back duplicate packets En el archivo stats.xml, esta estadística se visualiza como: <TcpTotalDuplicatePackets> Un número alto de paquetes duplicados puede indicar que los puertos de distribución del conmutador de red no están correctamente configurados. Por ejemplo, si el número de paquetes duplicados se acerca a la mitad del valor especificado en la estadística Total packets rcvd value. También indica que los puertos están enviando tráfico duplicado al servidor IBM Tealeaf CX Passive Capture Application. Consulte “Estadísticas por instancia” en la página 153. Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 291 ¿Cómo identifica el PCA páginas ReqCanceled? Esta sección proporciona una breve descripción de cómo la PCA evalúa y identifica páginas como páginas ReqCancelled. v Una página ReqCancelled puede cancelarse mediante una solicitud del navegador cliente (visitante) o del servidor web. Valores del lado del servidor Después que ensambla una página de respuesta o solicitud HTTP desde los paquetes TCP, la cabecera HTTP está disponible. En la cabecera se muestran los valores que calcula el servidor para HeaderSize y DataSize de la respuesta o solicitud. En el ejemplo siguiente, se muestra la respuesta en bruto: HTTP/1.1 200 OK Server: Apache-Coyote/1.1 Content-Type: text/html;charset=UTF-8 Date: Fri, 25 Feb 2011 14:40:14 GMT Cache-Control: private Content-Length: 83 <html> <body> Response <hr> Read 652 bytes in 7ms. </body> </html> En el ejemplo anterior, el valor Content-Length informado por el servidor es 83 bytes. Valores calculados por el PCA El PCA también calcula el tamaño observado real de la coincidencia de los paquetes cuando están enlazados entre sí. Estos valores se almacenan en la sección [env] de la solicitud: [env] ... RequestHeaderSize=1741 RequestDataSize=0 RequestSize=1741 ResponseHeaderSize=418 ResponseDataSize=25151 ResponseSize=25569 ... Analizar valores de tamaño del contenido Como resultado, el PCA utiliza dos conjuntos de valores de dimensionamiento: v Los valores del lado del servidor v Los valores que observa y calcula el PCA Estos números deben coincidir. Nota: Si los valores reales observados por el PCA son inferiores a los valores del lado del servidor insertados en la cabecera de respuesta, el PCA marca la coincidencia como una coincidencia ReqCancelled. 292 IBM Tealeaf CX Passive Capture Application: Manual de PCA Codificación de transferencia segmentada Es un caso especial cuando el servidor no informa el valor Content-Length. En la codificación de transferencia segmentada, el servidor transfiere datos utilizando el protocolo HTTP sin saber con anticipación el tamaño del cuerpo del mensaje completo. Cuando la codificación de transferencia segmentada está habilitada por el servidor, la siguiente es la respuesta: .HTTP/1.1 200 OK Server: Apache-Coyote/1.1 Cache-Control: private Pragma: no-cache Set-Cookie: logging=CC4993FF05A9AC05B52CD9756B094B10|egapp39p|; Domain=.example.com; Path=/ Set-Cookie: DealDetectorUser=true; Domain=.example.com; Expires=Thu, 20-Feb-2031 14:39:33 GMT; Path=/ P3P: CP="CAO DSP CURa ADMa DEVa TAIa PSAa PSDa IVAi IVDi CONi OUR DELi SAMi OTRi BUS PHY ONL UNI PUR COM NAV INT DEM STA POL HEA PRE GOV" Content-Type: text/html Date: Fri, 25 Feb 2011 14:39:33 GMT Transfer-Encoding: chunked En el ejemplo anterior, no hay un valor informado para Content-Length. Dado que la longitud del contenido no es conocida con anterioridad, se inserta el siguiente valor: Transfer-Encoding: chunked Cuando el PCA observa que la transferencia está segmentada, ensambla los paquetes en la coincidencia y rastrea el valor DataSize para la página hasta que alcanza el paquete final segmentado. Este último paquete se designa por un trozo de longitud cero (tamaño de segmento codificada como 0) y no tiene ninguna sección de datos. Nota: Como el servidor no informa un valor Content-Length en la codificación de transferencia segmentada, la cabecera de cada segmento contiene una entrada para la longitud del trozo. Como resultado, la longitud total real del trozo se calcula de manera dinámica. v Si algún trozo no proporciona todos los datos según se informa en la cabecera, el PCA marca la página en que se muestra el trozo como una página ReqCancelled. Identificación de las coincidencias ReqCancelled en Tealeaf Una descripción general para identificar coincidencias ReqCancelled en Tealeaf. Datos registrados Cuando una coincidencia se identifica como incluyendo una solicitud cancelada, el IBM Tealeaf CX Passive Capture Application inserta la siguiente información en la sección [env]: v ReqCancelled por Visitante (navegador cliente): [env] ? ReqCancelled=Client ? v ReqCancelled por Servidor: [env] ? ReqCancelled=Server ? Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 293 Código de estado HTTP El código de estado HTTP se genera como parte de la respuesta HTTP. El código de estado de una coincidencia ReqCancelled depende de cuándo se canceló la coincidencia: Cuando se produjo ReqCancelled: Valores del código de estado Antes de que el servidor enviara una respuesta Código de estado = 0 Después que el servidor haya enviado una respuesta Un valor diferente a 200 (OK) Otras características Dependiendo de cuándo y cómo se ha cancelado la solicitud, algunas partes de los datos de coincidencia pueden estar mal formados: v Para las coincidencias enviadas desde IBM Tealeaf CX UI Capture for AJAX, la sección [xml1] puede estar mal formada o incompleta, si el POST fue interrumpido antes de completarse. v Si está incluida para la captura por parte del PCA, una versión incompleta o mal formada de la sección [RawRequest] puede indicar que la solicitud se canceló antes del comienzo del procesamiento de la respuesta en el servidor. v Para las coincidencias canceladas durante la generación de la respuesta, puede haber partes faltantes en la respuesta. Nota: Ya sea que una respuesta haya sido ReqCancelled o completada, el campo de la cabecera de solicitud HTTP siempre se incluye. El PCA no captura una coincidencia si falta esta cabecera de la solicitud. Creación de un evento Tealeaf proporciona un evento de bloque de creación que detecta la presencia de una coincidencia ReqCancelled: Req Cancelled [BB-NoDim]. En su calidad de evento de bloque de creación, no es pasible de ser encontrado. A continuación se dan algunos pasos generales para crear el objeto de evento para realizar el seguimiento de coincidencias canceladas de solicitud: 1. Inicie sesión en el portal como administrador. 2. Desde el menú del portal, seleccione Configurar > Gestor de eventos. 3. Aparece el Gestor de eventos de Tealeaf. Consulte "Gestor de eventos de Tealeaf" en el Manual del Gestor de eventos de IBM Tealeaf. 4. Haga clic en la pestaña Eventos. 5. Haga clic en Nuevo evento.... Aparece el asistente Añadir evento. 6. Configure las propiedades siguientes: Propiedad Descripción Name Sugiera Req Cancelled Type. Description Sugiera Type of canceled request: client or server. Evaluate Establezca en Every Hit 294 IBM Tealeaf CX Passive Capture Application: Manual de PCA Track Establezca en First Per Session, aunque esto es para una coincidencia. Value Type Establezca en Text. 7. Deje los demás valores como los predeterminados. Haga clic en el paso Condición. a. En el panel de la izquierda, haga clic en la categoría Eventos. b. Haga clic en Tealeaf Standard Events. c. Seleccione ReqCancelled [BB-NoDim]. El evento se añade como una condición a la definición de eventos Req Canceled Type. 1) En la primera lista desplegable de la condición de evento añadida, seleccione Value. 2) En la lista desplegable operador de condición, seleccione Equals. 3) En el tercer recuadro de texto, escriba servidor. 4) Deje en blanco la casilla de verificación sensible a las mayúsculas y minúsculas. d. En el panel izquierdo, seleccione nuevamente ReqCancelled [BB-NoDim]. 1) Llénelo como se indica anteriormente, exceptuando el tercer recuadro de texto, donde debe introducir cliente. e. En la lista desplegable de la parte superior del panel de configuración principal, seleccione: Any of the following conditions must be met f. El paso Condición se configura para probar la presencia de alguna de las condiciones de eventos. Debe verse como la pantalla siguiente: Figura 44. Tipo de evento Req Canceled - Paso Condición 8. Haga clic en la pestaña Valor. a. Haga clic en Seleccionar elemento para registrar.... b. En el diálogo Seleccionar elemento, haga clic en la categoría Eventos. c. Haga clic en Eventos estándar de Tealeaf. d. Seleccione Req Cancelled [BB-NoDim]. e. Deje el valor de la lista desplegable como Value. f. El valor para registrar se configura para ser el valor de Req Cancelled [BB-NoDim], que se establece en server o client si se cumple alguna de las Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 295 condiciones de eventos. Debe verse como la pantalla siguiente: Figura 45. Tipo de evento Req Canceled - Paso Valor 9. Debe configurar los otros pasos de la definición de eventos según sea necesario para el entorno. 10. Haga clic en Guardar borrador. 11. En la pestaña Eventos, haga clic en Guardar cambios para confirmar el nuevo evento en el servidor. Búsqueda de sesiones con tipo ReqCancelled El evento mencionado anteriormente ahora está definido para registrar el valor client o server si el visitante o el servidor web cancelan una solicitud. A través del portal puede buscar apariciones de este evento. Nota: Después que el evento se guarda en el servidor, está activo y es procesado en cada coincidencia. Puede pasar algún tiempo antes de que las sesiones con solicitudes canceladas sean capturadas y procesadas por Tealeaf. Para buscar el evento ReqCancelled Type, complete los pasos siguientes: 1. En el portal, seleccione Buscar > Sesiones completadas. 2. Para buscar la aparición de una coincidencia ReqCancelled en una sesión: a. Borre cualquiera de los términos de búsqueda predeterminados. b. Pulse el término de búsqueda Eventos. c. Pulse <seleccionar un evento. d. En el Selector de eventos, deje en blanco la casilla de verificación Ver por códigos. e. En el recuadro de búsqueda, introduzca Req Cancelled. f. Seleccione Req Canceled Type. g. Pulse Seleccionar. h. Se muestra su búsqueda de la existencia del evento en una en una sesión. Debe verse como la pantalla siguiente: 296 IBM Tealeaf CX Passive Capture Application: Manual de PCA Figura 46. Tipo Req Canceled - Búsqueda de la existencia del evento 3. Para buscar un tipo específico de coincidencia ReqCancelled en una sesión: a. Borre cualquiera de los términos de búsqueda predeterminados. b. Pulse el término de búsqueda Valores de eventos. c. Pulse <seleccionar un evento>. d. En el Selector de eventos, deje en blanco la casilla de verificación Ver por códigos. e. En el recuadro Búsqueda, introduzca Req Canceled. f. Seleccione Req Canceled Type. g. Pulse Seleccionar. h. En el término de búsqueda, verifique que el operador de búsqueda esté establecido en Includes. i. En el recuadro de texto introduzca uno de los siguientes valores: v server - buscar coincidencias ReqCancelled iniciadas por el servidor v client - buscar coincidencias ReqCancelled iniciadas por el cliente j. Se muestra su búsqueda de un tipo específico de coincidencia ReqCancelled en una sesión. Debe verse como la pantalla siguiente: Figura 47. Tipo Req Cancelled - Buscar coincidencias ReqCancelled del servidor 4. Para ejecutar las búsquedas, pulse Buscar. 5. De la lista de sesiones que se muestra, puede seleccionar una para revisarla y obtener más información. Si se devuelven sesiones, puede localizar la coincidencia donde se produjo la ReqCancelled utilizando los siguientes métodos generales: Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 297 v Probador de eventos: de la lista de sesiones, puede enviar la sesión al Probador de eventos. En el Probador de eventos, seleccione el evento Req Canceled Type a mostrar. En los resultados de la prueba, puede localizar la coincidencia donde se produjo el evento. v Consulte la sección "Envío al probador de eventos" en la publicación IBM Tealeaf cxImpact Manual del usuario. v QuickView: en la lista de sesiones, puede abrir QuickView, que muestra información de eventos por coincidencia. En la lista desplegable Ordenar por, seleccione Event Name. Localice la coincidencia en que se produjo el evento Req Canceled Type. v Consulte la sección "Vista rápida" en la publicación IBM Tealeaf cxImpact Manual del usuario. ¿Cómo gestiona el PCA la captura de direcciones IPv6? A partir del release 3500, el IBM Tealeaf CX Passive Capture Application puede configurarse para capturar direcciones IPv6. Nota: Actualmente no se da soporte a la agrupación en hosts de servidores Tealeaf utilizando direcciones IPv6. Nota: El soporte para el proceso de direcciones IPv6 con fines de búsqueda, reproducción e información está disponible en el release 8.4 y posterior. Nota: La habilitación de la captura del PCA está disponible solo a petición. Consulte “Habilitación de Captura IPv6” en la página 300. Visión general de IPv6 La versión 6 de Protocolo Internet (IPv6) es la siguiente generación de métodos para especificar direcciones de Protocolo Internet. IPv4, la versión anterior, habilitaba direcciones de 32 bits, lo que permitía la especificación de 2 direcciones 32 . Todos los bloques de dirección IPv4 están asignados. IPv6 habilita la especificación de direcciones IP de 128 bits, lo cual admite la especificación de 2 direcciones 128. Esta especificación ampliada permite el uso de direcciones IP específicas de los dispositivos, para el siempre creciente conjunto de dispositivos conectados. Otras características: v Mayor flexibilidad en la asignación de direcciones v Eficacia en el direccionamiento de tráfico v Elimina la necesidad primaria de conversión de direcciones de red (NAT) Mientras que los sistemas operativos principales admiten IPv6, IPv6 no implementa características de interoperabilidad nativa con IPv4. Normalmente, la interoperabilidad de las dos redes que direcciona esquemas requiere una pila de redes duales (una pila para cada una). Nota: El IBM Tealeaf CX Passive Capture Application puede configurarse para capturar solo IPv6, solo IPv4, y mixtas IPv6 e IPv4 e IPv6 con IPv4 incluido. Nota: IPv6 con IPv4 incluido no puede insertarse en la consola web del PCA, pero puede insertar estos valores en el archivo ctc-conf.xml. El PCA es capaz de utilizar estas direcciones. Consulte “Métodos para capturar y convertir direcciones IP” en la página 300. 298 IBM Tealeaf CX Passive Capture Application: Manual de PCA Consulte Capítulo 1, “Descripción general de la captura pasiva”, en la página 1. Formato IPv4 La especificación de Protocolo Internet originalmente daba formato a direcciones IP de la siguiente manera. Este formato era de uso universal hasta 2009. AAA.BBB.CCC.DDD:EEEE En lo anterior, cada conjunto de valores de tres dígitos se denomina octeto. v El valor EEEE representa un número de puerto y está precedido por dos puntos (:). Formato IPv6 Una dirección IPv6 se representa como una secuencia de ocho grupos de cuatro dígitos hexadecimales. Los grupos están separados por dos puntos (:). El formato IPv6 está diseñado para suceder al formato IP4, ya que proporciona un rango mucho más grande de direcciones potenciales. IPv6 se muestra más frecuentemente en internet. Se especifica en el formato siguiente: 2001:0db8:85a3:0000:0000:8a2e:0370:7334(8080) Los dígitos hexadecimales no son sensibles a mayúsculas y minúsculas pero deben representarse en minúsculas para mantener la consistencia. Números de puerto Puesto que la especificación utiliza los dos puntos (:) como separador, no pueden utilizarse los dos puntos como marcador del número de puerto, como en IPv4: https://langley:19000 En su lugar, se utiliza la notación de paréntesis, como en el ejemplo siguiente: 2001:0db8:85a3:0000:0000:8a2e:0370:7334(8080) Nota: El número de puerto se incluye entre paréntesis ((8080). Para las direcciones IPv6, no se admiten las búsquedas utilizando números de puerto. Simplificaciones La representación completa de ocho grupos de 4 dígitos puede simplificarse mediante varias técnicas, eliminando partes de la representación. Ceros a la izquierda Los ceros a la izquierda en un grupo pueden omitirse, pero cada grupo debe contener al menos un dígito hexadecimal. El ejemplo de dirección anterior puede simplificarse como: 2001:db8:85a3:0:0:8a2e:370:7334 Nótese la eliminación de dos conjuntos de ceros a la izquierda y dos conjuntos de octetos compuestos de ceros. Grupos de ceros Uno o más grupos consecutivos de valores de cero pueden sustituirse por un único grupo vacío utilizando dos veces consecutivas dos puntos (::). v La sustitución solo se puede aplicar una vez en una dirección, ya que las apariciones múltiples crean una representación ambigua. Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 299 v Si se puede aplicar más de una de dichas sustituciones, se debe utilizar la sustitución que reemplaza la mayoría de los grupos. Si el número de grupos es igual, entonces se debe utilizar la sustitución más a la izquierda. Con estas reglas, la dirección de ejemplo se simplifica aún más: 2001:db8:85a3::8a2e:370:7334 Direcciones especiales Tabla 41. Direcciones especiales Nombre de dirección Dirección sin formato Dirección abreviada La dirección 0:0:0:0:0:0:0:1 localhost (bucle de retorno) ::1 La dirección 0:0:0:0:0:0:0:0 IPv6 no especificada :: Origen: http://www.wikipedia.org Habilitación de Captura IPv6 Para obtener más información sobre la habilitación de la captura de direcciones IPv6 en la compilación de PCA 35xx o posterior, póngase en contacto con http://support.tealeaf.com de Tealeaf. Captura Esta sección describe métodos de captura y conversión de direcciones IP y soporte de PCA para IPv6. Métodos para capturar y convertir direcciones IP Para hacer que las direcciones IPv6 estén disponibles para búsqueda, se deben capturar las direcciones de IPv4 o IPv6. Estas direcciones se normalizan a un formato que sea conocido para la indexación y los procesos de búsqueda de Tealeaf. Tealeaf admite dos métodos de captura y conversión de direcciones: v PCA: cuando se despliega la compilación del PCA 3501 o posterior, se puede habilitar la captura de direcciones IPv6. Las direcciones IPv4 pueden convertirse a un formato IPv6 para indexación y búsqueda. Consulte “Soporte del PCA para IPv6” en la página 301. v Agente de sesión de inflado: si ahora el PCA no puede actualizarse a una compilación que admita IPv6, debe desplegar el agente de sesión de inflado para insertar los valores adecuados en la solicitud para la indexación y búsqueda de direcciones IPv6. Consulte "Agente de sesión inflado" en el Manual de configuración de IBM Tealeaf CX. Nota: Este método está disponible en el release 8.4 o posterior. 300 IBM Tealeaf CX Passive Capture Application: Manual de PCA Nota: Si no puede actualizar a la compilación 3501 o posterior del PCA ahora, debe desplegar el agente de sesión de inflado en cada interconexión de procesamiento de Windows para admitir la indexación y búsqueda de direcciones IPv6. Soporte del PCA para IPv6 En el compilado 3501 o posterior del PCA, el IBM Tealeaf CX Passive Capture Application puede configurarse para capturar direcciones IPv6. El PCA puede aplicar compresión a dichas direcciones y habilitar la configuración utilizando direcciones IPv6. Nota: IPv6 no puede habilitarse a través de la consola web del PCA. Si desea más información, póngase en contacto con Tealeaf http://support.tealeaf.com. Consulte Cómo maneja el PCA la captura de direcciones IPv6. Inserciones de datos en la solicitud Las inserciones de datos en la solicitud involucran el formato IPv6 y el modo convertir. Formato IPv6 Cuando está habilitada la captura IPv6 y las direcciones IPv6 se detectan en la corriente de captura, las siguientes variables se insertan en la sección [env] de la solicitud: [env] ... IPV6_XLAT=False IPV6=True ... REMOTE_ADDR=fe80::20b:dbff:fe93:a462 LOCAL_ADDR=fe80::213:72ff:fe67:ed26 SERVER_NAME=fe80::213:72ff:fe67:ed26 IPV6_REMOTE_ADDR=FE80:0000:0000:0000:020B:DBFF:FE93:A462 IPV6_LOCAL_ADDR=FE80:0000:0000:0000:0213:72FF:FE67:ED26 IPV6_SERVER_NAME= fe80::213:72ff:fe67:ed26 ... Campo Descripción IPV6_XLAT Cuando se establece IPv6 en True, esta opción, si es True, indica si las direcciones IP insertadas en la solicitud contienen direcciones IPv4 y deben ser convertidas. IPV6 Indica si el tráfico capturado es IPv6, si es True. REMOTE_ADDR La dirección IP sin procesar, como se capturó, para la dirección remota puede estar en formato IPv6 o IPv4. v El PCA puede insertar este valor. Nota: Este valor puede comprimirse para el formato IPv6. LOCAL_ADDR La dirección IP sin procesar, como se capturó, para la dirección local puede estar en formato IPv6 o IPv4. v El PCA puede insertar este valor. Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ) 301 Nota: Este valor puede comprimirse para el formato IPv6. SERVER_NAME El nombre de campo existente ahora puede aceptar datos IPv6. Nota: El SERVER_NAME no está indexado. IPV6_REMOTE_ADDR El valor REMOTE_ADDR que se representa en formato no comprimido IPv6 v El PCA puede insertar este valor. IPV6_LOCAL_ADDR El valor LOCAL_ADDR que se representa en formato no comprimido IPv6 v El PCA puede insertar este valor. IPV6_SERVER_NAME Se utiliza un nuevo nombre de campo para almacenar el valor SERVER_NAME en formato no comprimido IPv6. Modo de conversión de IPv6 En el modo de conversión de IPv6, el PCA convierte las direcciones IPv4 nativas a un formato que se puede leer utilizando los componentes de los servidores de Windows Tealeaf. El PCA inserta los siguientes campos en la solicitud. Además de los campos, se insertan los valores originales para los siguientes: v IPV6_REMOTE_ADDR_ORIG v IPV6_LOCAL_ADDR_ORIG v IPV6_SERVER_NAME_ORIG Ejemplo: IPV6_XLAT=True IPV6=True REMOTE_ADDR=254.147.164.98 LOCAL_ADDR=254.103.237.38 SERVER_NAME=254.103.237.38 ? IPV6_REMOTE_ADDR=0000:0000:0000:0000:0000:FFFF:FE93:A462 IPV6_LOCAL_ADDR=0000:0000:0000:0000:0000:FFFF:FE67:ED26 IPV6_SERVER_NAME=0000:0000:0000:0000:0000:FFFF:FE67:ED26 ? IPV6_REMOTE_ADDR_ORIG=FE80:0000:0000:0000:020B:DBFF:FE93:A462 IPV6_LOCAL_ADDR_ORIG=FE80:0000:0000:0000:0213:72FF:FE67:ED26 IPV6_SERVER_NAME_ORIG=FE80:0000:0000:0000:0213:72FF:FE67:ED26 Campo Descripción IPV6_REMOTE_ADDR_ORIG Contiene la dirección IPv6 original para el REMOTE_ADDR antes de convertirse. IPV6_LOCAL_ADDR_ORIG Contiene la dirección IPv6 original para el LOCAL_ADDR antes de convertirse. IPV6_SERVER_NAME_ORIG Contiene la dirección IPv6 original para el SERVER_NAME antes de convertirse. Consulte “Formato IPv6” en la página 301. 302 IBM Tealeaf CX Passive Capture Application: Manual de PCA Apéndice B. Documentación y ayuda de IBM Tealeaf IBM Tealeaf proporciona información y ayuda a los usuarios, desarrolladores y administradores. Visualización de la documentación del producto Toda la documentación del producto IBM Tealeaf está disponible en el siguiente sitio web: https://tealeaf.support.ibmcloud.com/ Utilice la información de la tabla siguiente para ver la documentación del producto de IBM Tealeaf: Tabla 42. Cómo obtener ayuda Para visualizar... Haga esto... Documentación del producto En el portal de IBM Tealeaf, vaya a ? > Documentación del producto. IBM Tealeaf Knowledge Center En el portal de IBM Tealeaf, vaya a ? > Documentación del producto y seleccione IBM Tealeaf Customer Experience en el Knowledge Center de ExperienceOne. Ayuda para una página en el portal de IBM Tealeaf En el portal IBM Tealeaf, vaya a ? > Ayuda para esta página. Ayuda para IBM Tealeaf CX PCA En la interfaz web de IBM Tealeaf CX PCA, seleccione Guía para acceder al Manual de IBM Tealeaf CX PCA. Documentos disponibles para productos de IBM Tealeaf La tabla siguiente es una lista de los documentos disponibles para todos los productos de IBM Tealeaf disponibles: Tabla 43. Documentación disponible para productos de IBM Tealeaf. Productos de IBM Tealeaf Documentos disponibles IBM Tealeaf CX v Guía de visión general de IBM Tealeaf Customer Experience v Guía de integración de datos de infraestructura de cliente de IBM Tealeaf CX v Manual de configuración de IBM Tealeaf CX v Manual de IBM Tealeaf CX Cookie Injector v Guía de bases de datos de IBM Tealeaf CX v Manual de gestor de suscesos de IBM Tealeaf CX v Glosario de IBM Tealeaf CX v Manual de instalación de IBM Tealeaf CX v Manual de IBM Tealeaf CX PCA v Notas del release de IBM Tealeaf CX PCA © Copyright IBM Corp. 1999, 2015 303 Tabla 43. Documentación disponible para productos de IBM Tealeaf (continuación). Productos de IBM Tealeaf Documentos disponibles IBM Tealeaf CX v Manual de IBM Tealeaf CX RealiTea Viewer Client Side Capture v Manual de usuario de IBM Tealeaf CX RealiTea Viewer v Notas del release de IBM Tealeaf CX v Manual de actualización del release de IBM Tealeaf CX v Preguntas más frecuentes de resolución de problemas de soporte de IBM Tealeaf CX v Guía de resolución de problemas de IBM Tealeaf CX v IBM Tealeaf CX UI Capture j2 Guide v Notas del release de IBM Tealeaf CX UI Capture j2 IBM Tealeaf cxImpact v Manual de administración de IBM Tealeaf cxImpact v Manual del usuario de IBM Tealeaf cxImpact v Guía de creación de informes de IBM Tealeaf cxImpact IBM Tealeaf cxConnect v Manual de administración de IBM Tealeaf cxConnect para análisis de datos v Manual de administración de IBM Tealeaf cxConnect for Voice of Customer v Manual de administración de IBM Tealeaf cxConnect for Web Analytics IBM Tealeaf cxOverstat Manual del usuario de IBM Tealeaf cxOverstat IBM Tealeaf cxReveal v Manual de administración de IBM Tealeaf cxReveal v Guía de la API de IBM Tealeaf cxReveal v Manual del usuario de IBM Tealeaf cxReveal IBM Tealeaf cxVerify v Guía de instalación de IBM Tealeaf cxVerify v Guía del usuario de IBM Tealeaf cxVerify IBM Tealeaf cxView Guía del usuario de IBM Tealeaf cxView IBM Tealeaf CX Mobile v IBM Tealeaf CX Mobile Android Logging Framework Guide v Notas del release de la infraestructura de registro Android de IBM Tealeaf v Manual de administración de IBM Tealeaf CX Mobile v Manual del usuario de IBM Tealeaf CX Mobile v IBM Tealeaf CX Mobile iOS Logging Framework Guide v Notas del release de IBM Tealeaf iOS Logging Framework 304 IBM Tealeaf CX Passive Capture Application: Manual de PCA Avisos Esta información se ha desarrollado para productos y servicios ofrecidos en EE.UU. Es posible que IBM no ofrezca los productos, servicios o funciones que se tratan en este documento en otros países. Consulte al representante de IBM de su zona para obtener información acerca de los productos y servicios que están actualmente disponibles en su zona. Cualquier referencia a un producto, programa o servicio de IBM no pretende indicar ni implicar que sólo pueda utilizarse dicho producto, programa o servicio de IBM. En su lugar, puede utilizarse cualquier producto, programa o servicio con funciones equivalentes que no infrinja ningún derecho de propiedad intelectual de IBM. No obstante, es responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier programa, producto o servicio que no sea de IBM. IBM puede tener patentes o solicitudes de patentes pendientes que aborden temas descritos en este documento. La posesión de este documento no le otorga ninguna licencia sobre tales patentes. Puede enviar consultas sobre licencias por escrito a: IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 EE. UU. Para consultas sobre licencias relacionadas con información de doble byte (DBCS), póngase en contacto con el departamento de propiedad intelectual de IBM de su país o envíe sus consultas, por escrito, a: Intellectual Property Licensing Legal and Intellectual Property Law IBM Japan, Ltd. 19-21, Nihonbashi-Hakozakicho, Chuo-ku Tokyo 103-8510, Japón El párrafo siguiente no se aplica al Reino Unido ni a ningún otro país donde estas disposiciones sean incompatibles con la legislación local: INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN TAL CUAL, SIN NINGÚN TIPO DE GARANTÍA, EXPLÍCITAS NI IMPLÍCITAS, INCLUYENDO PERO NO LIMITÁNDOSE A ELLAS, LAS GARANTÍAS IMPLÍCITAS DE NO VULNERACIÓN, COMERCIALIZACIÓN O IDONEIDAD PARA UN PROPÓSITO DETERMINADO. Algunas legislaciones no contemplan la declaración de limitación de responsabilidad, ni implícita ni explícita, en determinadas transacciones, por lo que cabe la posibilidad de que esta declaración no sea aplicable en su caso. Esta información podría incluir imprecisiones técnicas o errores tipográficos. La información que ofrece está sometida a informaciones periódicas, las cuales se van incorporando en ediciones posteriores. IBM puede efectuar, en cualquier momento y sin previo aviso, mejoras y cambios en los productos y programas descritos en esta publicación. Cualquier referencia incluida en esta información a sitios web que no son de IBM sólo se proporcionan para su comodidad y en ningún modo constituye una aprobación de dichos sitios web. La información de esos sitios web no forma parte de la información del presente producto de IBM y la utilización de esos sitios web se realiza bajo la propia responsabilidad del usuario. © Copyright IBM Corp. 1999, 2015 305 IBM puede utilizar o distribuir cualquier información que se le proporcione en la forma que considere adecuada, sin incurrir por ello en ninguna obligación para con el remitente. Los licenciatarios de este programa que deseen obtener información sobre él con el fin de permitir: (i) el intercambio de información entre programas creados independientemente y otros programas (incluido este) y (ii) el uso mutuo de información que se ha intercambiado, deben ponerse en contacto con: IBM Bay Area Lab 1001 E Hillsdale Boulevard Foster City, California 94404, EE. UU. Dicha información puede estar disponible, sujeta a los términos y condiciones correspondientes, incluyendo, en algunos casos, el pago de una tarifa. IBM proporciona el programa bajo licencia que se describe en este documento y todo el material bajo licencia disponible para éste en función de los términos del IBM Customer Agreement, IBM International Program License Agreement o cualquier otro acuerdo equivalente entre ambas partes. Todos los datos de rendimiento contenidos aquí se han determinado en un entorno controlado. Por lo tanto, los resultados obtenidos en otros entornos operativos podrían variar de forma significativa. Algunas mediciones pueden haberse realizado en sistemas a nivel de desarrollo y no existe garantía alguna de que estas mediciones sean iguales en los sistemas de disponibilidad general. Además, algunas mediciones pueden haberse calculado mediante extrapolaciones. Puede que los resultados reales varíen. Los usuarios de este documento deben verificar los datos aplicables a su entorno específico. La información relativa a los productos que no son de IBM se ha obtenido de los proveedores de dichos productos, sus anuncios publicados u otras fuentes disponibles para el público. IBM no ha probado dichos productos y no puede confirmar la predicisón de rendimiento, la compatibilidad ni cualquier otra afirmación relacionada con los productos que no sean de IBM. Las consultas sobre las prestaciones de los productos que no sean de IBM deberán dirigirse a los proveedores de dichos productos. Todas las sentencias respecto a los planes futuros de IBM están sujetas a cambios o retiradas sin previo aviso y sólo representan las metas y los objeticos. Esta información contiene ejemplos de datos y de informes que se utilizan en operaciones empresariales cotidianas. Para ilustrarlos de la forma más completa posible, los ejemplos incluyen nombres de personas, empresas, marcas y productos. Todos estos nombres son ficticios y cualquier similitud con nombres y direcciones de empresas reales es pura coincidencia. LICENCIA DE COPYRIGHT: Esta información contiene programas de aplicación de muestra en lenguaje fuente que ilustran técnicas de programación en diversas plataformas operativas. Puede copiar, modificar y distribuir estos programas de muestra de cualquier modo sin pagar a IBM con el fin de desarrollar, utilizar, comercializar o distribuir programas de aplicación que se ajusten a la interfaz de programación de aplicaciones para la plataforma operativa para la que se ha escrito el código de muestra. Estos ejemplos no se han probado de forma exhaustiva en todas las condiciones. IBM, por lo tanto, no puede garantizar ni dar por supuesta la fiabilidad, la capacidad de 306 IBM Tealeaf CX Passive Capture Application: Manual de PCA servicio ni la funcionalidad de estos programas. Los programas de ejemplo se proporcionan "TAL CUAL", sin ningún tipo de garantía. IBM no será responsable de ningún daño resultante de la utilización de los programas de muestra por parte del usuario. Marcas registradas IBM, el logotipo de IBM e ibm.com son marcas registradas de International Business Machines Corp., en muchos países del mundo. Otros nombres de servicios y productos podrían ser marcas registradas de IBM u otras compañías. Hay disponible una lista actual de marcas registradas de IBM en la Web en “Información de marca registrada y copyright en ”www.ibm.com/legal/ copytrade.shtml. Consideraciones de política de privacidad Los productos de software de IBM, que incluyen software como soluciones de servicio (“Ofertas de software”), pueden utilizar cookies u otras tecnologías para recopilar información de uso de los productos, para ayudar a mejorar la experiencia final del usuario, para personalizar las interacciones con el usuario final o para otros fines. Una cookie es un elemento de datos que un sitio web puede enviar al navegador, que a continuación se puede almacenar en el sistema como una etiqueta que identifica el sistema. En muchos casos, estas cookies no recopilan información personal. Si una Oferta de software que utiliza le permite recopilar información personal mediante cookies y tecnologías similares, le informamos sobre los detalles a continuación. En función de las configuraciones desplegadas, esta Oferta de software puede utilizar cookies de sesión y persistentes para recopilar el nombre de usuario de cada usuario, y otra información personal para fines de gestión de sesiones, mayor facilidad de uso u otros fines funcionales o de seguimiento de uso. Estas cookies pueden inhabilitarse, pero si se inhabilitan también se eliminará la funcionalidad que habilitan. Distintas jurisdicciones regulan la recopilación de información personal mediante cookies y tecnologías similares. Si las configuraciones desplegadas para esta Oferta de software le proporcionan como cliente la capacidad de recopilar información personal de los usuarios finales mediante cookies y otras tecnologías, debe buscar asesoramiento legal sobre la legislación aplicable para la recopilación de dicha información, incluidos los requisitos para proporcionar el aviso y consentimiento donde corresponda. IBM requiere que los Clientes (1) proporcionen un enlace visible de forma clara y evidente a los términos de uso del sitio web del Cliente (por ejemplo, política de privacidad) que incluya un enlace a las prácticas de uso y recopilación de datos de IBM y del cliente, (2) notifique que IBM coloca cookies y balizas web/clear gif en el sistema del visitante en nombre del Cliente junto con una explicación de la finalidad de dicha tecnología y, (3) hasta donde lo requiera la ley, obtenga el consentimiento de los visitantes del sitio web andes de que el Cliente o IBM en nombre del Cliente coloque cookies y balizas web/clear gif en los dispositivos del visitante Para obtener más información sobre el uso de diversas tecnologías, incluidas las cookies, para estos fines, consulte la Declaración de privacidad en línea de IBM en: http://www.ibm.com/privacy/details/us/en, la sección “Cookies, Web Beacons and Other Technologies". Avisos 307 308 IBM Tealeaf CX Passive Capture Application: Manual de PCA IBM® Impreso en España
© Copyright 2024