Manual de PCA

IBM Tealeaf CX Passive Capture Application
3680 and 3730
18 de septiembre de 2015
Manual de PCA
IBM
Nota
Antes de utilizar esta información y el producto al que hace referencia, lea la información de “Avisos” en la página 305.
Esta edición se aplica al Build 3680 y 3730 de IBM Tealeaf CX Passive Capture Application y a todos los releases y
modificaciones posteriores hasta que se indique lo contrario en nuevas ediciones.
© Copyright IBM Corporation 1999, 2015.
Contenido
Manual de la aplicación de captura
pasiva . . . . . . . . . . . . . ..
Capítulo 1. Descripción general de la
captura pasiva . . . . . . . . . . ..
EICS (Enhanced International Character Support)
para CX Passive Capture Application versión 3730..
Seguridad y administración . . . . . . . ..
Soporte SSL. . . . . . . . . . . . . ..
Integración con HSM . . . . . . . . ..
Visión general de la arquitectura de despliegue . ..
Despliegue en las instalaciones . . . . . ..
Despliegue en la nube . . . . . . . . ..
Rendimiento de PCA . . . . . . . . ..
Visión general del Packet Forwarder . . . . ..
Arquitectura de software . . . . . . . . ..
Proceso de captura . . . . . . . . . ..
Captured . . . . . . . . . . . . ..
Listend . . . . . . . . . . . . . ..
Reassd . . . . . . . . . . . . . ..
Pipelined . . . . . . . . . . . . ..
Routerd . . . . . . . . . . . . ..
Tcld . . . . . . . . . . . . . . ..
Deliverd . . . . . . . . . . . . ..
Failoverd . . . . . . . . . . . . ..
Memcached . . . . . . . . . . . ..
Varias instancias . . . . . . . . . . . ..
Procesos de interconexión de varias instancias ..
Descripción general del equilibrio de carga
transparente de CX PCA . . . . . . . . ..
Varios pares Listend–Routerd . . . . . ..
Programa de mantenimiento. . . . . . . ..
Software de terceros . . . . . . . . . ..
Mandatos con formato para facilitar su lectura ..
Requisitos de tráfico de captura de red de Tealeaf
PCA . . . . . . . . . . . . . . . ..
Requisitos básicos de tráfico . . . . . . . ..
Cifrado Diffie-Hellman . . . . . . . ..
Extensión de SessionTicket de TLS. . . . ..
Conexiones TCP . . . . . . . . . . . ..
Datos duplicados . . . . . . . . . ..
Orígenes de los problemas de calidad de tráfico de
red . . . . . . . . . . . . . . . ..
Medición de paquetes descartados. . . . . ..
Capítulo 2. Instalación de CX Passive
Capture Application . . . . . . . ..
Requisitos de instalación de CX PCA . .
Recomendaciones de punto de montaje
duro . . . . . . . . . . . .
Tarjetas aceleradoras admitidas . . .
Soporte de VMware . . . . . .
Requisitos del sistema operativo . .
Varias instancias de PCA . . . . .
© Copyright IBM Corp. 1999, 2015
.
en
.
.
.
.
.
. ..
disco
. ..
. ..
. ..
. ..
. ..
vii
1
1
1
1
2
2
3
4
6
6
7
9
9
9
10
10
10
10
10
11
11
11
11
12
12
13
13
13
14
14
15
15
15
16
17
18
19
19
21
21
22
22
27
Cambios en el servidor PCA (área de control de
páginas) . . . . . . . . . . . . ..
Requisitos de PCA y reenviador de paquetes
para los despliegues basados en la nube . . ..
Instalación de paquete . . . . . . . . . ..
Pasos previos a la instalación . . . . . ..
Copia del paquete de instalación desde el disco
CD-ROM . . . . . . . . . . . . ..
Instalación del software de PCA . . . . ..
Instalación del reenviador de paquetes . . ..
Instalación de PCA en la nube de Softlayer . ..
Instalación de PCA en la nube de Microsoft
Azure . . . . . . . . . . . . . ..
Instalación de PCA en una máquina virtual
VMware . . . . . . . . . . . . ..
Lista de comprobación de postinstalación . . ..
Validar instalación del PCA . . . . . . ..
Generar claves SSL . . . . . . . . . ..
Iniciar PCA . . . . . . . . . . . ..
Configuración inicial de PCA . . . . . ..
Comprobar los valores de conexiones permitidos
Configuración del PCA para la captura de Rich
Internet Applications . . . . . . . . ..
Servicio de software de captura pasiva de Tealeaf
Parches de la CX PCA . . . . . . . . ..
Sugerencias de resolución de problemas . . . ..
Desinstalación o retrotracción de la CX Passive
Capture Application . . . . . . . . . ..
Desinstalar el Packet Forwarder . . . . . ..
Capítulo 3. Actualización del software
de CX PCA . . . . . . . . . . . ..
Antes de la actualización . . . . . . .
Validación de las claves SSL actuales . .
Actualización básica . . . . . . . .
Si la instalación cumple los requisitos ya
mencionados, para actualizar . . . .
Actualización de PCA con la autenticación de
usuario . . . . . . . . . . . . .
Configuración de nuevos tipos de datos . .
28
29
30
30
31
32
33
35
40
44
44
44
45
45
45
46
46
48
48
48
50
51
53
.
.
.
..
..
..
53
53
54
.
..
54
.
.
..
..
55
55
Capítulo 4. Configuración de CX PCA
Configuración a través de la consola web . .
Archivos de configuración de CX PCA . . .
Configuración a través de ctc-conf.xml . . .
Configuración mediante runtime.conf . . .
Archivos . . . . . . . . . . . .
Descifrado SSL . . . . . . . . . . .
A. IU web: . . . . . . . . . . .
B. Línea de mandatos: . . . . . . . .
C. Reinicio de servicios: . . . . . . .
Consulta de línea de mandatos de PCA Tealeaf
Configuración inicial de PCA . . . . . .
Requisitos previos . . . . . . . . . .
Configuración de ejemplo . . . . . . .
57
..
..
..
..
..
..
..
..
..
..
..
..
..
57
57
58
58
58
58
59
59
59
59
62
62
63
iii
Factores de complicación . . . . . . . ..
Pasos de configuración . . . . . . . . ..
Iniciar Apache . . . . . . . . . . ..
Abrir la consola web de PCA . . . . . . ..
Configuración de la interfaz de CX PCA. . ..
Configuración de la entrega de coincidencias ..
Configuración de interconexión de PCA . . ..
Configuración de privacidad . . . . . ..
Habilitar Captura . . . . . . . . . ..
Probar la configuración . . . . . . . . ..
Navegadores soportados para la consola web de
PCA . . . . . . . . . . . . . . . ..
Inicio de sesión de la Consola Web de PCA. . ..
Cierre de sesión de da Consola Web de la PCA ..
Pestaña de consola web . . . . . . . . ..
Configuración . . . . . . . . . . . ..
Habilitación de la autenticación de consola web
Conmutación de acceso HTTP/HTTPS . . ..
Despliegue de un certificado SSL para la consola
web . . . . . . . . . . . . . . ..
Cambio de puertos de escucha de consola web
Soporte IPv6 en la consola web PCA . . . ..
Página SysInfo . . . . . . . . . . ..
Sistema . . . . . . . . . . . . . ..
dmesg . . . . . . . . . . . . . ..
Consola Web de PCA - Pestaña Resumen . ..
Seguridad de la consola web . . . . . ..
Estadísticas de compuesto de instancias . . . ..
El porcentaje de paquetes extraños . . . ..
Si es true, reassd no puede mantener listend ..
El porcentaje de conexiones de paquete
descartadas . . . . . . . . . . . ..
El porcentaje se convierte en tráfico
unidireccional . . . . . . . . . . ..
La tasa a la que reassd vuelve a montar en la
actualidad los aciertos no SSL . . . . . ..
Si es true, se ha encontrado Diffie Hellman SSL
El porcentaje de conexiones envejecidas . . ..
Claves de SSL que faltan/seg . . . . . ..
KBytes de tráfico filtrados/seg. . . . . . ..
Si es no cero, se están eliminando los hits debido
a una sobrecarga de la interconexión. . . . ..
Si es distinto de cero, los paquetes se eliminar
debido a que sobrepasan la límite de tamaño
máximo. . . . . . . . . . . . . ..
Conexiones TCP . . . . . . . . . . . ..
Estado de la máquina . . . . . . . . . ..
Estadísticas de montaje . . . . . . . ..
Iguales . . . . . . . . . . . . . . ..
Estadísticas actuales por segundo . . . . . ..
Información adicional de depuración de la consola
web de PCA . . . . . . . . . . . . ..
Consola web de PCA - Pestaña Consola . . ..
Consola Web de PCA - Pestaña Interfaz . . ..
Uso de Tealeaf Transport Service como fuente de la
hora . . . . . . . . . . . . . . ..
Entrega de estadísticas a Tealeaf Transport Service
Consola Web de PCA - Pestaña Claves SSL . ..
Claves cargadas . . . . . . . . . ..
Claves que faltan . . . . . . . . . ..
Capturar claves. . . . . . . . . . ..
iv
63
63
63
64
64
66
67
69
69
69
70
70
71
71
72
72
72
73
73
74
74
74
75
76
76
79
79
80
81
81
81
82
82
82
83
83
84
85
86
86
86
87
88
89
90
114
115
115
116
117
119
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Valores de la interconexión . . . . . . . ..
Instancias de interconexión . . . . . . ..
Sesionamiento de datos . . . . . . . ..
Reenvío-X . . . . . . . . . . . ..
Muestreo de sesión . . . . . . . . ..
Modalidad de captura . . . . . . . ..
Métodos de captura de solicitud . . . . ..
Calificación por tiempo . . . . . . . ..
Proceso de hits . . . . . . . . . . ..
Listas de tipo de captura . . . . . . . ..
Cómo el PAC evalúa tipos de captura . . ..
Tipos de contenido capturados predeterminados
Extensiones de Archivos Excluidos . . . ..
Extensiones de archivo incluido . . . . ..
Capturar todos los Mimetypes. . . . . ..
Capturar todos los tipos POST . . . . ..
Tipos de autoprueba de encendido XML . ..
Tipos de POST binarios . . . . . . . ..
Capturar todos los tipos de
Contenido-Codificación . . . . . . . ..
Tipos de contenido e indexación . . . . ..
Descarga de la configuración de privacidad ..
Manipulación de reglas . . . . . . . . ..
Manipulación de prueba. . . . . . . . ..
Manipulación de acciones . . . . . . . ..
Manipulación de claves . . . . . . . . ..
Añadir/Editar reglas . . . . . . . . . ..
Añadir/Editar pruebas . . . . . . . . ..
Añadir/Editar acciones . . . . . . . . ..
Añadir/editar claves . . . . . . . . . ..
Referencia Privacy.cfg . . . . . . . . ..
Reglas . . . . . . . . . . . . . ..
Pruebas . . . . . . . . . . . . ..
Acciones . . . . . . . . . . . . ..
Cambios de registro . . . . . . . . . ..
Cambios en la privacidad . . . . . . ..
Registro de diferencias . . . . . . . ..
Referencia . . . . . . . . . . . . ..
Estadísticas por instancia . . . . . . . ..
Comprobación de la salud del sistema a través de
stats.xml . . . . . . . . . . . . ..
Procesos de software de captura . . . . . ..
Estadísticas de captura pasiva . . . . . . ..
Sección General . . . . . . . . . ..
Sección hora. . . . . . . . . . . ..
Sección de memoria . . . . . . . . ..
Sección TCP . . . . . . . . . . . ..
Sección SSL . . . . . . . . . . . ..
Sección de coincidencias. . . . . . . ..
Sección Capturar . . . . . . . . . ..
Sección destinatarios de destino . . . . ..
Sección de migración tras error . . . . ..
Consola web de PCA - Pestaña de copia de
seguridad-registros . . . . . . . . ..
Consola Web de PCA - Pestaña de Migración
tras error . . . . . . . . . . . . ..
Pulsación . . . . . . . . . . . . . ..
Valores automáticos . . . . . . . . . ..
Supervisores remotos . . . . . . . . . ..
Consola Web de PCA - Pestaña de Programas
de utilidad . . . . . . . . . . . ..
119
120
121
121
123
123
124
124
124
129
131
132
133
133
133
133
133
134
134
135
135
136
136
136
136
137
139
141
145
146
146
147
148
152
152
153
153
153
154
154
154
155
155
156
159
161
165
172
173
174
175
177
178
178
179
179
Interfaces de red . . . . . . . . . . ..
Página de detalles . . . . . . . . . ..
bwMon . . . . . . . . . . . . ..
Programas de utilidad del sistema . . . . ..
Consola Web de PCA - Página de depuración
Acceso a página de depuración . . . . . ..
Página Visión general . . . . . . . . ..
Salida de depuración . . . . . . . . . ..
Cómo proporcionar el ZIP de la PCA a soporte ..
Contenidos de los archivos ZIP . . . . ..
Archivo de configuración de captura pasiva
ctc-conf.xml . . . . . . . . . . . ..
Configuración de varios pares Listend–Routerd
Configuración de agrupaciones SSL . . . . ..
Eliminación de un servidor de PCA de una
agrupación SSL. . . . . . . . . . ..
Capítulo 5. Configuración de Packet
Forwarder . . . . . . . . . . . ..
179
180
181
182
184
184
184
185
186
186
187
204
204
205
207
Configuración del Packet Forwarder para
comunicarse con la CX PCA . . . . . . ..
207
Configuración de un receptor del Packet Forwarder
y la CX PCA para recibir paquetes reenviados ..
209
Capítulo 6. Claves SSL . . . . . ..
Configuración de la clave cifrada SSL . . . ..
Descripción general . . . . . . . . . ..
Conversión automática de claves SSL . . . ..
Conversión automática de PEM a PTL en el
servidor de CX PCA . . . . . . . . ..
Conversión de la clave privada PFX SSL a PTL
Pasos para convertir manualmente las claves SSL
Carga de CX PCA con claves SSL. . . . ..
Archivos PTL cargados de forma automática
Exportación de la clave privada SSL . . . . ..
IIS 5 y 6 de Microsoft. . . . . . . . . ..
IIS 3.0 y 4.0 de Microsoft . . . . . . . ..
SunOne (iPlanet) 6.0 . . . . . . . . . ..
Resolución de problemas de iPlanet 6.0. . . ..
Sun iPlanet 4.x . . . . . . . . . . . ..
Apache 1.3.x, 2.0.x. . . . . . . . . . ..
Servidor HTTP de IBM . . . . . . . . ..
Exportación desde un almacén de claves (JKS) Java
Solución temporal de la herramienta de claves
Java . . . . . . . . . . . . . ..
Generación de un certificado autofirmado . . ..
Utilización del algoritmo SHA-2 para generar el
certificado autofirmado . . . . . . . ..
Generación de una solicitud de certificado firmado
para uso interno de CA . . . . . . . . ..
Scripts de programa de utilidad . . . . . ..
Despliegue de certificados SSL para que las utilice
la consola web PCA . . . . . . . . . ..
Configuración del Servicio de transporte de Tealeaf
para cifrado SSL . . . . . . . . . . ..
Prueba del certificado SSL utilizado por el
servicio de transporte . . . . . . . ..
Habilitación de estados PCA en el estado Tealeaf
Elimine o visualice el certificado . . . . . ..
Validación de claves PEM . . . . . . . ..
211
211
211
212
212
212
213
213
215
216
217
218
218
219
220
222
222
222
223
224
225
226
226
227
228
230
230
230
231
Sistema de gestión de claves SSL de nCipher . ..
Consideraciones sobre nCipher . . . . ..
Compatibilidad entre IBM Tealeaf CX PCA y
nCipher . . . . . . . . . . . . ..
Instalación de nCipher . . . . . . . ..
Integración de claves SSL de Tealeaf con HSM ..
Integración con el HSM de nCipher . . . ..
Supuestos . . . . . . . . . . . ..
Requisitos previos . . . . . . . . . ..
Configuración de PCA . . . . . . . ..
Configuración e integración de HSM . . ..
Instrucciones para la instalación . . . . ..
Instalación del HSM de nCipher para PCA ..
Requisitos . . . . . . . . . . . ..
Instalación de nCipher y pasos de creación ..
Creación de Mundo de seguridad de nCipher
para PCA . . . . . . . . . . . ..
Inhabilitar el inicio de nCipher en el momento
de arranque de Captura pasiva . . . . ..
Capítulo 7. Medida de rendimiento
231
231
232
232
232
232
233
233
233
233
234
234
234
236
240
243
245
Visión general de las indicaciones de fecha y hora
Supuestos . . . . . . . . . . . ..
Indicaciones de fecha y hora de ejemplo en la
solicitud . . . . . . . . . . . . . ..
Valores y definiciones de indicación de fecha y
hora en la solicitud . . . . . . . . ..
Cálculo de horas de la indicación de fecha y
hora . . . . . . . . . . . . . ..
Factores que afectan los valores de indicación de
fecha y hora . . . . . . . . . . . . ..
Indicaciones de fecha hora en las coincidencias
ReqCancelled . . . . . . . . . . ..
Coincidencias sin indicaciones de fecha y hora
Informes de indicaciones de fecha y hora en el
portal y RTV . . . . . . . . . . . ..
Prueba del rendimiento del proceso de Tealeaf ..
Informes . . . . . . . . . . . . . ..
Capítulo 8. Configuración de la
captura pasiva en Red Hat Enterprise
Linux (RHEL) . . . . . . . . . ..
245
245
246
246
249
249
250
250
252
252
253
255
Captura pasiva en RHEL - Configuración de DNS
Inhabilitar DNS . . . . . . . . . . ..
Habilitar DNS . . . . . . . . . . . ..
/etc/resolv.conf . . . . . . . . . ..
Captura pasiva en RHEL - Configuración de
interfaces de red . . . . . . . . . . ..
Ejemplo DHCP . . . . . . . . . . . ..
Ejemplo ETHTOOL_OPTS . . . . . . . ..
Ejemplo de escucha de la interfaz . . . ..
Ejemplo de IP estática . . . . . . . . ..
Lectura adicional . . . . . . . . . . ..
Configuración NTP para la captura pasiva en
RHEL . . . . . . . . . . . . . . ..
Instalación del paquete NTP y selección de los
servidores NTP . . . . . . . . . . ..
Creación de Archivos de configuración . . ..
Habilitar e iniciar el servicio . . . . . ..
Contenido
255
255
255
255
256
256
256
257
257
258
258
260
260
261
v
Capítulo 9. Supervisión de captura
pasiva . . . . . . . . . . . . ..
263
Lista de comprobación para el diagnóstico de
problemas de CX Passive Capture Application ..
Lista de comprobación principal . . . . ..
Lista de comprobación de configuración de PCA
adicional . . . . . . . . . . . . ..
Sugerencias adicionales para el diagnóstico de
problemas . . . . . . . . . . . . ..
Supervisión de la captura pasiva mediante el
estado de Tealeaf . . . . . . . . . . ..
Registro para CX Passive Capture Application ..
Capítulo 10. Visión general del
mantenimiento de la captura pasiva
Comprobación de estado de salud de
Reinicio de la captura . . . . .
Ubicación de los archivos de registro
Registro de estadísticas . . . . .
Sincronización de la hora . . . .
Configuración manual . . . . .
263
263
264
264
265
265
. 267
la captura
. . . ..
. . . ..
. . . ..
. . . ..
. . . ..
Apéndice A. Preguntas frecuentes
sobre la captura pasiva (FAQ) . . ..
267
267
267
268
269
269
273
Sistema operativo . . . . . . . . . . ..
Actualización del sistema operativo . . . ..
Instalar . . . . . . . . . . . . . ..
Configuración del servidor web . . . . . ..
Configuración de PCA . . . . . . . . ..
Consola . . . . . . . . . . . . . ..
Registros . . . . . . . . . . . . . ..
Otros . . . . . . . . . . . . . . ..
Resolución de problemas . . . . . . . ..
¿Captura pasiva admite Linux de 64 bits? . . ..
¿Captura pasiva admite FreeBSD? . . . . ..
¿Cómo puedo automatizar la instalación y
configuración del PCA? . . . . . . . . ..
¿Qué paquetes necesita el RPM de tealeaf-pca? ..
¿Qué cambios realiza el RPM del PCA de Tealeaf al
servidor de PCA? . . . . . . . . . . ..
¿Cómo puedo especificar el directorio para el
enlace simbólico de Tealeaf? . . . . . . ..
¿Cómo puedo inhabilitar la creación del enlace
simbólico de Tealeaf? . . . . . . . . . ..
¿Cómo puedo instalar en un directorio que no sea
el predeterminado? . . . . . . . . . ..
¿Qué directorios y archivos no se encuentran en el
directorio de instalación? . . . . . . . ..
¿Cómo puedo eliminar el cifrado Diffie Hellman de
la lista de cifrado SSL del servidor web? . . ..
Localización de servidores utilizando
Diffie-Hellman . . . . . . . . . . . ..
Inhabilitar . . . . . . . . . . . . ..
Inhabilitar Diffie-Hellman en servidores IIS ..
Inhabilitar Diffie-Hellman en servidores Apache
vi
273
273
273
273
273
274
274
274
274
274
275
275
276
276
278
278
279
279
281
281
282
282
282
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Faltan algunas coincidencias SSL de las sesiones
del navegador Firefox . . . . . . . . ..
Resolución de problemas de la agrupación SSL ..
Síntomas . . . . . . . . . . . . . ..
Para probarlo . . . . . . . . . . . ..
Para solucionarlo . . . . . . . . . . ..
Navegador Firefox. . . . . . . . . ..
Proxy web . . . . . . . . . . . ..
Servidores web de Apache . . . . . . ..
Servidores web no Apache . . . . . . ..
¿Cómo puedo especificar archivos de configuración
alternativos?. . . . . . . . . . . . ..
Pregunta . . . . . . . . . . . . ..
Respuesta . . . . . . . . . . . ..
¿Por qué la consola web de PCA ignora mis
cambios guardados? . . . . . . . . . ..
¿Por qué no puedo detener los procesos de la
consola web? . . . . . . . . . . . ..
¿Dónde está el directorio de registros ctccap?. ..
¿Cómo puedo cambiar manualmente el directorio
del archivo de registro? . . . . . . . . ..
Pregunta . . . . . . . . . . . . ..
Respuesta . . . . . . . . . . . ..
¿Cómo puedo hacer que el PCA borre
automáticamente sus estadísticas? . . . . ..
¿Cuál es el número de puerto predeterminado para
la migración tras error? . . . . . . . . ..
¿Cómo maneja el PCA paquetes TCP duplicados?
¿Cómo identifica el PCA páginas ReqCanceled?
Valores del lado del servidor . . . . . . ..
Valores calculados por el PCA . . . . . . ..
Analizar valores de tamaño del contenido . . ..
Codificación de transferencia segmentada . . ..
Identificación de las coincidencias ReqCancelled en
Tealeaf . . . . . . . . . . . . . ..
Datos registrados . . . . . . . . . ..
Creación de un evento . . . . . . . ..
Búsqueda de sesiones con tipo ReqCancelled
¿Cómo gestiona el PCA la captura de direcciones
IPv6? . . . . . . . . . . . . . . ..
Visión general de IPv6 . . . . . . . . ..
Formato IPv4 . . . . . . . . . . ..
Formato IPv6 . . . . . . . . . . ..
Habilitación de Captura IPv6 . . . . . . ..
Captura . . . . . . . . . . . . . ..
Métodos para capturar y convertir direcciones
IP . . . . . . . . . . . . . . ..
Soporte del PCA para IPv6 . . . . . . ..
Apéndice B. Documentación y ayuda
de IBM Tealeaf . . . . . . . . . ..
.
.
286
286
286
287
288
288
289
289
289
290
291
291
292
292
292
292
293
293
293
294
296
298
298
299
299
300
300
300
301
303
Avisos . . . . . . . . . . . . ..
Marcas registradas. . . . . . . . .
Consideraciones de política de privacidad .
283
283
284
285
285
285
285
285
286
305
..
..
307
307
Manual de la aplicación de captura pasiva
El Manual de la IBM Tealeaf CX Passive Capture Application detalla cómo
configurar y utilizar la IBM Tealeaf CX Passive Capture Application. Captura todas
las solicitudes y respuestas de la aplicación web y las ensambla para su uso en el
sistema Tealeaf. Utilice los enlaces siguientes para acceder a los temas específicos
del manual.
© Copyright IBM Corp. 1999, 2015
vii
viii
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Capítulo 1. Descripción general de la captura pasiva
La captura pasiva de Tealeaf captura y registra la interacción completa entre el
visitante y el entorno de la aplicación web mediante una conexión de red o un
puerto de distribución de conmutadores de red. El software de captura pasiva
ofrece los beneficios siguientes:
v No introduce sobrecarga, latencia de página o utilización de CPU al servidor
web
v No introduce riesgo de anomalía a la aplicación web; el tráfico
supervisado/capturado no forma parte del tráfico activo
v Da soporte a cualquier entorno de aplicación web: homogéneo o mixto,
empaquetado o personalizado
v Da soporte al tráfico cifrado (HTTPS) y no cifrado (HTTP)
v Da soporte al despliegue en el entorno basado en nube de Amazon Web Services
(AWS)
v Reconstruye el tráfico HTTP de la experiencia del usuario para el procesamiento
en sentido descendente de sesiones de usuario y eventos
Para capturar solicitudes y respuestas del tráfico de su sitio web, la IBM Tealeaf
CX Passive Capture Application requiere un origen de datos de alta calidad que se
proporciona mediante una red fiable. Consulte “Requisitos de tráfico de captura de
red de Tealeaf PCA” en la página 14.
EICS (Enhanced International Character Support) para CX Passive
Capture Application versión 3730
Asegúrese de que utiliza la versión correcta de la CX Passive Capture Application
para dar soporte a IBM Tealeaf con EICS (Enhanced International Character
Support).
IBM Tealeaf PCA versión 3730 da soporte a la captura de datos codificados
mediante caracteres internacionales mejorados. PCA versión 3730 se utiliza para
capturar el tráfico de web para que lo procese Tealeaf CX versión 9.0.2A.
Seguridad y administración
El software de CX Passive Capture Application está altamente controlado y
protegido. Está enlazado con la estación de trabajo de host de captura y puede
funcionar sin una interfaz pública. Todas las funciones de administración pueden
efectuarse mediante un programa de cliente Secure Shell (SSH).
Una interfaz de la consola web seguro está disponible para administrar y gestionar
la CX Passive Capture Application.
Soporte SSL
El software de CX Passive Capture Application proporciona soporte completo para
transacciones (HTTPS) SSL.
Nota: Para dar soporte a SSL, se debe proporcionar una copia de las claves
privadas SSL al software de CX Passive Capture Application. Si hay varios
© Copyright IBM Corp. 1999, 2015
1
certificados SSL, es necesaria una copia de cada clave privada. Esto le permite al
software de CX Passive Capture Application descifrar el tráfico SSL para el proceso
de contenido de coincidencias HTTP.
Integración con HSM
En algunos entornos, las restricciones de seguridad a nivel del sistema operativo
no son suficientes para la gestión de claves privadas cifradas. En estos entornos,
Tealeaf da soporte a las integraciones con Módulos de seguridad de hardware.
Un Módulo de seguridad de hardware (HSM) de IA proporciona protección lógica
y física de las claves privadas SSL sensibles de uso no autorizado y posibles
adversarios.
Mientras que la implementación de la importación/exportación de claves privadas
SSL al servidor de IBM Tealeaf CX Passive Capture Application con el HSM varía
de entorno a entorno, el objetivo de diseño de estas transferencias es un proceso
automatizado mediante el cual las claves privadas están seguras en el HSM. Los
proveedores del HSM proporcionan soluciones que responden a los requisitos de
este proceso de transferencia, generalmente incluyendo varios métodos soportados
para la instalación de claves en los HSM. Normalmente hay aspectos específicos de
la implementación para el diseño del proceso de instalación automatizado.
En un entorno de HSM, las claves que utiliza el tiempo de ejecución de Tealeaf
heredan las medidas de protección que ofrece HSM. El archivo de claves se
almacena en el HSM y mantiene una capa adicional de control de acceso que
impide su movimiento.
v Para obtener más información sobre la integración del HSM, consulte Apéndice Integración de claves de SSL de Tealeaf con HSM.
v Sin un HSM, las claves privadas SSL se convierten en un formato de archivo
Tealeaf.ptl cifrado y se almacenan en un directorio del sistema operativo en un
formato que puede utilizarse solo en la misma estación de trabajo; se aplica hash
a la clave del modo específico de la máquina. Para obtener más información
acerca de este método, consulte “Configuración de la clave cifrada SSL” en la
página 211.
Visión general de la arquitectura de despliegue
La captura pasiva consta del software que se ejecuta en un host, que conecta
directamente con el dispositivo de recopilación, una conexión de red o un puerto
de distribución de conmutadores. El flujo de datos desde el dispositivo de
recopilación a la estación de trabajo es unidireccional; el host solo recibe datos de
forma pasiva.
Desde el host, el software de captura pasiva transporta los datos en tiempo real al
entorno de servidor de Tealeaf CX. Los datos se pueden transportar a través de
TCP/IP o mediante un cable de transición de red que se conecta directamente
entre el host de la capturar pasiva y la estación de trabajo receptora en el entorno
de Tealeaf CX. La captura pasiva realiza las funciones siguientes:
v Reconstruir los cuerpos de solicitud y respuesta HTTP(S) de los datos de
paquete de TCP/IP capturados
v Descifrar SSL (si es aplicable)
v (opcional) Sesionizar (o secuenciar) las páginas de solicitud y respuesta HTTP
mediante un ID de sesión en sesiones de visitante
v (opcional) Puede definirse el bloqueo de privacidad para los datos sensibles
2
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Transportar los datos al entorno de servidor de Tealeaf CX
Despliegue en las instalaciones
La arquitectura de despliegue en las instalaciones representa un entorno común de
IBM Tealeaf que se despliega en la infraestructura de red local. En este caso de
uso, la CX Passive Capture Application puede estar alojada en un servidor físico o
puede estar alojada en un servidor virtual compatible dentro del mismo entorno de
red.
El dispositivo de captura debe tener acceso a todo el tráfico enviado al
direccionador de equilibrio de carga o un segmento de red que contiene el grupo
de aplicaciones/servidores web soportado por la solución de IBM Tealeaf CX.
Debido a que el host de la captura pasiva de Tealeaf está conectado directamente al
dispositivo de recopilación, no es necesario abrir los puertos de cortafuegos para
recopilar datos.
Los siguientes diagramas ilustran arquitecturas de despliegue típicas para métodos
de conexión de red o distribución de conmutadores. Desde el host de la captura
pasiva, se transportan los datos (mediante TCP/IP o SSL) al entorno de servidor
de IBM Tealeaf CX donde se analizan, agregan y archivan.
Figura 1. Caso de ejemplo de arquitectura de despliegue: duplicación de puerto desde el conmutador (o equilibrador
de carga)
Capítulo 1. Descripción general de la captura pasiva
3
Figura 2. Caso de ejemplo de arquitectura de despliegue: conexión de red
Despliegue en la nube
La arquitectura de despliegue en la nube representa un entorno común de IBM
Tealeaf que se despliega en una infraestructura basada en nube soportada.
IBM Tealeaf puede desplegarse en una de las infraestructuras basadas en nube
siguientes:
v IBM® SoftLayer
v Amazon Web Services (AWS)
v Microsoft Azure
El siguiente diagrama ilustra la arquitectura de despliegue para las instalaciones
basadas en nube utilizando un servidor proxy inverso que también tenga instalado
un reenviador de paquetes. En este despliegue, el reenviador de paquetes captura
tráfico web de la red virtual al servidor proxy inverso y envía los datos capturados
a la PCA que se aloja en una máquina virtual distinta.
4
IBM Tealeaf CX Passive Capture Application: Manual de PCA
El siguiente diagrama ilustra la arquitectura de despliegue para instalaciones
basadas en nube donde el reenviador de paquetes se ha desplegado en el servidor
web. En este escenario, cada instancia de servidor web tiene una instancia del
reenviador de paquetes que se despliega en el servidor web. Cada instancia del
reenviador de paquetes captura el tráfico web entre el servidor web y el cliente. El
reenviador de paquetes envía el tráfico web capturado al reenviador de paquetes
que se aloja en una máquina virtual distinta.
Para obtener información sobre la instalación del reenviador de paquetes de IBM
Tealeaf, consulte “Visión general del Packet Forwarder” en la página 6.
Capítulo 1. Descripción general de la captura pasiva
5
Rendimiento de PCA
Los siguientes componentes pueden afectar el modo en que IBM TealeafCX Passive
Capture Application procesa los datos de coincidencias que se envían a CX PCA.
Nota: Revise los requisitos de CX PCA para optimizar el rendimiento de CX PCA.
Tabla 1. Componentes de CX PCA y cómo cada componente afecta al rendimiento
Componente
Efecto sobre el rendimiento
Tarjetas de interfaz de red (NIC)
La tarjeta de interfaz de red representa el límite
superior de lo que una instancia específica del
servidor de CX PCA puede capturar y procesar. Por
ejemplo, si se utilizan las NIC cuya capacidad es solo
de 100 megabits por segundo, se limita el
rendimiento máximo de un servidor de CX PCA. Si
se utilizan las NIC de 1 gigabit por segundo, puede
obtener un rendimiento 10 veces superior.
Núcleos de CPU
Los beneficios de CX PCA cuando se instala en un
servidor con ocho o más CPU. Con núcleos extras
disponibles, puede instalar más instancias de laIBM
TealeafCX Passive Capture Application.
RAM
RAM adicional en el servidor de CX PCA habilita
más recursos para procesar los datos capturados.
SSL
El tráfico seguro ocupa mucha CPU y puede tener un
gran impacto en el rendimiento general. Por ejemplo,
si una CX PCA puede manejar 700 megabits por
segundo del rendimiento de tráfico no de SSL, si se
procesa el mismo tráfico a través de SSL se puede
llegar a obtener un rendimiento únicamente de 70
megabits por segundo.
Entornos virtuales
Los valores de la máquina virtual VMware se deben
configurar para que cumplan con los mismos
requisitos del sistema operativo y de hardware que el
servidor físico que aloje IBM Tealeaf CX PCA. Si la
máquina virtual no cumple con los mismos requisitos
que un servidor físico, es posible que se encuentre
con problemas relacionados con el rendimiento.
Rendimiento límite de no más de 500 Mbps. CX
Passive Capture Application da soporte al
rendimiento para hasta 500 Mbps. Los entornos con
tasas de rendimiento mayores que 500 Mbps pueden
experimentar pérdidas de paquetes en el CX Passive
Capture Application.
Visión general del Packet Forwarder
El Packet Forwarder se utiliza para capturar y reenviar hits a una CX PCA basada
en nube que está funcionando en una máquina virtual.
La CX PCA procesa los hits que se reenvían mediante el Packet Forwarder.
El software del Packet Forwarder se incluye con la CX PCA y consta de un
componente transmisor y receptor. El transmisor captura paquetes TCP y los
reenvía al receptor designado. El receptor puede configurarse para capturar datos
que se someten desde un transmisor especificado. Puede configurar varias
6
IBM Tealeaf CX Passive Capture Application: Manual de PCA
instancias de transmisor para enviar datos a una CX PCA centralizada. Cada
instancia del transmisor debe conectarse a una instancia del receptor individual en
la CX PCA.
Nota: Las instancias de transmisor y las instancias de receptor no pueden
compartir el mismo puerto de escucha.
El Packet Forwarder proporciona la siguiente funcionalidad:
v Sustituye el componente de rastreador de paquetes TCP de la PCA por un
escucha de socket de red.
v Dirige el tráfico a una instancia de la PCA interna. El transmisor apunta a una
instancia de PCA centralizada en la nube y entrega paquetes al receptor a través
de una conexión de red.
v Los paquetes TCP se capturan rastreando el puerto designado.
Los componentes del Packet Forwarder pueden desplegarse en una nube pública o
privada para gestionar la captura y el reenvío de paquetes TCP para que los
procese una instalación de IBM Tealeaf basada en nube.
Arquitectura de software
La CX Passive Capture Application utiliza los servicios siguientes para realizar el
proceso de captura.
Los procesos de captura principales capturan, reensamblan, realizan un proceso
posterior y entregan los aciertos de HTTP/HTTPS reensamblados al servicio de
transporte de Tealeaf que se ejecuta en otra estación de trabajo. Los cinco procesos
principales en el orden de proceso en que se realizan durante la captura se
denominan captured, listend, reassd, pipelined y deliverd.
Tabla 2. Descripciones de los procesos de la CX PCA
Proceso
Descripción
Captured
Captured es el proceso de captura de nivel superior.
Es el padre de varios procesos hijos, los cuales son
listend, reassd, pipelined y deliverd. Sus dos roles
principales son crear instancias de captura y crear y
gestionar sus procesos hijos. Una instancia de captura
es un par de procesos listend y reassd que capturan
y reensamblan el tráfico de red. Durante el inicio,
Captured todas las instancias de capturas
configuradas como procesos hijos. Después, crea los
procesos pipelined y deliverd como procesos hijos.
Captured reinicia sus procesos hijos cuando terminan
inesperadamente o cuando su script de
mantenimiento determina una condición incorrecta.
Capítulo 1. Descripción general de la captura pasiva
7
Tabla 2. Descripciones de los procesos de la CX PCA (continuación)
8
Proceso
Descripción
Listend
Captura paquetes de tráfico de red de las interfaces
primaria y secundarias configuradas y los envía al
proceso de reensamblaje, Reassd. Listend es
esencialmente un rastreador de paquetes. Utiliza el
tráfico configurado e ignorado para determinar los
paquetes que se van a capturar. Listend almacena en
el almacenamiento intermedio los paquetes que envía
a Reassd en la memoria para acomodar pequeños
retrasos en la capacidad de Reassd de leer los
paquetes. Listend proporciona adicionalmente un
archivado de paquetes para registrar los paquetes
capturados en los archivos del disco duro local.
Reassd
Reensambla paquetes TCP, descifra el tráfico SSL y
analiza inicialmente las solicitudes y respuestas HTTP
resultantes. Reassd recupera paquetes para
reensamblar desde su conducto de comunicaciones
con el proceso listend. Después de que analiza un
par de solicitud y respuesta HTTP, reassd envía la
coincidencia reensamblada a pipelined. Reassd es el
proceso principal de la captura pasiva y normalmente
el mayor proceso intensivo de la CPU debido a sus
procesos HTTP y SSL.
Pipelined
Recuperar la solicitud y respuesta HTTP
reensambladas desde reassd les da un formato de
coincidencia de Tealeaf y realiza los procesos
posteriores configurados. El postproceso puede
incluir la eliminación de coincidencias que se basan
en opciones configurables, compresión/
descompresión de datos, filtrado y bloqueo de
privacidad, y puede indicarle a deliverd que envíe la
coincidencia a una estación de trabajo. La estación de
trabajo ejecuta el servicio de transporte de Tealeaf,
que normalmente el servidor de IBM Tealeaf CX.
Nota: La CX PCA permite crear varias instancias del
proceso pipelined.
Routerd
Equilibra la carga de forma transparente (TLB) de
paquetes de red entrantes y conexiones con las
diferentes instancias de proceso Reassd. Mediante una
distribución de tráfico de red más equitativa a través
de todas las instancias de Reassd, se aumenta la
eficacia de los núcleos de CPU del sistema lo que
mejora el rendimiento general. Este módulo de
proceso sólo está presente si está habilitada la
modalidad TBL.
Tcld
Proporciona procesos de script basados en TCL para
manejar la gestión de las coincidencias de Tealeaf
para una entrega especializada con el proceso
deliverd. Este proceso puede aceptar coincidencias
de Tealeaf de uno o más procesos de origen
pipelined.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 2. Descripciones de los procesos de la CX PCA (continuación)
Proceso
Descripción
Deliverd
Entrega las coincidencias de Tealeaf con formato a
uno o varios servicios de transporte de Tealeaf en las
estaciones de trabajo remota, como se ha indicado
mediante tcld. Tcld se encarga de decidir si una
coincidencia se debe enviar y a quién se debe enviar.
Establece la conexión de red y envía las coincidencias
a través de la red al servicio de transporte de Tealeaf.
Opcionalmente, puede comunicarse con el servicio de
transporte de Tealeaf utilizando una conexión SSL
para proporcionar un canal seguro.
Failoverd
Este proceso opcional está presente si la migración
tras error está habilitada y en ejecución en una
instancia de la IBM Tealeaf CX Passive Capture
Application.
v Este proceso envía señales de pulso a los procesos
failoverd en otras instancias de PCA en el
entorno.
v Este proceso se ejecuta independientemente de los
otros procesos de PCA.
Memcached
El proceso Memcached proporciona un sistema de
almacenamiento en antememoria en memoria global
a CX PCA. Memcached se usa principalmente para
almacenar información de sesión de SSL para su
posterior acceso a través de todas las instancias
Reassd en el descifrado de SSL de procesamiento
(sesiones de SSL reanudadas). Este módulo de
proceso sólo está presente si está habilitada la
modalidad TBL.
Proceso de captura
Los procesos de captura principales capturan, reensamblan, procesan
posteriormente y entregan las coincidencias HTTP/HTTPS reensambladas al
servicio de transporte de Tealeaf que se ejecuta en otra estación de trabajo. Los
cinco procesos en orden de procesamiento durante la captura se denominan
captured, listend, reassd, pipelined y deliverd.
v El proceso tcld puede o no estar presente en la PCA.
Captured
Captured es el proceso de captura de nivel superior. Es el padre de varios procesos
hijos: listend, reassd, pipelined y deliverd. Sus dos roles principales son crear
instancias de captura y crear y gestionar sus procesos hijos. Una instancia de
captura es un par de procesos listend y reassd que capturan y reensamblan el
tráfico de red. Al iniciar, captured crea todas las instancias de capturas
configuradas como procesos hijos. Después, crea los procesos pipelined y deliverd
como procesos hijos. Captured reinicia sus procesos hijos cuando terminan
inesperadamente o cuando su script de mantenimiento determina una condición
incorrecta.
Listend
La función principal de Listend es capturar paquetes de tráfico de red de las
interfaces primaria y secundaria configuradas y enviarlos al proceso de
Capítulo 1. Descripción general de la captura pasiva
9
reensamblaje, Reassd. Listend es esencialmente un rastreador de paquetes. Utiliza
el tráfico configurado e ignorado para determinar los paquetes que se van a
capturar. Listend almacena en el almacenamiento intermedio los paquetes que
envía a Reassd en la memoria para acomodar pequeños retrasos en la capacidad de
Reassd de leer los paquetes. Listend proporciona adicionalmente un archivado de
paquetes para registrar los paquetes capturados en los archivos del disco duro
local.
Reassd
La función principal de reassd es reensamblar paquetes TCP, descifrar el tráfico
SSL y analizar inicialmente las solicitudes y respuestas HTTP resultantes. Reassd
recupera paquetes para reensamblar desde su conducto de comunicaciones con el
proceso listend. Después de que analiza un par de solicitud y respuesta HTTP,
reassd envía la coincidencia reensamblada a pipelined. Reassd es el proceso
principal de la captura pasiva y normalmente el mayor proceso intensivo de la
CPU debido a sus procesos HTTP y SSL.
Pipelined
La función primaria de pipelined es recuperar la solicitud y respuesta HTTP
reensamblada desde reassd, darles un formato de coincidencia de Tealeaf y realizar
los postprocesos configurados. El postproceso puede incluir la eliminación de
coincidencias que se basan en opciones configurables, compresión/descompresión
de datos, filtrado y bloqueo de privacidad, y puede indicarle a deliverd que envíe
la coincidencia a una estación de trabajo. La estación de trabajo ejecuta el servicio
de transporte de Tealeaf, que normalmente el servidor de IBM Tealeaf CX.
v PCA da soporte a la creación de varias instancias del proceso pipelined.
Consulte “Procesos de interconexión de varias instancias” en la página 11.
Routerd
La función principal de Routerd es equilibrar la carga de forma transparente (TLB)
de paquetes de red entrantes y conexiones con las varias instancias de proceso
Reassd. Mediante una distribución de tráfico de red más equitativa a través de
todas las instancias de Reassd, se aumenta la eficiencia de los núcleos de cpu del
sistema, permitiendo un mejor rendimiento general. Este módulo de proceso sólo
está presente si está habilitada la modalidad TBL.Para obtener más información,
consulte “Descripción general del equilibrio de carga transparente de CX PCA” en
la página 12.
Tcld
La función principal de tcld es proporcionar procesos de script basados en TCL
para manejar la gestión de las coincidencias de Tealeaf para la entrega
especializada con el proceso deliverd. Este proceso puede aceptar coincidencias de
Tealeaf de uno o más procesos de origen pipelined.
Deliverd
La función principal de deliverd es entregar las coincidencias formateadas de
Tealeaf a uno o más servicios de transporte de Tealeaf en estaciones de trabajo
remotas siguiendo las instrucciones de tcld. Tcld se encarga de decidir si una
coincidencia se debe enviar y a quién se debe enviar. Deliverd se encarga de
establecer la conexión de red y enviar las coincidencias a través de la red al
servicio de transporte de Tealeaf. Opcionalmente, puede comunicarse con el
servicio de transporte de Tealeaf utilizando una conexión SSL para proporcionar un
canal seguro.
10
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Failoverd
Este proceso opcional está presente si la migración tras error está habilitada y en
ejecución en una instancia de la IBM Tealeaf CX Passive Capture Application.
v Este proceso envía señales de pulso a los procesos failoverd en otras instancias
de PCA en el entorno.
v Este proceso se ejecuta independientemente de los otros procesos de PCA.
v Consulte “Consola Web de PCA - Pestaña de Migración tras error” en la página
177.
Memcached
El proceso Memcached proporciona un sistema de almacenamiento en antememoria
en memoria global a CX PCA. Memcached se usa principalmente para almacenar
información de sesión de SSL para su posterior acceso a través de todas las
instancias Reassd en el descifrado de SSL de procesamiento (sesiones de SSL
reanudadas). Este módulo de proceso sólo está presente si está habilitada la
modalidad TBL.
Para obtener más información, consulte “Descripción general del equilibrio de
carga transparente de CX PCA” en la página 12.
Varias instancias
En las modalidades TLB y no TLB, CX PCA puede configurarse para iniciar varias
instancias de procesos listend y reassd para utilizar varios núcleos de CPU para
manejar cargas grandes de tráfico de captura.
Las instancias se pueden configurar para capturar distintos puertos y direcciones
de TCP/IP para poder distribuir la carga de tráfico entre las instancias de captura.
Las instancias pueden compartir NIC para la captura de paquetes o pueden
capturar paquetes utilizando diversas NIC disponibles en el servidor de IBM
Tealeaf CX Passive Capture Application.
CX PCA también puede crear varias instancias de proceso interconectado para
distribuir sus requisitos de carga de proceso.
En modalidad TLB, se utiliza una única instancia de listend para alimentar varios
procesos reassd a través del proceso routerd. Se proporcionan varias instancias a
través de los procesos reassd donde se necesita un trabajo eficaz y se elimina la
carga de trabajo manual de segmentar y distribuir la carga de tráfico de captura.
Para la integración con servidores web con equilibrio de carga que utilizan un
único IP virtual (VIP), consulte “Descripción general del equilibrio de carga
transparente de CX PCA” en la página 12.
Procesos de interconexión de varias instancias
El proceso pipelined ejecuta varias operaciones intensivas de la CPU, como
actividades de bloqueo de privacidad, que pueden provocar cuellos de botella de
rendimiento en configuraciones de una sola hebra.
Puede crear varias instancias del proceso de pipelined para distribuir la carga de
proceso para todas las instancias de PCA entre los recursos de CPU disponibles.
Por ejemplo, suponga que una única instancia de PCA está generando 500 páginas
vistas/segundo y se ha configurado para el proceso de privacidad de interconexión
Capítulo 1. Descripción general de la captura pasiva
11
intensivo, que limita su rendimiento a 200 vistas de páginas por segundo. La
adición de dos instancias de interconexión más (para un total de tres
interconexiones) permite manejar el rendimiento global de vista de páginas.
Uno o más procesos de reassd (instancias de varias PCA) pueden incorporar sus
coincidencias de HTTP resultantes en una única cola de memoria compartida
(SHM), que gestiona la distribución a las instancias disponibles de los procesos
pipelined por turnos.
En un ejemplo de instancias de varias PCA, suponga que ha creado cuatro
instancias de PCA, que están generando 1000 páginas vistas/segundo. Si una única
interconexión puede procesar 400 páginas vistas por segundo en el entorno, se
pueden añadir dos interconexiones más para gestionar el proceso de todo el
volumen.
La migración tras error maestra y esclava de la PCA también da soporte a
interconexiones de varias instancias. Consulte “Consola Web de PCA - Pestaña de
Migración tras error” en la página 177.
Descripción general del equilibrio de carga transparente de CX PCA
La CX PCA puede configurarse para el equilibrio de carga transparente (TLB) que
proporciona la posibilidad de segmentar y distribuir de forma transparente el
tráfico de captura de red.
Las instalaciones nuevas de CX PCA vienen con TLB habilitado de forma
predeterminada. Antes de esta característica (modalidad no TLB), la segmentación
del tráfico de captura requería la asignación de bloques de tráfico a instancias
específicas de CX PCA para el procesamiento equilibrado de carga.
Mediante la configuración de CX PCA para el equilibrio de carga transparente,
puede:
v Reducir los problemas de servicio de atención al cliente provocados por cargas
de tráfico irregulares o cambios en el perfil de tráfico a través de varias
instancias de CX PCA donde un aumento repentino del tráfico de red puede
sobrecargar una instancia de CX PCA. Si una instancia de CX PCA está
sobrecargada, puede provocar el reinicio de la instancia y la pérdida del tráfico
capturado. Mediante la habilitación del equilibrio de carga transparente, el
tráfico de red se distribuye a las instancias de CX PCA utilizando un método
rotativo de distribución. La distribución del tráfico de red a las instancias de CX
PCA evita la sobrecarga de las mismas.
v Simplifique la instalación y configuración de CX PCA. Mediante la habilitación
del equilibrio de carga transparente, no es necesario proporcionar configuración
extra para cada instancia adicional de CX PCA. Puede especificar el número de
instancias que desea utilizar y Tealeaf distribuye automáticamente el tráfico de
red a las instancias.
v Capture el tráfico de un IP virtual único (VIP) para los servidores web que estén
configurados para trabajar bajo un único VIP.
Varios pares Listend–Routerd
Puede habilitar varias instancias de listend utilizando varios pares
Listend-Routerd (MLRP).
MLRP proporciona la posibilidad de utilizar varias NIC para la captura de datos
en un entorno de equilibrio de carga. Puede configurar CX PCA para utilizar
12
IBM Tealeaf CX Passive Capture Application: Manual de PCA
MLRP con varias NIC con el fin de mejorar el rendimiento de la captura de
paquetes y aumentar la escalabilidad para satisfacer las demandas del tráfico de
red. Para utilizar varias NIC, MLRP crea varias instancias del proceso routerd.
Cada proceso routerd necesita un núcleo de CPU para funcionar. Cada proceso
routerd dirige activamente el flujo de tráfico de red de entrada desde un proceso
listend hasta los procesos reassd. Cada proceso listend está emparejado con un
único proceso routerd y puede procesar 1 gigabit por segundo de tráfico. La
posibilidad de direccionar el tráfico de red a varios procesos reassd elimina la
necesidad de segmentar manualmente el tráfico capturado y distribuirlo para
evitar colas. El equilibrio del tráfico de red a varios procesadores reassd permite a
CX PCA utilizar varias NIC para recibir y procesar grandes cantidades de tráfico
de red.
Para obtener información sobre la configuración de MLRP, consulte “Configuración
de varios pares Listend–Routerd” en la página 204.
Programa de mantenimiento
El software de captura pasiva incluye un programa de mantenimiento que se
ejecuta como el usuario root a través del servicio cron de la estación de trabajo.
El programa de mantenimiento realiza varias tareas, incluidas la comprobación de
estado de los procesos de captura pasiva, los registros, las estadísticas, el envío de
estadísticas de diagnóstico a otra estación de trabajo y la gestión de varios archivos
de registro creados por los programas de software de captura pasiva.
Software de terceros
Los paquetes de instalación del software de la CX Passive Capture Application
incluyen los siguientes paquetes de terceros:
Apache HTTPD 2.2.19
Expat 1.2
LibNet 1.1.1
LibPCAP 1.1.1
OpenSSL 1.0.0d
PHP 5.2.9
TCL 8.4.x
Tcpdump 4.1.1
Tcpslice 2004.05.10
El software de Tealeaf utiliza directamente algunos de estos paquetes y algunos se
proporcionan como herramientas para la gestión del sistema.
Mandatos con formato para facilitar su lectura
Los mandatos de Linux tienen un formato especial para fines de visualización. En
los ejemplos siguientes se describe cómo se puede dar formato a algunos de los
mandatos para facilitar la lectura del contenido.
Por ejemplo, el siguiente es un mandato que se especifica en la pantalla:
# tcpdump -Xnr tst1.dmp |more
Para fines de visualización, el mandato se puede visualizar en el manual de la
siguiente manera:
# tcpdump -Xnr \
tst1.dmp |more
Capítulo 1. Descripción general de la captura pasiva
13
Anote la barra inclinada invertida, que se utiliza como el indicador de
continuación de línea.
Los mandatos que se visualizarán de nuevo en la pantalla pueden formatearse de
la siguiente forma:
# tcpdump -Xnr \
> tst1.dmp |more
Anote el símbolo de intercalación (>) al principio de la segunda línea para indicar
continuación.
Nota: Tenga cuidado al copiar y pegar mandatos de Linux del manual. Algunos
mandatos pueden requerir modificación.
Requisitos de tráfico de captura de red de Tealeaf PCA
Los siguientes requisitos son necesarios para duplicar el tráfico de red y reenviarlo
a CX PCA para su captura.
Los dispositivos de red, como por ejemplo, puertos de distribución de
conmutadores, conexiones de red y equilibradores de carga son solo algunos de los
puntos de captura de tráfico de red que pueden proporcionar una copia de tráfico
de red en directo a la IBM Tealeaf CX Passive Capture Application. Normalmente,
el tráfico duplicado consta del tráfico de servidor web del sitio web del cliente.
v El tráfico de red duplicado se considera de naturaleza pasiva, ya que las NIC de
captura que utiliza CX PCA no interactúan con el tráfico de red en directo.
Nota: La IBM Tealeaf CX Passive Capture Application da soporte a la captura de
tráfico SSL de 128 bits. No se da soporte a los métodos de cifrado utilizando unos
pocos números de bits de cifrado.
Requisitos básicos de tráfico
Para un funcionamiento correcto, la PCA requiere que el tráfico de red duplicado
sea de alta integridad y calidad.
Las pérdidas de paquetes TCP de red críticos pueden impedir que la PCA
reensamble el tráfico TCP en coincidencias de HTTP. Los paquetes TCP perdidos
pueden generar sesiones de Tealeaf en las que faltan páginas, hay páginas parciales
o ambas cosas. En el peor de los casos, toda la sesión puede ser inutilizable.
Confirme los requisitos básicos siguientes con el administrador de red:
v Corriente de tráfico: la PCA requiere una corriente de tráfico bidireccional o dos
corrientes de tráfico unidireccionales que contengan todo el tráfico de solicitudes
y respuestas HTTP entre la aplicación web y los navegadores del visitante que
están interactuando con él.
v Sin errores o paquetes descartados: sin errores, paquetes descartados o paquetes
de desbordamiento a nivel de red y tarjeta de interfaz de red del sistema
operativo.
– Un mandato ifconfig ethX en la captura de NIC debe mostrar un número
constante de paquetes descartados o errores.
– Si el número aumenta a un ritmo alto, puede haber problemas con la
fidelidad del tráfico enviado a la PCA. Puede haber un dimensionamiento
inadecuado del hardware de la PCA para el volumen de tráfico o ambos.
14
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v IP reales del visitante: el punto de captura puede ver las IP reales del visitante o
direcciones de host del IP del visitante.
El acceso a las direcciones IP reales de los visitantes es un recurso útil a efectos
de resolución de problemas. Para los clientes que utilizan equilibradores de
carga, este requisito no puede ser posible.
v Tráfico filtrado: el tráfico distribuido se filtra hasta el tráfico esencial solamente.
Tealeaf recomienda filtrar tanto tráfico innecesario como sea posible a nivel de
red antes de que se entregue a la PCA. Este filtrado descarga los recursos de
proceso que la PCA debe utilizar para filtrar tráfico.
v Problemas de conexiones persistentes TCP:
Para capturar tráfico, la PCA debe ver el inicio de todas las conexiones TCP.
Cifrado Diffie-Hellman
Diffie-Hellman es un tipo de cifra de cifrado SSL.
Está diseñado de forma que los terceros, que son sistemas distintos de los de dos
partes en los dos puntos finales de una conversación, no pueden descifrar el tráfico
de comunicaciones. Una sesión de usuario que se ha establecido con un servidor
web utilizando este cifrado no se puede capturar mediante la IBM Tealeaf CX
Passive Capture Application.
Nota: IBM Tealeaf no admite el uso del protocolo criptográfico Diffie-Hellman y
recomienda la configuración de los servidores web para no utilizarlo.
Extensión de SessionTicket de TLS
Esta extensión de protocolo SSL la utilizan algunos servidores web para transmitir
tráfico cifrado a los navegadores que la soportan. En los módulos OpenSSL de los
servidores web Apache más recientes y probablemente otros servidores web, la
nueva extensión de protocolo SSL TLS (RFC-5077) para la reanudación de sesión
sin estado, que se conoce como la extensión de SessionTicket, cifra la información
de estado SSL, que se utiliza únicamente si el navegador del cliente y el servidor
web cumplen con el estándar.
Nota: La IBM Tealeaf CX Passive Capture Application da soporte a la extensión de
Session Ticket de SSL en compilaciones recientes. Si habilita esta extensión en el
servidor web, verifique que ha instalado o actualizado a la compilación TLSv1.x in
Build 3327 o posterior. Para obtener más información sobre la descarga de IBM
Tealeaf, consulte IBM Passport Advantage Online.
Consulte “Faltan algunas coincidencias SSL de las sesiones del navegador Firefox”
en la página 283.
Conexiones TCP
La IBM TealeafCX Passive Capture Application requiere supervisar el inicio de
todas las conexiones TCP. Si las conexiones persistentes TCP están habilitadas, la
PCA puede reensamblar coincidencias de conexiones en curso.
Consulte con el equipo de TI para ver si las conexiones persistentes TCP están
habilitadas en la infraestructura de TI. Las conexiones persistentes TCP
individuales las pueden utilizar varios visitantes de su aplicación web. También se
puede desplegar mediante un equilibrador de carga, tal como un dispositivo de
red F5, un proxy frontal, tal como un servidor Akamai o el propio servidor web.
Capítulo 1. Descripción general de la captura pasiva
15
Para las sesiones SSL, la agrupación de transacciones SSL se considera como una
optimización. Sin embargo, la agrupación de transacciones SSL en un set de
conexiones persistentes TCP puede causar problemas, que impiden que estas
sesiones se descifren. Si una nueva sesión SSL no parece permitir que la PCA
almacene en la memoria caché la información de ID de sesión SSL, las sesiones SSL
posteriores que vuelvan a utilizar el ID de sesión no se pueden descifrar.
En un entorno de este tipo, las conexiones pueden persistir hasta 24 horas, lo que
introduce una latencia en la captura de las sesiones cuando la PCA se instala,
actualiza o reinicia. Pueden haber posibles soluciones temporales o valores de
configuración de compromiso en los dispositivos de red de origen que pueden
mitigar el periodo de latencia.
v Para obtener más información, póngase en contacto con el equipo de TI.
Datos duplicados
Cada instancia de IBM TealeafCX Passive Capture Application debe incorporar
datos que sean exclusivos en IBM Tealeaf.
Nota: Los datos duplicados no se deben pasar de forma intencionada a IBM
Tealeaf. Aunque la CX PCA está diseñada para filtrar datos duplicados, los
paquetes duplicados innecesarios en un entorno de alto volumen pueden dificultar
el proceso. IBM Tealeaf da soporte a la migración tras error pasiva en varias
instancias de la IBM Tealeaf CX Passive Capture Application. Consulte “Consola
Web de PCA - Pestaña de Migración tras error” en la página 177.
16
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Orígenes de los problemas de calidad de tráfico de red
Si tiene problemas de tráfico de red, revise los problemas siguientes como ayuda
para aislar el problema.
Tabla 3. Orígenes de los problemas de calidad de tráfico de red
Problema
Origen
Paquetes TCP de red descartados
Los paquetes TCP de red se pueden descartar en cualquiera de
las condiciones siguientes:
v
Puerto de distribución sobrecargado de solicitudes: Los
paquetes de red descartados pueden deberse a un puerto de
distribución de conmutadores de red que está sobrecargado.
En esta configuración, una o más corrientes de tráfico de red
seleccionadas se configuran para compartir un único puerto
cuando el total de todos los tráficos seleccionados excede el
ancho de banda del puerto. Por ejemplo, tres corrientes de
tráfico de 500 megabits/s con ancho de banda agregado de
1.5 gigabits/segundo se duplica en un puerto de distribución
de conmutadores que pueden gestionar solo 1.0
gigabits/segundo. Durante los periodos de mayor tráfico, este
puerto de distribución no puede gestionar la carga y los
paquetes se descartan.
v Recursos de CPU inadecuados en el conmutador: El puerto
de distribución puede depender del CPU del conmutador
para que los ciclos disponibles añadan y/o filtren el tráfico
necesario para su duplicación.
Los conmutadores contemporáneos normalmente asignan
ciclos de CPU disponibles para la duplicación de puerto de
distribución donde la prioridad de la CPU es gestionar
operaciones de conmutación. Si la CPU está ocupada con
operaciones de conmutación, no puede haber suficientes ciclos
para gestionar la duplicación, en cuyo caso las operaciones de
puerto de distribución "mueren de hambre" y los paquetes de
red se descartan en el tráfico duplicado.
Nota: El ancho de banda del tráfico duplicado no puede estar
cerca de los límites prácticos del puerto de distribución. La
curva de utilización de conmutador de red se vuelve un
factor importante para proporcionar tráfico duplicado de alta
integridad.
v Otros dispositivos de red: En una infraestructura de red más
compleja, se pueden utilizar más dispositivos de red con un
origen de tráfico de red duplicado, como por ejemplo,
agregadores de tráfico de red y reproductores de puertos de
red. Estos tipos de dispositivos pueden provocar pérdida de
paquetes de red, especialmente si algún dispositivo activo
está alterando el tráfico de red como parte de su proceso.
Tráfico unidireccional
Un simple error de configuración puede producir que la CX
PCA reciba tráfico de red para una sola dirección. En estas
instancias, las solicitudes o respuestas HTTP se reenvían a la CX
PCA, pero no ambas.
Para que la CX PCA reensamble correctamente las coincidencias
de HTTP, se debe proporcionar el tráfico TCP para ambas
direcciones. En la mayoría de los casos, esta situación es
relativamente fácil de identificar y generalmente se debe a un
error de configuración del dispositivo de red de origen.
Capítulo 1. Descripción general de la captura pasiva
17
Medición de paquetes descartados
La PCA proporciona varias medidas para ayudar a identificar las condiciones de
los paquetes de red descartados. Estas medidas son solo puntos de datos para
ayudarle a evaluar las causas probables de los paquetes descartados.
Lamentablemente, pocas medidas del conmutador de red pueden indicar cuándo
un conmutador ha excedido sus almacenamientos intermedios internos, generando
paquetes de red descartados.Las medidas indirectas como el ancho de banda de
puerto y la utilización de CPU pueden indicar un posible problema. Estas medidas
muestrean el estado del conmutador de red en algún intervalo de tiempo
predeterminado. Sin embargo, si se produce una condición óptima entre periodos
de muestreo, no habría ninguna indicación disponible en absoluto.
El mejor indicador es evaluar las sesiones de Tealeaf capturadas para ver si faltan
páginas o hay páginas parciales. La validación estática de las sesiones de Tealeaf
de prueba puede proporcionar únicamente otro punto de datos para el análisis del
motivo por el que faltan páginas en las sesiones. El rastreo en tiempo real de
sesiones de Tealeaf con eventos compuestos que se activan si faltan páginas puede
ayudar a determinar si una solución resuelve el problema.
18
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Capítulo 2. Instalación de CX Passive Capture Application
Las siguientes instrucciones se pueden utilizar como ayuda para la instalación del
software de CX Passive Capture Application.
Las arquitecturas de despliegue que se utilizan en Capítulo 1, “Descripción general
de la captura pasiva”, en la página 1 representan los entornos de IBM Tealeaf en
las instalaciones o basados en nube comunes que están soportados.
Nota: Si va a actualizar desde una versión anterior de CX PCA, consulte
Capítulo 3, “Actualización del software de CX PCA”, en la página 53.
Para empezar a instalar el software de CX PCA en el entorno de IBM Tealeaf:
1. Configure e instale el hardware y el sistema operativo para el servidor de CX
PCA (consulte Configuración del Hardware e instalación del sistema operativo).
2. Realice la comprobación previa a la instalación (consulte Lista de comprobación
previa a la instalación).
3. Instale el software CX PCA en el servidor de CX PCA indicado (consulte
“Instalación de paquete” en la página 30).
4. Configure el servidor de CX PCA (consulte Capítulo 4, “Configuración de CX
PCA”, en la página 57).
5. Si el entorno de IBM Tealeaf está basado en nube, despliegue los reenviadores
de paquetes del entorno de CX PCA (consulte “Instalación del reenviador de
paquetes” en la página 33).
6. Realice las tareas posteriores a la instalación (consulte “Lista de comprobación
de postinstalación” en la página 44).
Requisitos de instalación de CX PCA
Deben cumplirse los requisitos siguientes antes de instalar IBM Tealeaf CX Passive
Capture Application y el Packet Forwarder.
v Se deben capturar las direcciones IPv6. El proceso de las direcciones IPv6 en
toda la solución de Tealeaf está disponible solo para el release 8.4 y posteriores.
v Los servidors Apache manejan tráfico de compresión de SSL desde y hacia los
navegadores de Chrome.
v Para el soporte HTTP_X_FORWARDING, debe utilizar PCA 3502 o posterior.
Para ver los requisitos adicionales, consulte:
v “Cambios en el servidor PCA (área de control de páginas)” en la página 28
v Requisitos de hardware
v “Recomendaciones de punto de montaje en disco duro” en la página 21
v “Varias instancias de PCA” en la página 27
v Requisitos de tráfico de red
v “Requisitos del sistema operativo” en la página 22
v “Tarjetas aceleradoras admitidas” en la página 21
© Copyright IBM Corp. 1999, 2015
19
Requisitos de tráfico de red
Los dispositivos de red, como por ejemplo, puertos de distribución de
conmutadores, conexiones de red y equilibradores de carga son solo algunos de los
puntos de captura de tráfico de red que pueden proporcionar una copia de tráfico
de red en directo a la Aplicación de Captura Pasiva de IBM Tealeaf. Normalmente,
el tráfico duplicado consta del tráfico de servidor web del sitio web del cliente.El
tráfico de red duplicado se considera de naturaleza pasiva, ya que los NIC de
captura de la PCA no interactúan con el tráfico de red en directo.
Nota: La Aplicación de Captura Pasiva de IBM Tealeaf CX da soporte a la captura
de tráfico SSL de 128 bits. No se da soporte a los métodos de cifrado utilizando un
número menor de bits de cifrado.
Antes de comenzar a capturar tráfico de red, debe revisar los requisitos para el
tráfico de red que PCA espera recibir. Esta información se debe compartir con el
equipo de infraestructura de TI.
Nota: Tealeaf no admite el uso del protocolo criptográfico Diffie-Hellman y
recomienda la configuración de los servidores web para no utilizarlo.
Nota: El IBM Tealeaf CX Passive Capture Application soporta la extensión de
tíquet de sesión de SSL. Si habilita esta extensión en el servidor web, actualice a
una de las compilaciones de soporte:
v TLSv1.1 en la compilación 3611 o posterior
v TLSv1.2 en la compilación 3611 o posterior
Para obtener más información sobre la descarga de IBM Tealeaf, consulte IBM
Passport Advantage Online.
Nota: El IBM Tealeaf CX Passive Capture Application espera ver el inicio de todas
las conexiones de TCP. Si las conexiones persistentes de TCP son utilizadas por
cualquier servidor que alimente con datos a PCA, entonces se puede introducir la
latencia en la captura de sesiones, y los datos se pueden perder.
Requisitos de hardware de CX PCA
La tabla siguiente lista los requisitos de hardware mínimos y recomendados para
ejecutar CX Passive Capture Application.
20
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 4. Requisitos de hardware de CX PCA
Requisitos mínimos
Requisitos recomendados
Nota: Estos son los requisitos mínimos para
el funcionamiento del software de CX
Passive Capture Application. No pueden
soportar con precisión el volumen de datos
y los requisitos de proceso para el entorno.
Para obtener más información acerca del
dimensionamiento para el entorno, póngase
en contacto con los servicios profesionales
de Tealeaf.
v Procesador dual, núcleo cuádruple:
Procesador Xeon de núcleo cuádruple de
Intel a 2.8 GHz o superior para un total
de ocho núcleos como mínimo
v 16 GB de RAM como mínimo
v 3 NIC, 1 gigabit por cada uno
v unidad de disco duro de SAS o SCSI de
100 GB o superior
v Procesador dual, doble núcleo: Procesador
– tiempo de acceso de 15 ms
Xeon de doble núcleo de Intel a 2.8 GHz o
– velocidad de unidad de 7200 rpm
superior para un total de cuatro núcleos
como mínimo
El siguiente hardware se recomienda para la
instalación de software general y la
v 8 GB de RAM como mínimo
recuperación de máquina:
v 3 NIC, 1 gigabit por cada uno
v disco duro de SAS o SCSI de 100 GB o
superior
– tiempo de acceso de 15 ms
– velocidad de unidad de 7200 rpm
v unidad de CD-ROM
v unidad de disquetes de 1.44 MB
v Segunda unidad para la captura y
almacenamiento del tráfico de red en los
archivos de archivado: 200 GB - 800 GB
Recomendaciones de punto de montaje en disco duro
Los siguientes son los puntos de montaje recomendados y los tamaños para una
unidad de 100 GB para el software de captura pasiva.
Tabla 5. Tamaños de puntos de montaje de PCA recomendados
Punto de montaje
Tamaño
/
4 GB
/archivo
42 GB (disco restante)
/tmp
4 GB
/usr
40 GB
/var
8 GB
swap
2 GB
La partición /archive se utiliza para almacenar archivos de paquetes en bruto, si
se ha habilitado. De forma predeterminada, la característica está desactivada y se
debe utilizar sólo para la resolución de problemas.
La partición /usr contiene el software de captura pasiva. El software RPM de
captura pasiva de Tealeaf instala archivos en /usr/local.
Tarjetas aceleradoras admitidas
Consulte Apéndice - Tarjetas aceleradoras del hardware soportado.
Integración con módulos de seguridad de hardware
Tealeaf PCA se puede estar integrando con claves privadas que se han retenido en
los módulos de seguridad del hardware. Consulte Apéndice - Integración de claves
de SSL de Tealeaf con HSM.
Capítulo 2. Instalación de CX Passive Capture Application
21
Soporte de VMware
IBM Tealeaf CX Passive Capture Application da soporte a la instalación en una
máquina virtual VMware vSphere 5.5.
Los valores de la máquina virtual VMware se deben configurar para que cumplan
con los mismos requisitos del sistema operativo y de hardware que el servidor
físico que aloje IBM Tealeaf CX PCA. Si la máquina virtual no cumple con los
mismos requisitos que un servidor físico, es posible que se encuentre con
problemas relacionados con el rendimiento.
Nota: Las limitaciones siguientes se aplican a IBM Tealeaf que se haya
desarrollado dentro de un entorno de VMware:
v Rendimiento límite de hasta 500 Mbps. CX Passive Capture Application da
soporte al rendimiento para hasta 500 Mbps. Los entornos con tasas de
rendimiento mayores que 500 Mbps pueden experimentar pérdidas de paquetes
en el CX Passive Capture Application.
v Debe inhabilitar el soporte de múltiples colas en el controlador de red virtual
VMware. El soporte de múltiples colas se habilita automáticamente de forma
predeterminada cuando se instala VMware. Si el soporte de múltiples colas no
está soportado, los paquetes que se envíen a CX Passive Capture Application
podrían quedar fuera de servicio y provocar que los paquetes se descarten.
Requisitos del sistema operativo
Se deben cumplir los siguientes requisitos del sistema operativo antes de instalar
IBM Tealeaf CX Passive Capture Application.
El IBM Tealeaf CX Passive Capture Application (PCA) se considera un software de
conexión de red, como un conmutador de red, que se puede instalar en una
plataforma Linux soportada. El software está diseñado para ejecutarse en un
entorno dedicado a capturar y procesar un alto volumen de paquetes de red.
Como tal, es el único software de aplicación que debe poseer el servidor Linux. No
esta pensado para ser compartido con otras aplicaciones generales.
Red Hat Enterprise Linux o SUSE Linux Enterprise Server debe estar instalado
antes de comenzar la instalación de IBM Tealeaf CX Passive Capture Application.
Distribuciones de sistema operativo admitidas para
compilaciones de CX PCA
Nota: Si el servidor de la CX PCA está ejecutando una compilación anterior a la
compilación 3502, se recomienda actualizar a la compilación 3502 o posterior. Antes
de actualizar a la compilación 3502 o posterior de CX PCA, debe actualizar el
sistema operativo en el servidor de CX PCA a una distribución de Linux que esté
soportada por CX PCA.
En el momento de esta publicación, las siguientes distribuciones de Red Hat
Enterprise Linux y SUSE Linux Enterprise Server son compatibles con CX PCA.
v Red Hat Enterprise Linux (RHEL) versiones 5, 6 y 7
Nota: Red Hat Enterprise Linux (RHEL) 7 utiliza el mismo paquete de
instalación y procedimientos que Red Hat Enterprise Linux (RHEL) 6.
v SUSE Linux Enterprise Server (SLES) versión 11
22
IBM Tealeaf CX Passive Capture Application: Manual de PCA
En función del tipo de sistema operativo, es posible que se necesite más
instalación. Revise todos los siguientes requisitos.
Distribuciones de sistema operativo admitidas para Packet
Forwarder
El software de Packet Forwarder puede instalarse en sistemas con los siguientes
sistemas operativos:
v Red Hat Enterprise Linux (RHEL) versiones 6 y 7
v SUSE Linux Enterprise Server (SLES) versión 11
Nota: Red Hat Enterprise Linux (RHEL) 7 utiliza el mismo paquete de instalación
y proceso que Red Hat Enterprise Linux (RHEL) 6. En este caso, utilice
tealeaf-pca-<nnnn>-<rrr>.RHEL6.i386.rpm para el paquete de instalación.
En función del tipo de sistema operativo, es posible que se necesite más
instalación. Revise todos los siguientes requisitos.
Inhabilitar SELinux
Antes de comenzar, se debe inhabilitar SELinux a través del sistema operativo para
todas las versiones de Red Hat Linux. Consulte Configuración del Hardware e
instalación del sistema operativo.
Inhabilitar iptables
En el servidor Linux que aloja la IBM Tealeaf CX Passive Capture Application,
inhabilite el uso de iptables. Para obtener más información, consulte
Configuración del Hardware e instalación del sistema operativo.
Hyperthreading
Nota: Si CX PCA está alojada en un servidor que da soporte a hyperthreading, no
lo inhabilite. Está habilitado en la mayoría de los servidores que lo soportan y se
debe habilitar para IBM Tealeaf CX Passive Capture Application.
Si utiliza varias instancias de CX PCA, no considere los procesadores virtuales con
hyperthreading como núcleos de CPU disponibles. Para calcular el número
máximo de instancias de CX PCA, solo considere los núcleos reales de CPU.
Consulte “Varias instancias de PCA” en la página 27.
SO multinúcleo de 32 bits
Para un sistema multinúcleo con un sistema operativo de 32 bits, el proceso de
instalación detecta de forma automática los procesadores adicionales e instala un
kernel SMP para habilitar el soporte multinúcleo. Se incluye el soporte de la
extensión de dirección física (PAE) como parte del kernel SMP y da soporte hasta a
16 GB de RAM en un sistema operativo de 32 bits.
SO multinúcleo de 64 bits
En un sistema multinúcleo con un sistema operativo de 64 bits, el proceso de
instalación no requiere de kernels adicionales.
Capítulo 2. Instalación de CX Passive Capture Application
23
Nota: La versión de 32 bits de las bibliotecas necesarias se debe instalar del disco
de instalación de la versión de 64 bits de Linux. Consulte “Paquetes necesarios”.
Inhabilitar SELinux
Las características de la mejora de seguridad de Red Hat Linux no son compatibles
con el IBM TealeafCX Passive Capture Application. No se permiten varios valores
del sistema en modo SELinux, y el sistema syslog no está disponible, lo que
previene que el PCA capture.log funcione.
v Si SELinux está habilitado y el script tealeaf se utiliza para iniciar captura, se
imprime un aviso.
v También se visualiza un mensaje de aviso en la consola web PCA cuando
SElinux está habilitado.
Antes de instalar el IBM Tealeaf CX Passive Capture Application, SELinux de debe
inhabilitar a través del sistema operativo. Para obtener más información, consulte
la documentación para su distribución de Linux.
Inhabilitar iptables
Puede inhabilitar el cortafuegos de Linux inhabilitando iptables.
En el servidor Linux que está alojando las IBM Tealeaf CX Passive Capture
Application, inhabilite el uso de iptables.
Nota: Si las iptables están habilitadas y no se pueden inhabilitar, puede
inhabilitar el cortafuegos a través de Linux para acceder a la consola web de PCA.
Para obtener más información, revise la documentación que vino con la
publicación de Linux.
Para inhabilitar iptables, ejecute los mandatos siguientes en el orden listado.
Nota: Para obtener más información acerca de iptables, revise la documentación
incluida en su publicación de Linux.
1. Mandatos:
service iptables save
service iptables stop
chkconfig iptables off
2. Reinicie el PCA.
Paquetes necesarios
El RPM de software de CX Passive Capture Application requiere los siguientes
paquetes, que se incluyen con una instalación mínima de RHEL y SLES.
Como parte de una instalación de sistema operativo de 32 bits, estos paquetes ya
deben estar instalados.
v Los debe instalar manualmente para las instalaciones de 64 bits. Mientras se
instalan automáticamente las versiones de 64 bits de estas bibliotecas, PCA
requiere las versiones de 32 bits y deben estar disponibles en el soporte de
instalación.
Nota: Se necesita una instalación mínima de Red Hat Enterprise Linux para la
instalación de Tealeaf. Si se necesita más configuración o software debido a
políticas locales relativas a los cortafuegos o software de supervisión, esos
componentes se deben instalar y configurar. Esto se lleva a cabo después de que se
haya completado la instalación mínima de Tealeaf y de que la captura pasiva esté
activa y en ejecución.
24
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Red hat Enterprise Linux Server release 5.6
Paquetes necesarios:
v bash-3.1-16.1
v coreutils-5.97-12.1.el5
v expat-1.95.8-8.2.1
v gawk-3.1.5-14.el5
v glibc-2.5-18
v libgcc-4.1.2-14.el5
v libgdbm-1.8.0-26.2.1
v libicudata.so.38
– Proporcionado con el rpm de Tealeaf
v libicuuc.so.38
– Proporcionado con el rpm de Tealeaf
v libstdc++-4.1.2-14.el5
v libxml2-2.6.26-2.1.2
v perl-5.8.8-10
v zlib-1.2.3-3
Red Hat Enterprise Linux Server release 6.1
Paquetes necesarios:
v bash-4.1.2-3.el6.i686
v coreutils-8.4-9.el6.i686
v gawk-3.1.7-6.el6.i686
v glibc-2.12-1.7.el6.i686
v libgcc-4.4.4-13.el6.i686
v libstdc++-4.4.4-13.el6.i686
v libxml2-2.7.6-1.el6.i686
v libicudata.so.38
– Proporcionado con el rpm de Tealeaf
v libicuuc.so.38
– Proporcionado con el rpm de Tealeaf
v openssl-1.0.0-4.el6.i686
v perl-5.10.1-115.el6.i686
v zlib-1.2.3-25.el6.i686
Red Hat Enterprise Linux Server release 6.5
Paquetes necesarios:
v glibc-2.12-1.132.el6_5.2.i686.rpm
v keyutils-libs-1.4-4.el6.i686.rpm
v krb5-libs-1.10.3-15.el6_5.1.i686.rpm
v libcom_err-1.41.12-18.el6.i686.rpm
v libgcc-4.4.7-4.el6.i686.rpm
v libselinux-2.0.94-5.3.el6_4.1.i686.rpm
v libstdc++-4.4.7-4.el6.i686.rpm
Capítulo 2. Instalación de CX Passive Capture Application
25
v
v
v
v
libxml2-2.7.6-14.el6_5.2.i686.rpm
nss-softokn-freebl-3.14.3-10.el6_5.i686.rpm
openssl-1.0.1e-16.el6_5.14.i686.rpm
zlib-1.2.3-29.el6.i686.rpm
Red Hat Enterprise Linux Server release 7
Paquetes necesarios:
v glibc-2.12-1.132.el6_5.2.i686.rpm
v keyutils-libs-1.4-4.el6.i686.rpm
v krb5-libs-1.10.3-15.el6_5.1.i686.rpm
v libcom_err-1.41.12-18.el6.i686.rpm
v libgcc-4.4.7-4.el6.i686.rpm
v libselinux-2.0.94-5.3.el6_4.1.i686.rpm
v libstdc++-4.4.7-4.el6.i686.rpm
v libxml2-2.7.6-14.el6_5.2.i686.rpm
v nss-softokn-freebl-3.14.3-10.el6_5.i686.rpm
v openssl-1.0.1e-16.el6_5.14.i686.rpm
v zlib-1.2.3-29.el6.i686.rpm
SUSE Linux Enterprise Server 11
Paquetes necesarios:
v bash-3.2-147.3
v coreutils-6.12-32.17
v gawk-3.1.6-1.22
v glibc-2.9-13.2
v libgcc43-4.3.3_20081022-11.18
v libstdc++6-4.7.2
v libxml2-2.7.1-10.8
v zlib-1.2.3-106.34
Instalación de los paquetes necesarios
Los paquetes necesarios se deben instalar para que el rpm de tealeaf-pca se instale
correctamente.
Nota: La instalación se debe ejecutar como raíz. Consulte Configuración del
Hardware e instalación del sistema operativo.
Para visualizar los paquetes necesarios para la máquina específica, ejecute lo
siguiente:
rpm -q --requires -p tealeaf-pca-XXXX-1.YYYY.ZZZZ.rpm | fgrep -v rpmlib | \
sort -u | while read x; do rpm -q --whatprovides ${x}; done | sort -u
Donde:
v XXXX es el número de compilación de PCA
v YYYY es la distribución de Linux
v ZZZZ es la arquitectura
26
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Nota: RHEL (Red Hat Enterprise Linux) 7 utiliza el mismo paquete de instalación
de PCA y se procesa como RHEL (Red Hat Enterprise Linux) 6.x. En este caso,
utilice tealeaf-pca-<xxxx>-1.RHEL6.<zzzz>.rpm para el paquete de instalación.
Si no se pueden encontrar los RPM en el disco/iso de instalación, póngase en
contacto con el administrador de Linux.
Nota: La mayoría de las versiones de Linux incluyen un sistema automatizado de
repositorio de RPM que puede buscar y actualizar los RPM que faltan. RHEL
utiliza el sistema de repositorio YUM. SUSE utiliza el sistema de repositorio YAST.
Tealeaf no proporciona estos RPM.
Varias instancias de PCA
Puede instalar varias instancias de IBM TealeafCX Passive Capture Application.
Nota: La siguiente fórmula y las notas asociadas se deben utilizar como directrices
al configurar varias instancias de PCA. Utilícelas para estimar los requisitos y esté
preparado para realizar ajustes en base a patrones de tráfico y uso de CPU.
Para calcular el número máximo recomendado de instancias de PCA en el entorno
de Tealeaf, utilice la siguiente fórmula:
# of PCA instances = # of physical cores - # of PCA pipelines - 1.
Por ejemplo, si el entorno tiene 16 núcleos físicos, puede esperar tener hasta 15
instancias de PCA para utilizar.
Nota: Para cada conducto de PCA adicional dentro de una instancia de aplicación
de PCA, debe deducir uno del número máximo de instancias de PCA, tal como se
indica en la fórmula anterior.
Nota: No considere a los procesadores virtuales con hyperthreading como núcleos
disponibles. El proceso de hyperthreading proporciona pocas mejoras en el
rendimiento del proceso de PCA altamente intensivo para CPU y no se debe
considerar en el uso esperado.
El límite anterior supone que cada núcleo de PCA está utilizando más del 60% de
la capacidad. Si los núcleos están utilizando mucho menos que esta capacidad,
puede aumentar el número de instancias de PCA sobre este límite.
Si utiliza una tarjeta de aceleración, puede aumentar este número máximo, ya que
el impacto se descarga en el hardware de la tarjeta.
Nota: Cuando se descarga un cifrado en una tarjeta de aceleración de SSL, puede
necesitar un mayor número de instancias para capturar y procesar la carga de
tráfico de forma eficaz.
Segmentar tráfico a través de varias instancias de PCA
Puede añadir instancias de PCA a través de la consola web de PCA. PCA soporta
varios métodos de segmentación de tráfico:
Para instancias de PCA no TLB:
v Filtrado de las direcciones IP/Puerto del host del servidor web: el método típico
y preferido para la segmentación de tráfico por la instancia de PCA es filtrar a
las direcciones IP/Puerto del host del servidor web.
Capítulo 2. Instalación de CX Passive Capture Application
27
v Filtrado de la segmentación de puerto de cliente de TCP: La segmentación de
puerto de cliente de TCP puede utilizarse cuando el tráfico de captura se
presenta como una única dirección IP de web virtual (VIP).
Nota: Las instancias de PCA son sensibles al IP/Puerto. No añada instancias de
PCA si no dispone de las direcciones IP o puertos para segregar el tráfico de
captura.
Nota: Si la segregación IP/puerto no está habilitada en el entorno con varios CPU,
al menos puede crear dos instancias de PCA. La primera instancia maneja tráfico
que no sea de SSL en el puerto 80, mientras que la segunda maneja transacciones
de SSL en el puerto 443. Este acuerdo no se aprovecha demasiado de las tarjetas de
aceleración de SSL.
Algunas opciones:
v Mueva el punto de captura luego de cualquier balanceador de carga.
v Utilice direcciones IP del lado de cliente para segregar el tráfico en varias
instancias. Si tiene un número razonable de direcciones IP de NAT, puede
agrupar direcciones entrantes en bloques de máscara de red o basadas de forma
discreta en direcciones IP para entregar al manejador apropiado.
Para instancias de PCA de TLB:
Cuando está habilitada la modalidad TLB, ya no se necesita el proceso de
determinar cómo segmentar el tráfico de captura de red. El tráfico de captura de
red se segmenta automáticamente y se distribuye para crear un entorno de
equilibrio de carga transparente. La modalidad TLB no requiere tanta
configuración en la interfaz de red como la modalidad no TLB.
Para obtener más información acerca de la adición de instancias de PCA, consulte
“Consola Web de PCA - Pestaña Interfaz” en la página 90.
Cambios en el servidor PCA (área de control de páginas)
Cuando se instala el paquete rpm, el PCA se instala de forma predeterminada en
/usr/local/ctccap. Además del directorio de instalación, se realizan otros cambios
en el sistema.
El paquete crea el directorio de archivos de registro en /var/log/tealeaf de forma
predeterminada, si no existe.
v En versiones anteriores del PCA, el directorio de registro era
/usr/local/ctccap/logs.
v Al actualizar desde una versión anterior con un directorio no vacío
/usr/local/ctccap/logs, el paquete utiliza el directorio existente del directorio
más reciente /var/log/tealeaf. Este comportamiento está pensado para evitar
sorprender al usuario dejando archivos de registro antiguos en el directorio
antiguo (/usr/local/ctccap/logs) y escribir nuevos archivos de registro para el
nuevo valor predeterminado (/var/log/tealeaf).
Nota: Esta comprobación para /usr/local/ctccap/logs es independiente del
prefijo de instalación que se elige para la instalación para la actualización. Si
instala la Captura pasiva en /opt/tealeaf, el paquete todavía busca un
directorio no vacío /usr/local/ctccap/logs.
28
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Los archivos tealeaf-pca no se usan actualmente y están reservados para su uso en
el futuro. Los archivos tealeaf-web los utiliza el httpd.conf predeterminado para la
consola web. Los archivos tealeaf-tts se proporcionan para su conveniencia al
configurar conexiones SSL con el servicio de transporte TeaLeaf. El directorio
/usr/local/ctccap/etc es normalmente de escritura por el usuario raíz y de
captura, ctccap.
v Instalar archivo crontab: /etc/cron.d/tealeaf. El archivo crontab planifica la
ejecución de "tealeaf cron" como usuario root.
v Instale los scripts siguientes de inicialización en /etc/init.d:
– tealeaf-pca
– tealeaf-startup
v Cree el archivo capture.log file en el directorio de archivos de registro, si el
archivo no existe.
El paquete realiza las siguientes acciones que modifican directorios y archivos
fuera del prefijo de instalación.
v Crea el grupo ctccap si no existe.
v Crea el usuario ctccap si no existe.
v Establece /usr/local/ctccap/bin/listend y /usr/local/ctccap/bin-debug/
listend como raíz de bit de modalidad establecer-ID-usuario (que se necesita
para que listend abra dispositivos eth para que realicen el examen del paquete;
se despliega a ctccap de usuario después de que se abren los dispositivos eth).
v Elimina los archivos de la sesión PHP en /tmp; se asume que son archivos de
sesión PHP para la consola web de captura pasiva.
v Actualiza /etc/syslog.conf (si es necesario) para asegurarse de que contiene
una entrada para el recurso local0 en el archivo capture.log en el directorio de
archivo de registro.
v Reinicia syslogd para obligarlo a volver a cargar su configuración y utilizar
cambios que se realicen a /etc/syslog.conf.
v Añade el archivo /etc/ld.so.conf.d/tealeaf.conf o modifica /etc/ld.so.conf
para apuntar a /usr/local/ctccap/lib para asegurarse de que las bibliotecas
compartidas están enlazadas correctamente en tiempo de ejecución.
Requisitos de PCA y reenviador de paquetes para los
despliegues basados en la nube
El reenviador de paquetes de CX PCA captura el tráfico web que se produce entre
un cliente y el servidor web y reenvía los datos a una instancia de PCA virtual
centralizada.
Cada servicio reenviador de paquetes que esté en ejecución en el servidor web se
conecta a un servicio de escucha que está en ejecución en el servidor de PCA. Para
obtener más información, consulte “Visión general del Packet Forwarder” en la
página 6.
Los siguientes requisitos deben cumplirse para utilizar una PCA en un entorno de
servidor web basado en nube alojado por Softlayer.
Cada reenviador de paquetes necesita los siguientes recursos:
v Un procesador principal que esté dedicado al servicio. La velocidad del núcleo
de CPU requiere una velocidad de procesador mínima de 2,0 GHz.
v El reenviador de paquetes requiere la versión de Red Hat Linux (RHEL) 6.4
como mínimo para funcionar.
Capítulo 2. Instalación de CX Passive Capture Application
29
Nota: Si un reenviador de paquetes se despliega en un entorno operativo de 64
bits, debe instalar las versiones de 32 bits de las bibliotecas yum install
glibc.i686 yum e install zlib.i686.
v En los entornos que utilizan una gran cantidad de ancho de banda, configure los
sondeos del reenviador de paquetes para los servidores web y de aplicaciones
para generar instancias dinámicas. La generación de instancias dinámicas
permiten al reenviador de paquetes utilizar una agrupación de conexiones de
socket de red para localizar un escucha de paquetes.
v Cada instancia de par de reenviador de paquetes y escucha de paquetes requiere
un puerto dedicado. El primer par de reenviador de paquetes y escucha de
paquetes utiliza el puerto 1888 para comunicarse. Cada par adicional utilizaría
un número de puerto incremental. Por ejemplo, si tiene diez pares de
reenviadores de paquetes y escuchas de paquetes, debe asegurarse de que los
puertos del 1888 al 1898 estén abiertos en los valores del cortafuegos del sistema
operativo y los valores de cortafuegos de red.
Cada servicio de escucha de paquetes necesita los siguientes recursos:
v Un mínimo de cuatro núcleos de procesador; cada núcleo debe funcionar a una
velocidad mínima de 2,0 GHz y debe tener asignado un mínimo de 8 GB de
memoria.
v Versión de Red Hat Linux (RHEL) 6.4 como mínimo para funcionar.
v Cada instancia de par de reenviador de paquetes y escucha de paquetes requiere
un puerto dedicado. El primer par de reenviador de paquetes y escucha de
paquetes utiliza el puerto 1888. Cada par adicional utilizaría un puerto extra.
Por ejemplo, si tiene diez reenviadores de paquetes y escuchas de paquetes, debe
asegurarse de que los puertos del 1888 al 1898 estén abiertos en los valores del
cortafuegos del sistema operativo y los valores de cortafuegos de red.
Instalación de paquete
La siguiente información describe el paquete de instalación de IBM TealeafCX
Passive Capture Application.
El nombre de archivo del paquete de software de captura pasiva de Tealeaf es
similar al siguiente:
tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm
Donde:
v <nnnn> es el número de versión de compilación; por ejemplo, 3650.
v <rrr> es el número de revisión de RPM. Esto suele ser un número de un solo
dígito.
v <distro> es un identificador para la distribución de Linux, como por ejemplo
"RHELn" para Red Hat Enterprise Linux release n.
Nota: RHEL (Red Hat Enterprise Linux) 7 utiliza el mismo paquete de instalación
de PCA y se procesa como RHEL (Red Hat Enterprise Linux) 6.x. En este caso,
utilice tealeaf-pca-<nnnn>-<rrr>.RHEL6.i386.rpm para el paquete de instalación.
Puede acceder al paquete de instalación de IBM TealeafCX Passive Capture
Application a través de IBM Passport Advantage Online.
Pasos previos a la instalación
Antes de empezar con el proceso de instalación, siga los pasos siguientes:
30
IBM Tealeaf CX Passive Capture Application: Manual de PCA
1. Enchufe un cable de red en directo desde su LAN en el puerto de red LAN. No
enchufe ningún otro cable de red en los otros puertos de red.
2. Inserte el disco 1 del CD-ROM de Instalación de Red Hat Enterprise Linux
arrancable en la unidad de CD-ROM.
3. Encienda la alimentación de la máquina.
4. Especifique la configuración del BIOS y establezca el reloj CMOS en la hora
media de Greenwich (GMT).
5. Salga del BIOS. La máquina arranca y se visualiza la pantalla inicial de
instalación de Red Hat Enterprise Linux.
6. Pulse SPACEBAR para impedir el arranque automático.
7. Continúe a la sección Instalación de Red Hat Enterprise Linux.
Nota: El huso horario de Captura pasiva normalmente se configura con el huso
horario local. El Paso 4 permite configurar y modificar el huso horario de la
Captura pasiva sin tener que cambiar el reloj CMOS.
Usuarios del sistema operativo
El PCA (área de control de páginas) se debe instalar utilizando la cuenta de
usuario raíz. Durante el proceso de instalación, se crea el usuario PCA ctccap.
Durante la ejecución, el usuario ctccap ejecuta los procesos PCA,
independientemente del usuario que los inició.
Nota: No utilice el usuario sudo root para la instalación. Aunque puede mostrar
que se ha completado la instalación, varios capturan errores que indican que la
instalación ha fallado. Estos errores pueden incluir errores como "restarting too
rapidly", errores para iniciar las interfaces, problemas de permisos, y más.
Asegúrese de utilizar un inicio de sesión de usuario root verdadero.
No es necesario que inicie una sesión en el sistema utilizando el usuario root. Si
embargo, el usuario ctccap debe tener los permisos para ejecutar los mandatos
tealeaf start y tealeaf stop. Es necesario ejecutar con permisos limitados root
como se describe.
Como un tráfico de red pasivo que está capturando una aplicación que se ejecuta
bajo un sistema operativo de bolsa Linux, el PCA requiere permisos de sistema
específicos para capturar pasivamente paquetes de red. Mediante el sistema
operativo, el PCA debe ser capáz de colocar NIC (controladores de interfaz de red)
del sistema de red en modalidad de captura promiscua. Permite al PCA escuchar
pasivamente todo el tráfico de red presentado a los controladores de interfaz de
red designados. Es necesario ejecutar el proceso de aplicación específico como un
permiso de raíz .
Para minimizar los problemas de seguridad, sólo un módulo específico de
aplicación PCA necesita permiso para el tráfico que está capturando. Todos los
otros módulo de aplicación PCA se ejecutan con permisos de usuario no root.
El módulo de captura sólo escucha una copia del tráfico de red suministrado. El
módulo no puede inyectar cualquier tráfico en absoluto entre su servidor web y el
navegador del cliente.
Copia del paquete de instalación desde el disco CD-ROM
Utilice el procedimiento siguiente para capturar el paquete de instalación desde el
CD-ROM a la unidad local.
1. Inserte el disco CD-ROM en la unidad de CD-ROM.
Capítulo 2. Instalación de CX Passive Capture Application
31
2. Escriba los mandatos siguientes, reemplazar <nnnn>, <rrr>, y <distro> con los
números apropiados para el archivo de paquete:
mount /mnt/cdrom
cp /mnt/cdrom/tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm /root
umount /mnt/cdrom
3. Expulse el disco CD-ROM y elimínelo.
Instalación del software de PCA
Utilice la información siguiente para instalar el software de PCA en su servidor
físico o en una máquina virtual. Si está desplegando CX Passive Capture
Application en un entorno basado en la nube, consulte los procedimientos de
instalación para dichos entornos.
1. Inicie sesión en el servidor web utilizando la cuenta root.
Nota: La instalación se debe ejecutar como raíz. Consulte Configuración del
Hardware e instalación del sistema operativo.
2. Abra un indicador de mandatos.
3. Escriba rpm -ivh tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm para instalar el
software de PCA.
Donde:
v <nnnn> es el número de versión de compilación; por ejemplo, 3650.
v <rrr> es el número de revisión de RPM. Los números de revisión suelen ser
un número de un único dígito.
v <distro> es un identificador para la distribución de Linux, como por ejemplo
"RHELn" para Red Hat Enterprise Linux release n.
Nota: RHEL (Red Hat Enterprise Linux) 7 utiliza el mismo paquete de
instalación de PCA y se procesa como RHEL (Red Hat Enterprise Linux) 6.x. En
este caso, utilice tealeaf-pca-<nnnn>-<rrr>.RHEL6.i386.rpm para el paquete de
instalación.
También puede utilizar Yum Package Manager para instalar el paquete
tealeaf-pca ejecutando el siguiente mandato:
yum install tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm
De forma predeterminada, el software de la CX PCA se instala en
/usr/local/ctccap.Puede especificar el directorio alternativo utilizando la
opción --prefix del mandato rpm junto con los mandatos de instalación y
actualización.
A continuación se muestran algunos ejemplos de invocaciones rpm.
rpm -i --prefix=/opt/tealeaf tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm
rpm -U --prefix=/home/tealeaf tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm
Si no utiliza la opción --prefix durante una instalación o actualización, RPM
utiliza el directorio de instalación predeterminado que se especifica en el
archivo del paquete de PCA de Tealeaf, que es /usr/local/ctccap. Una vez
reubicado un paquete, debe especificar el directorio alternativo de modo que el
paquete compruebe y actualice correctamente las instalaciones anteriores.
Cuando se hayan extraído los archivos del paquete rpm, siga la lista de
comprobación posterior a la instalación para validar la instalación e iniciar el
proceso de configuración.
32
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Instalación del reenviador de paquetes
El reenviador de paquetes de Tealeaf se utiliza para reenviar el tráfico web que se
transmite entre un cliente y un servidor web basado en nube a una PCA basada en
nube.
El reenviador de paquetes de Tealeaf se empaqueta con el software de Tealeaf PCA
y comparte los mismos requisitos que el software de Tealeaf PCA.
Instalación basada en nube con un servidor proxy inverso
Si la solución web basada en nube incluye un servidor proxy inverso, puede
instalar el software de reenviador de paquetes en el servidor proxy inverso y en el
servidor de PCA. Después de instalar el software de reenviador de paquetes, debe
configurar la instancia de transmisor de reenviador de paquetes en el servidor
proxy inverso y las instancias de receptor de reenviador de paquetes en la PCA.
Instalación basada en nube con ningún servidor proxy inverso
Si la solución web basada en nube no incluye un servidor proxy inverso, puede
instalar el software de reenviador de paquetes en cada servidor web en el entorno
basado en nube y en el servidor de PCA. Después de instalar el software de
reenviador de paquetes, debe configurar las instancias de transmisor de reenviador
de paquetes en los servidores web y las instancias de receptor de reenviador de
paquetes en la PCA. Cada instancia de transmisor requiere una instancia de
receptor dedicado.
Ejecute el siguiente mandato para instalar el paquete tealeaf-pktfwdr.
v Si utiliza Red Hat Package Manager, escriba lo siguiente:
rpm -ivh tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm
rpm -ivh --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm
Donde:
– <nnnn> es el número de versión de compilación; por ejemplo, 3650.
– <rrr> es el número de revisión de RPM. Esto suele ser un número de un solo
dígito.
– <distro> es un identificador para la distribución de Linux, como por ejemplo
"RHELn" para Red Hat Enterprise Linux release n.
Nota: RHEL (Red Hat Enterprise Linux) 7 utiliza el mismo paquete de
instalación de reenvío de paquetes y se procesa como RHEL (Red Hat Enterprise
Linux) 6.x. En este caso, utilice tealeaf-pca-<nnnn>-<rrr>.RHEL6.i386.rpm para el
paquete de instalación.
v Si utiliza Yellowdog Updater Modified (Yum), escriba lo siguiente:
yum install tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm
yum install --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm
Donde:
– <nnnn> es el número de versión de compilación; por ejemplo, 3650.
– <rrr> es el número de revisión de RPM. Esto suele ser un número de un solo
dígito.
– <distro> es un identificador para la distribución de Linux, como por ejemplo
"RHELn" para Red Hat Enterprise Linux release n.
De forma predeterminada, el software de PCA se instala en /usr/local/ctccap.
Capítulo 2. Instalación de CX Passive Capture Application
33
Puede reubicar el paquete en un directorio distinto del directorio
predeterminado/usr/local/ctccap. Puede especificar el directorio alternativo
utilizando la opción --prefix del mandato rpm junto con los mandatos de
instalación y actualización.
A continuación se muestran algunos ejemplos de invocaciones rpm.
rpm -i --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm
rpm -U --prefix=/home/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm
Donde:
v <nnnn> es el número de versión de compilación; por ejemplo, 3650.
v <rrr> es el número de revisión de RPM. Esto suele ser un número de un solo
dígito.
v <distro> es un identificador para la distribución de Linux, como por ejemplo
"RHELn" para Red Hat Enterprise Linux release n.
Cuando no utiliza la opción --prefix durante una instalación o actualización, RPM
utiliza el directorio de instalación predeterminado que se especifica en el archivo
de paquete, que es /usr/local/ctccap. Si reubica un paquete, debe asegurarse de
especificar siempre el directorio alternativo de modo que el paquete pueda
comprobar de forma precisa si hay instalaciones anteriores y actualizarlas.
Si no se utiliza un directorio de instalación personalizado, se crea la siguiente
estructura de directorios.
/opt/tealeaf/
/bin/pktfwdr
/bin/ctcstats
/etc/fwdr-conf.xml
/etc/fwdr-conf-defaults.xml
/sbin/
Se instalan los siguientes archivos principales:
Nota: Esta no es una lista completa de cada archivo que el instalador copia en el
disco.
Tabla 6. Componentes de archivos instalados
Nombre de archivo
Descripción
pktfwdr
Daemon del reenviador de paquetes
Para iniciar una instancia del reenviador de paquetes, ejecute
/user/local/ctccap/bin/pktfwdr -t como usuario root.
ctcstats
Estadísticas/métricas operativas
fwdr-conf.xml
Archivo de configuración del reenviador de paquetes
fwdr-conf-defaults.xml
Archivo de configuración predeterminado
Nota: Si utiliza una versión de 64 bits de Red Hat Enterprise Linux, ejecute uno de
los siguientes mandatos para instalar las bibliotecas de compatibilidad de 32 bits
necesarias:
yum install glibc.i686
yum install zlib.i686
o
yum install rpm -ivh --prefix=/opt/tealeaf
tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686_24thApr14.rpm
Una vez que se ha completado la instalación, debe configurar las instancias del
reenviador de paquetes.
34
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Mandatos del Packet Forwarder
Puede ejecutar el programa de utilidad de Packet Forwarder con opciones de
mandatos.
El Packet Forwarder puede ejecutarse con opciones para iniciar una instancia,
detener una instancia y más. Por ejemplo, para iniciar el Packet Forwarder, ejecute
/user/local/ctccap/bin/pktfwdr -t donde -t es la opción que inicia al Packet
Forwarder que inicie el servicio.
Las siguientes opciones están disponibles al ejecutar el Packet Forwarder.
Tabla 7. Mandatos del Packet Forwarder
Opción
Descripción
-c <archivo de
configuración>
Altera temporalmente el archivo de configuración
predeterminado y le ofrece la posibilidad de utilizar un
archivo de configuración personalizado, donde <archivo de
configuración> es el nombre del archivo de configuración.
-D
Suprimir SHM de transmisor.
-d
Opción de depuración.
-e
Encapsular modalidad de paquetes.
-f <regla de filtro>
Alterar temporalmente las reglas de filtro que se especifican en
el archivo de configuración.
-h
Versión y lista de opciones.
-i <interfaz NIC>
Alterar temporalmente los valores de NIC que se especifican
en el archivo de configuración.
-I <instancias#>
Especifica el número de instancias de transmisor para cargar,
donde <instancias> es el número de instancias que desea
ejecutar.
-k
Detener el servicio y sus instancias.
-l
Informa si el servicio se está ejecutando.
-n
Opción de depuración para un entorno autónomo.
-t
Iniciar el servicio.
Instalación de PCA en la nube de Softlayer
Las instrucciones siguientes se utilizan para desplegar la PCA en un entorno
basado en nube Softlayer.
También se recomienda verificar que las máquinas virtuales puedan comunicarse
entre sí. Póngase en contacto con el administrador de red para asegurarse de que
todos los puertos de red necesarios están abiertos para el software de PCA, los
reenviadores de paquetes y los escuchas de paquetes.
Las instalaciones de sitio web habituales en la nube utilizan un equilibrador de
carga virtual para distribuir el tráfico web a un nivel de servidor web suministrado
dinámicamente que consta de varias instancias de servidor web. Cada instancia de
servidor web necesita que se instale un reenviador de paquetes para reenviar el
tráfico web capturado a una PCA centralizada que se ejecuta en una máquina
virtual para su proceso.
El proceso de instalación consiste en instalar los reenviadores de paquetes en las
instancias web e instalar la PCA centralizada en la máquina virtual alojada.
Capítulo 2. Instalación de CX Passive Capture Application
35
Requisitos de PCA para una máquina virtual de Softlayer
Antes de instalar la PCA en una máquina virtual Softlayer, asegúrese de que la
máquina virtual cumple los requisitos de hardware y software para el software de
PCA. Los requisitos de hardware y software se identifican en una lista de
comprobación previa a la instalación. Para obtener más información, consulte Lista
de comprobación previa a la instalación.
Los elementos siguientes también son necesarios:
v Softlayer suministra máquinas físicas o servidores virtuales dedicados para
proporcionar la máxima flexibilidad de la infraestructura de red. Los servidores
pueden configurarse con valores de red dinámica o estática. Puede ser necesario
proporcionar direcciones IP internas estáticas para permitir la comunicación
interna de instancia a instancia donde las direcciones IP asignadas se mantienen
si las instancias se detienen o se cambian de orden. Esto es necesario para volver
a establecer las conexiones de red entre la instancia del escucha de PCA y sus
instancias de sondeo de reenviador de paquetes.
v Cada servidor que aloja una instancia de servidor web debe tener un núcleo de
CPU dedicado a la ejecución del servicio reenviador de paquetes. La velocidad
mínima del núcleo es 2,0 GHz.
v Si la aplicación de servidor web y las instancias del reenviador de paquetes
están instaladas en Linux Red Hat, se necesita RHEL 6.4 como versión mínima.
v Se recomienda inhabilitar SELinux. Si está habilitado, configure los valores del
cortafuegos para permitir la comunicación en los puertos utilizados por los
reenviadores de paquetes y los escuchas de paquetes.
v Si la instancia de servidor web utiliza una versión de 64 bits de Linux Red Hat,
las versiones de 32 bits de glibc y zlib deben estar desplegadas durante el
proceso de instalación.
v En el servidor de PCA, cada servicio de escucha de paquetes requiere cuatro
núcleos de CPU. Cada núcleo de CPU debe ser de 2.0 GHz o más y tener 8 GB
de memoria dedicada.
v Configure los valores del cortafuegos para permitir la comunicación en el puerto
1888. El número de los puertos se incrementa en uno para cada reenviador de
paquetes adicional que se despliegue. Si se despliegan cinco reenviadores de
paquetes, los puertos del 1888 al 1892 deben estar abiertos. Los puertos los
utilizan los reenviadores de paquetes para enviar información a los escuchas de
paquetes, que procesan los datos en la PCA.
Instalación del reenviador de paquetes
Nota: El número máximo de instancias de servidor web debe conocerse antes de
realizar el proceso de instalación. El número de instancias de servidor web se
utiliza en la configuración del reenviador de paquetes para determinar el número
máximo de conexiones TCP activas que pueden conectarse al receptor de sockets
de PCA de destino.
Nota: Debe haber iniciado la sesión como usuario root para realizar todas las
instalaciones relacionadas con la PCA. La realización de una instalación utilizando
otra cuenta puede impedir que se disponga de los permisos que son necesarios
para instalar satisfactoriamente el software.
36
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Utilice el rpm de instalación para instalar el reenviador de paquetes en cada
instancia web. El directorio de instalación predeterminado es /usr/local/ctccap.
Puede utilizar la opción --prefix al ejecutar el mandato de instalación para
instalar el software en otro directorio.
Para instalar el software, ejecute rpm -ivh --prefix=/opt/tealeaf
tealeaf-pktfwdr-xxxx-1.RHEL6.i686.rpm, donde xxxx es el número de versión del
software de PCA.
El reenviador de paquetes requiere bibliotecas de 32 bits adicionales si va a
instalarlo en una versión de 64 bits de Linux. Para instalar todas las bibliotecas
dependientes, ejecute el mandato siguiente:
yum -y install tealeaf-pktfwdr-3650-1.RHEL6.i686.rpm
Nota: Si no va a instalar el reenviador de paquetes en el directorio
predeterminado, debe instalar las bibliotecas glibc y zlib manualmente con los
mandatos siguientes:
1. yum install glibc.i686
2. yum install zlib.i686
Utilice la opción --prefix para especificar la vía de acceso de instalación.
Los archivos siguientes se utilizan para configurar y ejecutar el reenviador de
paquetes.
Tabla 8. Archivos necesarios de configuración y operativos del reenviador de paquetes
Nombre de archivo
Descripción
/bin/pktfwdr
Daemon del reenviador de paquetes
/bin/ctcstats
Métricas y estadísticas operativas
/etc/fwdr-conf.xml
Archivo de configuración del reenviador de
paquetes
/etc/fwdr-conf-defaults.xml
Archivo de configuración predeterminado
Configure el reenviador de paquetes editando el archivo de configuración
/etc/fwdr-conf.xml.
1. Edite la etiqueta PrimaryInterface para añadir el nombre de dispositivo NIC
virtual que el reenviador de paquetes utiliza para capturar el tráfico del
servidor web. En la mayoría de las instalaciones, el nombre del dispositivo NIC
es eth0.
2. Localice la etiqueta ListenTos y añada en el archivo de configuración los
puertos adicionales de los que desea que se capture el tráfico. Los puertos 80 y
443 aparecen listados de forma predeterminada.
3. Localice la etiqueta Delivery y edite las etiquetas Address y Port para incluir el
número de puerto y la dirección IP de la máquina virtual que aloja el servidor
de PCA centralizado.
Nota: Cada par de reenviador de paquetes y escucha utiliza un solo puerto. El
número de puerto predeterminado es 1888. Cuando se utilizan varios pares, la
dirección de puerto define el primer número de puerto que se utiliza para
definir un bloque de números de puerto. Por ejemplo, si va a capturar tráfico
Capítulo 2. Instalación de CX Passive Capture Application
37
de cinco servidores web, se utilizan cinco pares de reenviador de paquetes y
escucha de paquetes para capturar el tráfico. En este escenario, se utilizan los
puertos del 1888 al 1892.
4. Edite la etiqueta Puerto para definir el número de puerto para la conexión de
red. Cada reenviador de paquetes requiere un número de puerto exclusivo para
identificar una conexión de red exclusiva a la instancia de máquina virtual de
PCA centralizada. Los números de puerto deben asignarse en orden secuencial.
Esto lo requiere el receptor de sockets de PCA cuando se configura para las
conexiones de red de los reenviadores de paquetes. Si decide empezar por el
número de puerto 1888 para el primer reenviador de paquetes, cuando se
definan cinco serían explícitamente los puertos del 1888 al 1892.
5. Edite la etiqueta MaxRotatePeers para definir el número máximo de instancias
del servidor web que pueden suministrarse dinámicamente. El valor
predeterminado es 1. Si va a capturar tráfico de cinco servidores web,
establezca este valor en 5.
Nota: Si está asignando estáticamente un número fijo de instancias de servidor
web con reenviadores de paquetes asociados, MaxRotatePeers permanecerá
establecido en el valor predeterminado de 1. Cada reenviador de paquetes tiene
que configurarse con un número de puerto exclusivo para identificar una
conexión de red exclusiva con la instancia de máquina virtual de PCA
centralizada. Los números de puerto deben asignarse en orden secuencial. Esto
lo requiere el receptor de sockets de PCA cuando se configura para las
conexiones de red de los reenviadores de paquetes. Si decide empezar con el
número de puerto 1888 para el primer reenviador de paquetes, si define cinco
deberán ir explícitamente del 1888 al 1892.
6. Guarde los cambios en el archivo /etc/fwdr-conf.xml.
Instalación de una PCA centralizada en una máquina virtual de
Softlayer
Una PCA centralizada se utiliza para recibir la comunicación procedente de los
reenviadores de paquetes que están desplegados en las instancias de servidor web
en el entorno en nube. La instalación del software de PCA en una máquina virtual
es parecida al proceso de instalación en un servidor físico. Utilice el proceso
siguiente para instalar el software de PCA en una máquina virtual.
1. Instale el software de PCA en la máquina virtual. Si desea más información,
consulte los apartados “Instalación de paquete” en la página 30 y “Lista de
comprobación de postinstalación” en la página 44.
2.
3.
4.
5.
38
Nota: Ya ha instalado los reenviadores de paquetes en las instancias de
servidor web siguiendo las instrucciones de “Instalación del reenviador de
paquetes” en la página 36. “Instalación del reenviador de paquetes” en la
página 33 no se aplica a este procedimiento de instalación.
Inicie la sesión en la consola web de PCA.
Vaya a la pestaña Entrega y edite los valores de entrega del entorno. Para
obtener más información, consulte “Consola Web de PCA - Pestaña de
Entrega” en la página 110.
Vaya a la pestaña Interconexión y edite el valor de Instancias de
interconexión para configurar el número de instancias de interconexión para
la configuración. Para obtener más información sobre las instancias de
interconexión, consulte “Instancias de interconexión” en la página 120.
Seleccione Guardar cambios para guardar los valores de configuración
actualizados.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Nota: No reinicie el servidor de PCA.
6. Edite el archivo de configuración de PCA; para ello, abra
/usr/local/ctccap/etc/ctc-conf.xml en un editor de texto.
7. Vaya a los valores de la etiqueta Capture y edite los valores siguientes.
v Establezca ListenerSocketEnabled en true.
v Establezca TransparentLoadBalancingEnabled en false.
v Establezca SslSessionInfoOnMemcachedServer en false.
Nota: Si el servidor de PCA está configurado para descifrar tráfico SSL que
procede del reenviador de paquetes, establezca
SslSessionInfoOnMemcachedServer en true.
8. Vaya a los valores de la etiqueta Listener y edite los valores siguientes.
v Establezca BasePort de modo que coincida con el número de puerto que se
define en los valores de ListenTos del archivo de configuración de reenvío
de paquetes. Para acceder al archivo de configuración del reenviador de
paquetes, abra /etc/fwdr-conf.xml en una instancia de servidor web.
v Establezca Instances de modo que sea igual al número de reenviadores de
paquetes con los que la PCA se conecta.
9. Guarde los cambios en /usr/local/ctccap/etc/ctc-conf.xml.
10. Ejecute tealeaf restart para reiniciar los servicios de PCA.
Inicio del servidor de PCA y los reenviadores de paquetes
Se recomienda iniciar el servidor de PCA central antes de iniciar los reenviadores
de paquetes. Si los reenviadores de paquetes se inician antes de que el servidor de
PCA esté en ejecución, pueden experimentar condiciones de tiempo de espera
agotado de red y provocar un retraso en el tiempo que se tarda en conectar con el
servidor de PCA.
Para iniciar el servidor de PCA, ejecute tealeaf start all desde la máquina
virtual que aloja el servidor de PCA.
Para iniciar una instancia del reenviador de paquetes, ejecute service pktfwdr
start en cada instancia del servidor web.
Para detener un reenviador de paquetes, ejecute service pktfwdr stop en cada
instancia del servidor web.
Para comprobar el estado operativo de un reenviador de paquetes, ejecute service
pktfwdr status en cada instancia del servidor web.
Para ver las métricas disponibles de un reenviador de paquetes, ejecute
opt/tealeaf/bin/ctcstats -p en cada instancia del servidor web.
Para comprobar que un reenviador de paquetes se conecta al servidor de PCA,
utilice el programa de utilidad netstat. Si la conexión de puerto está configurada
para el puerto 1888, ejecute netstat -an|grep 1888. La salida devuelve un estado
de ESTABLISHED si el reenviador de paquetes está conectado al servidor de PCA. Si
no se establece una conexión, las reglas de cortafuegos de la red podrían no estar
configuradas para permitir la comunicación entre los reenviadores de paquetes y el
servidor de PCA. Compruebe los valores de configuración de red para los
reenviadores de paquetes y el servidor de PCA; a continuación, asegúrese de que
los valores de cortafuegos permiten la comunicación en esos valores de red.
Capítulo 2. Instalación de CX Passive Capture Application
39
Instalación de PCA en la nube de Microsoft Azure
Las instrucciones siguientes se utilizan para desplegar la PCA en un entorno
basado en nube Microsoft Azure.
También se recomienda verificar que las máquinas virtuales puedan comunicarse
entre sí. Póngase en contacto con el administrador de red para asegurarse de que
todos los puertos de red necesarios están abiertos para el software de PCA, los
reenviadores de paquetes y los escuchas de paquetes.
Las instalaciones de sitio web habituales en la nube utilizan un equilibrador de
carga virtual para distribuir el tráfico web a un nivel de servidor web suministrado
dinámicamente que consta de varias instancias de servidor web. Cada instancia de
servidor web necesita que se instale un reenviador de paquetes para reenviar el
tráfico web capturado a una PCA centralizada que se ejecuta en una máquina
virtual para su proceso.
El proceso de instalación consiste en instalar los reenviadores de paquetes en las
instancias web e instalar la PCA centralizada en la máquina virtual alojada.
Requisitos de PCA para una máquina virtual de Microsoft Azure
Antes de instalar la PCA en una máquina virtual Microsoft Azure, asegúrese de
que la máquina virtual cumple los requisitos de hardware y software para el
software de PCA. Los requisitos de hardware y software se identifican en una lista
de comprobación previa a la instalación. Para obtener más información, consulte
Lista de comprobación previa a la instalación.
Los elementos siguientes también son necesarios:
v Cada servidor que aloja una instancia de servidor web debe tener un núcleo de
CPU dedicado a la ejecución del servicio reenviador de paquetes. La velocidad
mínima del núcleo es 2,0 GHz.
v Si la aplicación de servidor web y las instancias del reenviador de paquetes
están instaladas en Linux Red Hat, se necesita RHEL 6.4 como versión mínima.
v Se recomienda inhabilitar SELinux. Si está habilitado, configure los valores del
cortafuegos para permitir la comunicación en los puertos utilizados por los
reenviadores de paquetes y los escuchas de paquetes.
v Si la instancia de servidor web utiliza una versión de 64 bits de Linux Red Hat,
las versiones de 32 bits de glibc y zlib deben estar desplegadas durante el
proceso de instalación.
v En el servidor de PCA, cada servicio de escucha de paquetes requiere cuatro
núcleos de CPU. Cada núcleo de CPU debe ser de 2.0 GHz o más y tener 8 GB
de memoria dedicada.
v Configure los valores del cortafuegos para permitir la comunicación en el puerto
1888. El número de los puertos se incrementa en uno para cada reenviador de
paquetes adicional que se despliegue. Si se despliegan cinco reenviadores de
paquetes, los puertos del 1888 al 1892 deben estar abiertos. Los puertos los
utilizan los reenviadores de paquetes para enviar información a los escuchas de
paquetes, que procesan los datos en la PCA.
Instalación del reenviador de paquetes
Nota: El número máximo de instancias de servidor web debe conocerse antes de
realizar el proceso de instalación. El número de instancias de servidor web se
40
IBM Tealeaf CX Passive Capture Application: Manual de PCA
utiliza en la configuración del reenviador de paquetes para determinar el número
máximo de conexiones TCP activas que pueden conectarse al receptor de sockets
de PCA de destino.
Nota: Debe haber iniciado la sesión como usuario root para realizar todas las
instalaciones relacionadas con la PCA. La realización de una instalación utilizando
otra cuenta puede impedir que se disponga de los permisos que son necesarios
para instalar satisfactoriamente el software.
Utilice el rpm de instalación para instalar el reenviador de paquetes en cada
instancia web. El directorio de instalación predeterminado es /usr/local/ctccap.
Puede utilizar la opción --prefix al ejecutar el mandato de instalación para
instalar el software en otro directorio.
Para instalar el software, ejecute rpm -ivh --prefix=/opt/tealeaf
tealeaf-pktfwdr-xxxx-1.SUSE11.i586.rpm, donde xxxx es el número de versión del
software de PCA.
El reenviador de paquetes requiere una biblioteca de 32 bits adicional si va a
instalarlo en una versión de 64 bits de Linux. Para instalar todas las bibliotecas
dependientes, ejecute el mandato siguiente:
zypper install zlib-32bit-1.2.7-0.10.128
Ejecute zypper clean -a para borrar la memoria caché de rpm local.
Los archivos siguientes se utilizan para configurar y ejecutar el reenviador de
paquetes.
Tabla 9. Archivos necesarios de configuración y operativos del reenviador de paquetes
Nombre de archivo
Descripción
/bin/pktfwdr
Daemon del reenviador de paquetes
/bin/ctcstats
Métricas y estadísticas operativas
/etc/fwdr-conf.xml
Archivo de configuración del reenviador de
paquetes
/etc/fwdr-conf-defaults.xml
Archivo de configuración predeterminado
Configure el reenviador de paquetes editando el archivo de configuración
/etc/fwdr-conf.xml.
1. Edite la etiqueta PrimaryInterface para añadir el nombre de dispositivo NIC
virtual que el reenviador de paquetes utiliza para capturar el tráfico del
servidor web. En la mayoría de las instalaciones, el nombre del dispositivo NIC
es eth0.
2. Localice la etiqueta ListenTos y añada en el archivo de configuración los
puertos adicionales de los que desea que se capture el tráfico. Los puertos 80 y
443 aparecen listados de forma predeterminada.
3. Localice la etiqueta Delivery y edite las etiquetas Address y Port para incluir el
número de puerto y la dirección IP de la máquina virtual que aloja el servidor
de PCA centralizado.
Nota: Cada par de reenviador de paquetes y escucha utiliza un solo puerto. El
número de puerto predeterminado es 1888. Cuando se utilizan varios pares, la
dirección de puerto define el primer número de puerto que se utiliza para
Capítulo 2. Instalación de CX Passive Capture Application
41
definir un bloque de números de puerto. Por ejemplo, si va a capturar tráfico
de cinco servidores web, se utilizan cinco pares de reenviador de paquetes y
escucha de paquetes para capturar el tráfico. En este escenario, se utilizan los
puertos del 1888 al 1892.
4. Edite la etiqueta Address para definir la dirección IP o el nombre de host de
PCA. Se trata de la dirección IP de la máquina virtual.
5. Edite la etiqueta Puerto para definir el número de puerto para la conexión de
red. Cada reenviador de paquetes requiere un número de puerto exclusivo para
identificar una conexión de red exclusiva a la instancia de máquina virtual de
PCA centralizada. Los números de puerto deben asignarse en orden secuencial.
Esto lo requiere el receptor de sockets de PCA cuando se configura para las
conexiones de red de los reenviadores de paquetes. Si decide empezar por el
número de puerto 1888 para el primer reenviador de paquetes, cuando se
definan cinco serían explícitamente los puertos del 1888 al 1892.
6. Edite la etiqueta MaxRotatePeers para definir el número máximo de instancias
del servidor web que pueden suministrarse dinámicamente. El valor
predeterminado es 1. Si va a capturar tráfico de cinco servidores web,
establezca este valor en 5.
Nota: Si está asignando estáticamente un número fijo de instancias de servidor
web con reenviadores de paquetes asociados, MaxRotatePeers permanecerá
establecido en el valor predeterminado de 1. Cada reenviador de paquetes tiene
que configurarse con un número de puerto exclusivo para identificar una
conexión de red exclusiva con la instancia de máquina virtual de PCA
centralizada. Los números de puerto deben asignarse en orden secuencial. Esto
lo requiere el receptor de sockets de PCA cuando se configura para las
conexiones de red de los reenviadores de paquetes. Si decide empezar con el
número de puerto 1888 para el primer reenviador de paquetes, si define cinco
deberán ir explícitamente del 1888 al 1892.
7. Guarde los cambios en el archivo /etc/fwdr-conf.xml.
Instalación de una PCA centralizada en una máquina virtual de
Microsoft Azure
Una PCA centralizada se utiliza para recibir la comunicación procedente de los
reenviadores de paquetes que están desplegados en las instancias de servidor web
en el entorno en nube. La instalación del software de PCA en una máquina virtual
es parecida al proceso de instalación en un servidor físico. Utilice el proceso
siguiente para instalar el software de PCA en una máquina virtual.
1. Instale el software de PCA en la máquina virtual. Si desea más información,
consulte los apartados “Instalación de paquete” en la página 30 y “Lista de
comprobación de postinstalación” en la página 44.
En la imagen de Azure nativa para Suse 11 SP3 (64 bits), se necesitan las
bibliotecas dependientes de 32 bits siguientes:
v libgcc_s1-32bit-4.7.2_20130108-0.17.2.x86_64.rpm
v libuuid1-32bit-2.19.1-6.54.1.x86_64.rpm
v libxml2-32bit-2.7.6-0.25.1.x86_64.rpm
v libstdc++6-32bit-4.7.2_20130108-0.17.2.x86_64.rpm
v zlib-32bit-1.2.7-0.10.128.x86_64.rpm
Para instalar las bibliotecas de 32 bits, ejecute zypper install
zlib-32bit-1.2.7-0.10.128.
Después de extraer las bibliotecas al disco, ejecute zypper clean -a para
borrar la memoria caché de rpm local.
42
IBM Tealeaf CX Passive Capture Application: Manual de PCA
2.
3.
4.
5.
Nota: Ya ha instalado los reenviadores de paquetes en las instancias de
servidor web siguiendo las instrucciones de “Instalación del reenviador de
paquetes” en la página 40. “Instalación del reenviador de paquetes” en la
página 33 no se aplica a este procedimiento de instalación.
Inicie la sesión en la consola web de PCA.
Vaya a la pestaña Entrega y edite los valores de entrega del entorno. Para
obtener más información, consulte “Consola Web de PCA - Pestaña de
Entrega” en la página 110.
Vaya a la pestaña Interconexión y edite el valor de Instancias de
interconexión para configurar el número de instancias de interconexión para
la configuración. Para obtener más información sobre las instancias de
interconexión, consulte “Instancias de interconexión” en la página 120.
Seleccione Guardar cambios para guardar los valores de configuración
actualizados.
Nota: No reinicie el servidor de PCA.
6. Edite el archivo de configuración de PCA; para ello, abra
/usr/local/ctccap/etc/ctc-conf.xml en un editor de texto.
7. Vaya a los valores de la etiqueta Capture y edite los valores siguientes.
v Establezca ListenerSocketEnabled en true.
v Establezca TransparentLoadBalancingEnabled en false.
v Establezca SslSessionInfoOnMemcachedServer en false.
Nota: Si el servidor de PCA está configurado para descifrar tráfico SSL que
procede del reenviador de paquetes, establezca
SslSessionInfoOnMemcachedServer en true.
8. Vaya a los valores de la etiqueta Listener y edite los valores siguientes.
v Establezca BasePort de modo que coincida con el número de puerto que se
define en los valores de ListenTos del archivo de configuración de reenvío
de paquetes. Para acceder al archivo de configuración del reenviador de
paquetes, abra /etc/fwdr-conf.xml en una instancia de servidor web.
v Establezca Instances de modo que sea igual al número de reenviadores de
paquetes con los que la PCA se conecta.
9. Guarde los cambios en /usr/local/ctccap/etc/ctc-conf.xml.
10. Ejecute tealeaf restart para reiniciar los servicios de PCA.
Inicio del servidor de PCA y los reenviadores de paquetes
Se recomienda iniciar el servidor de PCA central antes de iniciar los reenviadores
de paquetes. Si los reenviadores de paquetes se inician antes de que el servidor de
PCA esté en ejecución, pueden experimentar condiciones de tiempo de espera
agotado de red y provocar un retraso en el tiempo que se tarda en conectar con el
servidor de PCA.
Para iniciar el servidor de PCA, ejecute /usr/local/bin/tealeaf start all desde
la máquina virtual que aloja el servidor de PCA.
Para iniciar una instancia del reenviador de paquetes, ejecute service pktfwdr
start en cada instancia del servidor web.
Para detener un reenviador de paquetes, ejecute service pktfwdr stop en cada
instancia del servidor web.
Capítulo 2. Instalación de CX Passive Capture Application
43
Para comprobar el estado operativo de un reenviador de paquetes, ejecute service
pktfwdr status en cada instancia del servidor web.
Para ver las métricas disponibles de un reenviador de paquetes, ejecute
opt/tealeaf/bin/ctcstats -p en cada instancia del servidor web.
Para comprobar que un reenviador de paquetes se conecta al servidor de PCA,
utilice el programa de utilidad netstat. Si la conexión de puerto está configurada
para el puerto 1888, ejecute netstat -an|grep 1888. La salida devuelve un estado
de ESTABLISHED si el reenviador de paquetes está conectado al servidor de PCA. Si
no se establece una conexión, las reglas de cortafuegos de la red podrían no estar
configuradas para permitir la comunicación entre los reenviadores de paquetes y el
servidor de PCA. Compruebe los valores de configuración de red para los
reenviadores de paquetes y el servidor de PCA; a continuación, asegúrese de que
los valores de cortafuegos permiten la comunicación en esos valores de red.
Instalación de PCA en una máquina virtual VMware
Puede instalar y ejecutar CX Passive Capture Application en una máquina virtual
VMware.
Antes de instalar PCA en una máquina virtual, asegúrese de que la máquina
virtual cumple con los requisitos de hardware y software definidos para un
servidor físico. La máquina virtual requiere hardware virtual definido para un
despliegue en un servidor físico.
1. Revise los requisitos de hardware y software. La máquina virtual requiere los
mismos recursos de software y hardware que un servidor físico.
2. Realice la instalación. El proceso de instalación de una máquina virtual es el
mismo que si realiza la instalación en un servidor físico.
3. Inhabilite el soporte de múltiples colas para el controlador de red virtual
VMware.
Nota: Debe inhabilitar el soporte de múltiples colas en el controlador de red
virtual VMware. Si el soporte de múltiples colas no está inhabilitado, los
paquetes que se envíen a PCA podrían estar fuera de servicio y provocar que
CX PCA descarte los paquetes.
4. Revise la lista de comprobación posterior a la instalación.
5. Configure PCA para su entorno.
Una vez completados los pasos de instalación y la configuración de PCA, puede
comenzar a capturar el tráfico de red desde su máquina virtual VMware.
Lista de comprobación de postinstalación
Utilice la lista de comprobación posterior a la instalación para completar el proceso
de instalación de PCA.
Validar instalación del PCA
Después de completar la instalación de Tealeaf, puede validar la instalación.
El mandato siguiente lee una lista de archivos con el usuario, grupo y los valores
de permiso esperados y compara la lista con lo que se instaló. Si la coincidencia
falla, se imprime un mensaje de error con los valores reales y los esperados.
tealeaf ps
44
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Si la validación es satisfactoria, la salida que se muestra es parecida a la siguiente:
[root@venus ~]# tealeaf ps
PID TTY
TIME CMD
29939 ?
00:00:00 captured
29940 ?
00:00:00 listend
29941 ?
00:00:00 reassd
29942 ?
00:00:00 tcld
29943 ?
00:00:00 deliverd
29945 ?
00:00:00 pipelined
29964 ?
00:00:00 httpd
29969 ?
00:00:00 httpd
29970 ?
00:00:00 httpd
29971 ?
00:00:00 httpd
29972 ?
00:00:00 httpd
29973 ?
00:00:00 httpd
Generar claves SSL
Para un transporte seguro, puede aplicar un certificado firmado o autofirmado
para uso del PCA (área de control de páginas).
Iniciar PCA
Después de finalizada la instalación de la PCA rpm, el primer inicio de la PCA
debe completarse como el usuario root. La utilización de este usuario permite a la
PCA establecer distintas variables kernel del sistema al utilizar el cmd sysctl, el
cual está disponible sólo como root.
Nota: El usuario ctccap se crea sin una contraseña asignada a él, por lo que no
podrá iniciar sesión de manera predeterminada con esa cuenta. Los riesgos de
seguridad son mínimos; el usuario ctccap puede iniciar y ser propietario de los
procesos de Tealeaf. En función de los requisitos de seguridad de la empresa,
puede asignar un contraseña al usuario ctccap desde el usuario root.
El cmd sysctl se ejecuta en el script tealeaf principal. Después de iniciar sesión
como usuario root, el siguiente mandato inicia la IBM Tealeaf CX Passive Capture
Application:
tealeaf start
Después de que la PCA se inicia por primera vez, las veces siguientes puede
ejecutar el script como usuario no root ctccap. Para ejecutar como usuario ctccap:
1. Detenga la PCA, ejecute cmd:
tealeaf stop
2. Cambie al usuario ctccap:
su ctccap
3. Inicie la PCA como usuario ctccap:
tealeaf start
Nota: Después de iniciar la PCA como root, también puede reiniciar la máquina
PCA para que se ejecute como usuario ctccap.
Configuración inicial de PCA
Nota: Esta sección proporciona un marco para realizar la configuración inicial de
un componente del sistema IBM Tealeaf CX en un modelo de despliegue
Capítulo 2. Instalación de CX Passive Capture Application
45
simplificado. Se pueden necesitar más configuraciones, según sea el despliegue de
solución de Tealeaf. Si tiene alguna duda sobre la configuración, póngase en
contacto con http://support.tealeaf.com.
Después de completar la instalación del software de PCA, puede seguir estos pasos
para configurar el PCA para capturar el tráfico de aplicación web y reenviar a uno
o más servidores de proceso.
Comprobar los valores de conexiones permitidos
En el momento de instalación, el PCA (área de control de páginas) establece el
máximo de conexiones permitidas para cada instancia PCA.
De forma predeterminada, estos valores de establecen de la siguiente manera:
v Máximo de conexiones actuales: 5000
v Máximo de conexiones SYN/WAIT: 1000
Nota: Los valores definen el máximo de conexiones PCA permitidas para cada
instancia. Si el número real de conexiones supera estos valores, se pueden perder
datos. Cualquier análisis de rendimiento PCA que se basa en el estado actual
puede ser desviado en función del volumen de los datos capturados. Debe revisar
estos valores tan pronto como sea posible.
Puede comprobar el estado actual de estos valores en la pestaña estadísticas de la
consola web PCA. Para cada instancia PCA, las estadísticas para comparar son:
Actuales
Máximo
Current connections
Current connections max
SYN/WAIT connections
SYN/WAIT connections max
Si alguna de las métricas actuales está cerca del máximo correspondiente, debe
considere elevar el máximo para todas las instancias PCA afectadas. Asegura que
los datos se capturen de manera afectiva.
Configuración del PCA para la captura de Rich Internet
Applications
Si su rich internet application (RIA) desplegada está enviando datos para la
captura, debe verificar que PCA esté configurado para capturar todos los tipos de
datos enviados.
Nota: Si PCA no se ha configurado para capturar POST y Mimetypes enviados
desde RIA (Rich Internet Application), no se capturan estas coincidencias y los
datos que contienen se pierden para Tealeaf. Verifique que tiene una lista de todos
los tipos requeridos que PCA debe capturar para la reproducción y creación de
informes de RIA. Incluye tipos personalizados que están desplegados.
Captura de JavaScripts
De forma predeterminada, el PCA excluye la captura de archivos JavaScript. La
captura de JavaScript estático por el PCA es raramente necesaria para la
46
IBM Tealeaf CX Passive Capture Application: Manual de PCA
reproducción precisa de rich internet applications. En la mayoría de las situaciones,
estos archivos pueden almacenarse en una base de datos estática o re-referenciada
mediante reglas de reproducción.
Nota: Si su aplicación web genera JavaScript dinámica, el PCA se debe configurar
manualmente para capturar esto archivos.
Captura de XML
De forma predeterminada, el PCA captura los siguientes tipos de contenido sin
ninguna configuración adicional.
v application/xml
v text/xml
Los contenidos de estos tipos enviados al servidor web se insertan en el
almacenamiento intermedio de solicitudes en la sección [xml1] para que los
procese el sistema Tealeaf.
Tipos de captura RIA típicos
Los siguientes tipos de captura debe añadirse a los tipos de captura PCA , en
función de la aplicación supervisada. Estos tipos se pueden especificar en la lista
de tipos de post XML.
v Consulte “Para configurar”.
v application/json
v application/x-json
v text/json
v text/x-json
En las secciones siguientes, puede revisar conjuntos de ejemplos de tipos para
varios tipos de aplicaciones completas para Internet.
Ejemplo RIA: Ajax
Tipos de captura predeterminados:
v application/xml
v text/xml
v application/json
v text/json
Los siguientes tipos personalizados pueden estar presentes y se deben configurar:
v ajax/xml
v JavaScripts generados dinámicamente
Para configurar
Si está enviando otros tipos de post XML que Tealeaf debe capturar, se requiere
una configuración adicional en función del número de Build de su IBM Tealeaf CX
Passive Capture Application:
v Compilación 3326 o posterior: Debe añadir el tipo de post XML a la lista blanca
en la pestaña conducto de la consola web PCA. Consulte “Valores de la
interconexión” en la página 119.
Capítulo 2. Instalación de CX Passive Capture Application
47
v Compilación 3325 o posterior: Contacto http://support.tealeaf.com.
Servicio de software de captura pasiva de Tealeaf
Una vez instalado el paquete de software de captura pasiva de Tealeaf, puede
utilizar el mandato de servicio para reiniciar, iniciar y detener el software de
captura pasiva de Tealeaf.
Puede utilizar los mandatos siguientes para reiniciar, iniciar y detener el software
de captura pasiva de Tealeaf.
tealeaf restart
tealeaf start
tealeaf stop
Si algunos componentes de captura pasiva no se detienen puntualmente, el
mandato tealeaf restart no puede iniciarlos después de que haya intentado
detenerlos. En su lugar, utilice el mandato tealeaf stop para confirmar que el
software de Captura pasiva de Tealeaf se ha finalizado.
Utilice el siguiente mandato para determinar si algún proceso de Tealeaf sigue en
ejecución: ps Uctccap
Parches de la CX PCA
Los parches se publican para mejorar el rendimiento y la fiabilidad del software
del CX PCA.
Una vez que el servidor de la CX PCA se ha instalado y configurado, puede
aplicar todos los parches que pueden estar disponibles para la versión del software
de la CX PCA. Los parches para la CX PCA pueden descargarse de IBM Fix
Central en http://www.ibm.com/support/fixcentral/. Para localizar los parches de
la página de Fix Central:
1. Utilice el navegador web para ir a http://www.ibm.com/support/fixcentral/.
2. Localice Product Group y, a continuación, seleccione Enterprise Marketing
Management.
3. Localice Select from Enterprise Marketing Management y, a continuación,
seleccione Tealeaf Customer Experience.
4. Pulse Continue.
5. En el menú "Identify fixes", seleccione Browse for fixes y pulse Continue para
visualizar todos los arreglos de Tealeaf disponibles. Puede utilizar la sección
"Filter your content" para filtrar la lista de arreglos disponibles.
Asegúrese de descargar el parche correcto para su sistema operativo.
Sugerencias de resolución de problemas
Utilice las siguientes sugerencias de resolución de problemas para diagnosticar los
problemas de su instalación de PCA.
Tabla 10. Sugerencias de resolución de problemas
Sugerencia de resolución de
problemas
Archivos principales
48
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Descripción
La presencia de archivos core.* en el directorio
/usr/local/ctccap es un signo de que la captura
falló y grabó un archivo principal de volcado.
Tabla 10. Sugerencias de resolución de problemas (continuación)
Sugerencia de resolución de
problemas
Retrasos de arranque
Descripción
Puede notar retrasos durante el procedimiento de
arranque cuando ejecuta varios mandatos
relacionados con la red si el archivo
/etc/resolv.conf contiene la información incorrecta
para la red local. Los retrasos puede adoptar el
formato de intento de inicio de sesión SSH largo si el
daemon SSH de la estación de trabajo de host de
captura pasiva excede el tiempo de espera mientras
utiliza información de resolución de DNS incorrecta
del archivo /etc/resolv.conf.
Este archivo puede contener información incorrecta si
se ha dejado allí tras una configuración IP estática de
una red diferente. También puede haberse dejado
cuando se ha cerrado la estación de trabajo mientras
se estaba utilizando DHCP, aunque normalmente
durante el arranque con DHCP se crea un archivo
/etc/resolv.conf. El arreglo del archivo dependerá
de si la estación de trabajo host se ha configurado
para DHCP o para información IP estática.
DHCP
Si el software de captura pasiva esta configurado
para DHCP, entonces realice los pasos siguientes:
1. Inicie sesión como usuario root.
2. Suprima el archivo /etc/resolv.conf.
3. Ejecute shutdown now para introducir el modo de
usuario único.
4. Utilice el mandato exit para dejar la modalidad
de usuario único y permitir al sistema generar un
archivo /etc/resolv.conf nuevo.
IP estática
Si el software de Captura pasiva está configurado con
una dirección IP estática, siga estos pasos:
1. Inicie sesión como usuario root.
2. Suprima el archivo /etc/resolv.conf.
3. Ejecute tealeaf ipconfig para volver a introducir
la información del DNS y salga.
4. El programa genera un nuevo archivo
/etc/resolv.conf, el que entra en vigor de
inmediato.
Capítulo 2. Instalación de CX Passive Capture Application
49
Tabla 10. Sugerencias de resolución de problemas (continuación)
Sugerencia de resolución de
problemas
Modalidad de usuario único
Descripción
Si acaba de reiniciar la máquina host de Captura
pasiva o la ha encendido y debe introducir un modo
de usuario único, entonces realice lo siguiente
mientras utiliza el cargador de arranque GRUB:
1. Cuando se muestre el menú de arranque GRUB,
pulse SPACEBAR para impedir cualquier arranque
automático.
2. Utilice las teclas de flecha para seleccionar el
kernel y la versión de Red Hat Enterprise Linux
que desea arrancar.
3. Pulse la tecla A para añadir opciones de kernel.
4. En la solicitud grub append, añada la palabra
single. Pulse SPACEBAR y luego introduzca single.
5. Pulse ENTER para aceptar el nuevo valor y
arranque.
6. Para obtener más información, consulte el capítulo
Recuperación básica del sistema de la guía de
administración de sistema de Red Hat Enterprise
de Linux.
Visualización de registros de
capturas
Examinar los archivos de registro de captura pasiva
le ayudará a localizar un problema potencial.
Si la captura no se inicia, capture.log normalmente
muestra la razón por la que no se inicia, como por
ejemplo una mala sintaxis en una entrada o una
entrada inválida en el archivo de configuración.
Otro registro de resolución de problemas,
maintenance_200xxxxx.log, muestra las condiciones
defectuosas que están forzando el reinicio/conclusión
del software de Captura pasiva.
Ambos registros pueden visualizarse por la consola
web o por un editor de texto Linux en el directorio
de registros predeterminado de Captura pasiva. En
función de la versión del software de captura pasiva,
se pueden encontrar en /usr/local/ctccap/logs o en
/var/log/tealeaf.
Desinstalación o retrotracción de la CX Passive Capture Application
Siga las siguientes instrucciones para desinstalar el software de PCA.
Desinstale CX Passive Capture Application
Para desinstalar:
Detenga Tealeaf PCA. En la línea de mandatos, escriba:
tealeaf stop
Desde el indicador de mandatos UNIX, compruebe si hay algún proceso en
ejecución. Mientras esté conectado a root, especifique el siguiente mandato:
PS Tealeaf
50
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Si algún proceso está en ejecución, especifique el siguiente mandato:
killall <processname>
donde <processname> es el nombre del proceso en ejecución.
Haga una copia de seguridad de la carpeta ctccap/etc existente. Esta carpeta
contiene los archivos de configuración personalizados como ctc-conf.xml, claves
PTL almacenadas y más. Para desinstalar el software, ejecute el siguiente mandato:
Nota: El siguiente mandato elimina el software de la PCA del servidor Linux.
rpm -e tealeaf-pca
El software de la PCA se desinstala. Para completar una desinstalación limpia,
suprima la carpeta /usr/local/ctccap.
Retrotraer la CX Passive Capture Application
Para retrotraer a una versión anterior:
1. Complete los pasos de desinstalación.
Nota: Verifique que la carpeta /usr/local/ctccap no exista antes de la
instalación.
2. Instale el paquete rpm para la versión anterior. Consulte “Instalación del
software de PCA” en la página 32.
3. Restaure la versión de copia de seguridad de los archivos de configuración
guardados a la carpeta ctccap/etc.
Desinstalar el Packet Forwarder
Si es necesario pude completar las siguientes instrucciones para desinstalar el
software del Packet Forwarder.
Puede utilizar Red Hat Package Manager (RPM) para desinstalar el Packet
Forwarder. Para desinstalar el Packet Forwarder, escriba lo siguiente en una línea
de mandatos:
rpm -ev
tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686
donde:
v <nnnn> es el número de versión de compilación; por ejemplo, 3650.
v <rrr> es el número de revisión de RPM; por ejemplo, 1
v <distro> es el identificador de la distribución de Linux, por ejemplo, "RHEL6"
para Red Hat Enterprise Linux 6
Capítulo 2. Instalación de CX Passive Capture Application
51
52
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Capítulo 3. Actualización del software de CX PCA
Puede obtener información acerca de las diferentes consideraciones que es
necesario conocer antes de actualizar la versión.
Antes de la actualización
En esta sección, puede aprender acerca de todo lo que debe hacer antes de
actualizar.
Si se actualiza a un sistema operativo de 64 bits
Si está actualizando desde una versión de 32 bits a una versión de 64 bits de un
sistema operativo soportado, debe instalar un conjunto de bibliotecas de 32 bits
para soportar el PCA, una aplicación de 32 bits.
v Consulte “Paquetes necesarios” en la página 24.
Antes de habilitar la modalidad TLB (Transparent Load
Balancing)
La característica TLB (Transparent Load Balancing) está disponible en PCA Build
3620 o posterior. Si está actualizando desde una compilación de PCA anterior a
3620, puede habilitar TLB en su PCA.
Nota: Si habilita TLB para la comunicación de red, se sobrescribirán los valores de
la interfaz de red anteriores. Antes de habilitar TLB, asegúrese de copiar los
valores de la interfaz de red existentes si inhabilita la modalidad TLB.
Para obtener más información sobre el equilibrio de carga transparente, consulte
“Descripción general del equilibrio de carga transparente de CX PCA” en la página
12.
Validación de las claves SSL actuales
Antes de actualizar, debe realizar una prueba para ver si las claves SSL actuales
todavía son válidas en el nuevo Build de la PCA. Los siguientes pasos muestran
cómo extraer el proceso reassd de la nueva distribución de la PCA y el mandato
apropiado para ejecutarlo.
1. Adquiera la última compilación de la PCA. Para obtener más información sobre
la descarga de IBM Tealeaf, consulte IBM Passport Advantage Online.
2. Copie el rpm a la PCA a /tmp.
3. Ejecute el siguiente mandato para extraer el proceso reassd del rpm
proporcionado y ubicarlo en el directorio actual:
rpm2cpio tealeaf-pca-<nnnn>-<rrr>.<distro>.i686.rpm | cpio \
-ivd./usr/local/ctccap/bin-debug/reassd ; \
mv usr/local/ctccap/bin-debug/reassd .
Donde:
v <nnnn> es el número de versión de compilación; por ejemplo, 3650.
v <rrr> es el número de revisión de RPM. Esto suele ser un número de un solo
dígito.
© Copyright IBM Corp. 1999, 2015
53
v <distro> es un identificador para la distribución de Linux, como por ejemplo
"RHELn" para Red Hat Enterprise Linux release n.
4. reassd debe estar en el directorio /tmp.
5. Para probar las claves SSL actuales, ejecute el siguiente mandato desde el
directorio /tmp:
./reassd -j
a. Si las claves SSL actuales se cargan satisfactoriamente, aparecerá el siguiente
mensaje:
Success loading configuration and SSL keys.
b. Si las claves SSL actuales no se pueden cargar, se visualizará el siguiente
mensaje:
Failed loading configuration (1), likely due to:
* Loading bad SSL keys
* Error in configuration file
* Other unknown error
Si la carga falla, el capture.log de la PCA informa el siguiente mensaje de error
para cargar claves SSL incorrectas:
Couldn’t create reveal object: 1
Para obtener más información sobre el proceso para recrear las claves SSL, consulte
"Resolución de problemas - Captura" en la IBM Tealeaf: Guía de resolución de
problemas.
Actualización básica
Utilice la siguiente información para realizar una actualización básica.
Nota: La actualización debe ejecutarse como root. Consulte Configuración del
Hardware e instalación del sistema operativo.
Puede utilizar un único mandato Linux para ejecutar la actualización si su
instalación PCA cumple con los requisitos siguientes:
v Los valores de configuración PCA se almacenan en el directorio predeterminado:
/usr/local/ctccap/etc.
v Si está actualizando desde Release 31xx y la autenticación de usuario esta en
uso, consulte“Actualización de PCA con la autenticación de usuario” en la
página 55. De lo contrario, continúe con los pasos siguientes.
Si la instalación cumple los requisitos ya mencionados, para
actualizar
1. Realice una copia de seguridad de /usr/local/ctccap/etc:
mkdir /root/tmp
cp -r /usr/local/ctccap/etc /root/tmp
2. Una actualización básica se puede ejecutar utilizando el mandato siguiente:
rpm -Uvh tealeaf-pca-XXXX-1.RHEL6.i686.rpm
donde XXXX es igual al número de versión de CX PCA. Por ejemplo, si está
actualizando a CX PCA versión 3620, ejecute
rpm -Uvh tealeaf-pca-3620-1.RHEL6.i686.rpm
.
54
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Actualización de PCA con la autenticación de usuario
Si PCA funciona en un entorno de Tealeaf en que está habilitada la autenticación
de usuario está habilitada, es posible que sean necesarios pasos de actualización
adicionales.
Antes de la versión 3200 de la PCA, se implementaron grandes cambios en la
forma en que se configura la autenticación de usuario. La actualización desde la
PCA 31xx a un Build 32xx o 33xx es más compleja si la autenticación de usuario
está habilitada. Los siguientes pasos son necesarios para la actualización:
1. Realice una copia de /usr/local/ctccap/etc:
mkdir /root/tmp
cp -r /usr/local/ctccap/etc /root/tmp
2. Elimine el paquete tealeaf-pca existente. Elimine los archivos restantes en
/usr/local/ctccap:
rpm -e tealeaf-pca
cd /usr/local/ctccap
rm -rf *
Nota: Verifique que está en el directorio correcto antes de ejecutar el mandato
rm.
3. Instale el nuevo paquete PCA:
rpm -ivh tealeaf-pca-3315.rpm
4. Copie los archivos ctc-conf.xml, privacy.cfg originales y cualquier archivo
*.ptl a /usr/local/ctccap/etc. Si se le solicita, sobrescriba los archivos
actuales:
cd /root/tmp/etc
cp ctc-conf.xml privacy.cfg *.ptl /usr/local/ctccap/etc
5. Copie el archivo httpd.users a /usr/local/ctccap/etc y a tealeaf-web.users:
cp httpd.users /usr/local/ctccap/etc
cd /usr/local/ctccap/etc
cp httpd.users tealeaf-web.users
6. Edite /usr/local/ctccap/etc/runtime.conf y añada las siguientes líneas al
final del archivo:
httpd_userauth_enable="YES"
httpd_userauth_realm="Tealeaf PCAv2"
httpd_userauth_require="valid-user"
httpd_userauth_type="Basic"
7. Inicie httpd.
tealeaf start all
8. Verifique que la consola web esté en ejecución y que la autenticación de
usuario todavía esté habilitada. Verifique que la captura esté en ejecución.
9. La actualización ha finalizado.
Configuración de nuevos tipos de datos
Si ha actualizado desde un build anterior a PCA Build 3324, debe revisar y
configurar los tipos de datos capturados por IBM TealeafCX Passive Capture
Application para verificar que se están capturando los tipos requeridos.
Antes de la compilación 3324, algunos de estos tipos no estaban disponibles para
la captura o no estaban configurados para la captura de forma predeterminada.
Capítulo 3. Actualización del software de CX PCA
55
Nota: Si actualiza su PCA y está incluyendo una aplicación Rich Internet, debe
configurar los tipos de envíos XML. Consulte “Configuración del PCA para la
captura de Rich Internet Applications” en la página 46.
Para obtener más información acerca de la configuración de tipos de envío XML,
consulte “Valores de la interconexión” en la página 119.
56
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Capítulo 4. Configuración de CX PCA
IBM Tealeaf CX Passive Capture Application puede configurarse a través de una
consola basada en la web o a través de los archivos de configuración almacenados
en el servidor PCA. La información siguiente le guía por el proceso de
configuración de CX PCA.
Puede configurar CX Passive Capture Application mediante uno de los métodos
siguientes:
v Consola web de CX PCA
v Editando los archivos de configuración de CX PCA ctc-conf.xml y runtime.conf
con el editor vi.
Nota: En la mayor parte de las actividades, la consola web es la ubicación
principal para configurar CX PCA. Puede editar los archivos de configuración
cuando se ha de modificar un parámetro y no está disponible a través de la
consola web.
Configuración a través de la consola web
La consola web de PCA proporciona una interfaz gráfica práctica para supervisar y
configurar IBM Tealeaf CX Passive Capture Application y sus conexiones.
Nota: Todos los valores de configuración que se necesitan para inicializar IBM
Tealeaf CX Passive Capture Application están disponibles a través de la consola
web.
Nota: La consola web de CX Passive Capture Application no da soporte a la
entrada de caracteres de varios bytes en un campo. Si desea configurar un valor
con caracteres de varios bytes, debe editar la configuración. Para obtener más
información sobre cómo editar el archivo de configuración, consulte
“Configuración a través de ctc-conf.xml” en la página 58.
v Consulte “Navegadores soportados para la consola web de PCA” en la página
70.
Archivos de configuración de CX PCA
Los valores de configuración relacionados con IBM TealeafCX Passive Capture
Application están disponibles a través de la consola web de PCA o, si es necesario,
puede utilizar el editor vi para editar los archivos de configuración que se
encuentran en /usr/local/ctccap/etc/.
v ctc-conf.xml: Este archivo de configuración contiene los valores de
configuración de captura pasiva.
v runtime.conf: Este archivo de configuración contiene los valores personalizados
y los valores para la configuración de nivel de sistema operativo. Este archivo
puede utilizarse para alterar temporalmente los valores predeterminados que
figuran en el archivo tealeaf.conf.
v tealeaf.conf: Este archivo de configuración contiene los valores
predeterminados y los valores para la configuración de nivel de sistema
operativo.
© Copyright IBM Corp. 1999, 2015
57
Nota: tealeaf.conf debe tener asignados permisos de sólo lectura para todos
los usuarios. Nunca debe editarse.
Nota: Cuando realiza cambios de configuración en su instalación de Linux, aplique
los cambios en el archivo runtime.conf. runtime.conf reemplaza el archivo
predeterminado tealeaf.conf. El archivo tealeaf.conf se puede utilizar para
revertir cambios en los valores predeterminados si es necesario, y debe
configurarse para que sea un archivo de solo lectura.
Para modificar un valor de tiempo de ejecución:
1. Copie la entrada de tealeaf.conf.
2. Péguela en runtime.conf y edite el valor.
3. Guarde runtime.conf y reinicie el PCA.
Configuración a través de ctc-conf.xml
Mientras que todas las opciones de configuración necesarias están disponibles a
través de la consola web, debe utilizarse vi para ver y editar el conjunto completo
de campos de configuración, si así lo desea.
v Consulte “Archivo de configuración de captura pasiva ctc-conf.xml” en la
página 187.
Configuración mediante runtime.conf
Los valores de configuración que están relacionados con IBM TealeafCX Passive
Capture Application están disponibles a través de la consola web de PCA o, de ser
necesario, ctc-conf.xml.
Los valores de configuración que se aplican a la forma en que el PCA interactúa
con el sistema operativo se especifican en dos archivos. Estos archivos se
encuentran en el siguiente directorio:
/usr/local/ctccap/etc/
Archivos
v tealeaf.conf - Este archivo contiene los valores predeterminados y valores para
la configuración a nivel de sistema operativo.
Nota: tealeaf.conf debe tener asignados permisos de sólo lectura para todos
los usuarios. Nunca debe editarse.
v runtime.conf - Este archivo debe utilizarse para sustituir cualquiera de los
valores listados en tealeaf.conf.
Para modificar un valor de tiempo de ejecución:
1. Copie la entrada de tealeaf.conf.
2. Péguela en runtime.conf y edite el valor.
3. Guarde runtime.conf y reinicie el PCA.
Descifrado SSL
Si necesita el descifrado SSL de sus datos web, cárguelo al utilizar la interfaz de
usuario Web o mediante la línea de mandatos.
58
IBM Tealeaf CX Passive Capture Application: Manual de PCA
A. IU web:
1. Vaya a https://<machineIP>:8443/ y pulse Claves SSL.
2. Pulse Cargadas en la parte superior de la página para ver las claves SSL
cargadas y añadir nuevas claves SSL.
3. Pulse Guardar cuando haya terminado.
v Para obtener más información sobre la utilización de la consola web de
software Captura pasiva, “Navegadores soportados para la consola web de
PCA” en la página 70.
B. Línea de mandatos:
1. Edite el archivo /usr/local/ctccap/etc/ctc-conf.xml.
2. Edite las CaptureKeys del nodo XML.
3. Modifique las opciones restantes utilizando la IU web o editando el archivo
/usr/local/ctccap/etc/ctc-conf.xml.
C. Reinicio de servicios:
v Si se realizan cambios utilizando la consola web, los servicios se reinician
automáticamente para aplicar los cambios.
v Si ha editado el archivo ctc-conf.xml, reinicie los servicios de captura
manualmente utilizando los mandatos siguientes:
tealeaf stop capture
tealeaf start capture
v Si no está utilizando Tealeaf Cookie Injector para la sesionización, los parámetros
de sesionización deben configurarse en el agente de sesiones TLSessioning en el
archivo TealeafCaptureSocket.cfg del servidor IBM Tealeaf CX. Consulte
"Agente de sesión de sesionización" en el Manual de configuración de IBM Tealeaf
CX.
Consulta de línea de mandatos de PCA Tealeaf
Esta sección contiene una referencia de mandatos, acciones y opciones que se
pueden ejecutar mediante la utilización del mandato de script tealeaf. Este
mandato se utiliza principalmente para tareas siguientes posteriores a la
instalación:
v Algunas funciones de administración y mantenimiento
v Algunos accesos a las funciones de la consola web cuando no está disponible la
interfaz
v Operaciones de depuración
Mandato básico
tealeaf [options] action [service ...]
Consulte
v “Opciones”
v “Acciones” en la página 60
v “Servicios” en la página 61
Opciones
Opción
Descripción
Capítulo 4. Configuración de CX PCA
59
-h
Mostrar esta ayuda.
-n
Mostrar los mandatos sin ejecutarlos.
-v
Mostrar más mensajes (modalidad verbosa).
Las opciones se pasan junto al servicio excepto cuando se especifica el servicio all.
Consulte “Servicios” en la página 61.
Acciones
Acción Descripción
allselfsignedcerts
Generar todos los certificados autofirmados si faltan.
bwmon
Ejecutar el programa de utilidad bwMon.
capturekeys2ptl
Convertir todos los archivos PEM en el directorio capturar claves.
clearstats
Borrar estadísticas de todas las instancias.
configdiffs
Mostrar las diferencias para los archivos de configuración actuales y
predeterminados.
deletestats
Suprimir estadísticas para todas las instancias.
disable
Evitar que se inicien uno o todos los servicios.
enable Permitir que se inicien uno o todos los servicios.
env
Visualizar el "entorno tealeaf".
genselfsignedcert
Generar un certificado autofirmado.
ifdetails
Mostrar información detallada sobre el dispositivo de red especificado.
ifstat Mostrar estadísticas acerca del dispositivo de red especificado.
ifsummary
Mostrar información de resumen acerca de los dispositivos de red.
ifup
Iniciar todos los dispositivos de red.
ipconfig
Configurar dispositivos de red.
maint
Ejecutar script de mantenimiento.
man
Mostrar las páginas del manual proporcionadas.
no
Establecer una variable de configuración de tiempo de ejecución a "no".
openssl
Ejecutar el OpenSSL proporcionado.
pem2ptl
Cifrar archivos PEM en formato PTL.
ps
60
Mostrar los procesos de captura mediante la utilización de /bin/ps.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
restart
Detener y reiniciar el servicio especificado.
rolllog
Retrotraer todos los archivos de registro o el que se ha especificado.
showstats
Mostrar estadísticas de captura.
showstatsxml
Mostrar estadísticas de captura en XML.
start
Iniciar todos o el servicio especificado.
stats
Ejecutar programas de utilidad de estadísticas.
status Mostrar estado de captura y HTTPd.
stop
Detener todos o el servicio especificado.
tcpdump
Ejecutar el tcpdump proporcionado.
testconn
Ejecutar el programa de prueba de la conexión de servicio de transporte de
TeaLeaf.
top
Mostrar los procesos de captura mediante la utilización de /usr/bin/top.
tzconfig
Configurar huso horario.
Nota: Los valores de huso horario debe cumplir con los husos horarios
admitidos por PHP. Para obtener una lista de husos horarios admitidos,
consulte http://www.php.net/manual/en/timezones.php .
userauthpw
Añadir o actualizar una contraseña de usuario de consola web.
validate
Validar el usuario, propietario y los permisos de archivos de PCA.
yes
Establecer una variable de configuración de tiempo de ejecución en "YES".
Servicios
Para las acciones disable, enable, start, status, y stop, los siguientes servicios se
pueden especificar:
v all
v capture - mediante captured
v httpd - mediante httpd
Mandatos de ejemplo
tealeaf ifdetails em0
tealeaf showstats
tealeaf start
v El utilizar start como raíz hace que este script suba las interfaces de captura
primarias y secundarias.
tealeaf start all
Capítulo 4. Configuración de CX PCA
61
v El utilizar start como raíz hace que este script suba las interfaces de captura
primarias y secundarias.
tealeaf stop
tealeaf start capture
tealeaf start capture -r
Configuración inicial de PCA
Nota: Esta sección proporciona un marco para realizar la configuración inicial de
un componente del sistema IBM Tealeaf CX en un modelo de despliegue
simplificado. Se pueden necesitar más configuraciones, según sea el despliegue de
solución de Tealeaf. Si tiene alguna duda sobre la configuración, póngase en
contacto con http://support.tealeaf.com.
Después de completar la instalación del software de PCA, puede seguir estos pasos
para configurar el PCA para capturar el tráfico de aplicación web y reenviar a uno
o más servidores de proceso.
Requisitos previos
Antes de empezar a configurar la PCA, verifique que se cumplan los siguientes
requisitos y que ha adquirido la siguiente información:
1. El sistema operativo para el servidor de PCA se ha instalado con los paquetes
recomendados de Tealeaf. Consulte Configuración del Hardware e instalación
del sistema operativo.
2. El sistema operativo está configurado adecuadamente. Consulte Capítulo 8,
“Configuración de la captura pasiva en Red Hat Enterprise Linux (RHEL)”, en
la página 255.
3. El software de la PCA se instala en un directorio en el hardware de la PCA.
Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la
página 19.
4. Para completar los pasos en esta configuración, debe adquirir la siguiente
información:
a. La dirección IP del hardware de la PCA
b. Las Tarjetas de interfaz de red que están conectadas al dispositivo de la
PCA que están proporcionando la fuente de tráfico
c. El nombre de host o dirección IP y el número de puerto del Servidor de
procesamiento
v Si está utilizando Procesamiento basado en salud (HBR), necesita el
nombre de host o la dirección IP y número de puerto para la máquina de
HBR. Consulte "Agente de sesión de direccionamiento basado en estado
(HBR)" en el Manual de configuración de IBM Tealeaf CX.
Nota: El usuario ctccap se crea sin una contraseña asignada a él, por lo que no
puede iniciar sesión con esa cuenta de manera predeterminada. Los riesgos de
seguridad son mínimos; el usuario ctccap solo puede iniciar y ser propietario de
los procesos de Tealeaf. En función de los requisitos empresariales de seguridad,
debe asignar una contraseña para el usuario ctccap desde el usuario root.
62
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Configuración de ejemplo
La configuración del PCA depende del entorno de servidor en el que reside. En
este apartado se proporciona un ejemplo de configuración para un sistema simple:
v 1 servidor PCA
v 1 instancia PCA
v 1 servidor de procesos
Factores de complicación
Para capturar aplicaciones web más complicadas, existen muchas arquitecturas de
despliegue de PCA posibles. Pueden incluir el uso de varias PCA, varias instancias
de PCA y distintos mecanismos de filtrado. A continuación, puede revisar
escenarios de ejemplo en los que puede que necesite asistencia para la
configuración del PCA.
Nota: Si su entorno de aplicación web cumple con uno o más de los siguientes
criterios, se recomienda que se ponga en contacto con http://support.tealeaf.com o
Tealeaf Professional Services antes de comenzar la configuración.
1. Aplicaciones web de alto volumen. Si está transmitiendo más de 200
coincidencias sobre SSL o más de 400 coincidencias sobre HTTP de texto
simple:
v Debe dividir el tráfico entre varias instancias de PCA.
v Debe filtrar las direcciones IP de los servidores web desde los que desea
capturar. Puede filtrar en el nivel de PCA o en el nivel de red. Tealeaf
recomienda que se realice el filtrado en el nivel de red, lo cual disminuye la
sobrecarga de procesos en PCA.
Nota: El filtrado de IP sólo es posible si los IP no son NAT'd internamente.
Para obtener más información, póngase en contacto con su administrador de
red.
2. Captura de un rango de direcciones IP. Si está capturando un rango de 25 IP o
más en el PCA:
v Debe crear filtros de IP para descartar contenido.
v Debe utilizar máscaras de red para limitar el número de entradas en la
configuración.
v Debe dividir el tráfico entre varias instancias de PCA.
Para obtener más información, póngase en contacto con http://
support.tealeaf.com.
Pasos de configuración
La siguiente sección contiene pasos de configuración.
Iniciar Apache
Para comenzar la configuración, siga estos pasos:
1. Inicie la sesión como root.
2. Ejecute el script de Tealeaf para iniciar el proceso Apache:
tealeaf start httpd
Capítulo 4. Configuración de CX PCA
63
3. Para verificar que el proceso se ha iniciado de forma satisfactoria, utilice lo
siguiente para devolver los procesos Apache que se están ejecutando
actualmente.
tealeaf ps
tealeaf status
La salida del mandato debe indicar que como mínimo un proceso está en
ejecución.
v Si no se ha podido iniciar alguno de los procesos, revise /var/log/tealeaf/
capture.log para obtener algún mensajes de error de inicio para determinar el
problema.
v Si algún cambio de configuración impide que la consola web de la PCA (proceso
HTTPd) se inicie, puede editar manualmente el archivo /usr/local/ctccap
ctc-conf.xml/etc/ para corregir la configuración. Consulte “Archivo de
configuración de captura pasiva ctc-conf.xml” en la página 187.
Abrir la consola web de PCA
Después de que se inician los procesos Apache, puede abrir la consola web de
PCA para revisar la configuración.
v Consulte “Navegadores soportados para la consola web de PCA” en la página
70.
1. Abra la consola web de PCA:
a. HTTP segura:
https://<servername>:8443
b. HTTP:
http://<servername>:8080
2. Si no funcionan las URL anteriores, revise el nombre del servidor y el número
de puerto con el administrador de red.
Nota: La consola web de PCA puede requerir de autenticación.
Configuración de la interfaz de CX PCA
Cuando el software de PCA esté instalado e iniciado, todavía no está preparado
para capturar tráfico bidireccional. Después de instalar el software de IBM Tealeaf
CX PCA, deberá configurar la interfaz de red para capturar tráfico bidireccional.
Si hay un equilibrador de carga desplegado entre CX PCA y el servidor web o si
tiene varios servidores web operando bajo un único IP virtual (VIP), configure su
interfaz de red de CX PCA para un equilibrio de carga transparente. Para obtener
más información, consulte “Configuración de la interfaz de CX PCA con el
equilibrio de carga transparente”.
Si su despliegue de servidor web no utiliza un equilibrador de carga y no opera
bajo un único IP virtual (VIP), puede configurar su interfaz de red de CX PCA sin
el equilibrio de carga transparente. Para obtener más información, consulte
“Configuración de la interfaz de CX PCA sin el equilibrio de carga transparente”
en la página 65.
Configuración de la interfaz de CX PCA con el equilibrio de
carga transparente
Puede configurar la interfaz de red de su CX Passive Capture Application con el
equilibrio de carga transparente. Para obtener más información sobre los beneficios
64
IBM Tealeaf CX Passive Capture Application: Manual de PCA
de habilitar el equilibrio de carga transparente, consulte “Descripción general del
equilibrio de carga transparente de CX PCA” en la página 12.
Para configurar la interfaz de PCA con el equilibrio de carga transparente:
1. Abra la consola web de CX PCA. Consulte “Configuración a través de la
consola web” en la página 57.
2. Pulse la pestaña Interfaz.
3. Seleccione Habilitar equilibrio de carga transparente.
4. Introduzca el número de instancias Reassd que desea ejecutar. El aumento de
las instancias Reassd aumenta el número de instancias de PCA que pueden
procesar paquetes de TCP.
Nota: Puede habilitar hasta N-1 paquetes, donde N es el número total de
núcleos de procesador en su servidor. Por ejemplo, si tiene un total de 8
núcleos de procesador en su servidor, puede ejecutar hasta 7 instancias.
5. Si desea desechar la información de sesión de SSL desde memcache cuando se
reinicia el servicio CX PCA, seleccione Reiniciar servidor Memcached en
reinicio de captura.
6. Si desea inhabilitar la suma de comprobación de paquetes de TCP, seleccione
Inhabilitar validación de suma de comprobación de paquetes.
Nota: Si su tarjeta de interfaz de red tiene habilitada la suma de comprobación
de paquetes, se recomienda inhabilitarla.
7. No debe seleccionarse Captura de varias instancias a menos que desee volver a
una modalidad de equilibrio de carga no transparente.
8. Si desea introducir una regla de filtro, localice a Reglas de filtro e introduzca la
información para el filtro; a continuación, pulse Crear filtro.
9. Pulse Guardar cambios para guardar los cambios en la configuración de CX
PCA. Si desea cancelar los cambios, pulse Revertir cambios.
Configuración de la interfaz de CX PCA sin el equilibrio de carga
transparente
Para configurar la interfaz de CX PCA en un entorno sin equilibrio de carga:
1. Abra la consola web de CX PCA. Consulte “Configuración a través de la
consola web” en la página 57.
2. Pulse la pestaña Interfaz.
3. Si Habilitar equilibrio de carga transparente está seleccionado, deseleccione
Habilitar equilibrio de carga transparente. Para obtener más información sobre
los beneficios de habilitar el equilibrio de carga transparente, consulte
“Descripción general del equilibrio de carga transparente de CX PCA” en la
página 12.
4. Añada una instancia de CX PCA pulsando Añadir instancia. Puede añadir
instancias de CX PCA adicionales para capturar tráfico de red. Cada instancia
de CX PCA requiere el uso de un núcleo de procesador adicional. Puede añadir
hasta N-1 instancias, donde N es el número total de núcleos de procesador en
su servidor CX PCA. Por ejemplo, si su sistema tiene ocho núcleos de
procesador, puede habilitar siete instancias de CX PCA.
5. Puede utilizar números de puerto predeterminados para definir los números de
puerto en las reglas de filtro pulsando Llenar puertos. Los números de puerto
predeterminados son de 1024 a 65535. Si desea filtrar números de puerto
diferentes para una instancia de CX PCA, puede añadir una regla de filtro o
editar la instancia.
Capítulo 4. Configuración de CX PCA
65
6. Si desea cambiar los valores de una instancia, localice la Lista de instancias y
pulse la opción Editar que se encuentra junto a la instancia para comenzar a
realizar los cambios. También puede suprimir una instancia pulsando Suprimir
o eliminar las reglas de filtro para una instancia pulsando Borrar filtros.
a. Si está instalando CX PCA por primera vez, edite los filtros para cada
instancia de CX PCA. Consulte “Edición de filtros” en la página 105.
b. Desde la lista desplegable Interfaz primaria, seleccione el dispositivo de red
en el que desea que escuche esta instancia.
v En la mayoría de los casos, no debe escuchar a un dispositivo cuya
dirección IP esté listada en la lista desplegable.
v Si ve un mensaje de estado down para un dispositivo, el sistema operativo
no está configurado para activarlo. Esto es inusual.
v Para una configuración simple, puede dejar al resto de las opciones de
configuración con sus valores predeterminados.
v Para obtener más información sobre la especificación de instancias de
PCA, consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90.
c. Pulse Actualizar para guardar los cambios.
7. Pulse Guardar cambios para aplicar los cambios en CX PCA. Si desea cancelar
los cambios, pulse Revertir cambios.
CX PCA ahora está configurado para capturar tráfico en la NIC seleccionada.
Configuración de la entrega de coincidencias
La siguiente sección explica cómo configurar la entrega de coincidencias.
Entrega de coincidencias a servidor de procesos
Ahora, puede especificar el servidor de procesos o servidor HBR a donde el PCA
va a entregar datos de coincidencias.
v El número de puerto de destino en el servidor de procesos receptor está definido
para interconexiones de Windows individuales. Consulte "Editor de
interconexión de TMS" en el Manual de administración de IBM Tealeaf cxImpact.
1. Pulse “Consola Web de PCA - Pestaña de Entrega” en la página 110.
2. Pulse Añadir.
3. Especifique el nombre de host o dirección IP del servidor de procesos.
v Si está utilizando HBR, puede especificar el nombre de host o dirección IP
para la máquina HBR. Consulte "Agente de sesión de direccionamiento
basado en estado (HBR)" en el Manual de configuración de IBM Tealeaf CX.
4. Escriba el número de puerto. De forma predeterminada, este valor es 1966.
5. Pulse Aceptar.
6. Pulse Guardar cambios.
7. Para probar su conexión de entrega, pulse los enlaces Ping y Velocidad para su
host recién añadido en la pestaña Entrega.
v Si las pruebas fallan o sus pruebas de velocidad dan como resultado un bajo
rendimiento, revise la configuración de su red y de PCA.
Nota: Si tiene más de un destinatario de destino de entrega, es importante que
seleccione la modalidad de entrega correcta. Consulte “Consola Web de PCA Pestaña de Entrega” en la página 110.
La configuración está establecida para entregar tráfico al servidor de procesos
referenciado.
66
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Consulte “Consola Web de PCA - Pestaña de Entrega” en la página 110.
Fuente de tiempo de PCA
Si es necesario, puede configurar IBM Tealeaf CX Passive Capture Application para
que dependa de Tealeaf Transport Service como el origen de la hora local. Cuando
está habilitado, PCA consulta a Transport Service en intervalos periódicos para
obtener la hora actual. Para resolver discrepancias, la PCA acelera o reduce su
incremento de tiempo para que se acerque al valor del origen de la hora local.
Nota: A menos que esté sincronizando la hora con otro mecanismo, debe
configurar PCA para que su sincronización se lleve a cabo mediante uno de los
iguales de entrega como el origen. Para ello, siga estos pasos.
1. Pulse “Consola Web de PCA - Pestaña de Entrega” en la página 110.
2. En el panel Utilizar Tealeaf Transport Service como fuente de hora, especifique
el nombre de host o la dirección y el número de puerto de Tealeaf Transport
Service que es el origen de la hora maestra.
v Estos valores deben establecerse en uno de los compañeros de entrega
previamente configurados.
v Si no se proporciona, toma el valor de puerto predeterminado 1966 .
v Consulte “Consola Web de PCA - Pestaña de Entrega” en la página 110.
Entrega de coincidencias de estadísticas
Opcionalmente, el PCA puede configurarse para entregar información estadística al
servidor de procesos para la inserción en la base de datos TL_STATISTICS para la
creación de informes a través del portal.
v Junto con las estadísticas del Recipiente y el agente de sesión Extended
Decoupler, las coincidencias de estadísticas de PCA se informan en la página
Estadísticas del sistema. Consulte "Estadísticas del sistema" en el Manual de
administración de IBM Tealeaf cxImpact.
1. Pulse “Consola Web de PCA - Pestaña de Entrega” en la página 110.
2. En el área Entrega de estadísticas de Tealeaf Transport Service, configure las
opciones siguientes:
a. Para habilitar la entrega, pulse el recuadro de selección Habilitada.
b. Especifique el nombre de host o dirección del igual de entrega que va a
recibir las coincidencias de estadísticas.
Nota: Generalmente, las coincidencias de estadísticas se envían al mismo
igual de entrega que recibe las coincidencias capturadas, tal como se ha
definido.
c. Especifique un intervalo en segundos en el que se van a enviar las
coincidencias.
d. Especifique un número de puerto en el que escucha el igual de entrega. De
forma predeterminada, este valor es 1966.
e. Para utilizar el transporte seguro, pulse el recuadro de selección Utilizar
SSL.
v Consulte “Consola Web de PCA - Pestaña de Entrega” en la página 110.
Configuración de interconexión de PCA
En esta sección, puede conocer las opciones de configuración básica para la
interconexión del procesamiento de IBM Tealeaf CX Passive Capture Application.
v La interconexión de PCA se configura a través de la pestaña Interconexión de la
consola web de PCA. Consulte “Valores de la interconexión” en la página 119.
Capítulo 4. Configuración de CX PCA
67
Nota: La interconexión de PCA tiene una configuración diferente de la
configuración basada en agente de sesión para la interconexión de Windows.
Para obtener más información sobre la configuración de la interconexión de
Windows, consulte "Configuración inicial de la interconexión" en la publicación
IBM Tealeaf CX Manual de configuración.
Sesionamiento de datos
Si se están insertando cookies en la solicitud para identificar exclusivamente a los
visitantes, el PCA puede configurarse para sesionizar basándose en estas cookies.
Tealeaf da soporte a varios mecanismos para el sesionamiento de sesiones de
Tealeaf.
v El método preferido para sesionizar es utilizar Tealeaf Cookie Injector, un
método del extremo del servidor de ligero para inyectar en los datos de las
solicitudes identificadores exclusivos como cookies. Consulte "Instalación y
configuración de Tealeaf Cookie Injector" en el Manual de IBM Tealeaf Cookie
Injector.
v Para obtener una descripción general de los métodos de sesionización
soportados, consulte "Gestión de sesionización de datos en Tealeaf CX" en la
publicación IBM Tealeaf CX Manual de instalación.
v Consulte “Valores de la interconexión” en la página 119.
Modalidad de captura
IBM Tealeaf CX Passive Capture Application puede configurarse para capturar los
tipos basados en texto recomendados de datos de solicitud y respuesta (modalidad
de empresa), o puede configurar los tipos binarios y datos de modalidad de
empresa, como las imágenes (modalidad BusinessIT).
v La modalidad BusinessIT requiere más almacenamiento del sistema.
v Consulte “Valores de la interconexión” en la página 119.
Métodos de captura de solicitud
Puede especificar los métodos de solicitud que se capturan para que tengan
cualquiera de la siguiente combinación:
v GET
v POST
v PUT
v Consulte “Valores de la interconexión” en la página 119.
Calificación por tiempo
Se pueden asignar calificaciones a los tiempos medidos por la PCA en base a la
interpolación entre indicaciones de fecha y hora observadas en los paquetes de red.
Puede asignar valores de umbral y calificaciones para la Generación de página de
servidor web, el Transito de red y el Tiempo de ida y vuelta.
v Para obtener más información sobre la calificación por tiempo en general,
consulte Capítulo 7, “Medida de rendimiento”, en la página 245.
v Para obtener más información sobre informes de calificación de tiempo, consulte
"Análisis de rendimiento" en la publicación IBM Tealeaf Guía de informes.
v Para obtener más información sobre cómo configurar la calificación por tiempo,
consulte “Valores de la interconexión” en la página 119.
Procesamiento de coincidencias
Debe revisar todas las opciones disponibles para la forma en que se procesan las
coincidencias mediante el PCA antes de reenviarlos a la pareja de entrega. Estos
valores pueden afectar los requisitos de almacenamiento y rendimiento de PCA.
68
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Consulte “Valores de la interconexión” en la página 119.
Otras inclusiones y exclusiones de captura
También puede configurar el PCA para capturar o eliminar de la captura los tipos
de archivos especificados, mimetypes y todos los tipos de POST.
v Consulte “Valores de la interconexión” en la página 119.
Configuración de privacidad
Nota: Antes de habilitar la captura, debe configurar reglas de privacidad para
evitar la captura no deseada de información sensible, como por ejemplo números
de tarjeta de crédito de clientes. Si se habilita la captura sin reglas de privacidad
apropiadas, los datos de los clientes no filtrados se pueden reenviar a la
interconexión de Windows y se pueden almacenar en las bases de datos de Tealeaf,
donde cualquier usuario con los permisos de Tealeaf puede buscarlos.
La privacidad de Tealeaf permite manipular, enmascarar o eliminar la información
confidencial en el tráfico de solicitudes o respuestas. En función de las reglas de
privacidad que configure, estos datos pueden ocultarse en el tráfico que se
almacena en la base de datos de Tealeaf.
1. Iniciación a la privacidad de Tealeaf: Consulte la sección "Gestión de la
privacidad de datos en Tealeaf CX" en la publicación IBM Tealeaf CX Manual de
instalación.
2. Privacidad en el PCA: La privacidad puede desplegarse en el PCA a través de
la consola web de PCA. Consulte “Descarga de la configuración de privacidad”
en la página 135.
Habilitar Captura
Nota: Los pasos siguientes habilitan el PCA para comenzar la captura de tráfico de
red que se proporciona a través de la NIC especificada y el reenvío de datos
capturados al servidor de procesos. Si el servidor de procesos aún no se ha
configurado para capturar y procesar los datos enviados, entonces se pierden datos
cuando el PCA no puede establecer una conexión. Sin embargo, puede utilizar
estos pasos y los subsiguientes para verificar las operaciones de PCA.
Cuando se habilita la captura, el servidor de proceso también debe capturar en
orden para que se capturen las hits.
1. Pulse el “Consola web de PCA - Pestaña Consola” en la página 89.
2. Pulse Inicio.
El PCA comienza la captura y el reenvío al servidor de procesos especificado.
v Consulte “Consola web de PCA - Pestaña Consola” en la página 89.
Probar la configuración
Tras completar la configuración inicial, puede realizar los siguientes pasos para
verificar la configuración.
La salida de la IBM Tealeaf CX Passive Capture Application no es fácil de revisar
hasta estar configurado el resto del sistema IBM Tealeaf CX. Si solo configura la
PCA, puede revisar los siguientes pasos para verificar que la PCA esté
funcionando correctamente.
Capítulo 4. Configuración de CX PCA
69
1. Si ya no lo ha hecho, habilite la captura a través de la Consola Web de la PCA.
Verifique que la captura esté activada. Consulte “Habilitar Captura” en la
página 69.
2. Cuando la captura esté en ejecución, compruebe la sección Estado de la
máquina de la pestaña Resumen para verificar que todos los procesos estén en
ejecución.
v En la sección Iguales, debe tener listados los iguales de entrega. El valor de
la columna de Estado debe ser connected. Si no configura un Tealeaf
Processing Server para recibir datos de PCA, los errores se pueden informar
aquí.
v En la sección Iguales, las estadísticas Hits Delivered deben tener un valor
diferente a cero e irse incrementando, lo que indica que la PCA está
entregando las coincidencias a los destinos especificados en la pestaña
Entrega.
v Consulte “Consola Web de PCA - Pestaña Resumen” en la página 76.
3. Compruebe los archivos de registro para ver los errores. Consulte “Consola
web de PCA - Pestaña de copia de seguridad-registros” en la página 175.
v En los archivos de registro, puede notar errores donde la PCA no puede
contactar un igual si no tiene configurado un Tealeaf Processing Server para
recibir datos de PCA.
Cuando todos los componentes de Tealeaf estén configurados, debe completar una
prueba completa.
Navegadores soportados para la consola web de PCA
Se soportan los siguientes navegadores para acceder a la consola web de PCA:
v Microsoft Internet Explorer 7, 8 y 9
v Firefox 4 o posterior
Nota: Los navegadores soportados para acceder a la consola web difieren de
aquellos que están soportados para acceder al portal Tealeaf. El utilizar un
navegador no soportado puede provocar comportamientos inesperados.
v Consulte "Inicio de sesión en el Portal de Tealeaf" en el Manual de usuario de IBM
Tealeaf cxImpact.
Inicio de sesión de la Consola Web de PCA
Para supervisar y configurar el servidor de IBM Tealeaf CX Passive Capture
Application, puede utilizar la Consola web, una herramienta de administración
basada en la web.
Para abrir la Consola web, especifique la siguiente dirección en el campo Dirección
del navegador.
HTTP segura:
https://<servername>:<portnumber>
HTTP
http://<servername>:<portnumber>
donde:
v <servername> corresponde al nombre de host del servidor de la PCA.
70
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v <portnumber> corresponde al número de puerto utilizado para comunicarse con
la Consola web.
– Para HTTP, el número de puerto predeterminado es 8080.
– Para HTTPS, el número de puerto predeterminado es 8443.
Los puertos en los que escucha la consola web de la PCA se pueden configurar.
Consulte “Cambio de puertos de escucha de consola web” en la página 73.
Nota: Si habilita las características de Windows Enhanced Security, puede
experimentar problemas al utilizar Internet Explorer para acceder a la Consola web
de la PCA. Consulte "Resolución de problemas - Portal" en la Guía de resolución de
problemas de IBM Tealeaf.
Cierre de sesión de da Consola Web de la PCA
Para cerrar la sesión de la PCA. cierre la ventana del navegador.
Nota: A partir de la PCA Build 3500, la consola web impone un valor de tiempo
de espera excedido predeterminado de 30 minutos. Si la PCA hace que se supere el
tiempo de espera de la sesión, debe iniciar la sesión, aunque la autenticación esté o
no esté habilitada.
v Si supera el tiempo de espera de la sesión, vuelva a especificar sus credenciales
de autenticación para volver a iniciar la sesión.
v Si la autenticación está inhabilitada, deje los recuadros de texto vacíos y pulse
Iniciar sesión.
v Para obtener más información sobre cómo configurar los valores de tiempo de
espera excedido, consulte “Consola web de PCA - Pestaña Consola” en la página
89.
Pestaña de consola web
En la parte superior de la consola web, puede revisar la información de estado.
Incluye el número de compilación de Tealeaf, información de host y de puerto, y la
versión actual de Linux, así como la hora en la que la página se ha cargado por
última vez.
v En la esquina superior derecha de la consola, puede acceder a la página SysInfo.
Consulte “Página SysInfo” en la página 74.
v Cuando la página se carga, la consola web comprueba el espacio de disco
disponible en la partición que contiene el software PCA. Si no hay suficiente
espacio libre de disco, aparece un mensaje de estado en rojo, y será necesario
tomar medidas inmediatamente para liberar espacio en la partición
(/usr/local/ctccap de forma predeterminada).
Las siguientes páginas de configuración están disponibles en la consola web:
Etiqueta de la pestaña
Se utiliza para...
“Consola Web de PCA - Pestaña Resumen” en la página 76
Estado de los procesos de Captura en ejecución; visualización de
coincidencias; coincidencias rechazadas, conexiones/paquetes/errores TCP;
conexiones/reconocimientos SSL y bytes de escucha de leídos y escritos.
Visualización de información de estado y configuración para la interfaz de
red primaria y secundaria
Capítulo 4. Configuración de CX PCA
71
“Consola web de PCA - Pestaña Consola” en la página 89
Iniciar/detener captura de paquetes en directo desde la red,
Habilitar/inhabilitar captura al iniciar
“Consola Web de PCA - Pestaña Interfaz” en la página 90
Definición de interfaces de red (NIC), configuración de la Captura pasiva
para un dispositivo de escucha de red o un puerto de conmutador
distribuido, configuración de instancias de captura, definición de los
servidores web a supervisar y a ignorar, definición de filtros de tráfico y
definición parámetros de ajuste de captura
“Consola Web de PCA - Pestaña de Entrega” en la página 110
Especificación de servidores de Tealeaf para que reciban las coincidencias
empaquetadas desde la captura pasiva, establecimiento de los parámetros
de entrega, sincronización de la hora
“Consola Web de PCA - Pestaña Claves SSL” en la página 115
Cargar, editar y suprimir claves privadas para servidores web
supervisados; obtener más información sobre, ignorar o suprimir claves
privadas faltantes
“Valores de la interconexión” en la página 119
Editar parámetros de configuración que controlan el procesamiento de
aciertos; calificación de tiempo, modalidad de captura, conversión a
sesiones, incluir/excluir extensiones.
“Descarga de la configuración de privacidad” en la página 135
Habilitación/inhabilitación de la privacidad, creación y edición de reglas
de privacidad
“Estadísticas por instancia” en la página 153
Visualización de las métricas de la Captura pasiva
“Consola web de PCA - Pestaña de copia de seguridad-registros” en la página
175
Realización de copia de seguridad y carga del archivo de configuración;
visualización de varios archivos de registro; habilitación/inhabilitación de
archivado de paquetes.
“Consola Web de PCA - Pestaña de Migración tras error” en la página 177
Gestión de los valores de la migración tras error
“Consola Web de PCA - Pestaña de Programas de utilidad” en la página 179
Acceso a diversos programas de utilidades para los administradores de
PCA
“Consola Web de PCA - Página de depuración” en la página 184
Gestión de los volcados de núcleo de la PCA
Configuración
Las siguientes secciones contienen algunos pasos de configuración básicos para
configurar la consola web de PCA.
Habilitación de la autenticación de consola web
Se puede restringir el acceso a la consola web de PCA. Consulte Configuración del
Hardware e instalación del sistema operativo.
Conmutación de acceso HTTP/HTTPS
De manera predeterminada, la consola web de la PCA es accesible en modalidad
HTTP en el puerto 8080 o en modalidad HTTPS en el puerto 8443.
72
IBM Tealeaf CX Passive Capture Application: Manual de PCA
De manera opcional, puede configurar la PCA para que no sea accesible en una de
estas modalidades.
Pasos:
Para conmutar el acceso, complete los siguientes pasos.
1. Edite el archivo /usr/local/ctccap/etc/runtime.conf.
2. Añada o edite las siguientes líneas:
httpd_port_enable="NO"
httpd_portssl_enable="YES"
Modalidad
Valores
Sólo HTTP
httpd_port_enable="YES"
httpd_portssl_enable="NO"
Sólo HTTPS
httpd_port_enable="NO"
httpd_portssl_enable="YES"
both HTTP and HTTPS
httpd_port_enable="YES"
httpd_portssl_enable="YES"
3. Guarde el archivo.
4. Reinicie el PCA.
Si fuera necesario, puede cambiar los puertos que escucha la consola web de la
PCA. Consulte “Cambio de puertos de escucha de consola web”.
Para obtener más información sobre el inicio de sesión, consulte “Inicio de sesión
de la Consola Web de PCA” en la página 70.
Despliegue de un certificado SSL para la consola web
Puede desplegar un certificado SSL personalizado. Consulte “Generación de un
certificado autofirmado” en la página 224.
Cambio de puertos de escucha de consola web
De forma predeterminada, la consola web PCA escucha los puertos listados en la
parte superior de esta sección. Opcionalmente, puede cambiar los puertos de
escucha añadiendo las líneas siguientes al archivo runtime.conf.
El archivo runtime.conf se utiliza para sustituir los valores predeterminados
almacenados en el archivo tealeaf.conf.
Nota: tealeaf.conf debe configurarse para ser de sólo lectura y nunca debe
editarse.
1. Edite runtime.conf, que está almacenado en la siguiente ubicación:
/usr/local/ctccap/etc/runtime.conf
2. Puerto HTTP (sin cifrar): Añada las líneas siguientes:
httpd_listen="X"
httpd_port="X"
donde X es el número de puerto en el que la consola web debe escuchar tráfico
sin cifrar.
3. Puerto HTTPS (cifrado): Añada las líneas siguientes:
httpd_listenssl="X"
httpd_portssl="X"
Capítulo 4. Configuración de CX PCA
73
donde X es el número de puerto en el que la consola web debe escuchar tráfico
cifrado.
4. Guarde el archivo.
5. Reinicie el PCA.
Soporte IPv6 en la consola web PCA
Para nuevas instalaciones de PCA Build 3600, la consola web se configura para
aceptar las direcciones IP en formato IPv6 de forma predeterminada.
v Antes de PCA Build 3502, las direcciones de IPv6 no se pueden especificar a
través de la consola web de PCA.
Si está actualizando desde una versión anterior, deben insertar manualmente el
siguiente atributo en la sección Conf en el archivo de ctc-conf.xml:
<IPv6ConsoleEnabled>1</IPv6ConsoleEnabled>
El cambio anterior también se puede aplicar a PCA Build 3502 para configurar la
consola web de PCA para aceptar las direcciones IPv6 de forma predeterminada.
v Consulte “Archivo de configuración de captura pasiva ctc-conf.xml” en la
página 187.
Cuando se establece el valor en 1, la consola web de PCA valida la entrada de
datos suponiendo que las direcciones IP se introducen en el formato IPv6.
v Este cambio afecta principalmente a las direcciones que puede especificar en la
pestaña de interfaz. Consulte “Consola Web de PCA - Pestaña Interfaz” en la
página 90.
Página SysInfo
Cuando pulse el enlace de sysinfo ubicado por encima de la barra de menús de
Consola PCA, la página de SysInfo se visualizará. Esta página se genera mediante
la ejecución de un conjunto de mandatos Linux en la línea de mandatos y
visualizando los resultados en una sola página.
Puede revisar los mandatos individuales que generan la página Sysinfo y ejemplos
de salidas de cada mandato.
Sistema
Se puede utilizar el mandato siguiente tanto para la distribución SLES como para
la RHEL, las cuales tienen diferentes nombres de archivo.
Mandato
cat /etc/*-release
Salida
System
release info
: LSB_VERSION="1.3"
Red Hat Enterprise Linux ES release 3 (Taroon Update 5)
Mandato
uname-a
Salida
kernel info
: Linux venus.tealeaf.com 2.4.21-32.EL #1 Fri \
> Apr 15 21:29:19 EDT 2005 i686 i686 i386 GNU/Linux
74
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Mandato
cat /proc/cpuinfo
Salida
processor
: 0
vendor_id
: GenuineIntel
cpu family
: 6
model
: 8
model name
: Pentium III (Coppermine)
stepping : 3
cpu MHz
: 664.526
cache size
: 256 KB
fdiv_bug : no
hlt_bug
: no
f00f_bug : no
coma_bug
: no
fpu
: yes
fpu_exception
: yes
cpuid level
: 2
wp
: yes
flags
: fpu vme de pse tsc msr pae mce cx8 sep \
> mtrr pge mca cmov pat pse36 mmx fxsr sse
bogomips
: 1327.10
Mandato
cat /proc/meminfo
Salida
total:
used:
free: shared: buffers: cached:
Mem: 258945024 250028032 8916992
0 110923776 90759168
Swap: 534601728 5242880 529358848
MemTotal:
252876 kB
MemFree:
8708 kB
MemShared:
0 kB
Buffers:
108324 kB
Cached:
85572 kB
SwapCached:
3060 kB
Active:
183328 kB
ActiveAnon:
37496 kB
ActiveCache:
145832 kB
Inact_dirty:
35704 kB
Inact_laundry:
7588 kB
Inact_clean:
3436 kB
Inact_target:
46008 kB
HighTotal:
0 kB
HighFree:
0 kB
LowTotal:
252876 kB
LowFree:
8708 kB
SwapTotal:
522072 kB
SwapFree:
516952 kB
CommitLimit:
648508 kB
Committed_AS: 285972 kB
HugePages_Total:
0
HugePages_Free:
0
Hugepagesize:
4096 kB
dmesg
Mandato
dmesg
Capítulo 4. Configuración de CX PCA
75
Salida
dmesg
device eth2 entered promiscuous mode
device eth0 left promiscuous mode
device eth4 left promiscuous mode
device eth1 left promiscuous mode
device eth2 left promiscuous mode
device eth0 entered promiscuous mode
eth4: Promiscuous mode enabled.
device eth4 entered promiscuous mode
device eth1 entered promiscuous mode
eth2: Setting promiscuous mode.
device eth2 entered promiscuous mode
Consola Web de PCA - Pestaña Resumen
Cuando se conecte a la Consola web, visualizará la pestaña Resumen. La pestaña
de Resumen proporciona una instantánea del estado del sistema. Las estadísticas
que se muestran en esta página incluyen el estado del dispositivo, conexiones,
estadísticas de TCP y SSL actuales, conexiones HTTP y métricas de particiones.
v También se suministran estadísticas de compuesto para proporcionar una visión
general fácil de entender del estado de la PCA. Consulte “Estadísticas de
compuesto de instancias” en la página 79.
v Si la PCA genera un volcado del núcleo, se proporciona un enlace a la página de
Depuración en la pestaña de Resumen. Consulte “Consola Web de PCA - Página
de depuración” en la página 184.
v Hay disponible información adicional del sistema operativo a través de la
pestaña Programas de utilidad. Consulte “Consola Web de PCA - Pestaña de
Programas de utilidad” en la página 179.
Seguridad de la consola web
Los temas siguientes describen cómo proteger la consola web.
Inhabilitación del servidor web para la consola web
Puede inhabilitar el servidor web para la consola web de PCA. Si se inhabilita el
servidor web se impide que los usuarios accedan a la consola web de PCA.
Para inhabilitar el servidor para la consola web:
1. Ejecute el mandato siguiente.
tealeaf disable httpd
2. Si la consola web se está ejecutando, deténgala utilizando el mandato siguiente.
tealeaf stop httpd
v Si el mandato anterior no detiene el proceso HTTPd, verifique que ningún
usuario tenga la consola web abierta en una ventana del navegador.
v Si ejecuta el mandato anterior sin éxito, puede utilizar el mandato siguiente
para detener los procesos HTTPd huérfanos:
a. Inicie sesión como usuario raíz.
b. Ejecute el mandato siguiente:
killall httpd
3. PortalStatus necesita que el servidor web recupera la información de estado.
Si inhabilita el servidor web, PortalStatus ya no puede recuperar la
información de estado para PCA.
76
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Inhabilitación del acceso a la consola web a través del puerto
8080
Puede configurar PCA para que inhabilite el puerto para la consola web de PCA.
Si inhabilita el puerto, los usuarios remotos no pueden acceder a la consola web.
Para desactivar el acceso a la consola web mediante el puerto 8080:
1. Edite el archivo /usr/local/ctccap/etc/runtime.conf.
2. Busque la línea siguiente:
httpd_port_enable=
3. Si la línea no existe, añádala.
4. Establezca el valor después del signo de equivalencia en "NO". Por ejemplo:
httpd_port_enable="NO"
5. Guarde el archivo.
6. El archivo de configuración actualizado entra en vigor la próxima vez que se
inicie el Servidor web.
Habilitación del acceso a la consola web mediante una única
dirección IP
Puede especificar una sola dirección IP que puede acceder a la consola web.
Limitar el acceso a una sola dirección IP ayuda a impedir el acceso no autorizado a
través de un sistema desconocido.
Para permitir el acceso a la consola web desde una dirección IP:
1. Edite el archivo /usr/local/ctccap/etc/runtime.conf.
2. Busque la línea siguiente:
httpd_console_allow_from=
3. Si la línea no existe, añádala.
4. Establezca el valor después del signo de equivalencia por la dirección IP desde
donde accedería a la consola web. Por ejemplo:
httpd_console_allow_from=1.2.3.4
5. El archivo de configuración actualizado entra en vigor la próxima vez que se
inicie el Servidor web.
Aplicación de la autenticación durante el acceso a la consola
web
Puede mejorar la seguridad si habilita la autenticación en la consola web.
Cuando utiliza el procedimiento siguiente para restringir el acceso a la consola
web, debe utilizar el nombre de archivo index.php cuando accede a la página
predeterminada de la consola web. Por ejemplo, después de aplicar los pasos
siguientes, el URL siguiente no se muestra como la página de la consola web
predeterminada para PCA 1.2.3.4.
http://1.2.3.4:8080/
Debe especificar la página index.php del modo siguiente.
http://1.2.3.4:8080/index.php
Esta restricción también se aplica al acceso HTTPS siguiente:
https://1.2.3.4:8443/index.php
Para solicitar nombre de usuario/contraseña al acceder a la consola web:
Capítulo 4. Configuración de CX PCA
77
Cree el archivo de base de datos de usuario de Servidor web al utilizar los
siguientes mandatos:
1. Edite el archivo /usr/local/ctccap/etc/runtime.conf.
2. Busque en el archivo:
httpd_userauth_
3. Si la serie no está presente, añada los siguientes parámetros al final del archivo.
Si existen estas entradas, edítelas a los siguientes valores:
httpd_userauth_enable="YES"
httpd_userauth_realm="PCAv2"
httpd_userauth_require="valid-user"
httpd_userauth_type="Basic"
Nota: Los valores de httpd_userauth_enable deben estar todos en mayúsculas,
como en el ejemplo anterior (YES).
4. Para añadir un usuario o cambiar su contraseña, utilice uno de los siguientes
mandatos, reemplazando johndoe con el nombre del usuario nuevo o ya
existente:
Con el siguiente mandato, se le solicitará que especifique la contraseña nueva
al ejecutar el mandato:
Nota: Tealeaf recomienda utilizar este método para crear contraseñas. Si no se
utiliza este método, las contraseñas no pueden tener más de 8 caracteres.
/usr/local/ctccap/bin/htpasswd -m \
/usr/local/ctccap/etc/tealeaf-web.users johndoe
Cuando se añade la opción -b, se puede especificar la contraseña (mypassword)
como parte del mandato:
/usr/local/ctccap/bin/htpasswd -mb \
/usr/local/ctccap/etc/tealeaf-web.users johndoe mypassword
5. Los cambios mencionados en el mandato anterior no afectan la utilización por
parte de PortalStatus del servidor web para recuperar información de estado.
6. El archivo de configuración actualizado entra en vigor la próxima vez que se
inicie el Servidor web.
Aplicación de cambios de configuración de forma inmediata
Puede aplicar cambios de configuración a PCA reiniciando el servicio.
Para aplicar cambios al archivo de configuración /usr/local/ctccap/etc/
runtime.conf de forma inmediata, ejecute los mandatos siguientes para detener el
servidor web y, a continuación, reiniciarlo.
1. Ejecute tealeaf stop httpd para detener el servicio.
2. Ejecute tealeaf start httpd para iniciar el servicio.
78
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Estadísticas de compuesto de instancias
Figura 3. Pestaña de resumen - Estadísticas de compuesto de instancias
De forma predeterminada, la página Resumen se renueva automáticamente cada 20
segundos.
v Para inhabilitar la función de renovación automática, pulse Inhabilitar
renovación automática en la esquina superior derecha de la página. Cuando está
inhabilitada, la página no se renueva automáticamente hasta que el usuario deja
la página y luego vuelve a ella o la renovación automática se habilita
nuevamente.
v Para renovar manualmente los datos, pulse Renovar.
Cuando el PCA está experimentando problemas con la captura o el proceso de los
datos de hits, se puede visualizar un mensaje en la pestaña Resumen con alguna
información sobre el problema.
v Los elementos que se listan en rojo se deben atender inmediatamente.
v Para obtener más información acerca de la evaluación de estos mensajes,
consulte “Información adicional de depuración de la consola web de PCA” en la
página 88.
El porcentaje de paquetes extraños
El porcentaje de paquetes que se encuentran en la secuencia de captura que la PCA
no puede asociar a una conexión existente. Cuando se inicia la captura por primera
vez, se espera que este número sea un porcentaje alto. Pero a medida que la
captura continúa la asociación y el proceso de aciertos, esta cifra debe bajar.
Análisis:
Si esta métrica está marcada en rojo, la calidad de los datos enviados a las
conexiones PCA o TCP debe mejorarse. Estos son algunos métodos sugeridos.
Capítulo 4. Configuración de CX PCA
79
1. Aplique filtros de tráfico: si todavía no lo ha hecho, puede aplicar filtros para
eliminar el tráfico no deseado que se esté reenviando a la PCA. Se pueden
aplicar filtros de tráfico a los rangos de puerto o a las direcciones IP.
v Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90.
2. Modalidad de captura: si la PCA está configurada para estar en la modalidad
BusinessIT, se capturan más datos que no pueden ser importantes. El recuento
de paquetes extraños puede caer si cambia la PCA para capturar en modalidad
Business. Consulte “Valores de la interconexión” en la página 119.
3. Después de realizar los cambios a lo anterior, debe reiniciar la PCA. Consulte
Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19.
4. Compruebe el hardware: el puerto SPAN utilizado para entregar las
coincidencias a la PCA puede estar descartando algunos debido a la
sobresuscripción. Verifique con el departamento de TI que el puerto SPAN no
esté perdiendo los datos.
v Los recuentos altos de paquetes extraños y las páginas faltantes pueden estar
asociados a un mal funcionamiento de una tarjeta NIC en la máquina que
aloja a la PCA. También debe revisar y actualizar, si fuera necesario, el
controlador de la tarjeta NIC.
5. Sumas de comprobación incorrectas: si hay un número significativo de sumas
de comprobación incorrectas, debe verificar con el personal de TI que el origen
del tráfico que se reenvía a la PCA esté generando sumas de comprobación
válidas.
v Para probar la validez de las sumas de comprobación en los datos del
paquete, puede habilitar la validación de la suma de comprobación en la
pestaña Interfaz. La validación está habilitada de manera predeterminada.
Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90.
6. Puede haber información adicional disponible en el registro de estadísticas, que
puede descargarse de la consola web de la PCA. Consulte “Consola web de
PCA - Pestaña de copia de seguridad-registros” en la página 175.
7. Puede habilitar el archivado en la PCA, que entrega paquetes red en bruto al
archivo designado y puede resultar útil para la depuración de problemas en los
datos de sesión.
Nota: La utilización de las características de archivado de PCA debe realizarse
bajo la dirección del personal de Tealeaf. Para obtener más información,
póngase en contacto con Tealeaf Soporte al cliente .
v Consulte “Consola web de PCA - Pestaña de copia de seguridad-registros”
en la página 175.
Si es true, reassd no puede mantener listend
El proceso de escucha (listend) en la instancia PCA está enviando más hits para el
proceso de reensamblaje (reassd) de lo que puede evaluar. Como resultado, se han
eliminado hits.
v Para obtener más información sobre el flujo de proceso en el PCA,
consulteCapítulo 1, “Descripción general de la captura pasiva”, en la página 1.
Análisis:
Si está métrica está marcada en rojo, debe configurar el PCA para enviar menos
hits mediante la instancia individual del PCA. Algunas sugerencias:
1. Añadir instancias PCA: Añadir instancias del IBM Tealeaf CX Passive Capture
Application al servidor de hosting puede aliviar el volumen de tráfico a
procesos individuales.
80
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Para obtener más información sobre el número máximo de instancias en el
servidor, consulte Capítulo 2, “Instalación de CX Passive Capture
Application”, en la página 19.
v Para obtener más información sobre añadir instancias, consulte “Consola
Web de PCA - Pestaña Interfaz” en la página 90.
2. Escucha en más puertos: Añadir puertos de escucha al PCA puede reducir los
cuellos de botellas en el proceso sobre cualquier puerto individual. Consulte
“Consola Web de PCA - Pestaña Interfaz” en la página 90.
El porcentaje de conexiones de paquete descartadas
Esta métrica identifica conexiones completadas que la PCA sospecha de
condiciones de paquetes descartados.
Análisis:
Este problema es causado por la conexión entre la PCA y el dispositivo que la
alimenta. Revise la configuración de escucha para la PCA, la configuración de
salida para el dispositivo de envío y la topología de la red entre ambas.
v Para obtener más información sobre la configuración de las interfaces de red en
las que la PCA escucha, consulte “Consola Web de PCA - Pestaña de Programas
de utilidad” en la página 179.
El porcentaje se convierte en tráfico unidireccional
Esta métrica indica el porcentaje de tráfico que se pasa a la PCA que se mueve en
una dirección. Para volver a ensamblar una coincidencia, la PCA hace coincidir las
solicitudes (el tráfico que se mueve entre el navegador del cliente y el servidor
web) con las respuestas (los mensajes que se devuelven al navegador del cliente
basados en las solicitudes). Para capturar la experiencia de un visitante, la PCA
debe recibir todo el tráfico bidireccional.
Análisis:
Normalmente, este problema es un problema de configuración con el dispositivo
que se encarga del reenvío de datos a la PCA. Consulte con el departamento de TI
para verificar que el puerto o conmutador SPAN está reenviando tráfico
bidireccional a través de todos los puertos de Tealeaf.
v Cuando la PCA detecta coincidencias unidireccionales, esas coincidencias
pueden descartarse. Para las coincidencias de tipo solicitud, estas pueden
resultar en una coincidencia de solicitud cancelada, sin una respuesta
correspondiente presente en la secuencia de captura.
La tasa a la que reassd vuelve a montar en la actualidad los
aciertos no SSL
Esta métrica indica la tasa de procesamiento principal de la PCA. Normalmente,
una instancia de PCA debe poder procesar entre 400 y 600 aciertos por segundo.
v Para el tráfico SSL, la tasa del proceso es normalmente entre 200 y 300 aciertos
por segundo.
Análisis:
Si esta tasa baja demasiado, entonces el proceso reassd está sobrecargado. Se
pueden investigar los siguientes elementos para intentar mejorar las tasas de
procesamiento:
Capítulo 4. Configuración de CX PCA
81
Compruebe las reglas de privacidad: las reglas de privacidad que se aplican en la
PCA pueden ser costosas en lo que concierne al procesamiento, especialmente si
utiliza expresiones regulares para evaluar los datos. Siempre que sea posible,
evítelo al utilizar expresiones regulares.
v Utilice reglas de privacidad para bloquear o cifrar solo los datos más
confidenciales. Para obtener más información sobre las reglas de privacidad,
consulte “Descarga de la configuración de privacidad” en la página 135.
v La evaluación de la privacidad se puede mover de la PCA a la interconexión de
Windows, según sea necesario. Mientras que la aplicación de privacidad en la
PCA asegura que los datos confidenciales nunca se visualicen en el sistema
Tealeaf, el proceso de la privacidad no crítica se puede aplicar mediante la
interconexión de Windows utilizando la configuración de reglas idénticas.
Consulte "Agente de sesión de privacidad" en el Manual de configuración de IBM
Tealeaf CX.
v Para obtener más información acerca del despliegue de la privacidad en Tealeaf,
consulte "Gestión de privacidad de datos en Tealeaf CX" en la publicación IBM
Tealeaf CX Manual de instalación.
Si es true, se ha encontrado Diffie Hellman SSL
Si esta métrica se marca en rojo, el PCA ha encontrado el algoritmo criptográfico
Diffie Hellman SSL, que el PCA.
Análisis:
El IBM Tealeaf CX Passive Capture Application no puede capturar el tráfico en
presencia de Diffie Hellman. Se recomienda que vuelva a configurar sus servidores
web para no utilizar este protocolo. Para obtener más información, consulte la
documentación que se viene con el producto del servidor web.
El porcentaje de conexiones envejecidas
Este valor indica el porcentaje de conexiones TCP capturadas por la PCA que han
excedido el tiempo de espera.
v Las conexiones envejecidas pueden resultar en sesiones finalizadas de forma
anómala en los datos de Tealeaf.
Análisis:
Grandes porcentajes de conexiones envejecidas pueden indicar un problema de
configuración de red. Sucede, como lo indica el tiempo de espera excedido de la
conexión, que la PCA está esperando datos que nunca se entregan.
v De manera predeterminada, la PCA se configura con un valor de tiempo de
espera excedido de 60 minutos.
v Los tiempos de espera excedidos de conexiones de la PCA pueden configurarse
en el archivo ctc-conf.xml. El valor es <AgedTcpConnectionsTimeout> en la
sección de captura. Consulte “Archivo de configuración de captura pasiva
ctc-conf.xml” en la página 187.
Claves de SSL que faltan/seg
Esta métrica indica el número de claves de SSL que faltan que se detectan en el
tráfico cada segundo.
Análisis:
Cuando la métrica se marca en rojo, las claves de SSL se actualizan el servidor
web, todavía no se ha proporcionado el PCA con las nuevas claves.
82
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Sin las claves de SSL correctas, el PCA no puede descifrar el tráfico basado en
SSL y esos hits se eliminan.
Debe adquirir las nuevas claves de SSL del servidor web. Póngase en contacto con
el equipo de TI responsable de los servidores web.
v Para obtener más información sobre la instalación de las claves de SSL para
PCA, consulte Capítulo 6, “Claves SSL”, en la página 211.
v Si su entorno está utilizando un Hardware Security Module para gestionar
claves, puede ser necesaria más configuración. Consulte Apéndice - Integración
de claves de SSL de Tealeaf con HSM.
KBytes de tráfico filtrados/seg.
Este valor indica los kilobytes por segundo del tráfico que el PCA está capturando
después de que se aplica cualquier regla de filtros configurados.
Análisis:
Si el valor es demasiado bajo, entonces puede tener un problema con los filtros de
datos que se aplican mediante el PCA. Debe revisar los filtros que ha aplicado.
v Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90.
Para evaluar la calidad del filtrado, debe revisar la calidad de los datos que se
capturan. A través de la reproducción, puede identificar rápidamente si los hits
significativos se están eliminando.
v Para obtener más información sobre cómo utilizar la reproducción mediante
Tealeaf Portal, consulte "Reproducción basada en el navegador CX" en la
publicación IBM Tealeaf cxImpact Manual del usuario.
v Para obtener más información sobre cómo utilizar la aplicación de escritorio de
IBM Tealeaf CX RealiTea Viewer, consulte "Visor de RealiTea - Vista de
reproducción" en la publicación IBM Tealeaf RealiTea Viewer Manual del usuario.
Si es no cero, se están eliminando los hits debido a una
sobrecarga de la interconexión.
Cuando el valor es no cero, el número indicado de los paquetes TCP se ha
eliminado del proceso interconectado debido a condiciones de sobrecarga.
Análisis:
Este valor no debe ser cero. Puede especificar el máximo de tamaño permitido para
paquetes individuales de TCP mediante los parámetros de ajuste en la pestaña de
interfaz.
v Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90.
Si se están eliminando algunos hits, varias reglas de privacidad o demasiada
complejidad en ellas pueden generar la condición de sobrecarga.
v Consulte “Descarga de la configuración de privacidad” en la página 135.
En PCA Build 3403 o posterior, puede añadir más instancias del proceso
interconectado, que ayuda a distribuir la carga del proceso.
v Consulte “Valores de la interconexión” en la página 119.
Cuando esta estadística se suma en todas las instancias PCA, el resultado indica el
número total de hits perdidos debido al exceso del tamaño especificado de paquete
TCP. Para calcular el % del total, divida este valor entre la suma de las estadísticas
Capítulo 4. Configuración de CX PCA
83
Captured before hit processing para todas las instancias PCA, que es el total de
recuento de hits para entregar a la cola de interconexión.
v Consulte “Estadísticas por instancia” en la página 153.
El aumentar el número de interconexiones bajo la pestaña de interconexión puede
ayudar a aliviar este problema.
v Consulte “Valores de la interconexión” en la página 119.
Si es distinto de cero, los paquetes se eliminar debido a que
sobrepasan la límite de tamaño máximo.
Siempre que se recibe un paquete con un tamaño mayor que el límite de tamaño
de paquetes de captura de gran tamaño máximo, esta métrica se incrementa en
uno.
Nota: Si va a utilizar una o más tarjetas de interfaz de red de fibra de 10 gibabits y
está experimentando problemas de calidad de tráfico de captura, esto lo pueden
causar los problemas de la tarjeta de interfaz de fibra y del controlador. Si el PCA
no está utilizando las tarjetas de interfaz de NIC de Intel basadas en chipset,
Tealeaf recomienda que cambie sus NIC utilizando los chipsets de Intel.
En la pestaña de interfaz en la vista de parámetros de ajuste, el campo Max large
capture packet size define el límite de tamaño del paquete de captura de gran
tamaño máximo.
v De forma predeterminada, este valor se establece en 8 KB.
v Según sea necesario, este valor se puede aumentar para acomodar los sistemas
que tienen características tales como descarga de recepción grande (LRO)
habilitada.
El aumento del Max large capture packet size debe detener el aumento de la
métrica en la pestaña de resumen.
84
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Figura 4. Tamaño de paquete de gran tamaño máximo
Consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90.
Conexiones TCP
Figura 5. Pestaña de Resumen - Conexiones TCP
Nota: La tabla de Conexiones TCP se visualiza en PCA Build 3500 o posterior, en
la que se puede detectar el tráfico IPv6. La captura y el procesamiento de IPv6 no
cuenta con soporte a partir de la PCA Build 3500.
En la tabla de Conexiones TCP, puede revisar los tipos de direcciones IP detectados
por la IBM Tealeaf CX Passive Capture Application. Una entrada de TRUE indica
que se detecta el tipo de conexión.
Capítulo 4. Configuración de CX PCA
85
Estado de la máquina
El panel Estado de la máquina indica las métricas actuales en los recuentos y el
estado general de cada proceso que se está ejecutando en el servidor de PCA.
Figura 6. Pestaña de resumen - Estado de la máquina
Valor
Descripción
Name
Nombre del proceso de interconexión de PCA
Running
Recuento de procesos que se ejecutan en el servidor de PCA
KB Size High
Tamaño máximo en kilobytes utilizado por todas las instancias de proceso
desde el último reinicio PCA.
CPU % High
Consumo máximo de RAM como un porcentaje de la memoria disponible
en la CPU desde el último reinicio de PAC.
Estadísticas de montaje
Puede revisar las estadísticas en los puntos de montaje configurados en el servidor
de PCA.
Valor
Descripción
Mount Point
Vía de acceso desde la raíz del punto de montaje especificado
Usage
Porcentaje de RAM disponible utilizada por el punto de montaje
Available
RAM disponible utilizada por el punto de montaje
Iguales
El panel Iguales indica la conectividad entre el servidor PCA y los servidores del
Servicio de transporte, que procesan los datos capturados por la PCA.
86
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Figura 7. Pestaña de Resumen - Iguales
Valor
Descripción
Delivery Host or Address
Nombre de host o dirección IP estática del igual
Port
El puerto utilizado para comunicarse con el igual de Servicio de Transporte
v Normalmente, se utiliza el puerto 1966 o el 1967.
Estado Estado actual: disconnected o connected
Hits Delivered
Recuento de coincidencias que se envían desde entregado al igual desde
que la PCA se reinició por última vez
Hits Dropped
Recuento de coincidencias desde el último reinicio de la PCA que no
reconocidos por el igual y por lo tanto descartados.
Nota: Los valores distintos a cero se deben investigar con los
administradores del servidor del Transport Service, ya que pueden ser
indicaciones de problemas de conectividad o problemas en el proceso de
coincidencias en la interconexión de Windows.
Estadísticas actuales por segundo
Para cada instancia del PCA, este panel indica el flujo de coincidencias a través de
cada proceso de la aplicación en una base por segundo. Esto se renueva cada 20
segundos de forma predeterminada
Figura 8. Pestaña Resumen: Estadísticas actuales por segundo
Valor
Descripción
ID
Identificador de la instancia
Listend Packets In
Recuento de paquetes que ingresan al proceso listend. Esta métrica indica
la tasa de paquetes recibidos por el PCA desde la red.
Capítulo 4. Configuración de CX PCA
87
Listend Out
Volumen de datos que deja el proceso listend por segundo.
Reassd In
Volumen de datos que se espera que ingrese al proceso reassd por
segundo. Esta métrica debe coincidir con el volumen que deja el proceso
listend.
v Las diferencias entre los valores de Listend Out y Reassd In pueden
indicar problemas con las coincidencias del procesamiento de PCA lo
suficientemente rápido para coincidir con el flujo actual de tráfico.
TCP Connections
Recuento de conexiones TCP entre el PCA y el conmutador o extensión
que envía datos al mismo
SSL Missing Keys
Recuento de claves SSL faltantes por segundo.
Nota: Este valor debe ser cero. Los valores distintos de cero pueden
indicar problemas a investigar. Consulte “Consola Web de PCA - Pestaña
Claves SSL” en la página 115.
SSL New Handshakes
Recuento de reconocimientos SSL nuevos detectados en la secuencia de
captura por segundo. Generalmente, esta métrica indica el recuento de
sesiones nuevas.
Nota: La presencia sistemática de valores anormales puede indicar que el
servidor web está inicializando nuevos reconocimientos SSL cuando no
debe, lo que puede indicar un problema de configuración del lado del
servidor.
Reassd Hits Non-SSL
Recuento de coincidencias no SSL que están ingresando al proceso reassd
por segundo
Reassd Hits SSL
Recuento de coincidencias SSL que están ingresando al proceso reassd por
segundo
Reassd Out
Recuento de coincidencias que están dejando el proceso reassd por
segundo
Información adicional de depuración de la consola web de PCA
v Obtenga tcpdumps del tráfico de red entregado a PCA. Estos datos pueden ser
útiles al evaluar qué problemas se están produciendo dentro de PCA o en otro
lado en la infraestructura de red de empresa.
v La información estadística puede descargarse en el registro Estadísticas. Consulte
“Estadísticas por instancia” en la página 153.
v Si el PCA ha generado un volcado del núcleo debido a un error importante,
puede descargar el volcado del núcleo y otros datos a través de la página
Depuración, a la que se puede acceder desde un enlace en la pestaña Resumen.
Consulte “Consola Web de PCA - Página de depuración” en la página 184.
v Hay más información disponible en los registros de PCA. Consulte “Consola
web de PCA - Pestaña de copia de seguridad-registros” en la página 175.
88
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Consola web de PCA - Pestaña Consola
La siguiente imagen muestra las funciones disponibles en la pestaña Consola,
incluidos los valores predeterminados de las cuatro opciones de configuración:
Figura 9. Pestaña de Consola
Las opciones disponibles en la pestaña Consola incluyen las siguientes opciones.
Valor
Descripción
Iniciar/detener captura
Este botón controla si el dispositivo de Captura pasiva captura paquetes de
la red. Al iniciarlo, captura paquetes. Al detenerlo, no captura paquetes. La
Captura no se puede iniciar si está inhabilitada.
Cuando selecciona Detener captura, se muestra el recuadro de selección
Restablecer todas las estadísticas antes de iniciar captura.
Nota: Si está habilitada la migración tras error de la máquina
maestra/esclava de PCA, no seleccione el recuadro de selección
Restablecer todas las estadísticas antes de iniciar captura para borrar las
estadísticas. El borrado o restablecimiento de estadísticas impide que la
migración tras error funcione correctamente. Si necesita borrar estadísticas,
primero detenga la migración tras error en la pestaña Migración tras error.
El reinicio del PCA establece el estado de migración tras error de la
máquina correctamente con las estadísticas borradas.
Habilitar/inhabilitar la Captura
Este botón controla el comportamiento de la aplicación de captura
principal cuando se inicia el servicio en el tiempo de arranque, desde la
línea de mandatos o desde la consola web. Cuando está habilitada, la
aplicación de captura principal puede iniciarse. Cuando está inhabilitada,
la aplicación de captura principal no puede iniciarse.
Habilitar/inhabilitar agotar tiempo de espera de la consola web
De forma predeterminada, se configura la consola web de la PCA para
agotar el tiempo de espera de las sesiones si no se detecta actividad en 30
minutos.
v Para inhabilitar el tiempo de espera excedido de la consola, pulse
Inhabilitar.
– Si está inhabilitada la autenticación de usuario para la consola web,
no es aplicable el tiempo de espera excedido para la consola.
Capítulo 4. Configuración de CX PCA
89
v Para habilitar un tiempo de espera excedido para la consola, pulse
Habilitar. Especifique un valor que no sea cero para el número de
minutos que debe establecer para el tiempo de espera excedido. A
continuación, pulse Establecer.
– Las pestañas de la consola que se renuevan automática, como por
ejemplo la pestaña de Resumen y la pestaña de Consola, no
restablecen el tiempo de espera excedido.
Nota: El tiempo de espera excedido de la consola puede habilitarse o
inhabilitarse en la PCA Build 3600 o posterior.
- Puede configurar la duración del tiempo de espera de la consola en
la PCA Build 3500 o posterior. Sin embargo, antes de la PCA Build
3600, el tiempo de espera de la consola no se puede inhabilitar.
Consola Web de PCA - Pestaña Interfaz
En la pestaña Interfaz, puede configurar el número de instancias de la IBM Tealeaf
CX Passive Capture Application y las reglas de tráfico para enviar datos a cada
instancia.
Nota: Puede configurar la consola web PCA para aceptar direcciones IPv6 de
forma predeterminada. Consulte “Navegadores soportados para la consola web de
PCA” en la página 70.
Nota: Después de guardar los cambios en la pestaña Interfaz, es necesario un
reinicio manual de PCA. Consulte “Consola web de PCA - Pestaña Consola” en la
página 89.
CX Passive Capture Application puede configurarse para dar soporte al equilibrio
de carga transparente o puede inhabilitar el equilibrio de carga y utilizar el método
de herencia de captura de tráfico de red. Para obtener más información sobre los
beneficios del equilibrio de carga transparente, consulte “Descripción general del
equilibrio de carga transparente de CX PCA” en la página 12. Si desea configurar
CX PCA para utilizar el equilibrio de carga transparente, consulte “Configuración
de la interfaz de PCA con el equilibrio de carga transparente” en la página 91. Si
no desea habilitar el equilibrio de carga transparente en CX PCA, consulte
“Configuración de la interfaz de PCA sin el equilibrio de carga transparente”.
Configuración de la interfaz de PCA sin el equilibrio de carga
transparente
Figura 10. Seleccionar vista
Desde la parte superior de la página, puede seleccionar la vista de la página.
v Para configurar instancias individuales de la IBM Tealeaf CX Passive Capture
Application, pulse Ver instancias. Consulte “Ver instancias” en la página 92.
v Para editar filtros de datos para cada instancia, pulse Editar filtros. Consulte
“Edición de filtros” en la página 105.
v Para revisar y editar la interfaz que ajusta los parámetros, pulse Ajuste de
parámetros. Consulte “Parámetros de ajuste” en la página 106.
90
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Segmentación de tráfico: a través de la pestaña Interfaz, puede segmentar el tráfico
en varias instancias de IBM Tealeaf CX Passive Capture Application. Los dos
métodos siguientes están disponibles para la segmentación del tráfico para
distribuir la carga de tráfico:
v “Servidor web host IP/Filtrado de direcciones de puerto” en la página 93
Nota: Siempre que sea posible, la segmentación de la dirección IP es el método
preferido antes que la segmentación de puerto.
v “Filtrado de segmentación de puerto de cliente TCP” en la página 94
– Consulte “Segmentación del tráfico” en la página 93.
Configuración de la interfaz de PCA con el equilibrio de carga
transparente
Puede configurar la interfaz de red de su CX Passive Capture Application con el
equilibrio de carga transparente. Para obtener más información sobre los beneficios
de habilitar el equilibrio de carga transparente, consulte “Descripción general del
equilibrio de carga transparente de CX PCA” en la página 12.
Para configurar
En la pestaña Interfaz, puede configurar el número de instancias de IBM Tealeaf
CX Passive Capture Application y una regla de tráfico para enviar datos a cada
instancia.
Nota: Puede configurar la consola web PCA para aceptar direcciones IPv6 de
forma predeterminada. Consulte “Navegadores soportados para la consola web de
PCA” en la página 70.
Nota: Después de guardar los cambios en la pestaña Interfaz, es necesario un
reinicio manual de PCA. Consulte “Consola web de PCA - Pestaña Consola” en la
página 89.
Figura 11. Seleccionar vista
Desde la parte superior de la página, puede seleccionar la vista de la página.
v Para configurar instancias individuales de la IBM Tealeaf CX Passive Capture
Application, pulse Ver instancias. Consulte “Ver instancias” en la página 92.
v Para editar filtros de datos para cada instancia, pulse Editar filtros. Consulte
“Edición de filtros” en la página 105.
v Para revisar y editar la interfaz que ajusta los parámetros, pulse Ajuste de
parámetros. Consulte “Parámetros de ajuste” en la página 106.
Segmentación de tráfico: a través de la pestaña Interfaz, puede segmentar el tráfico
en varias instancias de IBM Tealeaf CX Passive Capture Application. Los dos
métodos siguientes están disponibles para la segmentación del tráfico para
distribuir la carga de tráfico:
v “Servidor web host IP/Filtrado de direcciones de puerto” en la página 93
Capítulo 4. Configuración de CX PCA
91
Nota: Siempre que sea posible, la segmentación de la dirección IP es el método
preferido antes que la segmentación de puerto.
v “Filtrado de segmentación de puerto de cliente TCP” en la página 94
– Consulte “Segmentación del tráfico” en la página 93.
Ver instancias
Las instancias de múltiple interfaz le permiten al PCA aprovechar hardware de
varios núcleos y de varios CPU al permitir varios procesos para capturar
simultáneamente el tráfico de red para el reensamblado de coincidencias HTTP y el
descifrado de SSL.
Figura 12. Instancias
Nota: El número de instancias PCA no debe exceder:
(el número de núcleos disponibles) - 1
Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la página
19.
v Para habilitar la captura de varias instancias, pulse el recuadro de selección.
v Para inhabilitar la validación de suma de comprobación de paquetes capturados,
pulse el recuadro de selección. Consulte “Inhabilitar validación de suma de
comprobación de paquete”.
v Para añadir una instancia del PCA, pulse Añadir instancia. Se añade otra
instancia a la lista de instancias. Consulte “Lista de instancias” en la página 102.
v Para llenar automáticamente números de puerto en todos instancias actuales del
PCA, pulse Llenar puertos. Consulte “Llenado de puertos” en la página 95.
v Para eliminar todos los filtros actuales de todas las instancias, pulse Eliminar
filtros.
Inhabilitar validación de suma de comprobación de paquete: De forma
predeterminada, el PCA realiza una validación de la suma de comprobación para
cada paquete que se le reenvía. En entornos con tarjetas de interfaz de red (NIC)
que utilizan la opción grande de recibir (LRO) o la descarga de la suma de
comprobación (rx-checksumming) o ambas, la validación de la suma de
comprobación de los paquetes de red capturados se gestionan en el hardware de la
92
IBM Tealeaf CX Passive Capture Application: Manual de PCA
tarjeta. Dado que la validación de la suma de comprobación se realiza en paquetes
individuales en el hardware, no es razonable realizar otra suma de comprobación
de los paquetes más grandes, agregados.
Cuando se habilita una o ambas de estas opciones, los paquetes resultantes que se
reenvían al PCA no contienen una suma de comprobación del paquete recalculado,
que hace que la suma de comprobación falle y el paquete se deba descartar. Otros
efectos:
v Los recuentos de páginas que faltan o parciales aparecen en los datos de la
sesión.
v Las estadísticas de PCA deben mostrar un aumento significativo en Total
checksum errors. Consulte “Estadísticas por instancia” en la página 153.
Nota: Si el NIC utilizado por el IBM Tealeaf CX Passive Capture Application
utiliza la opción grande de recibir y/o la descarga de la suma de comprobación,
debe inhabilitar la validación de la suma de comprobación en la consola web de
PCA. Para inhabilitar, seleccione la casilla de comprobación Disable Packet
checksum validation en la pestaña de interfaz.
Como una alternativa, puede habilitar la validación de la suma de comprobación
para el IBM Tealeaf CX Passive Capture Application si inhabilita la descarga de la
suma de comprobación a través del nivel de controlador del sistema operativo. No
obstante, esta opción añade un uso de procesos para el sistema operativo.
v El mandato para inhabilitar la descarga de suma de comprobación para el NIC
deben colocarse en el script de configuración de modo de inicio.
Segmentación del tráfico: Los paquetes capturados se trafican a instancias
individuales de la PCA en base al Tráfico deseado especificado para cada instancia
y a los valores globales del Tráfico ignorado.
La Captura pasiva examina cada paquete de red y determina cómo traficarlo en
base a las reglas de filtro. Con la ayuda de las reglas de filtro, puede especificar
dónde quiere que vaya el tráfico requerido, ayudar a equilibrar la carga entre
varias instancias de la PCA y definir los tipos de tráfico que puede ignorar la PCA.
Nota: La PCA configura automáticamente sus filtros de escucha para permitir la
captura de paquetes VLAN 802.1q. Consulte “Filtros de VLAN” en la página 110.
v Para eliminar todos los filtros de todas las instancias, seleccione Eliminar filtros
en la sección Funciones generales.
Cualquiera de los dos métodos siguientes puede configurarse en la pestaña
Interfaz para que segmente cargas de tráfico a instancias múltiples de la PCA:
v Filtrado de las direcciones IP/Puerto del host del servidor web: el método típico
y preferido para la segmentación de tráfico por la instancia de PCA es filtrar a
las direcciones IP/Puerto del host del servidor web. Consulte “Servidor web
host IP/Filtrado de direcciones de puerto”.
v Filtrado de la segmentación de puerto de cliente de TCP: el método alternativo,
la segmentación de puerto de cliente de TCP, se utiliza cuando el tráfico de
captura se presenta como una única dirección IP de web virtual (VIP). Consulte
“Filtrado de segmentación de puerto de cliente TCP” en la página 94.
Servidor web host IP/Filtrado de direcciones de puerto: Si al tráfico de captura
presentado al PCA lo sirven varios servidores web a traves de sus direcciones de
IP de host/puerto, entonces cada instancia PCA puede filtrar para un subconjunto
Capítulo 4. Configuración de CX PCA
93
de esas direcciones IP de host. Este método proporciona los medios para distribuir
cargas de tráfico a través de varias instancias.
Nota: Los filtros IP se listan en el orden en el cuál los escriba, y el orden no puede
cambiarse de forma dinámica. Sin embargo, cuando los filtros se compilan en
formato binario, se pueden intercalar por dirección y la máscara de red para un
proceso óptimo, aunque improbable. Periódicamente, la lista de filtros se debe
revisar para comprobar que todos los filtros activos contienen tráfico. Filtros sin
tráfico se deben eliminar de la lista.
Figura 13. Reglas de filtro (PCA Build 35xx o posterior)
Para cada instancia del PCA (área de control de páginas), las secciones Lista de
instancia y Tráfico ignorado identifican los paquetes de la red para incluir e excluir.
Si el paquete coincide con el tráfico requerido y coincide con el tráfico a ignorar,
entonces captúelo para un proceso adicional.
v Consulte “Reglas de filtro de tráfico ignorado” en la página 100.
En la sección reglas de filtro, puede especificar las direcciones IP/Puertos que se
someten datos al PCA. Puede agregar y suprimir direcciones IP específicas o de un
rango de direcciones IP. También puede especificar hosts específicos cuyo tráfico no
desee que el dispositivo capture.
v Para obtener más información sobre buenas prácticas en la gestión de las
direcciones IP, consulte “Prácticas recomendadas para reglas de filtro” en la
página 101.
v Para obtener más información sobre cómo crear reglas para la segmentación de
tráfico de este método, consulte “Reglas de filtro para un host” en la página 97.
v Para obtener más información sobre cómo crear reglas para ignorar tráfico,
consulte “Reglas de filtro de tráfico ignorado” en la página 100.
Filtrado de segmentación de puerto de cliente TCP: Cuando el tráfico se sirve
desde una dirección IP de web virtual única (VIP), puede utilizar el método de
segmentación de puerto de cliente TCP para segmentar el tráfico basado en rangos
de puerto de cliente TCP.
Nota: Siempre que sea posible, la segmentación de la dirección IP es el método
preferido antes que la segmentación de puerto. Consulte “Servidor web host
IP/Filtrado de direcciones de puerto” en la página 93.
Ya que no existen varias direcciones IP de host de servidor web para distribuir, la
segmentación se realiza mediante rangos de puerto de cliente TCP. Cada instancia
PCA filtra en un rango de puertos TCP de cliente. El agregado de todos los rangos
94
IBM Tealeaf CX Passive Capture Application: Manual de PCA
de puerto en todas las instancias de la PCA abarca el espectro entero de puertos
TCP de cliente y por lo tanto, asegura la captura completa.
Los siguientes son los requisitos para utilizar este método:
v El tráfico de la dirección IP virtual (VIP) debe contener sólo el tráfico de captura
requerido. Se utiliza todo el tráfico en esta VIP.
v
v
v
v
Nota: Verifique que la VIP no tenga ningún tráfico no deseado. Sólo se puede
especificar una VIP para este tipo de filtrado.
Los números de puerto TCP de host de servidores web deben ser menores a
1024. Por ejemplo, los puertos de host 8443, 4443 y 1443 no son válidos.
No se pueden utilizar las reglas de filtro ignoradas.
Para obtener más información sobre cómo crear reglas de filtro para este método
de segmentación de tráfico, consulte “Reglas de filtro para un rango de puertos”
en la página 98.
Para obtener más información sobre el soporte de filtros personalizados, póngase
en contacto con Tealeaf http://support.tealeaf.com.
Llenado de puertos:
Nota: La utilización de rangos de puertos para segmentar el tráfico capturado se
considera una función avanzada y debe especificarse solamente durante la
configuración inicial de la IBM Tealeaf CX Passive Capture Application. Si tiene
alguna pregunta, póngase en contacto con Tealeaf http://support.tealeaf.com.
Para empezar, puede llenar automáticamente los rangos de puerto que se dirigen a
cada instancia de la PCA. Todos los rangos de puerto desde 1024 y superiores, se
dividen de forma equitativa entre las instancias de la PCA. Por ejemplo, si tiene
tres instancias de la PCA, cada PCA recibe tráfico de una cantidad igual de
puertos, lo que equivale a los siguientes puertos:
(65,536 - 1024) / 3 = 21,504 ports/instance
Nota: Los números válidos de puertos están comprendidos entre 1024 y 65.535.
Los números de puerto por debajo de 1024 están reservados.
v Para obtener más información, consulte http://www.iana.org/assignments/portnumbers.
Nota: El llenado de los puertos elimina todos los demás filtros de escucha de cada
instancia de la PCA.
1. Para el llenado de los rangos de puerto, pulse Llenar puertos.
2. Los rangos de puerto se llenan en todas las instancias disponibles de la PCA.
Guarde los cambios.
3. Es necesario reiniciar la PCA.
Después de llenar los puertos, debe supervisar la carga de tráfico que se envía a
cada instancia. Por ejemplo, suponga que el servidor web entrega respuestas HTTP
en el puerto 8080. A continuación, la instancia de la PCA que recibe este tráfico
puede que esté ejecutándose en caliente, mientras que otras apenas sí se están
utilizando.
Las estadísticas de Coincidencias por segundo actuales se notifican en el separador
Resumen, y cada instancia de PCA se notifica bajo un valor de ID diferente.
Capítulo 4. Configuración de CX PCA
95
v El índice de coincidencias/seg SSL se informa en la columna SSL de
coincidencias Reassd.
v El índice de coincidencias/seg no SSL se informa en la columna no SSL de
coincidencias Reassd.
Consulte “Consola Web de PCA - Pestaña Resumen” en la página 76.
Ajustes:
v Si nota desequilibrios, debe considerar la aplicación de más reglas de filtro.
v En servidores multinúcleo IBM Tealeaf CX Passive Capture Application, puede
crear varias instancias de la PCA y distribuir la carga en rangos de puerto
configurables. Consulte “Equilibrio de carga entre instancias PCA mediante la
utilización de rangos de puerto”.
v Después del llenado automático de puertos, puede configurar una dirección IP
virtual. Consulte “Edición de reglas de filtro de rango de puertos existentes” en
la página 99.
Equilibrio de carga entre instancias PCA mediante la utilización de rangos de puerto:
Cuando se llenan los rangos de puertos en todas las instancias disponibles de PCA,
el PCA asigna el mismo número de puertos a cada instancia disponible de PCA.
Normalmente, sin embargo, la infraestructura de red de empresa no distribuye
equitativamente la carga de tráfico en toda la gama de puertos disponibles.
Después de que ha llenado los rangos de puertos, puede descubrir que la carga de
tráfico no está distribuida uniformemente entre las instancias. Por ejemplo, la
instancia 0 de PCA puede estar procesando el 75% de los datos reenviados,
mientras que la instancia 1 de PCA está procesando solo el 25%, aunque cada
instancia está a la escucha en el mismo número de puertos.
Al seguir estos pasos, puede ajustar los rangos de puertos asignados a cada
instancia de PCA para equilibrar la carga entre las instancias disponibles. Este
proceso puede requerir ajuste iterativo y debería producir periodos de tráfico
máximo.
1. Cree una instancia del número requerido de instancias de PCA. Consulte “Ver
instancias” en la página 92.
2. En la pestaña de interfaz, pulse Llenar puertos.
3. Guarde los cambios.
4. El paso anterior distribuye el tráfico de carta uniformemente en todos los
puertos. Los siguientes pasos se deben repetir hasta que la carga de datos se
distribuya uniformemente a todos los puertos disponibles para las instancias de
PCA:
a. Compruebe el número de hits SSL/seg procesados por cada instancia. El
proceso de hits de SSL es la operación más intensiva de CPU y un buen
indicador para el equilibro de carga. Si los hits de SSL no son el volumen
de tráfico principal, entonces utilice las tasas no hits de SSL/seg para medir
la carga. Puede utilizar una combinación de los dos, si es necesario.
v Las estadísticas de Coincidencias por segundo actuales se notifican en el
separador Resumen, y cada instancia de PCA se notifica bajo un valor de
ID diferente.
v El índice de coincidencias/seg SSL se informa en la columna SSL de
coincidencias Reassd.
v El índice de coincidencias/seg no SSL se informa en la columna no SSL
de coincidencias Reassd.
v Consulte “Consola Web de PCA - Pestaña Resumen” en la página 76.
96
IBM Tealeaf CX Passive Capture Application: Manual de PCA
b. Al utilizar las tasas específicas de hits por segundo en cada instancia de
PCA, debe revisar y modificar ligeramente los rangos de puertos,
expandiendo o modificando según sea necesario, para aproximarse más a la
distribución de carga uniforme.
c. Ajuste y, a continuación, revise los resultados en la pestaña resumen.
Nota: La consola web de PCA no valida los rangos de puertos
especificados. Con cada ajuste, verifique que no se creen huecos o
solapamientos en los rangos de puertos y que no se especifica la totalidad
de rangos de puertos disponibles.
d. Es improbable que cualquier conjunto de ajustes produzca una distribución
equitativa. La obtención de tasas de hits/seg para cada rango hasta 25% de
cada uno de los otros debe ser suficiente, ya que las tasas de carga pueden
variar en el tiempo.
e. Guarde los cambios. El PCA se reinicia automáticamente y se aplican los
cambios.
f. Repita los pasos anteriores hasta que la carga se equilibre de acuerdo a su
conformidad.
5. Cuando se completen sus ajustes, verifique que todo el rango de puertos
disponibles (1024-65535) esté cubierto por el conjunto de rangos de puertos. Las
pausas y las superposiciones debe eliminarse.
Reglas de filtro: Puede utilizar reglas de filtro para filtrar paquetes de datos
entrantes y transportarlos a instancias específicas de PCA. Se pueden definir reglas
para filtrar basadas en el nombre de host, la máscara de red y el rango de puerto
del tráfico entrante.
Nota: El panel Filtrar reglas es útil para añadir una regla de filtro única para
aplicar a varios hosts en varias instancias de PCA. Para la creación y depuración
inicial, la vista de editar filtros proporciona métodos más fáciles para verificar que
todos os puertos están cubiertos por las reglas de filtro para todas las
instancias.Consulte “Edición de filtros” en la página 105.
Reglas de filtro para un host:
Las reglas de filtro basadas en host se pueden utilizar para el tráfico deseado o
ignorado de acuerdo al host que está enviando el tráfico.
v Para especificar el tráfico basado en puertos, utilice un filtro de rango de
puertos. Consulte “Reglas de filtro para un rango de puertos” en la página 98.
Para especificar una regla de filtros para un host:
Nota: No confunda las reglas de filtro con los dos métodos de segmentación de
tráfico. Solo puede utilizar las reglas de filtro especificadas para el método
seleccionado.
1. Entre la dirección de IP del host.
v Si este valor se deja en blanco, se capturan todos los IP de host al basarse en
el número de puerto especificado. Sin embargo, el valor de tamaño de la
máscara de red no se puede utilizar sin un valor de host válido.
v Para añadir un host, pulse el Añadir más.
– En PCA Build 34xx y anteriores, pulse el enlace Añadir un host.
2. Si el tráfico de host procede de una máscara de red específica, entre el valor
aquí.
Capítulo 4. Configuración de CX PCA
97
3. Si las casillas de comprobación del puerto 1 y el puerto 2 no se han
especificado, todo el tráfico del host/máscara de red se filtra basado en una
regla. Para una regla basada en host, no especifique los puertos especificados.
4. Desde añadir a desplegar, seleccione la instancia PCA a la que se aplica la
regla.
5. A continuación, seleccione el tipo de regla de filtro:
v Desired - El tráfico especificado se dirige a la instancia seleccionada.
v Ignored - El tráfico especificado se ignora y se elimina del proceso adicional.
Consulte “Reglas de filtro de tráfico ignorado” en la página 100.
6. Pulse Añadir.
7. La regla de filtro se añade a la instancia especificada y se aplica
inmediatamente al tráfico de entrada.
Reglas de filtro para un rango de puertos: Una regla de filtro de rango de puertos se
puede utilizar para dirigir el tráfico requerido en un conjunto de puertos
específicos a una instancia de PCA. Están soportados los siguientes métodos para
especificar los filtros de rango de puertos:
Nota: Los números válidos de puertos están comprendidos entre 1024 y 65.535.
Nota: No confunda las reglas de filtro con los dos métodos de segmentación de
tráfico. Solo puede utilizar las reglas de filtro especificadas para el método
seleccionado.
v Automático: El método preferido para especificar los filtros de rango de puertos
es llenar los puertos automáticamente. Crea la regla de filtro de rango de
puertos correcta para cada instancia. El llenado de puertos presupone que todas
las instancias requeridas ya se ha creado. Consulte “Llenado de puertos” en la
página 95.
– Después del llenado automático de los rangos de puertos, puede editar si es
necesario. Consulte “Edición de reglas de filtro de rango de puertos
existentes” en la página 99.
v Manual: Si está especificando manualmente los rangos de puertos (no llenados
automáticamente), solo se permite una entrada de dirección IP para el filtrado
VIP (IP virtual). Se ignora cualquier dirección IP adicional a los rangos de
puertos.
– La solución alternativa es utilizar una máscara de subred con una sola
dirección IP.
– Los siguientes pasos habilitan la especificación manual de una regla de filtro
de rango de puertos para la instancia especificada.
– Si debe editar las reglas existentes, pulse Editar filtros en la pestaña de
interfaz.
Las reglas de filtro de rango de puertos pueden filtrar en una dirección VIP
requerida, que permite el filtrado de los otros tráficos no deseados con un tráfico
de dirección VIP.
v Si el tráfico de captura solo contiene el tráfico requerido, entonces aquí no es
necesaria la dirección IP.
Adición manual o especificación de una regla de filtro para un rango de puertos:
98
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Figura 14. Adición manual de reglas de filtro de rango de puertos (PCA Build 35xx o posterior)
1. Si es necesario, bajo las reglas de filtro, entre la dirección IP o el VIP en el
campo Host.
2. Para el tipo de regla de filtro, seleccione Port Range, que envía el tráfico
especificado a la instancia seleccionada.
3. Utilice la misma dirección IP para cada regla de filtro de rango de puertos.
v Si se necesitan varias direcciones IP y se agrupan en una subred, entonces se
puede aplicar una máscara de subred a la dirección IP base. Por ejemplo, una
entrada de 66.211.169.0/24 coincide con los primeros 24 bits de la dirección
IP (los tres primeros octetos) y permite la coincidencia de comodines en
cualquier valor en el cuarto octeto, que está especificado como 0. Cualquier
rango de puertos que está especificado por este IP virtual coincide con todas
las 254 direcciones IP del VIP.
4. Si el tráfico VIP viene de una máscara de red específica, entre aquí el valor de
la máscara.
5. Entre el valor de puerto de inicio en el campo Start Port y el valor de puerto
final en el campo End Port.
6. Desde la instancia desplegable, seleccione una instancia de PCA a la que aplicar
la regla.
7. Pulse Crear filtro.
v En PCA 34xx y anteriores, pulse Añadir.
8. La regla de filtro se añade a la instancia especificada y se aplica
inmediatamente al tráfico de entrada.
Nota: Solo se debe añadir una regla de filtro de rango de puertos a cada
instancia. Se ignora cualquier regla de rango de puertos adicional para la
instancia.
Nota: Después de guardar los cambios en el separador Interfaz, es necesario
reiniciar PCA manualmente. Consulte “Consola web de PCA - Pestaña
Consola” en la página 89.
Edición de reglas de filtro de rango de puertos existentes:
Capítulo 4. Configuración de CX PCA
99
Figura 15. Edición de reglas de filtro de rango de puertos existentes con una dirección VIP
Nota: Esta modalidad se puede utilizar para añadir una dirección VIP si se ha
realizado la opción auto llenar puertos (Botón llenar puertos).
1. Si es necesario, en la pantalla Editar filtros, pulse la casilla de comprobación
Rango de puertos.
2. Entre la dirección de IP del VIP en el campo Address.
3. Utilice y aplique la misma dirección de IP para cada regla de filtro de rango de
puertos.
4. Cambie cualquier campo de regla de filtros según sea necesario.
5. Para aplicar los cambios, pulse Guardar cambios.
Nota: Después de guardar los cambios en la pestaña Interfaz, es necesario un
reinicio manual de PCA. Consulte “Consola web de PCA - Pestaña Consola” en
la página 89.
6. Los cambios de configuración se aplican a tráfico de entrada.
Reglas de filtro de tráfico ignorado:
Puede especificar las reglas de filtro para ignorar el tráfico. Estas reglas se aplican
en todas las instancias del PCA.
Figura 16. Especificación de una regla de filtro de tráfico ignorado
1. Especifique la regla en el recuadro de reglas de filtro.
a. Especifique el host el tráfico desde los que desea ignorar. Para ignorar todo
el tráfico de un valor de puerto específico, deje estos valores en blanco.
100
IBM Tealeaf CX Passive Capture Application: Manual de PCA
b. Especifique el puerto para ignorar, si es necesario. Para ignorar todos el
tráfico de un host, deje vacíos los valores de máscara de red y de puerto.
Nota: No puede especificar rangos de puerto para reglas de tráfico
ignorado.
2. Pulse el recuadro de selección Ignorado.
3. Pulse Crear filtro.
v En PCA 34xx y anteriores, pulse Añadir.
4. La regla se llena en el recuadro Tráfico ignorado (Global) en la parte inferior de
la pantalla.
Figura 17. Tráfico ignorado (Global)
Todo el tráfico que se envía desde la dirección que está coincidiendo con las reglas
de tráfico ignorado se eliminan del PCA.
Prácticas recomendadas para reglas de filtro: Se recomienda limitar el número de
reglas de filtro a no más de 20 para cada instancia del PCA.
Nota: El rendimiento de los filtros de IP tiende a disminuir a medida que se
añaden más entradas. Se recomienda evitar tener más de 20 entradas en una
instancia.
Para solucionar este problema, puede:
v Reducir el número de reglas de filtro utilizando máscaras de subred. Por
ejemplo, si está utilizando reglas de filtro individuales para cada puerto en un
rango de puertos, puede utilizar una máscara de subred para crear una única
regla de filtro para todos los puertos del rango.
v Crear varias instancias de la aplicación PCA. Consulte Capítulo 2, “Instalación
de CX Passive Capture Application”, en la página 19.
Mezclar filtros para direcciones IP específicas y rangos de puertos: Es posible utilizar
combinaciones de direcciones IP específicas y rangos de puertos para filtrar tráfico.
Nota: El método de configuración de filtros es solo para usuarios avanzados de
PCA. No está soportado en la interfaz de la consola web de PCA y se puede
implementar solo al editar manualmente el archivo de configuración. Después de
que se implementa este método, ya no podrá utilizar la consola web para editar
sus filtros.
Nota: Si se mezclan estos métodos, el probable que genere tráfico duplicado si
implementa manualmente este cambio.
Capítulo 4. Configuración de CX PCA
101
Para mezclar modalidades de filtrado en la misma configuración, puede insertar
entradas similares a la siguiente en ctc-conf.xml:
Nota: Las entradas editadas manualmente se puede perder si se utiliza la consola
web de PCA y genera una reescritura de su configuración.
<Instance>
<ListenTos>
<ListenTo>
<Address>10.10.100.200</Address>
<PortRange>33280-65535</PortRange>
</ListenTo>
</ListenTos>
</Instance>
Consulte “Archivo de configuración de captura pasiva ctc-conf.xml” en la página
187.
Lista de instancias:
Figura 18. Instancias
En la lista de instancias, puede configurar, habilitar, inhabilitar y suprimir
instancias del IBM Tealeaf CX Passive Capture Application en el servidor.
v Para suprimir una instancia creada, pulse el enlace suprimir junto al listado en
la lista de instancias.
– La instancia principal no se puede suprimir.
v Para alternar el uso de una instancia secundaria, pulse el enlace Habilitado o
Inhabilitado junto a su nombre
v Para eliminar todos los filtros para una instancia específica, pulse borrar filtros.
v Para editar una instancia, pulse el enlace editar junto a su lista. Consulte
“Interfaces de red de captura” en la página 103.
102
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Interfaces de red de captura:
Figura 19. Interfaces de red de captura
Las opciones que se muestran en la figura incluyen las siguientes descripciones.
Nota: Si está utilizando varias instancias, todas las instancias deben establecerse
dentro del listado de la instancia primaria. De lo contrario, el PCA no se inicia.
Valor
Descripción
Primary Interface
Esta lista desplegable designa una interfaz de red de hardware
determinada como la interfaz primaria para la captura. El menú
desplegable es una lista compilada dinámicamente de las interfaces
importantes.
Secondary Interface
Esta lista desplegable designa una interfaz de red de hardware
determinada como la interfaz secundaria para la captura. El menú
desplegable es una lista compilada dinámicamente de las interfaces
importantes.
Listen Interfaces
Seleccione las interfaces en las que escucha la instancia seleccionada:
v Both Interfaces - Ambas interfaces escuchan el tráfico.
v Primary Interface only - Sólo la interfaz primaria escucha el tráfico.
v Inherited from Primary - Las interfaces de escucha se heredan de la
instancia primaria.
Listen Direction
Selecciona las direcciones en las que las interfaces seleccionadas escuchan
el tráfico:
v Bidirectional - Las interfaces seleccionadas escuchan paquetes
entrantes y salientes.
v Unidirectional - La interfaz primaria escucha paquetes entrantes, y la
interfaz secundaria escucha paquetes salientes.
v Inherited from Primary - Las direcciones de escucha se heredan de la
instancia primaria.
Ejemplos: A continuación se muestran unos ejemplos de interfaces.
Capítulo 4. Configuración de CX PCA
103
Interfaz principal sólo bidireccional
Esta opción está a la escucha en la interfaz principal para ambos paquetes, de
entrada y salida. Utilícela cuando esté conectado a un segmento de red único a
través de un conmutador con duplicación de puerto o un concentrador.
Interfaz bidireccional principal y secundaria
Esta opción escucha en ambas interfaces para paquetes de entrada y salida.
Utilícela cuando esté conectado a dos segmentos de red independientes a través de
conmutadores con duplicación de puerto o concentrador.
Interfaz unidireccional principal y secundaria
Esta opción está a la escucha en la interfaz principal para paquetes de entrada y en
la interfaz secundaria para paquetes de salida. Utilícela cuando está conectado a
un solo segmento de red a través de un tap.
Tráfico a ignorar: Esta sección especifica tráfico que el dispositivo debe ignorar
explícitamente. Aún cuando un par host-puerto en esta lista cumpla con los
criterios en la sección Tráfico deseado, el dispositivo no lo captura. Para ignorar
todo el tráfico para un host, especifique * o All como el puerto.
Cuando especifica las combinaciones host y puerto a ignorar, añade restricciones
que los paquetes coincidentes no deben ser una de las combinaciones de host y
puerto. Por ejemplo, suponga que desea capturar todo el tráfico hacia y desde los
hosts que se comunican en los puertos 1, 2 y 3 excepto para las siguientes
combinaciones de host y puerto:
Host
Puerto
1.2.3.4 4
5.6.7.8 5
La descripción de ese tráfico es igual a ejecutar el siguiente mandato único:
tcpdump -n -i eth0 "((port 1) or (port 2) or (port 3)) and not \
((host 1.2.3.4 and port 4) or (host 5.6.7.8 and port 5))"
En ctc-conf.xml, el ejemplo se traduce al siguiente XML:
<Ignores>
<Ignore>
<Address>1.2.3.4</Address>
<Port>4</Port>
</Ignore>
<Ignore>
<Address>5.6.7.8</Address>
<Port>5</Port>
</Ignore>
</Ignores>
<ListenTos>
<ListenTo>
<Port>1</Port>
</ListenTo>
<ListenTo>
<Port>2</Port>
</ListenTo>
<ListenTo>
<Port>3</Port>
</ListenTo>
</ListenTos>
104
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Edición de filtros
En la vista Editar filtros, puede editar puertos y rangos de puertos para filtrar los
datos enviados a cada instancia de PCA. Puede utilizar esta vista para verificar que
todos los rangos de puertos requeridos se especifican correctamente en todas las
instancias de IBM Tealeaf CX Passive Capture Application.
v También puede especificar filtros de datos en la vista instancias Ver. Consulte
“Reglas de filtro” en la página 97.
Figura 20. Edición de filtros
De forma predeterminada, la vista Editar filtros habilita la especificación de hasta
dos puertos individuales para el que se deben enviar los datos a un PCA
individual.
v Para especificar un rango de puertos, pulse la casilla de comprobación Rango de
puertos. Los datos que se visualizan en la casilla de comprobación se convierten
en un rango de inicio y finalización para la captura y el reenvío.
v Para agregar una fila, pulse el enlace Añadir fila. La nueva fila se inserta.
v Para eliminar una fila de filtro de datos, pulse el enlace Suprimir fila.
Para especificar un filtro de datos:
1. De la instancia de columna, seleccione el identificador de instancia de PCA a la
cual el filtro aplica. Todos los datos que se capturan desde el servidor y los
puertos especificados se reenvían a la instancia seleccionada.
v Consulte “Lista de instancias” en la página 102.
2. En la columna dirección, especifique la dirección IP del servidor que está
proporcionando los datos.
Nota: No se aceptan nombres de host.
3. En la columna Máscara de red, puede especificar una máscara de red, si es
aplicable.
4. Especifique los puertos para capturar:
v Si no se selecciona el rango de puertos, puede especificar hasta dos puertos
para capturar desde la dirección especificada.
v Si se selecciona el rango de puertos, puede especificar un puerto de inicio y
un puerto de finalización en los dos cuadros de textos. Estas entradas indican
un rango de puertos, inclusive, que se reenvían a la instancia seleccionada de
PCA para captura.
Capítulo 4. Configuración de CX PCA
105
Formato CIDR: Para configurar un bloque de direcciones IP permitidas, utilice el
formato CIDR. CIDR especifica un rango de direcciones IP por la combinación de
una dirección IP y su máscara de red asociada. La notación CIDR utilice el
siguiente formato:
192.30.250.00/18
v El 192.30.250.00 de este ejemplo es la dirección de red. El 18 indica que los
primeros 18 bits son la parte de la red de la dirección, dejando a los últimos 14
bits para direcciones de host específicas.
La tabla siguiente contiene más ejemplos:
Formato CIDR
Máscara de red equivalente
10.10.0.0/16
255.255.0.0
10.10.10.0/24
255.255.255.0
10.10.10.0/28
255.255.255.240
Tráfico del puerto SPAN: Si está capturando una subred desde un puerto SPAN,
debe determinar si el puerto SPAN le está enviando sólo esa subred u otro tráfico.
Si recibe sólo esa subred, entonces seleccione Puertos específicos en todos los
hosts para capturar puertos específicos. Por ejemplo, para capturar todo el tráfico
del puerto 80 y del 443 en todos los hosts, seleccione Puertos específicos en todos
los hosts y especifique el puerto 80 y el 443.
Si el puerto SPAN duplica tráfico adicional, seleccione Combinaciones host-puerto
específicas. Para los hosts, utilice la sintaxis CIDR para que coincida con la subred.
En el ejemplo de los puertos 80 y 443, si desea todo el tráfico de la red 1.2.3.0
máscara de red 255.255.255.0, especifique las siguientes Combinaciones host-puerto
específicas:
Host
Puerto
1.2.3.0/24
80
1.2.3.0/24
443
Parámetros de ajuste
La sección Parámetros de ajuste especifica las características de rendimiento del
sistema.
106
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Figura 21. Parámetros de ajuste (Valores de captura)
Las opciones que se muestran en la figura anterior incluyen las siguientes
opciones:
Valor
Descripción
Max input buffer size
Define el tamaño del búfer entre el rastreador de paquetes y el
ensamblador de hits. Si el ensamblador de hits se vuelve muy lento, los
paquetes se ponen en cola en este búfer para su procesamiento. Cuando el
ensamblador de hits tiene recursos disponibles, comienza a extraer
paquetes de la cola y a procesarlos.
v Cuando se llena el búfer, el PCA comienza a descartar coincidencias.
Mediante la imposición de un límite en el búfer, el sistema evitará un
bloqueo. Sin embargo, los datos se descartan.
Nota: Tealeaf recomienda que mantenga este valor en el valor
predeterminado. Se utiliza para los problemas de depuración
relacionados con condiciones de tráfico pico que estén sobrepasando el
almacenamiento intermedio. No cambie este valor sin la ayuda de
Tealeaf.
Max memory consumption
Define la cantidad máxima de memoria del sistema (en MB) asignada al
proceso de captura. El valor predeterminado es 1300 (alrededor de 1.3 GB).
v La IBM Tealeaf CX Passive Capture Application es una aplicación de 32
bits, lo que significa que cada proceso PCA puede dirigir un máximo de
2 GB de RAM.
Nota: Tealeaf recomienda que mantenga este valor en el valor
predeterminado. Se utiliza para los problemas de depuración
relacionados con volúmenes de tránsito incrementado que estén
sobrepasando la PCA. No cambie este valor sin la ayuda de Tealeaf.
Capítulo 4. Configuración de CX PCA
107
Max simultaneous connections
Establece el número máximo de conexiones TCP a través de las cuales el
sistema puede capturar simultáneamente. Si hay más conexiones que este
número de conexiones, el sistema de captura reemplaza las conexiones más
antiguas por nuevas. Después de que se cierra una antigua, el sistema
comienza a capturar la siguiente conexión nueva. Al imponer este límite, el
sistema impide que un pico en la cantidad de conexiones que sobrecargan
los recursos del sistema provoque que se cuelgue el mismo.
Nota: Este valor se aplica por instancia de la PCA. Como parte de una
instalación o actualización inicial de la PCA, este valor debe ser revisado
contra volumen de tráfico actual. Consulte Capítulo 2, “Instalación de CX
Passive Capture Application”, en la página 19.
Max simultaneous connections in SYN State
Establece el número máximo de conexiones TCP que pueden estar en el
estado SYN a la vez. Si hay más que este número de conexiones en este
estado, el sistema reemplaza las conexiones más antiguas con las nuevas.
Una vez que una antigua se cierra o transiciona de este estado, el sistema
comienza a capturar la siguiente conexión nueva. Al imponer este límite, el
sistema impide que los ataques de desbordamiento SYN provoquen que el
mismo se cuelgue.
Nota: Este valor se aplica por instancia de la PCA. Como parte de una
instalación o actualización inicial de la PCA, este valor debe ser revisado
contra volumen de tráfico actual. Consulte Capítulo 2, “Instalación de CX
Passive Capture Application”, en la página 19.
Max SSL sessions to cache
Establece el número máximo de sesiones SSL que el sistema puede
almacenar en la memoria caché simultáneamente. Después de que el
sistema alcanza este límite, éste descarta las entradas antiguas primero. Si
una sesión correspondiente a una entrada descartada se reanuda, el sistema
no la puede decodificar. Al imponer este límite, el sistema impide que un
pico de sesiones terminadas incorrectamente cause que el mismo se
cuelgue.
v Este valor puede elevarse con algunas restricciones. Para obtener más
información, consulte "Resolución de problemas de captura" en la
publicación IBM Tealeaf Guía de resolución de problemas.
Max wait time for hit responses
Establece la duración del temporizador que se utiliza para detenido si un
servidor está demorado en una solicitud HTTP. Después que el sistema
recibe el último paquete para una solicitud, inicia este temporizador. Si el
temporizador caduca antes de recibir el primer paquete de la respuesta, el
sistema identifica la solicitud como detenida y la empaqueta como una
coincidencia detenida. Si eventualmente llega la respuesta, el sistema la
ignora. Al imponer este temporizador, el sistema impide que las solicitudes
detenidas utilicen los recursos.
Max wait time for hit transmissions
Establece la duración del temporizador que se utiliza para determinar si
una conexión TCP está congelada. Se inicia este temporizador después que
el sistema recibe un paquete para una conexión. Si el temporizador caduca
antes de recibir otro paquete, el sistema identifica la conexión como
congelada y la descarta. Si la conexión corresponde a una solicitud HTTP,
el sistema la ignora por completo. Si la conexión corresponde a una
respuesta HTTP, el sistema empaqueta los datos de la respuesta parcial en
108
IBM Tealeaf CX Passive Capture Application: Manual de PCA
un acierto. Al imponer este temporizador, el sistema impide que las
conexiones congeladas utilice recursos.
Max large capture packet size
Especifica el tamaño máximo de la captura de paquete TCP. El valor
predeterminado es de 8 KB.
Cambios manuales en la configuración de interfaz
En la mayoría de los casos, puede especificar cualquier interfaz de configuración
en la consola web de PCA. En casos excepcionales, debe realizar cambios manuales
en la interfaz de configuración mediante el archivo ctc-conf.xml.
Valor
Descripción
All Traffic
Esta opción captura todos los paquetes a y desde cualquier host en el
segmento de red. Cuando selecciona para capturar todo el tráfico
necesario, la descripción es una sentencia vacía que coincide con todos los
paquetes TCP/IP posibles. Es el mismo que está ejecutando el mandato:
tcpdump -n -i eth0
En el archivo ctc-conf.xml, la elección para capturar todo el tráfico se
traduce en el siguiente XML:
<ListenTos>
<ListenTo>*</ListenTo>
</ListenTos>
Specific Ports on All Hosts
Esta opción captura los paquetes a y desde cualquier host pero solo en
puertos específicos. Cuando está seleccionado, debe especificar uno o más
números de puertos TCP/IP. La descripción resultante coincide con
cualquier paquete que está destinado o enviado al menos a uno de los
puertos que especifica. Por ejemplo, suponga que ha especificado los
puertos 99, 199 y 200. La descripción resultante de los paquetes a coincidir
sería igual a ejecutar el siguiente mandato:
tcpdump -n -i eth0 "((port 99) or (port 199) or (port 200))"
En el archivo ctc-conf.xml, el ejemplo anterior se traduciría en el siguiente
XML:
<ListenTos>
<ListenTo>
<Port>99</Port>
</ListenTo>
<ListenTo>
<Port>199</Port>
</ListenTo>
<ListenTo>
<Port>200</Port>
</ListenTo>
</ListenTos>
Specific Host-Port Combinations
Esta opción captura solo aquellos paquetes a y desde combinaciones de
puerto de host específicas. Cuando está seleccionado, puede especificar el
host y los puertos correspondientes para ese host que se deben capturar. La
descripción resultante coincide con al menos una de las combinaciones
donde el host de origen o destino coincide con el host que está
especificado y el puerto de origen o destino coincide con el puerto
especificado.
Capítulo 4. Configuración de CX PCA
109
Suponga que ha especificado las siguientes combinaciones de host y de puerto.
Host
Puerto
127.0.0.1
80
172.16.0.1
1
172.16.0.2
2
El siguiente mandato para registrar el mismo tráfico sería el siguiente mandato:
tcpdump -n -i eth0 "((host 127.0.0.1 and port 80) or \
(host 172.16.0.1 and port 1) or (host 172.16.0.2 and port 2))"
En el archivo ctc-conf.xml, el ejemplo anterior se traduciría en el siguiente XML:
<ListenTos>
<ListenTo>
<Address>127.0.0.1</Address>
<Port>80</Port>
</ListenTo>
<ListenTo>
<Address>172.16.0.1</Address>
<Port>1</Port>
</ListenTo>
<ListenTo>
<Address>172.16.0.2</Address>
<Port>2</Port>
</ListenTo>
</ListenTos>
Filtros de VLAN: El PCA automáticamente configura sus filtros de escucha para
permitir que los paquetes 802.1q VLAN sean capturados sin la configuración
explícita.
Nota: Excepción: cuando utiliza filtros de rango de puerto, el tráfico VLAN no se
captura.
Si está utilizando tcpdump para realizar una análisis de tráfico, debe aplicar
manualmente las etiquetas VLAN de filtro en la línea de mandatos para ver
paquetes VLAN. En la sección anterior, el mandato para comenzar tcpdump se debe
aumentar para permitir la captura del paquete VLAN de la manera siguiente:
Nota: Elimine las barras inclinadas al final de cada línea, lo que indica la
continuación de la línea.
tcpdump -n -i eth0 "((host 127.0.0.1 and port 80) or \
(host 172.16.0.1 and port 1) or (host 172.16.0.2 and port 2) or \
(vlan and host 127.0.0.1 and port 80) or \
(vlan and host 172.16.0.1 and port 1) or (vlan and host 172.16.0.2 and \
port 2))"
Consola Web de PCA - Pestaña de Entrega:
La pestaña de Entrega le permite especificar los destinatarios de destino y los
parámetros de ajuste. Las siguientes imágenes muestran las opciones de
configuración disponibles a través de la pestaña de Entrega de la consola web.
v Las Interfaces de red se mostrarán ahora en la pestaña Programas de utilidad.
Consulte “Consola Web de PCA - Pestaña de Programas de utilidad” en la
página 179.
110
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Destinatarios de destino
Esta lista especifica los servidores de Tealeaf a los que el dispositivo debe enviar
las coincidencias empaquetadas. Al añadir un destinatario se inician una serie de
pantallas para la configuración de la dirección y la seguridad de entrega.
Figura 22. Destinatarios de destino
Para cada igual, los enlaces en la columna Conexión (Ping y Velocidad) prueban la
conexión al hacer ping en el igual o al probar la velocidad de conexión,
respectivamente.
v Para eliminar un igual, pulse el icono X en la columna Suprimir.
Figura 23. Añadir destinatario
Valor
Descripción
Host Address
Nombre de host o dirección IP del destinatario de destino.
Host Port
Número de puerto en el que escucha el destinatario de destino.
Enable Secure Delivery
Determina si se utiliza o no la entrega segura.
Capítulo 4. Configuración de CX PCA
111
v Cuando esta opción está habilitada, debe importar un certificado SSL
para que lo utilice la PCA. Consulte “Generación de un certificado
autofirmado” en la página 224.
Número máximo de destinatarios: En función de la compilación de PCA, puede
añadir hasta el siguiente número de destinatarios:
v PCA Build 34xx y anteriores: 20
v PCA Build 35xx y anteriores: 40
Nota: Evite utilizar muchas conexiones de iguales, si es posible. El
almacenamiento intermedio de cola de entrega para cada igual (Max Queue Length)
es 50 MB. Basado en el valor predeterminado, para habilitar 20 iguales, es
necesario 20 * 50 MB = 1 GB de memoria de proceso para almacenamientos
intermedios de entrega. Si utiliza 40 iguales, es necesario 2 GB de memoria de
proceso que supera el límite de memoria de proceso de 32 bits.
Si desea utilizar varios iguales, entonces debe reducir la memoria de cola de
entrega predeterminada a 25 MB y mantener el uso total de memoria de cola en 1
GB. Para obtener más información, consulte el valor Max Queue Length en
“Parámetros de ajuste”.
Ejemplo: Agregar Destinatario:
Para añadir un destinatario, realice los pasos siguientes:
1. Pulse Añadir. Se inicia la página Añadir destinatario para entrega de hits
2. Escriba el dominio o dirección de IP del destinatario de destino en el campo
Dirección de host.
3.
4.
5.
6.
Nota: Si el sistema operativo en el servidor de IBM Tealeaf CX Passive Capture
Application se configura para conectarse a un servidor DNS, puede escribir el
nombre de dominio. De lo contrario, especifique la dirección IP. Tealeaf
recomienda utilizar una dirección IP estática para eliminar potenciales
problemas de DNS en el futuro.
En el campo Puerto de host, escriba el puerto en el que el destinatario de
destino escucha los hits empaquetados.
La opción Habilitar entrega segura determina si utilizar o no la entrega segura.
Para utilizar la entrega segura, seleccione la casilla de verificación seguro, a
continuación pulse Aceptar. Se inicia la página Añadir certificado para entrega
segura. Entre el certificado que debe utilizar para autenticar el destinatario de
destino de entrega al pegar el certificado de destinatario de destino en el
certificado para cuadro de texto de nuevo destinatario en esta pantalla. Pulse
Aceptar.
Si no se utiliza la entrega segura, deje deseleccionada la casilla de
verificaciónSeguro, a continuación pulse Aceptar.
Parámetros de ajuste
Con los Parámetros de ajuste puede establecer las características de entrega
máxima.
112
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Figura 24. Parámetros de ajuste (entrega)
Valor
Descripción
Delivery Mode
La característica de modalidad de entrega permite a la IBM Tealeaf CX
Passive Capture Application entregar tráfico mediante diferentes métodos a
los iguales de entrega (recuadros css). El tráfico se puede distribuir
utilizando los siguientes métodos:
v Even Distribution - El tráfico se distribuye de forma uniforme entre los
iguales. Por ejemplo, si se configuran cuatro iguales, entonces cada uno
recibe aproximadamente el 25% del tráfico total.
Nota: En PCA Build 3500 o posterior, cuando uno o más iguales de
entrega pasan a estar disponibles, el tráfico se redistribuye
automáticamente al resto de los iguales activos. Si un igual inactivo pasa
a estar disponible, el tráfico vuelve al igual y se reequilibra para
asegurar la distribución equitativa. Este método garantiza al tráfico de
entrega que siempre distribuya equitativamente el 100% de su tráfico a
todos los iguales de entrega activos.
v Failover - Este método requiere dos iguales, uno primario y uno
secundario. El primario recibe 100% del tráfico total mientras que el
secundario entra en estado inactivo. Si se pierde la conexión al igual
primario o se descartan demasiadas coincidencias, la PCA cierra la
conexión al igual primario y realiza la migración tras error al secundario.
Si el igual secundario falla, la PCA intenta restablecer al igual primario.
Si la PCA no puede establecer una conexión saludable tanto con el igual
primario como con el secundario, conmuta entre los dos hasta poder
establecerla.
Nota: Es posible que esta modalidad de entrega caiga en desuso en un
release futuro.
v Clone - Esta opción era el comportamiento predeterminado previo. Cada
igual obtiene el 100% del tráfico total.
v None - Esta opción reemplaza la opción 'entregar a nulo'. Si se selecciona
esta opción, el tráfico se descarta antes de enviarse a alguno de los
iguales de entrega, que son útiles solo a efectos de depuración.
Max Delivery Wait
Establece la duración del temporizador que se utiliza para enviar
Capítulo 4. Configuración de CX PCA
113
coincidencias empaquetadas. Cuando este temporizador caduca, el
dispositivo intenta enviar todos las coincidencias empaquetadas a los
destinatarios seleccionados.
Polling Interval
Este valor no se utiliza actualmente.
Watchdog Timer
El tiempo máximo (en segundos) permitido para realizar una conexión al
IBM Tealeaf CX Server. Si el tiempo de espera se excede, la conexión se
marca como desconectada. El valor predeterminado es 30 segundos.
Max Queue Length
Establece la longitud máxima de la cola de entrega. Si la cola llega a esta
longitud, el sistema comienza a descartar coincidencias recién
empaquetadas hasta que la cola se acorte. Al imponer este límite, el
sistema impide que el retraso provoque que se cuelgue.
Cómo guardar los cambios
Nota: Después de guardar los cambios en la pestaña Interfaz de la consola web,
necesita reiniciar manualmente la PCA. Los cambios que se realizan en otras
pestañas de la consola web no requieren reinicios manuales.
v Se necesita reiniciar después de realizar cambios a través del archivo
ctc-conf.xml.
Consulte “Consola web de PCA - Pestaña Consola” en la página 89.
Uso de Tealeaf Transport Service como fuente de la hora
En esta sección, puede obtener información acerca de cómo configurar un host que
ejecuta el Tealeaf Transport Service como origen de la hora. Cuando está
habilitado, se contacta a Tealeaf Transport Service cada 15 minutos para obtener la
hora actual. El reloj del sistema se deriva a la hora del Servicio de transporte.
"Derivar" significa que la hora local del software de Captura pasiva no se fuerza al
tiempo remoto exacto de la máquina del Servicio de transporte. En su lugar, si la
hora local está retrasada con respecto a la hora remota, el reloj del sistema se
incremente en una pequeña cantidad. Si la hora local está adelantada con respecto
a la hora remota, el reloj del sistema avanza más lentamente hasta que finalmente
coincida con la hora remota.
Figura 25. Uso de Tealeaf Transport Service como fuente de la hora
Valor
Descripción
Host or Address
Designa el nombre de dominio o dirección IP del host que ejecuta Tealeaf
Transport Service que se utilizará como origen de la hora. Si no desea
sincronizar con un origen de la hora, deje este campo en blanco.
114
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Port
Designa el puerto en el que el host de origen de la hora escucha las
consultas de origen de la hora. Si no desea sincronizar con un origen de la
hora, deje este campo en blanco.
Entrega de estadísticas a Tealeaf Transport Service
Esta sección habilita la configuración de la coincidencia de estadísticas. Puede
controlar los siguientes cinco valores para la coincidencia de estadísticas:
Figura 26. Entrega de estadísticas a Tealeaf Transport Service
Valor
Descripción
Enabled
Si este recuadro de selección está seleccionado, las coincidencias de
estadísticas se habilitan como una característica. Si no está seleccionado, la
característica se inhabilita.
Host or Address
Este campo contiene el nombre de host o dirección IP de la máquina que
ejecuta Tealeaf Transport Service que debe recibir coincidencias de
estadísticas.
Interval
Este valor, un número positivo, es el número mínimo de segundos a
transcurrir entre intentos de enviar coincidencias de estadísticas. Si es cero,
las coincidencias de estadísticas no se envían.
Port
Especifique el número de puerto TCP/IP a utilizar cuando se conecte a
Tealeaf Transport Service en el host.
Use SSL
Indica si la conexión con Tealeaf Transport Service debe utilizar SSL.
Consola Web de PCA - Pestaña Claves SSL
Puede utilizar esta pestaña para revisar y editar la lista de Claves cargadas y la
lista de Claves faltantes. Para alternar entre las listas, utilice el botón de selección
adecuado:
v La vista Claves privadas cargadas le permite agregar, editar y suprimir claves
privadas para los servidores seguros.
v La vista Claves privadas faltantes le permite ver información sobre, ignorar o
borrar claves privadas.
Capítulo 4. Configuración de CX PCA
115
v También puede cargar certificados SSL en varios formatos. Consulte “Capturar
claves” en la página 119.
Claves cargadas
En la pestaña SSL, puede revisar las claves privadas cargadas y las claves privadas
que faltan.
Las claves cargadas se puede visualizar en formato IPv6. Consulte “¿Cómo
gestiona el PCA la captura de direcciones IPv6?” en la página 298. Para obtener
más información sobre las vistas de claves que faltan, consulte“Claves que faltan”
en la página 117.
Figura 27. Pestaña de claves de SSL- Vista de claves cargadas
Columna
Descripción
casilla de verificación
Pulse la casilla de verificación para seleccionar un certificado.
Etiqueta
Visualice la etiqueta para el certificado.
v Para obtener más información sobre el cambio de etiqueta de
visualización, consulte “Edición de una clave privada” en la página 117.
Archivo
Vía de acceso y nombre de archivo del archivo .pem.
v Para obtener más información sobre cómo cambiar el nombre de archivo
de pantalla, consulte“Edición de una clave privada” en la página 117.
Fecha
116
Indicación de fecha y hora para la primera aparición cuando el PCA ha
encontrado un paquete mediante la utilización de la clave.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Para obtener más información sobre la carga de una clave privada, consulte
“Adición de una clave privada”.
v Para editar una clave cargada, pulse la casilla de verificación junto a esta. A
continuación, pulse Editar. Consulte “Edición de una clave privada”.
v Para suprimir una clave cargada, pulse la casilla de verificación junto a esta. A
continuación, pulse Suprimir.
v Para guardar los cambios, pulse Guardar cambios.
v Para revertir los cambios sin guardar para la versión guardada, pulse Revertir a
guardado. El conjunto de claves guardadas anteriormente se vuelve a cargar.
Edición de una clave privada
Puede editar una clave privada para cargar una clave, asignarle un nombre de
etiqueta que tenga más sentido y entrar la vía de acceso plenamente cualificada al
archivo de claves.
v Para guardar cambios, pulse ACEPTAR.
Adición de una clave privada
Figura 28. Add Private Key - Para añadir una clave privada, siga los siguientes pasos:
Nota: Sólo se da soporte a las claves privadas (.pem y .pfx) convertidas a formatos
.ptl .
1. Seleccione el botón de selección Loaded.
2. Introduzca el nombre de dominio o dirección IP del destinatario en el campo
Etiqueta. El valor ingresado en este campo designa la etiqueta utilizada para
identificar la clave a visualizar.
3. En el campo Archivo, introduzca el nombre del archivo que contiene la clave
privada que debe intentar utilizar el dispositivo para decodificar sesiones de
SSL. Este campo debe contener un nombre de archivo completo absoluto.
4. Pulse Añadir.
5. Pulse Guardar cambios en la parte inferior de la página.
6. A continuación, puede editar, ver o suprimir la clave pulsando los botones
correspondientes.
Claves que faltan
Para revisar y editar la lista de claves privadas que faltan, pulse el botón de
selección Falto en la parte superior de la pestaña de claves de SSL.
v A partir de PCA Build 3500, las claves que faltan se pueden visualizar en
formato IPv6. Consulte “¿Cómo gestiona el PCA la captura de direcciones IPv6?”
en la página 298.
Capítulo 4. Configuración de CX PCA
117
Figura 29. Pestaña claves de SSL - Vista de claves que faltan
Columna
Descripción
casilla de verificación
Pulse la casilla de verificación para seleccionar una clave.
Host:Puerto
Dirección IP host y número de puerto para el certificado de SSL.
Fecha
118
Indicación de fecha y hora para la primera aparición desde el último
reinicio de PCA cuando se detectó un paquete de SSL para el cual falta una
clave exclusiva de SSL.
v Cada paquete de SSL subsiguiente para la misma clave que falta no
actualiza el campo Fecha.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Para borrar la fecha, seleccione la casilla de verificación y pulseBorrar
seleccionado. Cuando falta la siguiente instancia de paquete, se detecta
la clave de SSL borrada, se actualiza la indicación de fecha y hora.
Para seleccionar una clave de SSL, pulse la casilla de verificación en el host y el
puerto para el certificado.
v Para seleccionar todos los certificados que faltan, seleccione Seleccionar todo.
v Para ignorar los certificados seleccionados, seleccione Ignorar seleccionado.
v Para suprimir los certificados seleccionados, seleccione Borrar seleccionado.
v Para guardar los cambios, pulse Guardar cambios.
Capturar claves
A través de la pestaña SSL, puede cargar certificados SSL en formato .pem de texto
simple o formato .pfx protegido por contraseña para la conversión a .ptl para el
uso de PCA.
Si tiene acceso al software de PCA en el servidor Linux, puede soltar certificados
SSL en un directorio especificado para la conversión automática a formato .ptl.
v Consulte “Exportación de la clave privada SSL” en la página 216.
v Consulte “Exportación de la clave privada SSL” en la página 216.
Valores de la interconexión
La pestaña de Interconexión permite a los usuarios editar parámetros de
configuración tales como captura, límites e ID de cookies.
v Si los campos se dejan en blanco, el dispositivo intenta leer valores
predeterminados en el archivo ctc-conf-defaults.xml.
Puede seleccionar cualquiera de las dos vistas para visualizar los valores de
interconexión:
v Valores de Interconexión - Defina sesionamiento de datos, calificación por
tiempo, modalidad de captura y más. Consulte Valores de la interconexión.
v Editar lista de tipos - Especifique los tipos de datos y extensiones de archivo a
incluir o excluir de la captura. Consulte “Listas de tipo de captura” en la página
129.
Nota: Los tipos de captura de la PCA se deben revisar durante cualquier
instalación de la IBM Tealeaf CX Passive Capture Application o si la aplicación
web supervisada se actualiza. Consulte “Listas de tipo de captura” en la página
129.
Para obtener más información sobre los valores de interconexión, consulte:
v “Instancias de interconexión” en la página 120
v “Sesionamiento de datos” en la página 121
v “Reenvío-X” en la página 121
v “Muestreo de sesión” en la página 123
v “Modalidad de captura” en la página 123
v “Métodos de captura de solicitud” en la página 124
v “Calificación por tiempo” en la página 124
v “Proceso de hits” en la página 124
Capítulo 4. Configuración de CX PCA
119
Instancias de interconexión
De forma predeterminada, la PCA está configurada para crear una instancia única
del proceso de interconexión de la PCA para ser utilizada por todas las instancias
de la aplicación PCA. Si es necesario, se pueden crear más instancias del proceso
de interconexión para distribuir de manera más eficiente el trabajo entre los
recursos disponibles.
Nota: Hay disponible varias instancias de la interconexión de la PCA en la PCA
Build 3403 o posterior.
Cuando se crean varias instancias del proceso de interconexión, cada instancia de
la aplicación de la PCA envía los paquetes de la PCA. Estos paquetes se ensamblan
a la cola de la interconexión mediante su proceso reassd. Después esta cola
distribuye los paquete para ser procesados a las instancias de interconexión
configuradas en forma de un sistema circular.
v El proceso de interconexión de la PCA toma las coincidencias de HTTP
individuales y realiza el procesamiento en ellas, como ser el descarte de
coincidencias, la aplicación de privacidad, la compresión de datos y más.
Consulte Capítulo 1, “Descripción general de la captura pasiva”, en la página 1.
La efectividad de interconexiones múltiples depende del número de núcleos de
CPU disponibles. La regla de uso común general es asignar un núcleo de CPU
disponible para cada instancia de interconexión. Si cuatro núcleos de la CPU
inactivos están disponibles, debe configurar no más de cuatro instancias de
interconexión si espera un carga de la CPU completa.
Nota: Siempre debe dejar como mínimo un núcleo de CPU en la máquina para
procesos basados en el sistema.
v El límite máximo teórico en el número de interconexiones es 128. No es probable
que deba acercarse a este límite.
Nota: Todos las interconexiones operan en el mismo conjunto de reglas de
configuración. No debe haber diferencias entre las reglas de privacidad u otras
opciones de configuración entre interconexiones múltiples.
Valor
Descripción
Instances
Número de instancias del proceso interconectado.
v Para crear un número de instancias diferente, especifique un valor en el
recuadro de texto y pulse Guardar cambios.
Nota: Sea conservador al crear instancias nuevas de interconexión.
Incremente las instancias de a una y después evalúe los resultados y el
impacto sobre los recursos disponibles en el servidor de la PCA.
Para recuperar estadísticas en una instancia de interconexión individual, ejecute los
próximos mandatos.
Estadísticas de la instancia #0:
ctcstats instdata
Estadísticas de la instancia #N
ctcstats -I<#N> instdata
donde
120
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v <#N> es el identificador de la instancia.
Sesionamiento de datos
El PCA puede configurarse para crear un ID de sesión para cada coincidencia que
esté basada en cookies inyectadas en la solicitud. Cuando esté habilitado, puede
configurar la información de campo y sección de solicitud que contenga el
identificador de sesión.
v La cookie en la que se va a sesionar debe ser exclusiva y debe persistir para
cada coincidencia de una sesión.
Cuando está habilitado el sesionamiento de datos, el id/cookie de sesión
especificado por el valor Field Name se divide para crear el identificador de sesión
de Tealeaf (TLTSID). Si Tealeaf Cookie Injector está en uso, crea este valor.
Nota: Si está utilizando Tealeaf Cookie Injector, no habilite esta característica.
Tealeaf Cookie Injector proporciona identificadores exclusivos garantizados para los
datos de sesión capturados por Tealeaf. Consulte la sección "Instalación y
configuración de Tealeaf Cookie Injector" en el Manual de IBM Tealeaf Cookie Injector.
Si no hay ninguna cookie de sesión, puede que tenga permitido sesionizar otros
datos de coincidencias desplegando el agente de sesión de sesionamiento en la
interconexión de Windows en el servidor de procesamiento. Consulte "Agente de
sesión de sesionización" en el Manual de configuración de IBM Tealeaf CX.
Propiedad
Descripción
Field Name
El nombre de la cookie en la que quiere sesionizar. Los valores aceptados
incluyen a jsessionid y aspsessionid.
v Para sesionizar en varias cookies, puede insertar varios valores
delimitados en este campo. Los delimitadores aceptados son la coma (,)
o el punto y coma (;)
Field Section
Puede utilizar este campo para especificar la sección de la solicitud en la
que se va a buscar el Field Name. Si este valor no se especifica, se busca el
campo en toda la solicitud, y se utiliza la primera aparición.
Field Offsets
Para sesionizar en una parte específica de la cookie de sesión, tal como lo
especifica el Field Name. Por ejemplo, si el valor de la cookie es de 32
caracteres, el establecimiento del valor en 0 15 sesioniza en los primeros 16
caracteres.
Esta característica es útil si la cookie de sesión se añade con una serie
estática:
. jsessionid=<unique keystuff here>mycookie;
Reenvío-X
Un estándar común, reenvío-X habilita el seguimiento de la dirección de IP de
origen de un cliente que se está conectando a un servidor a través de varios
servidores, como servidores proxy o equilibradores de carga.
v Cuando se habilita, el campo HTTP_X_FORWARDING se puede llenar con las
direcciones de IP de cada servidor que se revisa y ha enviado la solicitud.
Capítulo 4. Configuración de CX PCA
121
v Cuando el contenido se ha devuelto desde el servidor web de origen, se pasa a
través de cada servidor que está listado en el campo HTTP_X_FORWARDING. Cada
servidor elimina la referencia a él en el campo y después lo pasa al siguiente
servidor en la cadena.
v De esta manera, el contenido se puede pasar a través de varios servidores entre
el cliente de la solicitud y el servidor de origen de suministro.
v Utilice números de puerto en la dirección IP (por ejemplo, <ip_address>:XXXX)
no está soportado.
Nota: Esta característica está disponible en la compilación PCA 3501 o posterior.
v Si hay disponible una cabecera CLIENT_IP, puede ser preferible utilizarla para el
origen Reenvío-X, ya que normalmente contiene sólo una dirección IP.
En función de cómo está configurada la aplicación web, puede definir a través del
PCA (área de control de páginas) el campo de cabecera que se utiliza para
especificar el campo HTTP_X_FORWARDING. Este campo después apunta al campo que
es el origen de la dirección IP, en formato IPv4 o IPv6.
Nota: Aunque no es necesaria, la característica reenvío-X se puede utilizar para
gestionar el reenvío para ambas direcciones IPv4 y IPv6.
Empezando en PCA Compilación 3501, puede configurar el origen del valor de
dirección REMOTE_ADDR que se inserta en el PCA.
1. Para habilitar el reenvío-X, pulse la casilla de verificación Habilitar.
2. Especifique el valor del nombre de campo el nombre de la variable de la
cabecera de solicitud HTTP que contiene la dirección IP del reenvío-X.
v Para compilaciones PCA 3501 y 3502, debe insertar el nombre real,
formateado de la cabecera HTTP, que no está disponible fácilmente. Los
valores que se insertan en la sección [env] de la solicitud no funcionan.
v Empezando en PCA Compilación 3600, puede utilizar guiones bajos, guiones,
y el prefijo HTTP_ en la entrada de valor de campo, así también como
entradas soportadas en las Compilaciones 3501 y 3502. Por ejemplo, para el
valor de campo X-FORWARDED-FOR, se aceptan las siguientes variantes:
HTTP_X_FORWARDED_FOR
X_FORWARDED_FOR
X-FORWARDED-FOR
Nota: El nombre de campo es sensible a las mayúsculas y minúsculas.
Nota: Si el campo de origen reenvío-X puede contener varias direcciones IP,
cada dirección IP debe estar separada con una coma. No se soportan el punto
y coma u otros delimitadores de campo; en una línea de varias entradas, la
primera dirección se utiliza si está claramente demarcada. De lo contrario, se
utiliza la línea entera y no se procesa correctamente.
3. Pulse Guardar cambios.
Cuando se habilita el reenvío-X a través de la pestaña de conducto, el campo de
cabecera especificado se explora para el nombre del campo en la solicitud para ser
utilizado para REMOTE_ADDR. Este campo después se explora para que el valor se
inserte en REMOTE_ADDR.
v La búsqueda es sensible a mayúsculas y minúsculas.
v El campo identificado se explora para el formateo correcto. Si no se encuentra
ningún valor que coincida, no se toma ninguna acción, y REMOTE_ADDR se llena
normalmente.
122
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Nota: Antes de la compilación PCA 3501, la identificación HTTP_X_FORWARDING se
gestionaba a través de reglas de privacidad en el conducto PCA. Antes de
desplegar este nuevo método, que se procesa antes de que el contenido se pase a
un conducto PCA, verifique que las reglas de privacidad PCA para gestionar
HTTP_X_FORWARDING estén inhabilitadas. Consulte “Descarga de la configuración
de privacidad” en la página 135.
Si se encuentra una coincidencia, el valor que se inserta en REMOTE_ADDR, y el valor
previo se inserta en la variable de solicitud REMOTE_ADDR_ORIG.
Ejemplo (IPv4)
REMOTE_ADDR=10.20.30.40
IPV6_REMOTE_ADDR=0000:0000:0000:0000:0000:FFFF:0A14:1E28
REMOTE_ADDR_ORIG=10.10.28.82
Ejemplo (IPv6)
REMOTE_ADDR=abcd::100:B200:CD10:10
IPV6_REMOTE_ADDR=ABCD:0000:0000:0000:0100:B200:CD10:0010
REMOTE_ADDR_ORIG=10.10.28.82
Empezando con la publicación 8.4, los valores que se detectan en REMOTE_ADDR
después del envío-X se convierten en formato IPv6 y se insertan en la variable
IPV6_REMOTE_ADDR. Estos valores son indexados para la búsqueda. Consulte
“¿Cómo gestiona el PCA la captura de direcciones IPv6?” en la página 298.
Muestreo de sesión
Si está habilitado, el muestreo de sesión especifica un porcentaje de para enviar al
igual de entrega. El resto de las sesiones se suprimen de la captura. El muestreo de
sesión permite la captura de volúmenes de datos estadísticamente significativos sin
sobrecargar el sistema con volúmenes de producción.
Nota: Esta característica elimina los datos de sesión de la secuencia de captura y
está pensada como una característica de depuración. No se recomienda habilitarla.
Modalidad de captura
El valor Modalidad de captura especifica los tipos de datos que PCA captura y
suelta desde la secuencia de captura. Están disponibles los valores siguientes:
Modalidad de captura
Descripción
Empresa
Configura el software de captura pasiva para capturar sólo objetos de
solicitud y respuesta HTTP(S) para solicitudes de página .business. (por
ejemplo, HTML, ASP, JSP). Los objetos estáticos como las hojas de estilo,
JavaScript y archivos de imágenes no son capturados por el PCA.
v Los clientes de reproducción de Tealeaf pueden adquirir y cargar estos
elementos en una base, según sea necesario, durante la reproducción.
Nota: La modalidad de captura de empresa es el valor predeterminado.
Tealeaf recomienda utilizar la modalidad de empresa.
BusinessIT
Configura la captura pasiva para capturar solicitudes y respuestas
HTTP(S), así como los objetos de archivo asociados a cada coincidencia.
Capítulo 4. Configuración de CX PCA
123
Estos objetos estáticos, como los archivos de imágenes, son capturados por
el PCA y pasados a la interconexión de Windows para continuar con la
evaluación.
Nota: En la modalidad BusinessIT, el cuerpo de carga útil de objeto de
respuesta no se guarda. Sólo el archivo de imagen y la solicitud se
capturan y procesan.
Nota: Si se modifica la modalidad de captura desde Business a BusinessIT
se aumenta de forma significativa el volumen de tráfico que captura,
procesa y almacena Tealeaf. Antes de modificar, revise toda la solución de
Tealeaf para verificar que tiene los recursos de sistema para gestionar el
aumento de la carga útil. Para obtener más información, póngase en
contacto con Tealeaf Professional Services.
Métodos de captura de solicitud
Cuando esté visualizando los métodos de captura de solicitud en el editor de
interconexión, puede seleccionar los métodos HTTP que desea capturar en la lista
que se proporciona.
Nota: Las solicitudes de tipo HEAD no están soportadas para la captura.
Calificación por tiempo
Si está habilitada, la Calificación por tiempo puede asignar una calificación a una
coincidencia en una de las tres áreas siguientes:
Área
Descripción
Web Server Page Gen
Cuánto demora el servidor web para servir la página.
Network Transit
Mide la velocidad de la red basado en cuánto tiempo pasó un paquete en
la red.
Round Trip
La cantidad de tiempo que le toma a un paquete arbitrario ir desde el
cliente al servidor Web.
Basada en los tres criterios, la Calificación por tiempo asigna a la coincidencia una
calificación numérica. Las descripciones de las calificaciones predeterminadas
(Excelente, Normal, NormalAlta y Alta) pueden editarse, junto con sus
correspondientes valores máximos.
Proceso de hits
La tabla siguiente describe los valores del proceso de hits.
Tabla 11. Valores del proceso de hits
124
Valor
Descripción
Include Raw Request
Determina si RawRequest está activada. Rawrequest
es una ayuda en la depuración. El valor
predeterminado es False (inhabilitado). Si está
habilitado (True), las cabeceras de solicitud de HTTP
se añaden al hit.
Nota: Tealeaf recomienda que este valor se establezca
en False; de lo contrario, se añaden datos a cada hit.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 11. Valores del proceso de hits (continuación)
Valor
Descripción
Include Response Headers
Determina si ResponseHeaders están activados.
ResponseHeaders son ayudas en la depuración. El
valor predeterminado es False (inhabilitado). Si está
habilitado (True), se añaden al hit las cabeceras de
respuesta de HTTP, (en formato de Tealeaf, que no es
necesariamente la representación HTTP exacta).
Nota: Tealeaf recomienda que este valor permanezca
en False; de lo contrario, se añaden datos a cada hit.
Decode URL fields
Esta opción determina si se debe utilizar la
decodificación de URL en los campos de URL.
Cookie Parser
Si se selecciona esta opción, se añade una sección de
cookies a la solicitud.
Enable UnReq Cancelled
Si se habilita, esta opción comprueba los últimos 100
bytes del cuerpo de respuesta para </html cuando
capturetype=1 y los marca como cancelado.
Inflate compressed response
Cuando se selecciona esta opción, las respuestas se
inflan automáticamente en la canalización de PCA. Si
una respuesta tiene una cabecera de codificación de
contenido cuyo valor es deflate, gzip o x-gzip,
entonces es un candidato para tener el cuerpo que se
infla a partir de su estado comprimido. Si se
selecciona esta opción, se realiza un intento de inflar
la respuesta.
Nota: Este valor debe establecerse en false. La
habilitación de esta característica puede aumentar
significativamente el volumen de datos que se
trasmiten entre el servidor de IBM Tealeaf CX Passive
Capture Application y el servicio de transporte.
v Si el inflar falla, se registra un mensaje en el nivel
de registro notice.
v Si el inflar se realiza satisfactoriamente, el valor de
la cabecera de codificación de contenido se
sobrescribe con X; por ejemplo, codificación de
contenido: XXXX.
v En PCA Build 3502 o posterior, los POST
comprimidos se aumentan automáticamente para
los tipos de codificación de contenido,
independientemente del tipo de contenido, para
dar soporte a la captura de datos desde los marcos
de cliente de Tealeaf.
– En PCA Build 3501 o anterior, esta opción era
Inflate compressed requests and responses.
Preserve responses when inflate
fails
Cuando una respuesta de hit se infla y el proceso de
inflar falla, la respuesta se sustituye con HTML que
informará que se ha producido un error de inflar.
Seleccione esta opción para inhabilitar la sustitución
HTML, lo que conserva la respuesta original.
Deflate hits sent to target
recipients
Selección de esta opción a las respuestas de hit que se
desinflan antes de que se envíen al recipiente de
destino. Las respuestas de hit se comprimen mediante
la utilización del método de desinflar de HTTP.
Habilite esta opción para reducir la cantidad de
ancho de banda de red que se utiliza en la entrega de
hits de Tealeaf al servicio de transporte de Tealeaf.
Capítulo 4. Configuración de CX PCA
125
Tabla 11. Valores del proceso de hits (continuación)
Valor
Descripción
Enable I18N
Cuando esté seleccionado, se habilita el soporte de
internacionalización en el PCA. Los urlfields de
solicitud se codifican en UTF-8 y se realiza un intento
para detectar la codificación del cuerpo de respuesta.
Nota: Existe un problema conocido en el que los
caracteres especiales que se envían en datos JSON
desde un marco de cliente Tealeaf resultan dañados.
Nota: Este valor solo se puede habilitar en los PCA
conectados a los sistemas IBM Tealeaf CX Release 7.0
o posteriores.
Delete Images on PCA side
Cuando está habilitada, esta opción suprime los hits
de imagen en la secuencia de captura que cumple con
los criterios especificados. Consulte “Supresión de
imágenes en el lado de PCA”.
Enable TLI
Si despliega un servidor TLI en el entorno de Tealeaf,
puede habilitar la captura del contenido de la imagen
para almacenarla en el servidor de TLI en sentido
descendente. Consulte “Habilitación de la captura de
imagen para TLI” en la página 128.
Max Response Size
El mayor tamaño aceptable de respuesta (en bytes).
El valor predeterminado es 1572864 (1.5 MB).
Default Response Encoding
Si el PCA no puede detectar el tipo de codificación de
una respuesta, se utiliza este valor.
Nota: La información siguiente solo se aplica a IBM
Tealeaf versión 9.0A.
CX PCA Build 3700 a 37xx contiene selecciones
adicionales para dar soporte a EICS (Enhanced
International Character Support) además de lo que
está disponible en CX PCA Build 3650 a 36xx.
Default Request Encoding
Si el PCA no puede detectar el tipo de codificación de
una solicitud, se utiliza este valor.
Nota: La información siguiente solo se aplica a IBM
Tealeaf versión 9.0A.
CX PCA Build 3700 a 37xx contiene selecciones
adicionales para dar soporte a EICS (Enhanced
International Character Support) además de lo que
está disponible en CX PCA Build 3650 a 36xx.
Total dropped due to ICU
encoding errors
Esta estadística informa cada vez que un hit (de
solicitud o respuesta) no puede ser codificado en
UTF-8 lo que provoca que se elimine la coincidencia
completa. Este escenario también genera un error
(ERR) en el registro.
Supresión de imágenes en el lado de PCA
Antes de PCA Build 3502, el PCA utilizaba opciones de configuración y lógica
incluida para gestionar el descarte automático de contenido de imagen desde
coincidencias capturadas, lo que reducía significativamente el espacio necesario
para almacenar sesiones. Cuando el PCA estaba configurado para estar en
modalidad BusinessIT, algunos tipos de contenido de imagen podían capturarse y
pasarse a la interconexión de Windows. En la interconexión, generalmente se
descartaban utilizando el agente de sesión DelImages.
126
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Para obtener más información sobre la modalidad BusinessIT, consulte
“Modalidad de captura” en la página 123.
v Para obtener más información sobre la característica DelImages para la
interconexión de Windows, consulte la sección "Agente de sesión de descarte de
datos" en la publicación IBM Tealeaf CX Manual de configuración.
A partir de PCA Build 3502, el PCA ahora proporciona la funcionalidad DelImages
en la interconexión de PCA. Cuando se habilita DelImages en el PCA, el volumen
de datos que se captura, procesa y transfiere al servidor Windows se reduce.
Nota: Para garantizar la captura de contenido de imagen en el entorno de Tealeaf,
este valor debe aplicarse de forma coherente en los separadores Interconexión en
todas las instancias de PCA.
Si una coincidencia cumple con los siguientes criterios, la coincidencia se identifica
como una coincidencia de imagen y se descarta:
v Delete Images on PCA side está habilitado.
v Las extensiones de archivo para la respuesta se listan en la lista Extensiones de
archivo excluidas. Consulte “Extensiones de Archivos Excluidos” en la página
133.
v Se cumple con cualquiera de los criterios siguientes:
1. PCA CaptureType=3 y (StatusCode = 200 o StatusCode = 304)
– El criterio anterior determina si el PCA está en modalidad BusinessIT
(CaptureType=3) y se devuelve una solicitud de imagen con un estado de
"okay" o un estado No modificado (StatusCode =304).
2. HTTP_USER_AGENT contains "RealiTeaViewer" o HTTP_USER_AGENT contains
"TeaLeafFileGetter"
– El criterio anterior determina si la solicitud la está realizando una
aplicación de escritorio de IBM Tealeaf CX RealiTea Viewer de Tealeaf
para obtener contenido de imágenes desde el servidor de origen durante
la reproducción. Estas solicitudes no deben capturarse.
Si se cumplen los criterios anteriores, se descarta la coincidencia de imagen.
v Cuando esta característica está habilitada, si CaptureType=1 y el tipo de
contenido de respuesta aparecen listado en la lista Extensión de inclusión, se
captura tanto la solicitud como la respuesta.
En la pestaña Estadísticas, el recuento total de coincidencias de imágenes
descartadas se muestra en la métrica Total dropped due to businessIT mode and
DelImages feature set. Consulte “Estadísticas por instancia” en la página 153.
Método alternativo para caracteres JSON alterados
En algunas situaciones, es posible que los caracteres especiales que se envían en los
datos JSON (UTF-8) desde una de las infraestructuras del cliente de Tealeaf
resulten dañados durante el proceso de Tealeaf A través del PCA, puede configurar
los valores para asegurarse que estos caracteres se consumen de manera correcta.
Si ha habilitado la traducción I18N en la pestaña Interconexión, complete los
siguientes pasos.
1. En la pestaña Interconexión de la consola web PCA, establezca Codificación
de solicitud predeterminada en UTF-8. Los urlfields de la solicitud se definen
como si estuvieran codificados en UTF-8. El PCA (área de control de páginas)
utiliza la codificación UTF-8 si no es capaz de detectar un tipo de codificación.
Capítulo 4. Configuración de CX PCA
127
Nota: El cambio anterior para distinguir la solicitud campos de URL como se
codifican en UTF-8 puede traer problemas de traducción si los campos no están
codificados en ISO 8859 o UTF-8.
2. Pulse Guardar cambios.
En función de los cambios de configuración anteriores, los datos JSON enviados en
UTF-8 no se traducen a una codificación distinta. Dado que la (JavaScript Object
Notation) JSON se somete en la sección [RequestBody], que se incluye en la sección
[urlfield], establecer la codificación predeterminada en UTF-8 resulta en la no
traducción de los datos. Como resultado, se representa correctamente en Tealeaf.
Habilitación de la captura de imagen para TLI
En Tealeaf, un servidor TLI se puede desplegar para capturar contenido estático,
incluidas las imágenes, los JavaScripts y las hojas de estilo para archivos
permanentes. Durante la reproducción, las solicitudes para este contenido estático
hacen referencia a los archivos estáticos, los cuales impiden que se produzcan
solicitudes innecesarias y algunas veces prohibidas, al servidor de origen. Mediante
un servidor de TLI, puede conservar una copia de contenido estático de cada
sesión, tal como ha experimentado el visitante original, con propósitos de
reproducción y auditoría.
v Para obtener más información sobre los servidores TLI, consulte "Gestión de
archivos estáticos" en la publicación IBM Tealeaf cxImpact Manual de
administración.
Cuando se habilita esta opción, el PCA captura los hits de imágenes con el
siguiente tipo de contenido asociado a ellas:
Content-Type=image
Nota:
v Otro contenido estático, tal como las hojas de estilo y los JavaScripts, son
formatos de texto que se capturan automáticamente mediante el IBM Tealeaf CX
Passive Capture Application.
– Cuando se despliega un servidor TLI, estos objetos se reenvían desde el PCA
al conducto de Windows. En el conducto de Windows, el agente de sesión de
TLI los reenvía a servidor TLI para lograr un almacenamiento adecuado.
Consulte la sección "Agente de sesión TLI" en el Manual de configuración de
IBM Tealeaf CX.
v Si se habilitan las opciones Enable TLI y Delete Images on PCA Side, entonces
Enable TLI altera temporalmente y determinada el comportamiento de captura
del PCA. Consulte “Supresión de imágenes en el lado de PCA” en la página 126.
v Para garantizar la captura de contenido de imagen en el entorno de Tealeaf, este
valor debe aplicarse de forma coherente en los separadores Interconexión en
todas las instancias de PCA.
Cuando se recibe el hit mediante el servidor de Windows, este examina el valor
TLIHit y, ya que se establece en True, reenvía el hit al servidor TLI para el
almacenamiento en el archivo apropiado.
v La información de indicación de fecha y hora se retiene con el hit. Habilita al
servidor TLI a servir posteriormente la versión de la imagen que ha
experimentado y grabado el visitante para que coincida con la sesión del
visitante.
v Los hits que se envían al servidor TLI no se almacenan en el recipiente. Los
datos de sesión se alteran para hacer referencia al contenido de TLI basado en el
128
IBM Tealeaf CX Passive Capture Application: Manual de PCA
servidor, desde el cual varias sesiones pueden consultar a una única entidad
almacenada. Este método proporciona un importante ahorro en costes de
almacenamiento.
Esta característica se debe revisar con la lista de extensiones de archivos de incluir
y excluir. Si la característica está habilitada Y:
v Si la extensión de archivo está en la lista de extensiones de archivos incluidos,
entonces el PCA trata al hit como un tipo de captura estándar aceptado por
PCA. La aplicación captura la solicitud y la respuesta y marca el objeto de
imagen con los siguientes valores para el servidor TLI:
CaptureType=1
TLIHit=False
v Si la extensión de archivo no está incluido en la lista de extensiones de archivos
incluidos, entonces el PCA captura solo el objeto de la imagen. PCA lo marca
con las siguientes propiedades para el servidor TLI:
CaptureType=3
TLIHit=True
v Si la extensión del archivos está en la lista de extensiones de archivos excluidos,
entonces el PCA captura el objeto de imagen solamente y lo marca tal como se
ha mencionado en la sección anterior.
Nota: Cuando se habilita esta característica, los objetos de imagen siempre se
capturan, independientemente de si el objeto está incluido o excluido en la lista
de extensiones de archivo.
– Si se visualiza la extensión de archivo en la lista de extensiones de archivos
incluidos, el PCA normalmente trata al hit. Consulte “Extensiones de archivo
incluido” en la página 133.
– Consulte “Extensiones de Archivos Excluidos” en la página 133.
Listas de tipo de captura
De forma predeterminada, el PCA está configurado para capturar los tipos de
datos que sean interesantes para la mayoría de las aplicaciones web.
Particularmente para aplicaciones de internet ricas, los tipos de datos
personalizados y las extensiones de archivo pueden estar presentes en la secuencia
de captura.
v Adicionalmente, el PCA infla automáticamente POST con algunos tipos de
codificación de contenido y pueden configurarse para inflar otros tipos. Consulte
“Capturar todos los tipos de Contenido-Codificación” en la página 134.
Nota: Cuando actualice el PCA, debe revisar las listas de todos los tipos de
captura para verificar que todos los tipos de datos necesarios se estén
capturando y procesando adecuadamente.
Nota: En todas las aplicaciones web, el conjunto de tipos de captura de PCA debe
revisarse para que Tealeaf capture y procese todos los datos significativos. Los
datos que no están definidos para ser capturados por IBM Tealeaf CX Passive
Capture Application se descartan y dan como resultado coincidencias descartadas
que se muestran en datos de sesión.
Capítulo 4. Configuración de CX PCA
129
Figura 30. Listas de tipo de captura
En las secciones Listas de tipo de captura, puede configurar inclusiones y
exclusiones que se aplican a solicitudes y respuestas. Por ejemplo, si elimina el tipo
de contenido text/json del panel POST de XML, el tipo de contenido sigue siendo
130
IBM Tealeaf CX Passive Capture Application: Manual de PCA
capturado como parte de los tipos de contenido capturados predeterminados
internos, pero el contenido ya no se inserta en la sección [xml1]. Consulte
“Ejemplos JSON” en la página 132.
Nota: Después de añadir nuevos tipos de contenido para la captura, también debe
añadirlos a través de TMS si desea indexar las respuestas HTTPS del tipo
capturado. Consulte la sección "Configuración de la indexación de CX" en la
publicación IBM Tealeaf CX Manual de configuración.
Cómo el PAC evalúa tipos de captura
Cuando se identifican los hits en la pestaña Canalización, el PCA realiza la
evaluación del hit en el siguiente orden para determinar si se debe capturar:
1. Solicitud:
a. Comprueba la solicitud para el tipo de codificación de contenido. Si el tipo
coincide con el conjunto especificado de tipos a inflar, la solicitud se infla
para el proceso. Consulte “Capturar todos los tipos de
Contenido-Codificación” en la página 134.
b. Comprueba la solicitud para los tipos de contenido conocidos internamente.
Consulte “Tipos de contenido capturados predeterminados” en la página
132.
c. Establece el contenido de solicitudes y los tipos de cuerpo:
1) Comprueba la lista XML POST Type para los POST del tipo XML a
capturare. Consulte “Tipos de autoprueba de encendido XML” en la
página 133.
2) Comprueba la lista Binary POST Type de los POST del tipo binario a
capturar. Consulte “Tipos de POST binarios” en la página 134.
d. Comprueba los tipos de extensión de archivos para tipos incluidos y
excluidos:
v Consulte “Extensiones de archivo incluido” en la página 133.
v Consulte “Extensiones de Archivos Excluidos” en la página 133.
2. Respuesta:
a. Compruebe las siguientes listas de contenidos de tipos para valores:
v “Capturar todos los tipos POST” en la página 133
v “Tipos de POST binarios” en la página 134
v “Capturar todos los Mimetypes” en la página 133
b. Si no se encuentran valores en las listas, el PCA comprueba la lista interna
predeterminada para tipos de respuestas. Consulte “Tipos de respuesta
predeterminados internos” en la página 132.
c. Si hay valores en las listas, compruebe las siguientes listas en el orden que
se menciona.
3. Cuerpo de respuesta: Si la solicitud y la respuesta pasan las pruebas anteriores
que se incluirán, entonces se procesa el tipo de solicitud.
a. Si el tipo de contenido de solicitud se define en una de los anteriores,
entonces el PCA procesa el tipo en consecuencia.
b. Si el tipo de contenido para el cuerpo de solicitud todavía no se conoce
después de las comprobaciones anteriores, comprueba la lista de capturar
todos los tipos de envíos.
1) Si el tipo de contenido se encuentra en la lista, entonces el PCA procesa
el cuerpo como texto en la sección [RequestBody] de la solicitud
generada.
Capítulo 4. Configuración de CX PCA
131
2) Consulte “Capturar todos los tipos POST” en la página 133.
Ejemplos JSON
JSON es un estándar emergente en uso en muchas aplicaciones web. Algunos
módulos de Tealeaf, tales como las infraestructuras de registro de Tealeaf de IBM
Tealeaf CX Mobile, utilizan los JSON POST para enviar los datos desde el cliente a
Tealeaf para su captura. Los siguientes tipos de contenido de ejemplo se pueden
visualizar en Tealeaf o en los datos cuyo origen son las aplicaciones.
Tipo de solicitud
Evaluación de tipo de contenido de PCA
text/json
Se considera que la solicitud se conoce como un tipo de contenido de
texto. Cuando el proceso de cuerpo de solicitud se completa, es un tipo
conocido de contenido y se procesa en consecuencia.
application/json
Si el tipo de contenido de solicitud es application/json y no está definido
en la lista de tipos de Capturar All POST, entonces es un tipo desconocido
para el PCA. No se realiza ningún proceso del cuerpo de solicitud y el hit
se elimina.
application/json
Si el tipo de contenido de solicitud es application/json y está definido en
la lista de tipos de Capturar All POST, entonces es un tipo conocido por el
PCA. Si no está listado en las listas de tipos XML o binario, se considera
que es un tipo de texto y se procesa como texto.
Para obtener más información sobre el esquema JSON de Tealeaf, que se utiliza
para capturar contenido de las infraestructuras de cliente de Tealeaf, consulte la
sección "Consulta del esquema de objetos JSON de Tealeaf" en la publicación IBM
Tealeaf Client Framework Data Integration Guide.
Tipos de contenido capturados predeterminados
De forma predeterminada, PCA captura los siguientes tipos de contenido.
Nota: Los tipos de contenido son valores predeterminados internos del PCA y no
requieren ninguna configuración para capturar.
Tipos de solicitud predeterminados internos
v
v
v
v
v
application/x-www-form-urlencoded
application/xml
multipart/form-data
text/*
text/xml
Tipos de respuesta predeterminados internos
Nota: Esta lista se aplica a los tipos de contenido de respuesta. Los tipos de
contenido de solicitud se evalúan como por el orden definido. Consulte “Cómo el
PAC evalúa tipos de captura” en la página 131.
v text/*
v application/text/*
132
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Extensiones de Archivos Excluidos
Especifica las extensiones de archivos que se deben excluir del flujo de datos de
captura. Este valor se puede utilizar para afinar el comportamiento especificado
por CaptureMode.
Nota: De forma predeterminada, el PCA no captura los archivosJavaScript. Si su
aplicación web está generando archivos JavaScript dinámicos, estos archivos se
pueden añadir manualmente al conjunto de tipos capturados, si desea capturarlos.
Extensiones de archivo incluido
Especifica las extensiones de archivo que se capturan completamente. Los archivos
binarios como los PDF se pueden incluir en la captura.
Nota: Si despliega un servidor TLI para capturar el contenido estático, debe
insertar las extensiones de archivo de los tipos de contenido estático en esta área
para capturarlos para su inserción en el servidor TLI. Consulte "Gestión de
archivos estáticos" en el Manual de administración de IBM Tealeaf cxImpact.
Capturar todos los Mimetypes
Especifica los tipos de contenido de respuesta (tipos MIME) para los que se va a
capturar una coincidencia completa.
Capturar todos los tipos POST
Especifica los tipos de contenido en los datos de solicitud que no son parte de los
datos XML estándar o de formulario.
Tipos de autoprueba de encendido XML
En esta sección, puede especificar los tipos de puestos XML para añadir a la
solicitud. Cuando un tipo de contenido XML especificado coincide, la sección
[xml1] se añade al almacenamiento intermedio de solicitud, el contenido se inserta
en el mismo.
Nota: Instalaciones nuevas de PCA desde la compilación 3324 están configuradas
automáticamente para capturar los tipos de envíos XML que se listan. Estos tipos
de envíos XML se añadieron en el PCA compilación 3324. Si está utilizando una
compilación anterior o actualizada de una compilación anterior, debe configurar
manualmente estos tipos de captura.
De forma predeterminada, algunos tipos de contenido se comprueban y capturan
automáticamente. No se deben añadir. Consulte “Tipos de contenido capturados
predeterminados” en la página 132.
Dependiendo del tipo de kit de herramientas JSON, los tipos de contenido
siguientes se pueden visualizar en la corriente de captura. Si están presentes, estos
tipos de deben añadir.
v application/x-javascript
v text/javascript
v text/x-javascript
v text/x-json
Capítulo 4. Configuración de CX PCA
133
Tipos de POST binarios
El PCA puede configurarse para capturar tipos de POST binarios. Por ejemplo, las
aplicaciones basadas en AMF envían solicitudes binarias al servidor web. Para
capturar datos de solicitud basados en AMF, añada el tipo application/x-amf a
esta lista.
v De forma predeterminada, el PCA no captura respuestas binarias.
v La decodificación de datos AMF debe estar habilitada en la interconexión de
Windows. Consulte "Agente de sesión inflado" en el Manual de configuración de
IBM Tealeaf CX.
Cuando application/x-tlt-ld está habilitado para la captura, las solicitudes de
todas las coincidencias capturadas de este tipo tienen la siguiente variable de
solicitud que se inserta en la sección [env]:
PostRequestBodyEncoding=Base64
Para otras coincidencias, este valor está establecido en None.
Nota: En el release 8.4 o posterior, la captura del tipo de post binario
application/x-tlt-d puede estar en desuso. Consulte .
Capturar todos los tipos de Contenido-Codificación
En PCA Build 3502 y posteriores, puede especificar los tipos de codificación de
contenido a través de un cuadro de texto cuyas solicitudes se inflan durante el
proceso de captura.
Nota: En PCA Build 3502 y posteriores, los siguientes tipos de codificación de
contenido se inflan automáticamente y no deben especificarse aquí:
v */deflate
v */gzip
v */x-gzip
Cuando una solicitud recibida por el PCA coincide con uno de los tipos de
codificación especificados, el PCA infla o extrae automáticamente la solicitud.
La tabla siguiente describe los comportamientos:
Tabla 12. Capturar todos los tipos de Contenido-Codificación
134
¿En
otras
listas de
tipo de
captura
para
captura?
¿En Capturar
todos los tipos de
ContenidoCodificación?
¿Capturado?
¿Inflado?
Notas
S
S
S
S
*/deflate, */gzip,
y */x-gzip se
inflan
automáticamente.
N
S
N
N
descartado
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 12. Capturar todos los tipos de Contenido-Codificación (continuación)
¿En
otras
listas de
tipo de
captura
para
captura?
¿En Capturar
todos los tipos de
ContenidoCodificación?
¿Capturado?
¿Inflado?
Notas
S
N
S
N*
capturado; no
inflado (* a menos
que sea uno de los
tipos de
codificación de
contenido inflado
de forma
predeterminada)
N
N
N
N
descartado
Tipos de contenido e indexación
Después de que PCA captura contenido, la solicitud y respuesta de cada
coincidencia se reenvía a un Recipiente para llevar a cabo más procesamiento,
incluida la indexación del contenido para la búsqueda.
v Solicitud: Las acciones específicas de la solicitud se indexan automáticamente
para la búsqueda. Consulte la sección "Configuración de la indexación de CX" en
la publicación IBM Tealeaf CX Manual de configuración.
– Puede configurar reglas de privacidad para mover contenido de una sección
de la solicitud a otra sección que se indexa automáticamente. Se recomienda
que aplique estas reglas de privacidad al Recipiente. Consulte "Agente de
sesión de privacidad" en el Manual de configuración de IBM Tealeaf CX.
v Respuesta: Opcionalmente, puede añadir tipos de respuesta HTTP individuales
para la indexación. Consulte la sección "Configuración de la indexación de CX"
en la publicación IBM Tealeaf CX Manual de configuración.
Descarga de la configuración de privacidad
Si es necesario, puede descargar el archivo de configuración de privacidad
privacy.cfg para modificaciones fuera de línea y archivado en la pestaña Copias
de seguridad/Registros.
Nota: privacy.cfg debe tener un formato compatible con UTF-8.
En la pestaña Copias de seguridad/Registros, hay dos ubicaciones:
Nota: La Consola web de la PCA retiene hasta cinco versiones previas de
privacy.cfg. Consulte “Cambios en la privacidad” en la página 152.
v En la sección Archivo de configuración de privacidad, pulse Descargar
selecciones.
v En la secciónRegistros, pulse el enlace Archivos de configuración.
v Consulte “Consola web de PCA - Pestaña de copia de seguridad-registros” en la
página 175.
Capítulo 4. Configuración de CX PCA
135
Manipulación de reglas
Mandato
Descripción
Insert Rule 1
Inserta una nueva regla que se aplica en primer lugar y carga la página
Editar regla.
Enable/Disable
Conmuta la regla en esa fila ya sea a habilitada (activa) o inhabilitada.
Delete Suprime la regla en esa fila de la sesión. Los cambios deben guardarse
para que el archivo privacy.cfg pueda cambiarse.
Edit
Carga la página Editar para esa regla.
Insert Below
Inserta una nueva regla debajo de esta fila y carga la página Editar Regla.
arrows Mueve la regla hacia arriba o hacia abajo, en función de la flecha pulsada.
Las reglas se aplican por orden y se debe cambiar. Los cambios que se
realizan al pulsar las flechas se realizan en la sesión. Para guardar los
cambios, pulse Guardar cambios.
Manipulación de prueba
Mandato
Descripción
Add
Carga la página Añadir prueba.
Edit
Carga la página Editar para esa prueba.
Manipulación de acciones
Mandato
Descripción
Add
Carga la página Acción Add.
Delete/In Use
Si la acción puede suprimirse, está disponible un enlace Suprimir en la
comuna Acciones a llevar a cabo.
v Si la acción está marcada como en uso, una regla hace referencia a la
acción y no puede suprimirse. Para suprimir una acción en uso, todas
las referencias a la misma deben suprimirse de todas las reglas. Puede
ver qué acciones se están utilizando en la columna Acciones a llevar a
cabo en la tabla Reglas.
Edit
Carga la página Editar para esa Acción.
Manipulación de claves
Mandato
Descripción
Add
Carga la página Añadir clave.
Delete Suprime la clave.
Edit
136
Carga la página Editar para esa clave.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
La adición de una clave es opcional y se puede utilizar para definir explícitamente
las claves de privacidad junto con su valor (cifrado). Esto normalmente solo se
utiliza cuando el filtro de privacidad se está ejecutando en una máquina distinta
del servidor IBM Tealeaf CX (en un servidor Web, por ejemplo) donde las claves
de privacidad definidas no son accesibles directamente. Las entradas en esta
sección deben estar en el siguiente formato:
keyID=keydata
donde:
v keyID es el nombre (ID)de la clave
v keydata es la serie de valor de clave cifrada
Añadir/Editar reglas
Figura 31. Página Añadir/Editar reglas
Para definir una única condición (prueba), puede especificar ReqField, ReqOp, y
ReqVal en una regla. Para obtener condiciones más complejas, utilice la opción
Pruebas y defina las condiciones de prueba por separado.
Valor
Descripción
Capítulo 4. Configuración de CX PCA
137
Name
Nombre de la regla
Description
Descripción legible por el usuario de la regla, que también se visualiza en
privacy.cfg.
ReqField
Esta opción especifica el nombre de un campo, el fragmento de nombre de
un par nombre-valor, en el archivo de solicitud. El valor de este campo se
utiliza para la comparación. También puede aplicar uno de los siguientes
nombres de campo especiales:
v TL_URLEXT - La parte de extensión de archivo del URL
v TL_URLTAIL - La cola del URL, que incluye el último / en el URL y todo
lo que le sigue
v TL_VIRTUALDIR - La parte de directorio virtual del URL
ReqOp
ReqOp define la operación de comparación realizada por esta regla entre
ReqField y ReqVal. A continuación se muestran los valores válidos para
esta opción:
v EQ o = - True si el valor de campo es igual a ReqVal. La comparación de
serie no es sensible a mayúsculas y minúsculas
v NE o != - True si el valor de campo no es igual a ReqVal. La
comparación de serie no es sensible a mayúsculas y minúsculas
v GT o > - True si el valor de campo es mayor a ReqVal
v LT o < - True si el valor de campo es menor a ReqVal
v CONTAINS - True si ReqVal está contenido en el valor de campo
v PARTOF - True si el valor de campo es parte de (contenido en) ReqVal
v PARTOFLIST - True si el valor de campo coincide con uno de los valores
de ReqVal.
– La lista de valores en ReqVal puede estar delimitada por signos de
punto y coma u otro delimitador especificado por la propiedad
ListDelimiter.
ReqVal
Valor literal o nombre de campo (establezca ReqValIsField=True para el
nombre de campo). Cuando ReqOp=PARTOFLIST, este valor debe especificar
una lista de valores que están separados por un punto y coma u otro
delimitador (especificado utilizando ListDelimiter).
v Si ReqField está establecido en TL_URLEXT, este campo contiene las
extensiones que incluyen puntos.
TestOp
Operador lógico a utilizar cuando se especifican varias pruebas. Los
valores posibles son AND y OR. Si no se especifica ningún valor, AND se aplica
como valor predeterminado.
v Cuando TestOp=AND, todas las pruebas deben devolver True para que se
procesen las acciones.
v Si TestOp=OR, las acciones se procesan si cualquiera de las pruebas
devuelve True.
List Delimiter
El carácter utilizado para separar elementos de lista en ReqVal cuando se
utiliza ReqOp=PARTOFLIST. El valor predeterminado es un punto y coma (;).
Case Sensitive
Valor True o False que indica si las búsquedas de nombres de campo
138
IBM Tealeaf CX Passive Capture Application: Manual de PCA
deben distinguir entre mayúsculas y minúsculas. El valor predeterminado
es False. Al establecer esto en True se aceleran las búsquedas.
ReqValIsField
True o False que indica si ReqVal contiene un nombre de campo.
Not
Valor True o False. Si es True, el resultado de la evaluación de prueba se
invierte (NOT lógico).
Stop Processing
Valor True o False que indica si debe detener el proceso de más reglas si
esta regla evalúa a True.
Enabled
Valor True o False que especifica si esta regla está activa.
Actions
Uno o más nombres de acción que corresponden a los nombres de
secciones de acción para procesar si esta regla devuelve True.
Tests
Uno o más nombres de prueba que corresponden a los nombres de
secciones de prueba. Las pruebas especificadas se evalúan para determinar
si las acciones se ejecutan para la regla. Si no se especifica ninguna prueba
(y no se especifica ninguna prueba como se describe a continuación), las
acciones se ejecutan para cada coincidencia.
Añadir/Editar pruebas
Figura 32. Página Añadir/Editar prueba
Valor
Descripción
Name
El nombre de la prueba.
Description
Descripción legible por el usuario de la prueba, que también aparece en
privacy.cfg.
ReqField
Parte correspondiente al nombre de un par nombre-valor. Este también
puede ser uno de los siguientes nombres reservados:
v TL_URLEXT
Capítulo 4. Configuración de CX PCA
139
v
v
ReqOp
TL_URLTAIL
TL_VIRTUALDIR
Operación a realizar - las opciones son:
v EQ or =
v NE o != o <>
v GT o >
v LT o <
v CONTAINS
v PARTOF
v PARTOFLIST
ReqVal
Valor literal o nombre de campo (establezca ReqValIsField=True para el
nombre de campo). Cuando ReqOp=PARTOFLIST, este valor debe especificar
una lista de valores separados por un punto y coma u otro delimitador
(especificado utilizando ListDelimiter).
ListDelimiter
El carácter utilizado para separar elementos de lista en ReqVal cuando se
utiliza ReqOp=PARTOFLIST. El valor predeterminado es un punto y coma (;).
ReqValIsField
True o False que indica si ReqVal contiene un nombre de campo.
CaseSensitive
Valor True o False que indica si las búsquedas de nombres de campo
deben ser sensibles a mayúsculas y minúsculas. El valor predeterminado es
False. Al establecer esto en True se aceleran las búsquedas.
Not
140
Valor True o False. Si es True, el resultado de la evaluación de prueba se
invierte (NOT lógico).
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Añadir/Editar acciones
Figura 33. Página Añadir/Editar acción
En la parte superior de la página Detalles de acción, puede revisar el nombre de la
acción y las reglas en las que se hace referencia a la misma, así como las
propiedades configuradas actualmente.
Valor
Descripción
Name
El nombre de la acción.
Description
Descripción legible por el usuario de la acción, que también se visualiza en
privacy.cfg.
Invert Action
El valor True o False que indica si se debe invertir la acción (realizar la
acción en todos los campos o nombres de valor EXCEPTO los
especificados).
v Si se especifica Nombre de valor, se procesa todo excepto el nombre(s)
especificado en Nombre de valor.
v Si Nombre de valor no se especifica, el nombre(s) especificado para
Campo se excluye(n) de la acción.
Nota: Esto sólo puede utilizarse con acciones Block, Encrypt y Replace.
Start Pattern y Start Pattern RE no pueden utilizarse con una acción
de inversión.
Capítulo 4. Configuración de CX PCA
141
Action
La acción a llevar a cabo. Esta puede ser uno de los siguientes valores:
v Block - Bloquea los datos coincidentes utilizando el carácter de tachado
especificado.
v Encrypt - Cifra los datos coincidentes y los enmascara con el carácter de
tachado especificado.
v Replace - Sustituye los datos coincidentes con una serie de texto
especificada.
v DropHit - Descarta la coincidencia actual (no se realiza ninguna acción
adicional).
v DropResponse - Descarta la respuesta de la coincidencia actual.
v ReqSet - Establece o sustituye el valor por el par nombre-valor
especificado en la solicitud. Crea el par nombre-valor si no existe.
Además, crea la sección especificada si no existe.
v ReqAppend - Se añade al valor del par nombre-valor especificado en la
solicitud. Crea el par nombre-valor si no existe. Además, crea la sección
especificada si no existe.
v ReqDelete - Elimina el par nombre-valor especificado completamente de
la solicitud. Esto no elimina la sección, incluso si está vacía.
Key
ID de clave para utilizar para el cifrado si Action=Encrypt.
Section
El nombre de sección de los datos sobre los que se va a actuar. Si se
establece en response, se procesa la respuesta. Este también puede ser uno
de los siguientes nombres reservados:
v urlfield - Realiza la acción para los nombres de valor especificados (o
todos si se omite Nombre de valor) para los valores en la sección
urlfield, QUERY_STRING, serie de consulta en RawRequest (si está
presente) y la serie de consulta en HTTP_REFERER y la cabecera de
consulta Referenciador y cuerpo de consulta en RawRequest (si está
presente).
v cookies - Realiza la acción para los nombres de valor especificados (o
todos si se omite Nombre de valor) para los valores de la sección
[cookies], pares nombre-valor HTTP_COOKIE y HTTP_SET_COOKIE,
cabeceras Set-Cookies en la sección ResponseHeader (si está presente),
cabeceras Set-Cookie en la respuesta y la cabecera [cookies] en la
sección RawRequest (si está presente).
Nota: Si no se especifica una Sección en una acción, se utiliza todo el
almacenamiento intermedio de solicitud (REQ).
Field
Uno o varios nombres de campo opcionales (parte correspondiente al
nombre del par nombre-valor). Si se omiten tanto Field como Value Name,
se bloquea/cifra toda la sección. Este también puede ser uno de los
siguientes nombres reservados:
v body - Si Section=response. especifica el cuerpo de la respuesta como el
destino. Si Section=RawRequest. se procesa el cuerpo de la respuesta (si
está presente).
Value Name
Uno o varios nombres de valores (en pares nombre-valor de varios valores,
como HTTP_COOKIE) o los nombres de los elementos cuando
Section=urlfield o Section=cookies.
142
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Start Pattern
El patrón de serie inicial a buscar dentro de los datos especificados. Se
procesan los datos que siguen inmediatamente al patrón coincidente. Si se
utiliza Start Pattern, también debe especificar End Pattern o Strike
Length, a menos que establezca Inclusive=True. Si está establecido, Start
Pattern y el End Pattern opcional se bloquean/cifran también. Esto es útil
para bloquear o cifrar una serie de datos constante.
Start Pattern RE
Versión de expresión regular de Start Pattern. Esto puede utilizarse para
especificar una expresión regular estándar para definir el patrón inicial a
buscar. Puede utilizar Start Pattern o Start Pattern RE, pero no ambos.
End Pattern
El patrón de serie que indica el final de los datos que se corresponden con
un Start Pattern. Se procesan los datos hasta, pero sin incluir, End
Pattern (a menos que Inclusive=True).
End Pattern RE
Versión de expresión regular de End Pattern. Esto puede utilizarse para
especificar una expresión regular estándar para definir el patrón final a
buscar. Puede utilizar End Pattern o End Pattern RE, pero no ambos.
Strike Character
El carácter que se utiliza para sustituir los datos originales que están
bloqueados o cifrados. Este puede ser cualquier carácter alfanumérico o
símbolo que no esté incluido en la siguiente lista:
v . (punto)
v , (coma)
v / (barra inclinada)
v \ (barra inclinada invertida)
v [(corchete de apertura)
v ] (corchete de cierre)
v | (barra vertical)
v ' (comillas simples)
v " (comillas dobles)
Strike Length
Longitud opcional (en bytes) de datos de tachado. Este es el número de
caracteres de tachado que se utilizan para sustituir los datos originales (si
Action=Block o Action=Encrypt).
v Si Strike Length es mayor a la longitud de datos original, se añaden
más caracteres de tachado.
v Si Strike Length es menor que la longitud de datos original, los
caracteres de Strike Length se sustituyen con Strike Character y se
eliminan los datos restantes.
v Si Strike Length es un número negativo, el número de caracteres
representado por el valor absoluto de Strike Length se deja tal como
está. Por ejemplo, para dejar a los últimos cuatro caracteres o a un valor
intactos, establezca Strike Length=-4. (consulte Máscara de bloqueo
para ver opciones de bloqueo más flexibles.)
Inclusive
Valor True o False que indica si Start Pattern (o Start Pattern RE) y
(opcional) End Pattern (o End Pattern RE) están bloqueados o cifrados. El
valor predeterminado es False.
Capítulo 4. Configuración de CX PCA
143
Repeat Count
Esto puede utilizarse para acciones que tengan un Start Pattern o Start
Pattern RE para especificar cuántas instancias de datos que coincidan con
el patrón se procesan.
Blocking Mask
Una expresión regular opcional que especifica los caracteres de los datos
encontrados que se sustituyen con el carácter de tachado (no se aplica a la
acción Sustituir). Todos los caracteres dentro de un grupo (definidos por
paréntesis) en la expresión regular se sustituyen con el carácter de tachado.
v Los caracteres que coinciden con parte del patrón fuera de un grupo no
se sustituyen. Por ejemplo, la máscara siguiente bloquearía sólo los
números en un Número de seguridad social, dejando a los guiones
visibles:
BlockingMask=([0-9]{3})-([0-9]{2})-([0-9]{4})
Este ejemplo dejaría a los primeros cuatro dígitos de un número de
tarjeta de crédito visibles:
BlockingMask=[0-9]{4}([0-9]*)
La máscara de bloqueo se utiliza en lugar de Strike Length. Puede
utilizar uno u otro, pero no ambos.
Nota: Tenga cuidado cuando utilice Blocking Mask. Si los datos no
coinciden con la expresión regular especificada para Blocking Mask, los
datos no se bloquean ni se cifran.
Replace String
La serie que se utiliza para sustituir los datos originales cuando
Action=Replace.
Length (bytes)
Utilizado en lugar de End Pattern o End Pattern RE, este valor especifica
la longitud de los datos (en bytes) a procesar siguiendo un Start Pattern
coincidente (o Start Pattern RE).
Case Sensitive
Valor True o False que indica si las búsquedas de nombres de campo y/o
patrones deben ser sensibles a mayúsculas y minúsculas. El valor
predeterminado es False. Al establecer esto en True se aceleran las
búsquedas.
Ignore Special
Valor True o False que indica si se debe ignorar el manejo especial cuando
está especificado urlfield o cookies para la Sección. Establecer en True
permite que se utilice Start Pattern o Start Pattern RE en las secciones
urlfield o cookies. El valor predeterminado es False.
ReqSetSection
Especifica la sección para el par nombre-valor para una acción ReqSet,
ReqAppend, o ReqDelete. ReqSetSection es necesario para estas tres
acciones.
ReqSetField
Especifica el nombre de un par nombre-valor para una acción ReqSet,
ReqAppend, o ReqDelete. ReqSetField es necesario para estas tres acciones.
ReqSetResult
Esta opción se utiliza con Start Pattern RE para producir un valor
formateado para una acción ReqSet o ReqAppend. La expresión Start
Pattern RE debe contener uno o más "grupos", definidos por paréntesis
144
IBM Tealeaf CX Passive Capture Application: Manual de PCA
dentro de la expresión regular. ReqSetResult es una serie que contiene
texto literal y marcadores para los datos capturados por Start Pattern RE.
Por ejemplo:
StartPatternRE=name="(.*?)" value="(.*?)"
ReqSetResult=Field
{g1} value: {g2}
El código puede producir el siguiente resultado:
Field name value: Bob
El primer marcador, {g1}, se sustituye con el valor del primer grupo en la
expresión regular. {g2} obtiene el segundo valor, etc. La serie resultante se
utiliza como el valor para la acción ReqSet o ReqAppend.
Añadir/editar claves
Pueden generarse claves de privacidad en Tealeaf para su uso en el cifrado y
descifrado de datos confidenciales, según sea necesario en el sistema. El cifrado y
descifrado son gestionados por el filtro de privacidad, que está disponible en PCA
y en la interconexión de Windows.
v Para obtener más información sobre la privacidad de interconexión, consulte
"Agente de sesión de privacidad ampliado" en IBM Tealeaf CX Manual de
configuración.
v Para obtener más información sobre la creación de reglas de interconexión,
consulte "Agente de sesión de privacidad" en la publicación IBM Tealeaf CX
Manual de configuración.
v Para obtener una descripción general de cómo Tealeaf gestiona la privacidad,
consulte "Gestión de privacidad de datos en Tealeaf CX" en la publicación IBM
Tealeaf CX Manual de instalación.
Las claves de privacidad que se utilizan para el cifrado y descifrado de datos
sensibles para el uso en Tealeaf deben añadirse a la consola web de PCA.
Nota: Cualquier clave de cifrado que sea utilizada por el PCA para cifrar y por el
servidor de búsqueda para descifrar debe definirse en la configuración del servidor
de búsqueda y proporcionarse al PCA. Para obtener más información sobre la
definición de estas claves, consulte "Configuración del servidor de búsqueda" en la
publicación IBM Tealeaf CX Manual de configuración.
Puede añadir claves de privacidad para el PCA para utilizar durante operaciones
de cifrado realizadas por el filtro de privacidad en el PCA. Para hacer que una
clave de privacidad esté disponible para el uso de PCA, introduzca el nombre de
la clave y la clave generada en esta sección.
v Puede copiar un valor de clave generado desde la configuración del servidor de
búsqueda y pegarlo en los campos Detalles de clave listados.
Valor
Descripción
Name
Nombre de la clave.
Key
La propia clave.
Capítulo 4. Configuración de CX PCA
145
Referencia Privacy.cfg
En esta sección se proporciona una visión general de referencia del archivo
privacidad.cfg, que se utiliza para configurar las reglas de privacidad que se
aplican a la secuencia de captura en la IBM Tealeaf CX Passive Capture
Application.
Nota: Evite realizar cambios directos en este archivo de configuración. Se
recomienda cambiar la configuración de privacidad en la pestaña Reglas de la
consola web, que proporciona una interfaz de usuario en este archivo de
configuración. Para obtener más información, consulte “Navegadores soportados
para la consola web de PCA” en la página 70.
La privacidad permite la eliminación o el cifrado de información confidencial en la
secuencia de captura. La privacidad puede aplicarse en los siguientes momentos
durante la captura y procesamiento de datos de sesión.
1. Captura de interfaz de usuario
2. PCA
3. Interconexión de Windows
consulte "Gestión de privacidad de datos en Tealeaf CX" en el Manual de
instalación de CX de IBM Tealeaf.
Puede utilizar el programa de utilidad de probador de privacidad basado en
Windows para desarrollar y probar las reglas de privacidad. Las reglas probadas se
pueden pegar nuevamente en este archivo de configuración para ser aplicadas en
la PCA.
v Consulte "Programa de utilidad de prueba de privacidad" en el Manual de
configuración de IBM Tealeaf CX.
Se proporciona documentación adicional en las notas del archivo de configuración
Privacy.cfg. Este archivo se encuentra en el directorio /usr/local/ctccap/etc. Se
puede editar con el editor vi.
Reglas
Propiedad
Descripción
Enabled
Valor True o False que especifica si esta regla está activa.
Tests
Uno o más nombres de prueba que corresponden a los nombres de
secciones de prueba. Las pruebas especificadas se evalúan para determinar
si las acciones se ejecutan para la regla. Si no se especifica ninguna prueba
(y no se especifica ninguna prueba como se describe a continuación), las
acciones se ejecutan para cada coincidencia.
TestOp Operador lógico a utilizar cuando se especifican varias pruebas. Los
valores posibles son AND y OR.
v Si TestOp=AND, entonces todas las pruebas deben devolver True para las
acciones a procesar.
v Si TestOp=OR, entonces las acciones se procesan si alguna de las pruebas
devuelve True.
Not
146
Valor True o False. Si es True, el resultado de la evaluación de prueba se
invierte (NOT lógico).
IBM Tealeaf CX Passive Capture Application: Manual de PCA
StopProcessing
Valor True o False que indica si debe detener el proceso de más reglas si
esta regla evalúa a True.
Actions
Uno o más nombres de acción que corresponden a los nombres de
secciones de acción para procesar si esta regla devuelve True.
ReqField
Parte del nombre de un par nombre-valor. Este también puede ser uno de
los siguientes nombres reservados:
v TL_URLEXT
v TL_URLTAIL
v TL_VIRTUALDIR
ReqOp
Operación a realizar - las opciones son:
v EQ o =
v NE o != o <>
v GT o >
v LT o <
v CONTAINS
v PARTOF
v PARTOFLIST
ReqVal Valor literal o nombre de campo (establezca ReqValIsField=True para el
nombre de campo). Cuando tenga ReqOp=PARTOFLIST, este valor debe
especificar una lista de valores separados ya sea por un punto y coma o
por otro delimitador (especificado al utilizar ListDelimiter).
ReqValIsField
True o False indican si ReqVal contiene un nombre de campo.
ListDelimiter
El carácter que se utiliza para separar los elementos de lista en ReqVal al
utilizar ReqOp = PARTOFLIST. El valor predeterminado es un punto y coma,
;.
CaseSensitive
Valor True o False indican si las búsquedas de nombres de campo deben
realizarse en mayúsculas o minúsculas. El valor predeterminado es False.
Al establecer esto en True se aceleran las búsquedas.
Pruebas
Propiedad
Descripción
ReqField
Parte del nombre de un par nombre-valor. Este también puede ser uno de
los siguientes nombres reservados:
v TL_URLEXT
v TL_URLTAIL
v TL_VIRTUALDIR
ReqOp
Operación a realizar - las opciones son:
v EQ o =
v NE o != o <>
Capítulo 4. Configuración de CX PCA
147
v
v
v
v
v
GT o >
LT o <
CONTAINS
PARTOF
PARTOFLIST
ReqVal Valor literal o nombre de campo (establezca ReqValIsField=True para el
nombre de campo). Si es ReqOp=PARTOFLIST, este valor debe especificar una
lista de valores separados por un punto y coma o por algún otro
delimitador (especificado al utilizar ListDelimiter).
ReqValIsField
True o False que indica si ReqVal contiene un nombre de campo.
ListDelimiter
El carácter que se utiliza para separar elementos de lista en ReqVal cuando
ReqOp=PARTOFLIST. El valor predeterminado es un punto y coma, ;.
CaseSensitive
Valor True o False que indica si las búsquedas de nombres de campo
deben distinguir entre mayúsculas y minúsculas. El valor predeterminado
es False. Al establecer esto en True se aceleran las búsquedas.
Not
Valor True o False. Si se establece en True, entonces el resultado de la
evaluación de la prueba es invertido (NOT lógico).
Acciones
Propiedad
Descripción
Action La acción a llevar a cabo. A continuación se muestran los valores:
v Block - Bloquea los datos coincidentes utilizando el carácter de tachado
especificado.
v Encrypt - Cifra los datos coincidentes y los enmascara con el carácter de
tachado especificado.
v Replace - Sustituye los datos coincidentes con una serie de texto
especificada.
v DropHit - Descarta la coincidencia actual (no se realiza ninguna acción
adicional). Cualquier regla puede tener una acción de descarte de
coincidencia.
v DropResponse - Descarta la respuesta de la coincidencia actual.
v ReqSet - Establece o sustituye el valor por el par nombre-valor
especificado en la solicitud. Crea el par nombre-valor si no existe.
Además, crea la sección especificada si no existe.
v ReqAppend - Se añade al valor del par nombre-valor especificado en la
solicitud. Crea el par nombre-valor si no existe. Además, crea la sección
especificada si no existe.
v ReqDelete - Elimina el par nombre-valor especificado completamente de
la solicitud. Esto no elimina la sección, incluso si está vacía.
148
Key
ID de clave para utilizar para el cifrado si Action=Encrypt.
Group
Nombre de grupo (en el formato dominio\nombregrupo) para utilizar para
el cifrado si Action=Encrypt.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Nota: Utilice Key o Group para especificar la clave de cifrado, pero no
ambos.
Section
El nombre de sección de los datos sobre los que se va a actuar. Si este
valor se establece en response, se procesa la respuesta. Este también puede
ser uno de los siguientes nombres reservados:
v urlfield - Realiza la acción para el ValueName especificado (o todos si
se omite ValueName) para los valores en la sección urlfield,
QUERY_STRING, serie de consulta en RawRequest (si está presente) y la
serie de consulta en HTTP_REFERER y la cabecera de consulta
Referenciador y cuerpo de consulta en RawRequest (si está presente).
v cookies - Realiza la acción para el ValueName especificado (o todos si se
omite ValueName) para los valores de la sección [cookies], pares
nombre-valor HTTP_COOKIE y HTTP_SET_COOKIE, cabeceras
Set-Cookies en la sección ResponseHeader (si está presente), cabeceras
Set-Cookie en la respuesta y la cabecera [cookies] en la sección
RawRequest (si está presente).
Nota: Si no se especifica una Sección en una acción, se utiliza todo el
almacenamiento intermedio de solicitud (REQ).
IgnoreSpecial
Valor True o False que indica si se debe ignorar el manejo especial cuando
está especificado urlfield o cookies para la Sección. Establecer esto en
True permite que se utilice StartPattern o StartPatternRE en las secciones
urlfield o cookies. El valor predeterminado es False.
Field
Uno o varios nombres de campo opcionales (parte correspondiente al
nombre del par nombre-valor). Si se omiten tanto Field como ValueName,
se bloquea/cifra toda la sección. Este también puede ser uno de los
siguientes nombres reservados:
v body - Si Section=response, este valor especifica el cuerpo de la
respuesta como el destino. Si Section=RawRequest, se procesa el cuerpo
de la solicitud (si está presente).
ValueName
Uno o varios nombres de valores (en pares nombre-valor de varios valores,
como HTTP_COOKIE) o los nombres de los elementos cuando
Section=urlfield o Section=cookies.
Invert El valor True o False que indica si se debe invertir la acción (realizar en
todos los campos o ValueNames EXCEPTO los especificados).
v Si se especifica ValueName, se procesa todo excepto el nombre(s)
especificado en ValueName.
v Si ValueName no se especifica, el nombre(s) especificado para Field se
excluye(n) de la acción.
Nota: Esto sólo puede utilizarse con acciones Block, Encrypt y Replace.
StartPattern y StartPatternRE no pueden utilizarse con una acción de
inversión.
StartPattern
El patrón de serie inicial a buscar dentro de los datos especificados. Se
procesan los datos que siguen inmediatamente al patrón coincidente. Si se
utiliza StartPattern, también debe especificar EndPattern o Length, a
menos que establezca a Inclusive en True. Cuando Inclusive=True,
Capítulo 4. Configuración de CX PCA
149
StartPattern (y el EndPattern opcional) también se bloquean/cifran. Esto
es útil para bloquear o cifrar una serie de datos constante.
StartPatternRE
Versión de expresión regular de StartPattern. Esto puede utilizarse para
especificar una expresión regular estándar para definir el patrón inicial a
buscar. Puede utilizar StartPattern o StartPatternRE, pero no ambos.
EndPattern
El patrón de serie que indica el final de los datos que se corresponden con
un StartPattern. Se procesan los datos hasta, pero sin incluir, EndPattern (a
menos que Inclusive=True).
EndPatternRE
Versión de expresión regular de EndPattern. Esto puede utilizarse para
especificar una expresión regular estándar para definir el patrón final a
buscar. Puede utilizar EndPattern o EndPatternRE, pero no ambos.
Length Utilizado en lugar de EndPattern o EndPatternRE, este valor especifica la
longitud de los datos (en bytes) a procesar siguiendo un StartPattern
coincidente (o StartPatternRE).
Inclusive
Valor True o False que indica si StartPattern (o StartPatternRE) y
(opcional) EndPattern (o EndPatternRE) están bloqueados o cifrados. El
valor predeterminado es False.
RepeatCount
Esto puede utilizarse para acciones que tengan un StartPattern o
StartPatternRE para especificar cuántas instancias de datos que coincidan
con el patrón se procesan.
ReplaceString
La serie que se utiliza para sustituir los datos originales cuando
Action=Replace.
CaseSensitive
Valor True o False que indica si las búsquedas de nombres de campo y/o
patrones deben ser sensibles a mayúsculas y minúsculas. El valor
predeterminado es False. Al establecer esto en True se aceleran las
búsquedas.
StrikeChar
El carácter que se utiliza para sustituir los datos originales que están
bloqueados o cifrados. Este puede ser cualquier carácter alfanumérico o
símbolo que no esté incluido en la siguiente lista:
v . (punto)
v , (coma)
v / (barra inclinada)
v \ (barra inclinada invertida)
v [(corchete de apertura)
v ] (corchete de cierre)
v | (barra vertical)
v '(comillas simples)
v " (comillas dobles)
150
IBM Tealeaf CX Passive Capture Application: Manual de PCA
StrikeLen
Longitud opcional (en bytes) de datos de tachado. Este es el número de
caracteres StrikeChar que se utilizan para sustituir los datos originales (si
Action=Block o Action=Encrypt).
v Si StrikeLen es mayor a la longitud de datos original, se añaden más
caracteres de tachado.
v Si StrikeLen es menor que la longitud de datos original, los caracteres
de StrikeLen se sustituyen con StrikeChar y se eliminan los datos
restantes.
v Si StrikeLen es un número negativo, el número de caracteres
representado por el valor absoluto de StrikeLen se deja tal como está.
Por ejemplo, para dejar a los últimos cuatro caracteres o a un valor
intactos, establezca StrikeLen=-4.
v Para ver opciones más flexibles, consulte BlockingMask.
BlockingMask
Una expresión regular opcional que especifica los caracteres de los datos
encontrados que se sustituyen con el carácter de tachado (no se aplica a la
acción Sustituir). Todos los caracteres dentro de un grupo (definidos por
paréntesis) en la expresión regular se sustituyen con el carácter de tachado.
Los caracteres que coinciden con parte del patrón fuera de un grupo no se
sustituyen. Ejemplos:
La máscara siguiente bloquearía sólo los números en un Número de
seguridad social, dejando a los guiones visibles:
BlockingMask=([0-9]{3})-([0-9]{2})-([0-9]{4})
Este ejemplo dejaría a los primeros cuatro dígitos de un número de tarjeta
de crédito visibles:
BlockingMask=[0-9]{4}([0-9]*)
BlockingMask se utiliza en lugar de StrikeLen. Puede utilizar uno u otro,
pero no ambos.
Nota: Tenga cuidado cuando utilice BlockingMask. Si los datos no
coinciden con la expresión regular especificada para BlockingMask, los
datos no se bloquean ni se cifran.
ReqSetSection
Especifica la sección para el par nombre-valor para una acción ReqSet,
ReqAppend, o ReqDelete. ReqSetSection es necesario para estas tres
acciones.
ReqSetField
Especifica el nombre de un par nombre-valor para una acción ReqSet,
ReqAppend, o ReqDelete. ReqSetField es necesario para estas tres acciones.
ReqSetResult
Esta opción se utiliza junto con StartPatternRE para producir un valor
formateado para una acción ReqSet o ReqAppend. La expresión
StartPatternRE debe contener uno o más "grupos", definidos por
paréntesis dentro de la expresión regular. ReqSetResult es una serie que
contiene texto literal y marcadores para los datos capturados por
StartPatternRE. Ejemplos:
StartPatternRE=name="(.*?)" value="(.*?)"
ReqSetResult=Field
{g1} value: {g2}
Capítulo 4. Configuración de CX PCA
151
El resultado sería un valor como:
Field name value: Bob
El primer marcador, {g1}, se sustituye con el valor del primer grupo en
la expresión regular. {g2} obtiene el segundo valor, etc. La serie resultante
se utiliza como el valor para la acción ReqSet o ReqAppend.
Notas de acción
v Para ReqSet y ReqAppend, el valor a establecer o añadir puede especificarse de un
par de maneras diferentes. Puede utilizar una serie literal estableciendo
ReplaceString en el texto necesario, o puede obtener datos desde la solicitud o
respuesta utilizando Section, Field, ValueName, StartPattern, StartPatternRE,
EndPattern y/o EndPatternRE.
v Cuando utilice StartPattern o StartPatternRE con una de estas acciones,
RepeatCount siempre se establece en 1 (siempre se utiliza la primera
coincidencia).
v IgnoreSpecial siempre es True para estas acciones cuando se especifica Section.
No hay un manejo especial para las secciones urlfield o cookies con estas
acciones.
v El valor para un campo (par nombre-valor) puede eliminarse sin eliminar el
campo completo utilizando ReplaceString sin ningún valor:
ReplaceString=
v Todos los retornos de carro y avances de línea en la serie de valor se sustituyen
con \r y \n.
v Los cambios de privacidad se ponen en cola y se aplican una vez completadas
todas las acciones. Esto significa que las acciones generalmente ven los datos
originales. ReqSet, ReqAppend y ReqDelete hacen un seguimiento de las adiciones,
cambios y supresiones de campos, por lo que varios cambios en un único campo
(como añadir un campo y concatenar datos de adición al valor) pueden
realizarse de forma segura. Puesto que la acción Sustituir puede afectar a
fragmentos de datos arbitrarios en la solicitud o respuesta, no se incluye en este
rastreo de cambios. Los cambios que se realizan en los valores de campos se
realizan de mejor forma utilizando ReqSet y ReqAppend.
v Cuando utiliza Field o ValueName con ReqSet o ReqAppend, debe especificar un
único campo o nombre de valor. Si hay varios nombres, se utiliza el valor para
el último elemento encontrado.
v De forma similar a la nota anterior, debe evitar especificar sólo una sección para
recuperar el valor para ReqSet o ReqAppend. Esto da como resultado el valor del
último campo (par nombre-valor) en la sección que se utiliza para ReqSet o
ReqAppend.
Cambios de registro
La siguiente sección contiene información sobre registro de cambios.
Cambios en la privacidad
Cuando se realizan cambios en la pestaña Reglas que aplican a privacidad.cfg, se
guarda una versión de copia de seguridad del archivo anterior en el siguiente
formato: privacidad.cfg.X, donde X es un número de versión.
v De forma predeterminada, se retiene un máximo de cinco versiones en cualquier
momento.
152
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Registro de diferencias
Además del registro de cambios de privacidad, las diferencias en todos los cambios
de la consola web se registran en el archivo conf_changelog.cfg.
Referencia
v Para obtener información acerca de la privacidad de Tealeaf, consulte "Gestión
de privacidad de datos en Tealeaf CX" en la publicación IBM Tealeaf CX Manual
de instalación.
v Para obtener más información sobre la configuración de la privacidad, consulte
"Agente de sesión de privacidad ampliado" en la publicación IBM Tealeaf CX
Manual de configuración.
– Tealeaf proporciona varios filtros de privacidad preconfigurados, que se
pueden habilitar y modificar para cumplir con los requisitos de la aplicación
web. Consulte "Filtros preconfiguados" en la publicación Manual de
configuración de IBM Tealeaf CX.
– Para obtener más información acerca de la versión mejorada del agente de
sesión de Windows, consulte "Agente de sesión de privacidad ampliado" en el
Manual de configuración de IBM Tealeaf CX.
v Para obtener más información sobre el programa de utilidad de probador de
privacidad, consulte "Programa de utilidad de probador de privacidad"en el
Manual de configuración de IBM Tealeaf CX.
Estadísticas por instancia
Cuando selecciona una vista que muestra estadísticas en múltiples instancias, los
datos para cada instancia se visualiza en un columna distinta: ID#0, ID#1, etcétera.
v El número de las columnas que se visualizan indica el número de instancias
configuradas de la IBM Tealeaf CX Passive Capture Application y el número de
instancias adicionales configuradas del proceso interconectado.
Ejemplo
Si tiene tres instancias de la PCA y cinco instancia de interconexión, se visualizan
cinco columnas de datos, que es el mayor de los dos conjuntos de instancias.
v Las tres primeras instancias contienen toda la información específica para ambas
instancias de la PCA y de interconexión.
v Las últimas dos instancias solo contienen información específica a las otras dos
instancias de interconexión.
Ejemplo:
Si tiene seis instancias de la PCA y tres instancias de interconexión, se muestran
seis columnas de datos, de las cuales sólo las tres primeras instancias contienen
información específica a la interconexión, ya que sólo hay tres interconexiones.
Nota: Se pueden configurar varias instancias del proceso de interconexión de la
PCA en PCA Build 3403 o posterior.
v Para obtener las mediciones sobre el rendimiento de interconexiones
individuales, consulte “Sección de coincidencias” en la página 165.
v Para obtener más información sobre la configuración de instancias adicionales,
consulte “Consola Web de PCA - Pestaña Interfaz” en la página 90.
Capítulo 4. Configuración de CX PCA
153
Comprobación de la salud del sistema a través de stats.xml
Puede utilizar la salida de stats.xml para supervisar si el tráfico es recibido por
PCA y entregado a los destinatarios de destino.
Tabla 13. Tráfico:
Valor
Descripción y valor esperado
<CaptureCurrentFilteredKbytesPerSec>
Este valor indica el número de
kilobytes por segundo de datos
filtrados capturados por el PCA.
v Si la captura funciona, este
valor debe ser positivo.
<SslTotalDhCipherConnections>
Este valor indica el número total
de conexiones SSL de
Diffie-Hellman en uso.
Nota: IBM Tealeaf CX Passive
Capture Application no da
soporte al uso del cifrado
Diffie-Hellman. Este valor debe
ser cero (0).
Tabla 14. Entrega:
Valor
Descripción y valor esperado
<StateText>
Este valor indica el estado de la conexión entre el PCA y el
servidor Windows de destino.
v Este valor debe ser connected.
<TotalHitsQueued>
Recuento total de coincidencias en cola para la entrega al servidor
IBM Tealeaf CX.
v Este valor debe ser igual a <TotalHitsDelivered>.
Para obtener más información sobre las opciones disponibles para ctcstats en la
línea de mandatos, ejecute lo siguiente como el usuario ctccap:
./ctcstats -h
Procesos de software de captura
Para obtener más información sobre los procesos del PCA, consulte Capítulo 1,
“Descripción general de la captura pasiva”, en la página 1.
Estadísticas de captura pasiva
Las siguientes secciones describen las definiciones de estadísticas de captura
pasiva.
Leyenda
v XML - Nodo XML en stats.xml
v Pantalla de consola - Valor de visualización que se muestra en la pestaña de
estadísticas de la consola web de PCA
– En esta columna, un valor de not available indica que no se informa la
estadística de forma predeterminada en la consola web de PCA.
v Descripción - Una descripción de texto de la estadística.
154
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Sección General
Tabla 15. Sección General
XML
Pantalla de consola
Descripción
<CaptureVersion>
Capture version
El número de versión de
compilación de software captura
pasiva.
<CapturedPctCpu>
Captured CPU usage percent
(high)
El uso de CPU actual para el
proceso.
<CoreDumpCount>
Number of coredumps
Número de volcado de núcleo
que se han producido desde
cualquiera de los procesos de
captura pasiva. Este es un
recuento de los archivos de
volcado de núcleo en el
subdirectorio /usr/local/ctccap.
<CpuLoadPct>
CPU load percentage
El total de porcentaje de carga
de CPU informado por el
sistema.
<InstanceCount>
Number of instances
Número de instancias que se
están ejecutando (parejas listend
y reassd).
<PeerCount>
Number of delivery peers
Número de conexiones de socket
entregadas a los servidores de
proceso de Tealeaf.
<ProcessCount>
Number of processes
Número total de procesos que
conforman el software de
captura pasiva, los procesos de
servidor Apache, y así
sucesivamente.
<ProcessClassCount
Number of process classes
Número total de procesos
específicos de Tealeaf que se
agrupan en clases.
<ReassdPctCpu>
Reassd CPU usage percent
(high)
El más alto uso de porcentaje de
CPU que informa el sistema en
todo los procesos Reassd. Puede
haber varios procesos Reassd,
pero normalmente sólo uno.
Sección hora
Tabla 16. Sección hora
XML
Pantalla de consola
Descripción
<LastReset>
Last time statistics were
reset
La hora y fecha cuando se
borraron las estadísticas.
<LastResetSecondsUtc>
Last time statistics were
reset in UTC seconds
Los segundos UTC desde que
las estadísticas se borraron
por última vez.
<LastResetUtc>
Last time statistics were
reset in UTC
La hora y fecha de cuando se
borraron las estadísticas en
Tiempo Universal
Coordinado.
Capítulo 4. Configuración de CX PCA
155
Tabla 16. Sección hora (continuación)
XML
Pantalla de consola
Descripción
<LastRestart>
Last time capture entered
main loop
La hora y fecha de cuando
Capturado reinició sus
procesos hijo.
<LastRestartSecondsUtc>
Last time capture entered
main loop in UTC seconds
Los segundos UTC desde que
Capturado reinicio sus
procesos hijo.
<LastRestartUtc>
Last time capture entered
main loop in UTC
La hora y fecha de cuando
Capturado reinició sus
procesos hijo en UTC.
<LocalTime>
Local time
La hora local del sistema.
<LocalTimeSecondsUtc>
Local time in UTC seconds
La hora local del sistema en
segundos UTC.
<LocalTimeUtc>
Local time in UTC
La hora local del sistema en
Tiempo Universal
Coordinado.
<NumSystemRestarts>
Number of times capture
entered main loop
Número total de veces que
Capturado reinició su proceso
hijo desde que se inició el
software de Captura pasiva.
<TimeCpuUptime>
Time since last OS reboot
(days, hours, minutes,
seconds)
El tiempo transcurrido desde
que se reinició el SO del
sistema.
<TimeCpuUptimeSeconds>
Seconds since last OS
reboot
Número de segundos
transcurridos desde que se
reinició el SO del sistema.
Sección de memoria
Las siguientes estadísticas de memoria están todas interrelacionadas y realizan
seguimiento entre sí.
Tabla 17. Sección de memoria
156
XML
Pantalla de consola
Descripción
<MemoryListendSize>
Listend size
La ocupación de memoria
actual de proceso como
notifica el SO, en bytes.
Normalmente este valor
debe estar debajo de 20
MB.
<MemoryListendMaxSize>
Listend max size
El tamaño máximo de la
ocupación de memoria de
proceso según se notifica
el SO, en bytes. Este valor
fluctúa en función de
diversos requisitos
internos. Normalmente,
hace el seguimiento del
tamaño actual con poca
desviación y es el
indicador de marca de
límite superior para el
mismo.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 17. Sección de memoria (continuación)
XML
Pantalla de consola
Descripción
<MemoryListendMemoryIn_use>
Listend memory in use
Tamaño de uso de la
memoria actual de
proceso, en bytes, basado
en los requisitos de
memoria asignada
dinámicamente. Este valor
crece, en función de sus
necesidades, a un máximo
de 100 MB para
almacenamientos
intermedios de paquetes
internos.
<MemoryListendMaxMemoryIn_use>
Listend max memory in
use
El indicador de marca de
límite superior para el
valor anterior en uso.
<MemoryReassdSize>
Reassd size
El tamaño de ocupación
de memoria actual de
proceso, en bytes, según
informa el SO. Este valor
es la memoria actual que
se asigna a este, incluida
su ocupación.
Normalmente puede
variar de algunos
megabytes a 1 GB o más.
<MemoryReassdMaxSize>
Reassd max size
La marca de límite
superior para el tamaño
de memoria actual
anterior.
<MemoryReassdMemoryIn_use>
Reassd memory in use
El tamaño de uso de la
memoria actual que se
basa en las demandas de
memoria asignada
dinámicamente a partir de
esta. Este valor también
puede variar de algunos
megabytes hasta más de 1
GB de acuerdo a los
requisitos de proceso para
la actividad de tráfico de
red actual. No hay ningún
valor típico, pero suele ser
menos de 500 MB.
<MemoryReassdMaxMemoryIn_use>
Reassd max memory in use La marca de límite
superior para el tamaño
de memoria actual
anterior.
Capítulo 4. Configuración de CX PCA
157
Tabla 17. Sección de memoria (continuación)
XML
Pantalla de consola
Descripción
<MemoryListendOutputBuffers>
Listend output buffers
Memoria actual utilizada
en el almacenamiento
intermedio de salida, en
bytes, para el tráfico de
paquetes filtrados de
proceso listend. Este
almacenamiento
intermedio se utiliza para
almacenar en búfer el
tráfico que fluye del
listend al reassd a través
de su conducto. El proceso
reassd extrae paquetes de
tráfico tal como puede
procesarlos. El tamaño
predeterminado de este
almacenamiento
intermedio es 100 MB.
<MemoryListendOutputBuffersMax> Listend output buffers
max
La marca de límite
superior para el valor de
tamaño de los
almacenamientos
intermedios anteriores.
<MemoryDeliveryQueue>
Delivery queue
Tamaño de
almacenamiento
intermedio de entrega de
hit actual que se utiliza,
en bytes, para enviar hits
a través del socket al
servidor de IBM Tealeaf
CX.
<MemoryDeliveryQueueMax>
Delivery queue max
La marca de nivel superior
para el valor anterior de
tamaño de cola.
<MemorySslSessionCacheEntries>
SSL session cache
entries
El número actual de
entradas de sesión de SSL
que se almacenan en la
tabla de antememoria. El
valor de configuración
conf determina cuál es el
límite máximo de entradas
que se pueden almacenar
en un momento. El valor
predeterminado más
común es de 10,000
entradas.
v Para obtener más
información sobre el
ajuste del valor límite
máximo, consulte la
estadística Total
session cache misses
de SSL siguiente.
<CpuUsagePctHigh>
158
no disponible
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Porcentaje de uso de CPU
(alto)
Tabla 17. Sección de memoria (continuación)
XML
Pantalla de consola
Descripción
<CpuUsagePctTotal>
no disponible
Porcentaje de uso de CPU
(total)
<Id>
no disponible
ID de proceso en el
contexto de los procesos
de PCA
<MemUsagePctHigh>
no disponible
Porcentaje de uso de
memoria (alto)
<MemUsagePctTotal>
no disponible
Porcentaje de uso de
memoria (total)
<Name>
no disponible
nombre del proceso
<ProcessCount>
no disponible
ProcessCount
<VirtualMemorySizeKbytesHigh>
no disponible
Tamaño de la memoria
virtual (kbytes) alto
<VirtualMemorySizeKbytesTotal>
no disponible
Tamaño de la memoria
virtual (kbytes) total
Sección TCP
Tabla 18. Sección TCP
XML
Pantalla de consola
Descripción
<TcpTotalPacketsRcvd>
Total packets rcvd
El recuento de paquetes TCP recibidos por el
reensamblador.
<TcpTotalPacketsRcvdPerSec>
Total packets rcvd per second
Índice de paquetes TCP recibidos por segundo
<TcpTotalConnections>
Total connections
El recuento de conexiones TCP nuevas
formadas por el reensamblador del TCP.
<TcpTotalConnectionsPerSec>
Total connections per second
Índice de conexiones TCP nuevas que se
forman por segundo
<TcpTotalClosedConnections>
Total closed connections
El recuento de conexiones TCP cerradas por el
reensamblador del TCP
<TcpTotalRstConnections>
Total reset connections
El recuento de conexiones TCP que se
restablecen. Un gran número de conexiones
restablecidas puede estar indicando un
problema de conexión.
<TcpSyn_waitConnections>
SYN/WAIT connections
Recuento actual de conexiones TCP que solo
recibieron el primer paquete de
reconocimiento de SYN. Este número debe
realizar el seguimiento con el valor
"Conexiones "actuales", por debajo del 50 por
ciento, dependiendo de la actividad del tráfico
de red. Si el valor lo excede constantemente
por un gran margen, puede haber un
problema con el tráfico del puerto span.
<TcpSyn_waitConnectionsMax>
SYN/WAIT connections max
La marca de límite superior para lo anterior.
<TcpTotalSyn_waitConnectionsAged>
Total SYN/WAIT connections aged
Muestra cuantas conexiones SYN/WAIT se
suprimen debido al envejecimiento.
<TcpTotalSyn_waitConnectionsDestroyed>
Total SYN/WAIT connections destroyed
Recuento de conexiones SYN/WAIT
destruidas debido a que se está alcanzando el
límite máximo. Esto sucede para dejar espacio
para que se creen nuevas conexiones. Si este
recuento aumenta rápidamente en un periodo
corto (5 minutos), puede estar indicando que
los límites máximos predeterminados se
establecieron demasiado bajos para el
volumen de tráfico de red capturado. Ajuste el
límite máximo en un valor más alto para
minimizar la pérdida. Un aumento rápido del
recuento también puede indicar un problema
con la infraestructura de red que no
proporciona tráfico de red relativamente
completo.
Capítulo 4. Configuración de CX PCA
159
Tabla 18. Sección TCP (continuación)
160
XML
Pantalla de consola
Descripción
<TcpTotalOutsyncSyn_waitConnections>
Total out-of-sync SYN/WAIT
connections
Recuento total de conexiones donde los
paquetes de reconocimiento SYN, SYN1 y
SYN2, están invertidos. Recibió el paquete
SYN del servidor al cliente antes que el
paquete SYN del cliente al servidor.
<TcpCurrentConnections>
Current connections
Recuento actual de conexiones de
reconocimiento SYN completadas (conexiones
establecidas).
<TcpCurrentConnectionsMax>
Current connections max
La marca de límite superior para lo anterior.
<TcpTotalCurrentConnectionsAged>
Total Current connections aged
Muestra cuántas conexiones actuales se
suprimen debido al envejecimiento.
<TcpTotalCurrentConnectionsDestroyed>
Total Current connections destroyed
Recuento de conexiones destruidas debido a
que se ha alcanzado el límite máximo. Esto
sucede para dejar espacio para que se creen
nuevas conexiones. Si este recuento aumenta
rápidamente en un periodo corto (5 minutos),
puede estar indicando que los límites
máximos predeterminados se establecieron
demasiado bajos para el volumen de tráfico
de red capturado. Ajuste el límite máximo en
un valor más alto para minimizar la pérdida.
Un aumento rápido del recuento también
puede indicar un problema con la
infraestructura de red que no proporciona
tráfico de red relativamente completo.
<TcpTotalConnectionsReaped>
Total Connections reaped
Conexiones por segundo que no pueden ser
descifradas porque falta una clave
<TcpTime_waitConnections>
TIME_WAIT connections
Recuento actual de conexiones en un estado
cerrado/en espera pero no cerrado, recibieron
los paquetes FIN.
<TcpTime_waitConnectionsMax>
TIME_WAIT connections max
La marca de límite superior para lo anterior.
<TcpTotalOooConnectionsDeleted>
Total out-of-order connections
deleted
Indica cuantas supresiones de conexiones
dañadas se han producido. El valor de cuenta
de esta estadística se restablece
automáticamente cuando supera los 5.000.000.
<TcpTotalOooConnections>
Total out-of-order connections
Indica cuántas conexiones de paquetes
dañados totales están sucediendo. Si este
número es alto o está por alcanzar el número
de "Conexiones totales", entonces la
infraestructura de red que proporciona el
tráfico a los puertos de Captura no se puede
limpiar, y algunas coincidencias no se pueden
reensamblar apropiadamente debido a que se
necesita una reordenación de paquetes
excesiva. Esto puede resultar en un uso
intensivo de la CPU para el proceso de
Captura.
<TcpTotalRolloverConnections>
Total rollover connections
Conexiones totales donde el número de
secuencia TCP se renueva a 0
<TcpTotalMissingPktConnections>
Total missing packet connections
Conexiones totales donde se detecta una
condición de paquete faltante
<TcpCurrentStreamingConnections>
Current streaming connections
Sin implementar o utilizar
<TcpTotalStreamingConnections>
Total streaming connections
Sin implementar o utilizar
<TcpTotalAckedButUnseenPackets>
Total ACKed but unseen packets
Un recuento de paquetes de reconocimiento
TCP que se recibieron pero que no tenían un
paquete de datos TCP correspondiente que se
reconoció para la conexión TCP.
<TcpTotalAckRollbacks>
Total ACK rollbacks
Un recuento de números de secuencia de
paquete de reconocimiento que son menos
que el número de secuencia de paquete de
reconocimiento en el reensamlador TCP.
<TcpAlienPacketsRcvd>
Alien packets rcvd
Un recuento de cualquier paquete TCP donde
no se pudo encontrar una conexión TCP
correspondiente en la tabla de reensamblador
TCP de conexiones TCP actualmente
conocidas. El recuento de paquetes extraños
debe medirse con respecto al valor Total
packets captured. Espere ver este recuento
por debajo del 10 por ciento.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 18. Sección TCP (continuación)
XML
Pantalla de consola
Descripción
<TcpTotalChecksumErrors>
Total checksum errors
Recuento de errores de suma de
comprobación de paquete TCP erróneo. Si está
obteniendo recuentos de error para este valor,
entonces la infraestructura de la red está
distribuyendo tráfico a la máquina host de
Captura pasiva con valores de suma de
comprobación de paquete erróneo.
Nota: Si está encontrando un gran número de
errores de suma de comprobación, el
problema puede ser provocado por diferentes
factores. Incluye la descarga de la suma de
comprobación que se realiza en el NIC. Para
verificar, debe ponerse en contacto con el
departamento de TI de la red para identificar
si está habilitada esta característica y de ser
así, inhabilitarla y después volver a
comprobar el valor de esta estadística.
<TcpErrors>
Errors
Sin implementar o utilizar.
<TcpErrorsperSec>
TCP Errors per Second
Sin implementar o utilizar.
<TcpTotalDuplicatePackets>
Total back-to-back duplicate packets
Indica cuántos paquetes duplicados
consecutivos se producen en el tráfico de
captura filtrado. Un número elevado indica
que los puertos span del conmutador de red
no están configurados correctamente y que
están proporcionando tráfico duplicado. En
este caso, la estadística se aproxima a la mitad
del valor especificado en el valor Total
packets rcvd. Mientras que los procesos de
Captura pueden manejar paquetes de tráfico
duplicado, es una utilización innecesaria que
puede afectar el rendimiento cuando el
sistema ya está cerca de su nivel máximo. Esto
también es un problema cuando el ancho de
banda disponible para los NIC de Captura es
desperdiciado innecesariamente.
v Consulte “¿Cómo maneja el PCA paquetes
TCP duplicados?” en la página 291.
Sección SSL
Tabla 19. Sección SSL
XML
Pantalla de consola
Descripción
<SslTotalTIs11Sessions>
Total TLS1.1 sessions
Este es un recuento total de
sesiones SSL que utilizan el
protocolo TLS1.1.
<SslTotalTIs11SessionsDecrypted>
Total TLS1.1 sessions
decrypted
Este es un recuento total de
sesiones SSL que utilizan el
protocolo TLS1.1 y que se han
descifrado correctamente.
SslTotalTls12Sessions
Total TLS1.2 sessions
Este es un recuento total de
sesiones SSL que utilizan el
protocolo TLS1.2.
SslTotalTls12SessionsDecrypted
Total TLS1.2 sessions
decrypted
Este es un recuento total de
sesiones SSL que utilizan el
protocolo TLS2.1 y que se han
descifrado correctamente.
<SslTotalNewHandshakes>
Total new handshakes
Este es un recuento de la nueva
sesión de reconocimiento SSL
que se ha producido. Nuevo
indica que la sesión de SSL no
se encontró en la tabla de la
memoria caché de la sesión de
SSL.
Capítulo 4. Configuración de CX PCA
161
Tabla 19. Sección SSL (continuación)
162
XML
Pantalla de consola
Descripción
<SslTotalResumedHandshakes>
Total resumed handshakes
Proporciona un total acumulado
de los reconocimientos
reanudados de SSL que se han
producido. Esta estadística
muestra que tan bien
aprovechan los sitios web el
rendimiento SSL mediante su
utilización. Si el recuento es
cero, esto indica que se está
realizando la transacción de los
nuevos reconocimientos de SSL
de sobrecarga alta en sitios que
pueden tener problemas de
rendimiento.
<SslRecordsRcvd>
Records rcvd
Este es un recuento de registros
de SSL capturados que podrían
abarcar varios paquetes.
<SslTotalHandshakes>
Total handshakes
Un recuento de sesiones de
reconocimiento SSL negociadas
correctamente. Este recuento
refleja el descifrado satisfactorio
del tráfico SSL.
<SslHangingConnections>
Hanging connections
Sin implementar o utilizar.
<SslCurrentConnections>
Current connections
Sin implementar o utilizar.
<SslHitCount>
Recuento de aciertos
Sin implementar o utilizar.
<SslCurrentHitsPerSec>
Current hits per second
Esta estadística es un indicador
importante del rendimiento y la
disponibilidad del sistema.
Muestra el número actual de la
tasa de aciertos por segundo de
SSL generados por los Procesos
de captura. El número esperado
de nuevos aciertos de SSL de
reconocimiento es
aproximadamente de 150, sin la
aceleración de hardware de SSL.
El descifrado SSL es una
operación intensiva de CPU que
utiliza mucha capacidad del
sistema de Captura. Estas
estadísticas se actualizan cada 5
segundos.
<SslMaxHitsPerSec>
Maximum hits per second
Muestra el número máximo de
la tasa de aciertos por segundo
de SSL generados por los
procesos de Captura.
<SslAvgHitsPerSec>
Average hits per second
Proporciona un promedio
dinámico del número de
aciertos por segundo de SSL en
proceso. Esta estadística
proporciona un indicador
general de operaciones SSL
durante un largo período de
ejecución en vez de solo un
índice instantáneo.
<SslNewHandshakesPerSec>
New handshake hits per second
Proporciona una instantánea de
la tasa de los reconocimientos
nuevos SSL que se están
produciendo.
<SslNewHandshakesPerSecMax>
Maximum new handshake hits
per second
Tasa máxima de
reconocimientos SSL nuevos por
segundo
<SslResumedHandshakesPerSec>
Resumed handshake hits per
second
Tasa máxima de
reconocimientos SSL reanudados
por segundo
<SslResumedHandshakesPerSecMax>
Maximum resumed handshake
hits per second
Tasa máxima de
reconocimientos SSL reanudados
por segundo
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 19. Sección SSL (continuación)
XML
Pantalla de consola
Descripción
<SslConnectionDataLen>
Connection data length
La longitud de datos promedio
en bytes de una conexión SSL
durante un período de 5
segundos (muestreo). Esta
estadística se utiliza para
calcular el promedio de
longitud de una coincidencia
SSL.
<SslHitDataLen>
Hit data length
El valor calculado del promedio
de la longitud de datos de
coincidencia de SSL en bytes.
<SslTotalNewSessionTicketSessions>
Total new SessionTicket
sessions
Este valor proporciona un
recuento de las sesiones SSL
nuevas utilizando la extensión
SessionTicket de TLS. Tanto el
cliente como el servidor deben
soportar la extensión para que
el recuento sea válido. Por
ejemplo, si un cliente solicita
utilizar la extensión
SessionTicket y el servidor la
rechaza debido a que no cuenta
con soporte, la sesión no se
cuenta.
<SslTotalResumedSessionTicketSessions>
Total resumed SessionTicket
sessions
Este valor es el recuento del
número de sesiones
SessionTicket de TLS que se
reanudaron después de ser
detenidas.
<SslTotalDecryptedSessionTicketSessions>
Total decrypted SessionTicket
sessions
Este valor es el recuento de
sesiones SSL nuevas y
reanudadas descifradas por la
PCA.
<SslTotalSessionTicketSessionCacheMisses>
Total SessionTicket session
cache misses
Este valor es el recuento de las
sesiones SSL reanudadas que la
PCA no puedo descifrar,
generalmente debido a que no
se pudo ver la sesión SSL nueva
inicial.
<SslTotalEphemeralRsaConnections>
Total ephemeral RSA
connections
Muestra el número de
conexiones SSL que utilizó
cifrado "transitorio", como el
cifrado RSA leve de 40 bits.
Estos normalmente son
utilizados por los navegadores a
nivel internacional que no
tienen permitido utilizar
navegadores de cifrado fuerte
de 128 bits.
Nota: El cifrado feromonal no
puede ser descifrado
posteriormente. También se
genera un mensaje de registro
cronológico de errores para
proporcionar información IP de
cliente.
Capítulo 4. Configuración de CX PCA
163
Tabla 19. Sección SSL (continuación)
XML
Pantalla de consola
Descripción
<SslTotalDhCipherConnections>
Total Diffie-Hellman cipher
connections
Cuenta el número de conexiones
SSL al utilizar el cifrado
Diffie-Hellman.
v Este cifrado efímero no puede
descifrarse posteriormente.
Solo puede ser iniciado por el
servidor Web, no por el
navegador del cliente. Un
recuento de un valor distinto
a cero indica que uno o más
servidores Web han
configurado las preferencias
de la suite de cifrado SSL
para utilizar este cifrado en
concreto.
v Para permitir el descifrado, el
servidor Web necesita
cambiar las preferencias de
cifrado SSL para eliminar este
cifrado y reemplazarlo con
otro, como el cifrado RSA
AES de 256 bits.
164
<SslTotalNullCipherConnections>
Total Null Cipher Connections
Recuento de conexiones SSL que
no contienen un cifrado.
<SslTotalHsmKeysLoaded>
Total HSM keys loaded
Notifica el número de claves
SSL cargadas desde el almacén
de claves HSM Sun por la PCA
al inicio de cada instancia PCA.
<SslMissingKeys>
Missing keys
Recuento de claves SSL
utilizadas que no cuentan con
un archivo pem de clave SSL
correspondiente.
<SslMissingKeysPerSec>
Missing keys per second
Conexiones por segundo que no
pueden ser descifradas porque
falta una clave
<SslTotalBadHandshakeSeqErrors>
Total Bad Handshake Sequence
Errors
Sin implementar o utilizar.
<SslTotalUnknownCipherErrors>
Total Unknown Cipher Errors
Sin implementar o utilizar.
<SslErrors>
Errors
Sin implementar o utilizar.
<SslTotalSessionCacheMisses>
Total session cache misses
Cuando un registro de sesión
SSL llega para ser descifrado, se
comprueba para ver si la
información de cifrado
descifrado para esa sesión se
encuentra en la memoria caché.
Si no, se cuenta como una falta
de memoria caché.
Dado que se trata de un
Registro, se asume que ocurrió
el reconocimiento SSL y que la
información de cifrado
descifrado se encuentra en la
memoria caché. Esto puede
suceder si se reinició la Captura
pasiva y comenzó a capturar
sesiones SSL en curso o excedió
el valor predeterminado de
10.000 entradas de memoria
caché de sesión SSL simultáneas
y las entradas de LRU se
suprimieron.
<SslSessionCacheMissesPerSec>
Session cache misses per
second
Índice de desaciertos de la
memoria caché de sesión por
segundo.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 19. Sección SSL (continuación)
XML
Pantalla de consola
Descripción
<SslOldestSessionCacheEntry>
Oldest session cache entry
Proporciona la entrada de
memoria caché SSL residente
más antigua en minutos a partir
de la hora actual. Esta
estadística es útil para detectar
si hay suficientes entradas de la
memoria caché al dimensionar
su tabla para que pueda
manejar un sitio de gran
volumen con el mínimo de
impacto en el rendimiento.
SslHitCount>
SSL hit count
Recuento de coincidencias SSL.
<SslTotalCaptureType1>
SSL Total Capture Type 1
Recuento captura tipo 1 de
aciertos ssl (páginas).
<SslPageViewPct>
Percent of ssl page views to
page views
El porcentaje de vistas de
página sobre SSL.
Sección de coincidencias
Tabla 20. Sección de coincidencias
XML
Pantalla de consola
Descripción
<HitsCaptured>
Captured
Recuento de hits donde el
analizador HTTP pudo
realizar un hit completo de
solicitud y respuesta.
<HitsCapturedPerSec>
Captured before
hit processing per
second
Proporcionar índice actual de
hits capturados (superior).
Esta estadística proporciona
un indicador del número de
hits antes del proceso de hits,
rechazo, etc.
<HitsRejectedResponse>
Rejected response
Sin implementar o utilizar.
<HitsRejectedResponseBody>
Rejected response
body
Sin implementar o utilizar.
<HitsRejectedHits>
Rejected hits
En el tipo de modalidad de
captura de Tealeaf
BusinessIT, el recuento de
hits con respuestas
rechazadas en los que la
extensión de URL coincide
con la lista de exclusiones de
extensiones. El hit está aún
formado y entregado pero
falta la respuesta, es decir,
solo el registro de solicitud.
Por ejemplo, extensiones
URL excluidas, GIF, BMP,
CSS, JS, etc.
<HitsUndeliveredHitsWhilePassive>
Undelivered hits
while passive
Muestra los hits descartados
mientras la captura pasiva en
nodo pasivo.
<HitsCurrentNonSslHitsPerSec>
Current non-SSL
hits per second
Proporcione índices actuales
de hits no SSL que se
procesan por segundo. Esta
estadística proporciona un
indicador de la cantidad de
hits procesados que no son
SSL descifrados mediante la
captura pasiva. Algunos
sitios pueden tener todos los
tráficos SSL terminados antes
de que los reciba la captura
pasiva.
Capítulo 4. Configuración de CX PCA
165
Tabla 20. Sección de coincidencias (continuación)
166
XML
Pantalla de consola
Descripción
<HitsMaxNonSslHitsPerSec>
Maximum non-SSL
hits per second
Proporcione los índices
máximos de hits no SSL que
se procesan por segundo.
Esta estadística proporciona
un indicador de la cantidad
de hits procesados que no
son SSL descifrados mediante
la captura pasiva. Algunos
sitios pueden tener todos los
tráficos SSL terminados antes
de que los reciba la captura
pasiva.
<HitsAvgNonSslHitsPerSec>
Average non-SSL
hits per second
Proporciona tipos medios de
hits no SSL que se procesan
por segundo. Esta estadística
proporciona un indicador de
la cantidad de hits
procesados que no son SSL
descifrados mediante la
captura pasiva. Algunos
sitios pueden tener todos los
tráficos SSL terminados antes
de que los reciba la captura
pasiva.
<HitsCurrentToDeliveryHitspersec>
Current to
delivery hits per
second
Proporcione las tasas actuales
de hits enviados al sistema
de entrega de la captura
pasiva. El sistema de entrega
puede saturarse debido a
varios problemas de socket
de red, tal como la saturación
de la banda ancha de NIC,
que puede producir que se
descarten aciertos.
<HitsMaxToDeliveryHitspersec>
Maximum to
delivery hits per
second
Proporcione las tasas
máximas de hits enviados al
sistema de entrega de la
captura pasiva. El sistema de
entrega puede saturarse
debido a varios problemas de
socket de red, tal como la
saturación de la banda ancha
de NIC, que puede producir
que se descarten aciertos.
<HitsTotalCaptureType1>
Total Capture Type
1 Hits
Recuentos de hits de captura
tipo 1 que se han capturado.
<HitsTotalCaptureType2>
Total Capture Type
2 Hits
Recuentos de hits de captura
tipo 2 que se han capturado.
<HitsTotalCaptureType3>
Total Capture Type
3 Hits
Recuentos de hits de captura
tipo 3 que se han capturado.
<HitsTotalCaptureTypeOther>
Total Capture Type
Other Hits
Recuentos de hits de tipo de
captura no identificada que
se han capturado.
<HitsTotalLargeHits>
Total Hits
Identified as Too
Large
Recuentos de hits que se han
identificado como demasiado
grandes para capturar.
<HitsTotalStreamingHits>
Total Streaming
Hits
Recuentos de hits totales de
modalidad continua que se
han capturado.
<HitsTotalNonHttpTypeErrors>
Total non-Http
type errors
Cuenta el número de hits
que no tienen la serie de
protocolo "HTTP" en su
cabecera. El hit se descarta
cuando esto se produce.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 20. Sección de coincidencias (continuación)
XML
Pantalla de consola
Descripción
<HitsTotalBogusHttpErrors>
Total invalid HTTP
errors
Recuento de hits que no
siguen los requisitos de
formato de protocolo HTTP
específicos para las
cabeceras, tales como la
pérdida de caracteres,
caracteres CR o LF extraños,
etc. El hit se descarta cuando
sucede esto.
<HitsTotalClientSpeaksFirstErrors>
Total responses
before requests
errors
Indica que un hit HTTP se
ha vuelto a ensamblar con
una respuesta antes de una
solicitud.
<HitsTotalMoreRespThanReqErrors>
Total more
responses than
requests errors
Indica en una conexión TCP
donde se han formado varios
hits que habían más
respuestas que solicitudes.
Esto significa que no había
suficientes solicitudes que
coincidieran con las
respuestas. Después de que
se detecta esta condición en
una conexión TCP, se
descartan los siguientes hits.
<HitsTotalUnansweredReqErrors>
Total unanswered
requests errors
Indica en una conexión TCP
que faltaban respuestas para
un número de solicitudes
presentes para varios hits.
<HitsTotalUnfinishedReqErrors>
Total unfinished
request errors
Recuento total de solicitudes
HTTP que han finalizado
antes del tamaño notificado
indicado. Estos errores se
pueden producir si la
cabecera de solicitud para la
longitud de contenido se ha
calculado incorrectamente
para los datos de cuerpo de
solicitud actual. Por ejemplo,
la longitud establecida es
mayor que los datos reales.
Nota: Esta estadística está
disponible en PCA Build
3500 o posterior.
<HitsTotalUnfinishedRespErrors>
Total unfinished
response errors
Recuento total de respuestas
HTTP que han finalizado
antes del tamaño notificado
indicado. Estos errores se
pueden producir si la
cabecera de respuesta para la
longitud de contenido se ha
calculado incorrectamente
para los datos de respuestas
reales. Por ejemplo, la
longitud establecida es
mayor que los datos reales.
<HitsTotalRespTimerExpiredErrors>
Total response
timer expired
errors
Indica en una conexión TCP
que una respuesta no se ha
producido después de una
solicitud en este valor de
configuración del tiempo de
espera de trasmisión de TCP.
El valor predeterminado es
120 segundos.
<HitsTotalXmitTimerExpiredErrors>
Total packet
transmission timer
expired errors
Indica en una conexión TCP
que los paquetes se deben
producir en este valor de
configuración de tiempo de
espera de trasmisión de TCP.
El valor predeterminado es
120 segundos.
Capítulo 4. Configuración de CX PCA
167
Tabla 20. Sección de coincidencias (continuación)
168
XML
Pantalla de consola
Descripción
<HitsTotalTlapiReparseRespNullErrors>
Total TLAPI
invalid response
errors
Cuenta hits en TLapi donde
no está presente ninguna
respuesta.
<HitsTotalTlapiReqStartExtraBytes>
Total TLAPI
request start
extra bytes
Marca hits en TLapi que
tienen caracteres extraños
CR, LF, o null al inicio de la
solicitud. Esto es solo un
recuento de condición de
aviso. Aunque no conforme,
los caracteres adicionales se
ignoran y la comprobación
continúa si el resto de la
solicitud es válida.
<HitsTotalTlapiInvalidReqErrors>
Total TLAPI
invalid request
errors
Cuenta los hits en TLapi
donde no está presente la
solicitud. El hit se descarta
cuando esto se produce.
<HitsTotalTlapiReqCorruptErrors>
Total TLAPI
request corrupt
errors
Cuenta los hits en TLapi si la
solicitud finaliza de forma
imprevista. Normalmente,
puede haber algunos
caracteres extraños que se
quitan sin dejar nada para
una solicitud. O si después
de un método de solicitud,
GET, POST, etc., nada sigue
en la línea. El hit se descarta
cuando esto se produce.
<HitsTotalTlapiReparseRespCorruptErrors>
Total TLAPI
response corrupt
errors
Cuenta hits en TLapi que se
han encontrado sin que haya
una respuesta. Esto se puede
producir cuando una
conexión TCP se cierra de
forma inesperada antes de
que se capture una respuesta
de hit. El hit incompleto
todavía se envía a TLapi
para confirmar si existe o no
un hit completo.
<HitsTotalInflateRequestCandidates>
Total candidates
for inflate
request
Número total de hits con un
cuerpo de solicitud
comprimido (datos POST)
donde se intenta la
descompresión.
<HitsTotalInflateRequestsCompleted>
Total requests
inflated
Número total de hits donde
un cuerpo de solicitud
comprimido se descomprime
satisfactoriamente.
<HitsTotalInflateRequestsFailed>
Total failed
attempts to
inflate the
request
Número total de hits donde
falla la descompresión de un
cuerpo de solicitud
comprimido.
<HitsTotalInflateResponseCandidates>
Total candidates
for inflate
response
Número total de hits con una
respuesta comprimida donde
se intenta una
descompresión.
<HitsTotalInflateResponsesCompleted>
Total responses
inflated
Número total de hits donde
una respuesta comprimida se
descomprime
satisfactoriamente.
<HitsTotalInflateResponsesFailed>
Total failed
attempts to
inflate the
response
Número tota de hits donde
falla la descompresión de
una respuesta comprimida.
<HitsTotalDeflateResponseCandidates
Total candidates
for deflate
response
Total de candidatos para
aplanar respuesta
<HitsTotalDeflateResponsesCompleted>
Total responses
deflated
Total de respuestas
aplanadas
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 20. Sección de coincidencias (continuación)
XML
Pantalla de consola
Descripción
<HitsTotalDeflateResponsesFailed>
Total failed
attempts to
deflate the
response
Total de intentos fallidos
para aplanar la respuesta
<HitsTotalDroppedBusinessModeExtension>
Total dropped due
to business mode
and extension
Total descartado debido a la
modalidad y extensión del
negocio
<HitsTotalDroppedBusinessModeResponse>
Total dropped due
to business mode
and response
Total descartado debido a
modalidad y respuesta de
negocio
<HitsTotalDroppedByDelimagesFeature>
Total dropped due
to businessIT mode
and DelImages
feature set
Total de hits de imagen que
cumplen los criterios
especificados descartados
debido a que DelImages se
ha habilitado en PCA
v Consulte “Valores de la
interconexión” en la
página 119.
<HitsTotalDroppedInvalidMethod>
Total dropped due
to invalid HTTP
method
Total de hits descartados
debido a un método http no
válido
<HitsTotalDroppedByParseRequest>
Total dropped due
to HTTP request
parsing errors
Total de hits descartados por
la función parserequest
<HitsTotalDroppedByParseResponse>
Total dropped due
to HTTP response
parsing errors
Total de hits descartados por
la función de respuesta de
análisis
<HitsTotalDroppedByPrivacy>
Total dropped by
privacy rules
Total de coincidencias
descartadas por privacidad
<HitsTotalDroppedBySampling>
Total dropped by
sampling
Total de coincidencias
descartadas por muestreo
Capítulo 4. Configuración de CX PCA
169
Tabla 20. Sección de coincidencias (continuación)
XML
Pantalla de consola
Descripción
<HitsTotalDroppedHitArrivedTooLate>
Total dropped
because hit
arrived too late
Total descartado porque la
coincidencia llegó demasiado
tarde
v Si la diferencia entre la
indicación de fecha y hora
del primer paquete de
solicitud y la indicación de
fecha y hora de llegada
cuando la totalidad de la
coincidencia se envía al
conducto PCA, es más de
una hora, entonces la
coincidencia se marca
como "demasiado tarde"
para el proceso normal. El
PCA descarta estas
coincidencias del proceso
posterior.
– El límite de una hora
está codificado y no se
puede modificar.
– Todas las coincidencias
que entran al conducto
PCA tienen una
indicación de fecha y
hora de llegada
(TLapiArrivalTimeEx)
inserta en el registro de
solicitud en la sección
[timestamp].
v Los retrasos en la llegada
de la coincidencia
completa en el conducto
de PCA los pueden
originar diferentes
problemas, la mayoría de
los cuales se originan fuera
del PCA.
170
<HitsTotalDroppedMaxDataSize>
Total dropped
because hit
exceeds max data
size
Total de coincidencias
descartados debido a que la
coincidencia excede el
tamaño máximo
<HitsTotalDroppedReqHeaderExceedsMaxReqSize>
Total dropped due
to HTTP request
hdr too large
Total de coincidencias
descartadas debido a que la
cabecera de solicitud excede
el tamaño máximo
<HitsTotalDroppedTcldHitError>
Total dropped tcld
hits error
Total de coincidencias
descartadas por el proceso
tcld debido a alguna
condición de error
Nota: Este elemento está
disponible en PAC Build
3403 o posterior.
<HitsAssembledHitsProcessedPerSecAvg>
Average assembled
hits processed per
second
Número promedio de
coincidencias procesadas por
segundo
<HitsAssembledHitsProcessedPerSecCurrent>
Current assembled
hits processed per
second
Número actual de
coincidencias procesadas por
segundo
<HitsAssembledHitsProcessedPerSecMax>
Maximum assembled
hits processed per
second
Número máximo de
coincidencias procesadas por
segundo
<HitsAssembledHitQueueBlocksUsedAvg>
Average
assembled-hit
queue blocks used
Promedio de bloques de cola
de coincidencias de
ensamblado utilizadas
<HitsAssembledHitQueueBlocksUsedCurrent>
Current
assembled-hit
queue blocks used
Bloques actuales de cola de
coincidencias de ensamblado
utilizados
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 20. Sección de coincidencias (continuación)
XML
Pantalla de consola
Descripción
<HitsAssembledHitQueueBlocksUsedMax>
Maximum
assembled-hit
queue blocks used
Máximo de bloques de cola
de coincidencias de
ensamblado utilizados
<HitsAssembledHitQueueCurrentBlocksUsedPct>
Current
assembled-hit
queue blocks used
percent
Porcentaje de bloques de cola
de coincidencias de
ensamblado utilizados
<HitsAssembledHitQueueCurrentEntriesUsedPct>
Current
assembled-hit
queue entries used
percent
Porcentaje de entradas de
cola de coincidencias de
ensamblado actuales
utilizadas
<HitsAssembledHitQueueEntriesUsedAvg>
Average
assembled-hit
queue entries used
Promedio de entradas de
cola de coincidencias de
ensamblado utilizadas
<HitsAssembledHitQueueEntriesUsedCurrent>
Current
assembled-hit
queue entries used
Entradas de cola de
coincidencias de ensamblado
actuales utilizadas
<HitsAssembledHitQueueEntriesUsedMax>
Maximum
assembled-hit
queue entries used
Máximo de entradas de cola
de coincidencias de
ensamblado utilizadas
<HitsAssembledHitQueueTotalAllocation
Failures>
Total
assembled-hit
queue allocation
failures
Total de fallas de
asignaciones de cola de
coincidencias de ensamblado
<HitsAssembledHitQueueTotalMisses>
Total
assembled-hit
queue misses
Total de faltas de colas de
coincidencias de ensamblado
<HitsAssembledHitQueueTotalPushFailures>
Total
assembled-hit
queue push
failures
Total de fallas de envíos de
colas de coincidencias de
ensamblado
<HitsAssembledHitQueue2TotalAllocationFailures>
Total
assembled-hit
queue2 allocation
failures
Recuento total de
coincidencias a las que no se
pudo asignar espacio en la
cola entre el o los conductos
y el proceso tcld. Los valores
normales son cero o un
recuento de no incremento.
Puede utilizar la métrica para
determinar si el proceso tcld
se ha sobrecargado.
v Esta estadística se
visualiza como el valor If
non-zero, hits are being
lost due to pipelined
being overloaded en el
separador Resumen.
Consulte “Consola Web de
PCA - Pestaña Resumen”
en la página 76.
v Disponible en PCA Build
3403 o posterior.
v Esta estadística se
visualiza como el valor If
non-zero, hits are being
lost due to pipelined
being overloaded en el
separador Resumen.
Consulte “Consola Web de
PCA - Pestaña Resumen”
en la página 76.
Capítulo 4. Configuración de CX PCA
171
Tabla 20. Sección de coincidencias (continuación)
XML
Pantalla de consola
Descripción
<HitsAssembledHitQueue2TotalPushFailures>
Total
assembled-hit
queue 2 push
failures
Recuento total de
coincidencias que no han
podido hacer cola en la cola
entre el o los conductos y el
proceso tcld. Los valores
normales son cero o un
recuento de no incremento.
Puede utilizar esta métrica
para determinar si el proceso
tcld se ha sobrecargado.
Nota: Este elemento está
disponible en PAC Build
3403 o posterior.
<AveragePageSize>
Average page size
Tamaño promedio de página
(captura tipo 1) en bytes.
<TotalPageSize>
Total page size
Se utiliza para calcular vistas
de páginas por segundo
<PageViewsPerSecMax>
Max page views per
second
Máximo de vistas de páginas
por segundo.
<PageViewsPerSecCur>
Current page views
per second
Vistas de página actuales por
segundo.
<PageViewsPerSecAvg>
Average page views
per second
Promedio de vistas de página
por segundo.
<PageViewPct>
Page view
percentage of hits
El porcentaje de
coincidencias que forman
parte de las vistas de
páginas.
<HitsTotalTlapiReqNullErrors>
Total TLAPI
request null
errors
Total de errores null de
solicitudes de TLAPI
<HitsTotalTlapiRespCorruptErrors>
Total TLAPI
response corrupt
errors
Total de errores corrompidos
de respuestas de TLAPI
<HitsTotalTlapiRespNullErrors>
Total TLAPI
response null
errors
Total de errores null de
respuestas de TLAPI
Sección Capturar
Tabla 21. Sección Capturar
172
XML
Pantalla de consola
Descripción
<CaptureBytesWrittenByListener>
Bytes written by
listener
Número total de bytes de paquete grabados en
el programa de sincronización reassd's
mediante listend.
<CaptureBytesWrittenByListenerPerSec>
Bytes written by
listener per second
Tasa de bytes de paquete grabados en el
programa de sincronización reassd's mediante
listend por segundo.
<CaptureBytesReadFromListener>
Bytes read from
listener
Número total de bytes de paquete leídos por
reassd desde el programa de sincronización
reassd's. Este número debe coincidir con lo
escrito más arriba por el valor de escucha, que
indica que listend y reassd están sincronizados
y que mantienen la tasa de tráfico entrante.
<CaptureBytesReadFromListenerPerSec>
Bytes read from
listener per second
Tasa de bytes de paquete leídos por reassd
desde el programa de sincronización reassd's
por segundo.
<CaptureFilteredKbytesFromPrimaryInterface>
Current filtered KB
from primary
interface
Total de kbytes filtrados desde la interfaz
primaria
<CaptureFilteredKbytesFromPrimaryInterfacePerSec>
Current filtered
KB/sec from primary
interface
Kbytes/seg actuales filtrados desde la interfaz
primaria
<CaptureFilteredKbytesFromPrimaryInterfacePerSecMax>
Maximum filtered
KB/sec from primary
interface
Máximo de kbytes/sec filtrados desde la
interfaz primaria
<CaptureFilteredKbytesFromSecondaryInterface>
Current filtered KB
from secondary
interface
Total de kbytes filtrados desde la interfaz
secundaria
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 21. Sección Capturar (continuación)
XML
Pantalla de consola
Descripción
<CaptureFilteredKbytesFromSecondaryInterfacePerSec>
Current filtered
KB/sec from secondary
interface
Kbytes/seg. actuales filtrados desde la interfaz
secundaria
<CaptureFilteredKbytesFromSecondaryInterfacePerSecMax>
Maximum filtered
KB/sec from secondary
interface
Máximo de kbytes/sec filtrados desde la
interfaz secundaria
<CaptureTotalPacketsRcvd>
Total packets rcvd
Recuento de paquete total recibido por pcap
como lo notifican sus estadísticas.
<CapturePacketsDroppedByPcap>
Total packets dropped
by pcap
Recuento de paquetes totales descartados por
pcap como lo notifican sus estadísticas. Este
valor debe ser cero, que indica que el SO
mantiene el tráfico de red de recepción de
interfaz NIC.
<CapturePacketsDroppedInOutput>
Packets dropped in
output
Total de paquetes descartados por listend
debido a que su almacenamiento intermedio
de salida está lleno. Este valor debe ser cero,
que indica que listend mantiene el tráfico de
red filtrado y que reassd puede extraer
paquetes desde el almacenamiento intermedio
de salida listend sin desbordarlo.
<CaptureTotalPacketsCaptured>
Total packets
captured
Recuento de paquetes totales en paquetes
filtrados recibidos desde pcap a listend.
<CaptureTotalPacketsCapturedPerSec>
Total packets
captured per second
Tasa de paquetes filtrados recibidos desde
pcap por listend por segundo.
<CaptureTotalIpChecksumErrors>
Total IP checksum
errors
Recuento de errores totales de errores de suma
de comprobación de cabecera de IP.
<CaptureTotalLargePacketsExceeded>
Total large packets
exceeded
Número total de paquetes TCP cuyo tamaño
ha superado el límite configurado.
v El límite de tamaño de paquete TCP se
configura en la sección Parámetros de ajuste
de la pestaña Interfaz. Consulte “Consola
Web de PCA - Pestaña Interfaz” en la
página 90.
<CaptureCurrentFilteredKbytesPerSec>
Current filtered
kbytes per second
Muestra la tasa de tráfico de kilobytes por
segundo actual basada en el tráfico de captura
filtrado desde los puertos de extensión. Esta
estadística proporciona una indicación de
cualquier tráfico después de que está presente
el filtrado y de cuánto tráfico está siendo
procesado por los procesos de captura. Si el
valor de NIC del puerto de extensión es 100
mbits por segundo, la tasa máxima de tráfico
que puede filtrarse es de aproximadamente
10.000 KB por segundo. Estas estadísticas se
actualizan cada 5 segundos.
<CaptureMaxFilteredKbytesPerSec>
Maximum filtered
kbytes per second
Muestra la tasa de tráfico de kilobytes por
segundo máxima basada en el tráfico de
captura filtrado desde los puertos de
extensión. Esta estadística proporciona una
indicación de cualquier tráfico después de que
está presente el filtrado y de cuánto tráfico
está siendo procesado por los procesos de
captura. Si el valor de NIC del puerto de
extensión es 100 mbits por segundo, la tasa
máxima de tráfico que puede filtrarse es de
aproximadamente 10.000 KB por segundo.
Estas estadísticas se actualizan cada 5
segundos.
<DeliveryMode>
Delivery Mode
Modalidad de entrega actual
<CoreDumps Count="0" /?>
no disponible
Número de volcados del núcleo
Sección destinatarios de destino
Tabla 22. Sección destinatarios de destino
XML
Pantalla de consola
Descripción
<TotalHitsQueued>
Total hits queued
Recuento total de coincidencias en
cola para la entrega al servidor IBM
Tealeaf CX.
Capítulo 4. Configuración de CX PCA
173
Tabla 22. Sección destinatarios de destino (continuación)
XML
Pantalla de consola
Descripción
<TotalHitsDelivered>
Total hits delivered
Recuento total de coincidencias
entregadas al servidor de IBM
Tealeaf CX. Este número debería
coincidir con la cantidad de aciertos
en cola, para indicar que la entrega
de aciertos marcha al mismo ritmo.
<TotalBytesDelivered>
Total bytes delivered
El número total de bytes enviados
correctamente al servicio de
transporte Tealeaf de destino.
<TotalHitsDropped>
Total hits dropped
El número total de coincidencias
descartadas debido a que la cola de
entrega por destinatario está llena,
lo cual se produce cuando la
captura pasiva no puede entregar
coincidencias al servicio de
transporte de Tealeaf de destino.
Estas anomalías pueden deberse a
errores de red, tales como, la
configuración de la red en la
captura pasiva o en la máquina del
destinatario, o a otras condiciones
relacionadas con el software, tal
como cuando el servicio de
transporte Tealeaf no se está
ejecutando durante un largo
periodo de tiempo. Las
coincidencias que indica este valor
no se han enviado al servicio de
transporte de Tealeaf.
<UseSslText>
Use SSL
El estado de conexión de entrega ya
sea SSL o no.
v Yes - la conexión de entrega está
utilizando una conexión SSL
v No - la conexión de entrega no es
SSL
Sección de migración tras error
Tabla 23. Sección de migración tras error
174
XML
Pantalla de consola
Descripción
<FailoverNodeRole>
Node role
Maestro o esclavo.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 23. Sección de migración tras error (continuación)
XML
Pantalla de consola
Descripción
<FailoverNodeState>
Node state
El estado del nodo está
actualmente en.
v Active - Tiene control y
está capturando hits y
enviándolos en sentido
descendente.
v Ready - Capturando pero
no enviando hits. Está
listo para asumir el
control cuando sea
necesario.
v Down - No puede asumir
el control.
<FailoverCaptureState>
Identifica si los servicios de
captura se están ejecutando
en el nodo.
Capture state
v Running - Indica que los
servicios de captura se
están ejecutando.
v Stopped - Los servicios de
captura no están
ejecutando cuando se
detiene el estado.
v Restarting - Indica que
los servicios de captura
están en proceso de
reinicio.
<FailoverActive>
Indica que ha tenido lugar
una migración tras error y
el nodo esclavo actualmente
tiene el control.
Failover active
Consola web de PCA - Pestaña de copia de
seguridad-registros
A través de la pestaña Copias de seguridad/Registros, puede llevar a cabo
modificaciones de configuración, gestionar registros y habilitar el archivado de
datos de paquetes en bruto capturados por el PCA. Cuando guarda cambios en un
archivo de configuración, se graba una copia del anterior en un archivo de copia
de seguridad. Se muestra un mensaje de error en el caso de que la copia no se
haya completado correctamente.
Archivo de configuración de captura
Capítulo 4. Configuración de CX PCA
175
La sección Archivo de configuración de captura proporciona una forma de editar el
archivo de configuración (ctc-conf.xml) a través de la interfaz web en lugar de
utilizando un editor de texto. Los usuarios pueden restaurar, descargar el archivo
actual o cargar un archivo de configuración nuevo pulsando los botones
correspondientes en la sección Archivo de configuración de captura de la página.
Archivo de configuración de privacidad
Esta sección habilita la edición directa del archivo privacy.cfg, que se utiliza para
especificar las reglas, pruebas y acciones para convertir los datos sensibles en
privados antes de que los procese Tealeaf. Puede revisar versiones anteriores del
archivo, así como cargar versiones nuevas para que el PCA las utilice.
Esta versión del archivo privacy.cfg es una copia de la versión utilizada por el
agente de sesión de interconexión de Windows. Para obtener más información
sobre su contenido y formato, consulte la sección "Agente de sesión de privacidad
ampliado" en la publicación IBM Tealeaf CX Manual de configuración.
Para obtener más información sobre la forma en que Tealeaf gestiona la privacidad,
consulte "Gestión de privacidad de datos" en la publicación IBM Tealeaf CX Manual
de configuración.
Registros
Puede acceder a los siguientes registros de PCA a través de la pestaña Copia de
seguridad/Registros:
v Registro de capturas
v Registro de accesos
v Registro de solicitudes SSL
v Registro de errores
v Registro de cambios de configuración
v Registros de mantenimiento
176
IBM Tealeaf CX Passive Capture Application: Manual de PCA
En la parte inferior de la sección Registros, también puede acceder y descargar los
siguientes tipos de archivos:
v Archivos de registro de captura
v Archivos de configuración
v Archivos de registro de la consola
Registro de archivados
En la sección Registro de archivados, puede habilitar el registro de archivados, que
suministra paquetes capturados en bruto que se han reenviado a PCA Server en el
directorio especificado.
Nota: Esta característica está pensada para fines de depuración. Habilítela sólo si
detecta problemas con la funcionalidad de captura básica.
Tabla 24. Configuración de archivado
Valor
Descripción
Directory
Si este campo se deja en blanco, toma el valor
predeterminado de /usr/local/ctccap/archive. Las
etiquetas <RecordingDirectory> y </RecordingDirectory>
se eliminan de ctc-conf.xml.
Max archive size
Especifica el tamaño máximo acumulativo de los
archivos de archivado tcpdump. El valor predeterminado
es de 500 MB. Cuando el uso de disco alcanza este valor,
se eliminan los archivos de archivado anteriores para
dejar espacio para los nuevos.
Para habilitar el registro de archivados, pulse Archivado.
Consola Web de PCA - Pestaña de Migración tras error
En la pestaña de Migración tras error, puede habilitar y configurar la migración
tras error entre varios servidores de IBM Tealeaf CX Passive Capture Application.
v Cuando está habilitada, la migración por error de la PCA se gestiona mediante
el proceso de migración tras error en la IBM Tealeaf CX Passive Capture
Application.
v Para obtener más información sobre la resolución de problemas de migración
tras error de PCA, consulte "Resolución de problemas - Captura" en la
publicación IBM Tealeaf: Guía de resolución de problemas.
Capítulo 4. Configuración de CX PCA
177
Pulsación
Figura 34. Pulsación de migración tras error
El subordinado comprueba el estado del maestro al enviar pulsaciones al maestro.
Técnicamente estas controles sanitarios son solicitudes al maestro por su estado
actual.
La pulsación es una solicitud que se envía a través de un socket UDP. Cuando el
Maestro ve la pulsación, responde al emisor con su estado actual. El maestro
también envía pulsaciones a la máquina de host de captura pasiva para realizar un
seguimiento de su estado para determinar si puede realizar una migración tras
error al subordinado.
Valor
Descripción
Intervalo de pulsaciones
Cuánto tiempo se debe esperar entre pulsaciones
Tiempo de espera de pulsaciones
La cantidad de captura pasiva de tiempo espera una respuesta de una
pulsación antes de llamar a un tiempo de espera excedido
Límite de tiempo de espera excedido
El número de tiempo de espera excedido de pulsaciones consecutivas que
está permitido antes de que se deba realizar una migración tras error
Valores automáticos
Valor
Descripción
Auto Failback
Esta opción pasa el control (estado activo) desde la máquina de host Slave
Passive Capture (Captura pasiva esclava) a la máquina de host Master
Passive Capture (Captura pasiva maestra) una vez que la máquina maestra
indica que está pronta para volver a tomar el control.
Failover on SVC Restart
Esta opción determina si se desencadena una migración tras error cuando
se reinician los servicios de captura en el servidor PCA activo.
Failback Delay
El número mínimo de segundos a esperar antes de realizar la migración
tras error automática
178
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Supervisores remotos
En la configuración del Supervisor remoto, puede especificar una lista de
servidores autorizados con permiso de acceso a la PCA para supervisar
información de estado de migración tras error, controlar la modalidad de
migración tras error control o ambas.
Figura 35. Supervisores remotos
Un Supervisor remoto es un sistema Linux que se identifica por nombre de host o
dirección IP al que se permite recibir información de estado de migración tras error
y/o controlar una máquina host Captura pasiva configurada para la migración tras
error.
Nota: Esta estación de trabajo remota no debe ser un servidor PCA.
Un Supervisor remoto también puede opcionalmente tener permiso para controlar
la migración tras error en una máquina host de Captura pasiva, incluyendo forzar
la migración tras error y el restablecimiento. Una IBM Tealeaf CX Passive Capture
Application configurada para migración tras error responde a pulsaciones o
solicitudes de control de una máquina que esté correctamente configurada como
un Supervisor remoto.
v Después de que un host reciba autorización, el programa de utilidad failstat
instalado en el host puede utilizarse para ayudar a depurar problemas de
migración tras error.
Consola Web de PCA - Pestaña de Programas de utilidad
La pestaña Programas de utilidad proporciona acceso a la información de
diagnóstico del sistema operativo, lo cual resulta útil si no tiene acceso a PUTTY.
Cuando se pulsa un botón de mandato, se genera la salida y se visualiza en la
pantalla.
v Cuando se habilita la modalidad detallada, se puede incluir información
adicional en la salida generada.
Interfaces de red
La sección de interfaces de red de la pestaña de programas de utilidad muestra las
interfaces de red, distintivos, estado y direcciones IP.
Capítulo 4. Configuración de CX PCA
179
Figura 36. Consola web - Pestaña programas de utilidad - Interfaces de red
Esta sección lista todas las interfaces de red importantes que se incluyen en la
interfaz primaria y secundaria y en la interfaz LAN que se utiliza para conectarse
al servicio de transporte de Tealeaf en el servidor de IBM Tealeaf CX.
v En compilaciones anteriores, esta sección se mostraba en la pestaña Resumen o
en la pestaña Entrega.
Esta sección también visualiza información sobre los NIC, tales como soportes
admitidos y estadística de paquete.
v Para revelar estas estadísticas, pulse (detalles junto al nombre de interfaz.
Consulte “Página de detalles”.
Valor
Descripción
Interfaz
Identificador de interfaz
Distintivos
Aquí se listan todas las cuestiones específicas.
v up indica el que la interfaz está funcionando correctamente.
Estado Estado como informado desde la interfaz.
Dirección IP
Dirección IP para la interfaz
Página de detalles
En la página Detalles, puede ejecutar mandatos de Tealeaf y de la línea de
mandatos de Linux en interfaces individuales para recuperar la información de
diagnóstico.
Nota: En función de la interfaz y de su carga de tráfico, estos mandatos pueden
necesitar algún tiempo para ejecutarse.
180
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Figura 37. Pestaña Utilidades - página de detalles
En la imagen anterior, puede ver los resultados de un mandato Ifconfig. Para
ejecutar uno de los mandatos disponibles de Linux, pulse el botón apropiado.
v Para generar una salida más detallada, seleccione el recuadro de selección.
Los siguientes botones ejecutan mandatos Linux en la interfaz seleccionada:
v Ethtool
v Ifconfig
v Tcpdump
Para obtener más información sobre los mandatos, utilice man en la línea de
mandatos de Linux para mostrar la documentación disponible.
v También puede buscar la ayuda en línea de Tealeaf para ver otros usos
documentados de estos mandatos con respecto a IBM Tealeaf CX Passive
Capture Application.
bwMon
Proporcionada por Tealeaf, la herramienta bwMon genera un conjunto de
estadísticas de supervisión para la interfaz seleccionada. Este mandato consulta la
instancia durante un periodo de 10 segundos y devuelve resultados para intervalos
de 1 segundo desde la interfaz.
Esta herramienta puede utilizarse con actividades que inicia en la aplicación web
supervisada para el diagnóstico de problemas de conexión y transferencia. Por
ejemplo, puede llevar a cabo acciones en la aplicación web y, a continuación,
verificar si la acción ha dado como resultado actividades a través de la interfaz
apropiada.
v La casilla de verificación Habilitar salida detallada genera el mismo conjunto de
estadísticas.
Se muestra una salida de ejemplo. Cada fila corresponde a un intervalo de 1
segundo durante el periodo de consulta de 10 segundos.
v Si no hay tráfico pasando a la instancia, la salida contiene sólo la lista de
nombres de campo.
Capítulo 4. Configuración de CX PCA
181
Figura 38. Salida de bwMon de ejemplo
Campo Descripción
Time
Indicación de fecha y hora para el intervalo de 1 segundo seleccionado
Dev
El dispositivo consultado
Mbs
La tasa de transferencia de megabits por segundo entre el dispositivo y
IBM Tealeaf CX Passive Capture Application.
v Un valor de 0 puede indicar un dispositivo inactivo o un problema de
configuración.
rxbytes
Bytes transferidos desde el dispositivo al PCA
rxpkts
Paquetes transferidos desde el dispositivo al PCA
rxerrs
Número de errores en la transferencia desde el dispositivo al PCA
rxdrop
Número de paquetes descartados del dispositivo
Programas de utilidad del sistema
Los programas de utilidad del sistema que se proporcionan en la parte inferior de
la pestaña Programas de utilidad habilitan la generación de información de
diagnóstico importante sobre la PCA, el sistema operativo que la aloja y las
estadísticas generadas por la PCA.
182
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Figura 39. Consola Web - Pestaña de Programas de utilidad - Programas de utilidad del sistema
Programa de utilidad
Descripción
Miscelánea
Bootlog
Revise el bootlog de Linux del sistema que aloja a la PCA.
Diferencias de configuración
Revise las diferencias entre el archivo de configuración predeterminado
(ctc-conf-defaults.xml) y la configuración actual en uso (ctc-conf.xml).
Dmesg
Ejectue el mandato dmesg de Linux, que muestra la información de
almacenamiento intermedio en anillo del kernel.
Ifconfig
Ejecute el mandato Ifconfig en cada una de las interfaces de red.
Tealeafenv
El mandato env de Tealeaf genera información específica de la instalación
de PCA de Tealeaf.
Procesos
Estos mandatos generar información estadística sobre los procesos Linux
en uso.
Todos Revise todos los procesos del sistema para todos los usuarios.
Captura
Revise todos los procesos en uso por parte del usuario de IBM Tealeaf CX
Passive Capture Application (normalmente ctccap).
Top
Ejecute el programa top de Linux. top proporciona una vista en tiempo
real de la información de resumen del sistema y una lista de tareas
actualmente gestionadas por el kernel de Linux.
Estadísticas
Estos mandatos generan estadísticas sobre la IBM Tealeaf CX Passive
Capture Application.
Formato en bruto
Vea las estadísticas en formato en bruto.
Resumen
Revise las estadísticas en instancias individuales de la PCA.
Capítulo 4. Configuración de CX PCA
183
Formato XML
Ve las estadísticas de la PCA como XML generado. Para obtener más
información sobre estas estadísticas, consulte “Estadísticas por instancia”
en la página 153.
Consola Web de PCA - Página de depuración
Puede gestionar los archivos principales de volcado al utilizar la página de
Depuración en la Consola web de la PCA. A través de esta página, puede
descargar, suprimir o depurar volcados del núcleo que se producen durante las
operaciones de la PCA.
v A través de la página de Depuración, también puede descargar archivos
comprimidos para enviarlos al soporte al cliente de Tealeaf. Consulte “Cómo
proporcionar el ZIP de la PCA a soporte” en la página 186.
Acceso a página de depuración
Nota: A efectos de seguridad, para descargar cualquiera de los archivos, debe estar
conectado a la consola web a través de ssl, y debe estar habilitada la autenticación
de usuarios.
Cuando se crean volcados del núcleo, se muestra un mensaje y un enlace en la
pestaña Resumen. Para abrir la página Depuración, pulse el enlace Ver.
v Consulte “Consola Web de PCA - Pestaña Resumen” en la página 76.
Para acceder a la página Depuración de la consola web de PCA directamente:
https://<host_name>:8443/debug.php
donde:
v <host_name> es el host de PCA.
Página Visión general
Figura 40. Consola web de PCA - página de depuración
Nota: Si no está conectado a través de SSL y utilizando autenticación, algunas de
las acciones siguientes están inhabilitadas.
Campo Descripción
184
IBM Tealeaf CX Passive Capture Application: Manual de PCA
file
Nombre del archivo principal de volcado
date
Fecha en que se creó el volcado del núcleo (y cuándo se ha producido el
bloqueo)
process
El proceso que se bloqueó, creación del volcado del núcleo
core+process zip
Un enlace para descargar el núcleo y el proceso en un único archivo
comprimido
delete
Pulse este enlace para suprimir el archivo principal.
Nota: Este mandato es útil si la partición de la unidad de disco duro que
está conteniendo el PCA está llena.
debug
Realizar una depuración simple del volcado. Consulte “Salida de
depuración”.
Salida de depuración
La siguiente es una salida de ejemplo del mandato de depuración:
Capítulo 4. Configuración de CX PCA
185
Figura 41. Salida de mandato de depuración
Cómo proporcionar el ZIP de la PCA a soporte
Cuando trabaje con el soporte del cliente y de ingeniería de Tealeaf para resolver
problemas en un sitio del cliente, proporcione el archivo support.zip en el sitio
debug.php como ayuda para la resolución del problema.
Nota: Cuando proporcione vuelcos de núcleo, suministre el tipo y versión de
Linux en el que está instalada la PCA.
Contenidos de los archivos ZIP
1. Archivo principal de volcado
2. Archivo binario que creó el vuelco
186
IBM Tealeaf CX Passive Capture Application: Manual de PCA
3. ctc-conf.xml
4. privacy.cfg
5. Registro de mantenimiento y estadísticas del día actual y de los previos.
Archivo de configuración de captura pasiva ctc-conf.xml
Si no puede iniciar sesión en la consola web, puede editar ctc-conf.xml para
configurar IBM Tealeaf CX Passive Capture Application.
Nota: Evite realizar cambios directos en este archivo de configuración. Se
recomienda realizar cambios a su configuración de PCA mediante la consola web,
la cual proporciona una interfaz de usuario en este archivo de configuración. Para
obtener más información, consulte “Navegadores soportados para la consola web
de PCA” en la página 70.
Este archivo se encuentra en el directorio /usr/local/ctccap/etc. Se puede editar
con el editor vi.
Nota: Algunos de los valores no se muestran en el archivo de configuración
predeterminado. Estos valores se pueden insertar en función de los cambios de
configuración realizados mediante la consola web. Todos los valores de
configuración necesarios para uso general del PCA están disponibles en el archivo
predeterminado.
Nota: SSH se ejecuta sobre el puerto estándar 22.
Nota: Haga siempre una copia de seguridad del archivo de configuración antes de
realizar modificaciones en el mismo.
Nota: No edite este archivo de configuración o cualquier archivo de configuración
de PCA mediante la utilización de un editor en una máquina Windows. Los
caracteres de Windows al final de línea (EOL) son diferentes de los UNIX EOL
utilizado por Linux. Por lo tanto, se pueden producir errores de configuración
cuando se aplica de nuevo el archivo en el entorno de Linux PCA.
Las tablas siguientes explican cada opción de configuración en el archivo de
configuración predeterminado.
<Conf>
Tabla 25. Valores de configuración
Opción de configuración
Descripción
<IPv6ConsoleEnabled>
Comenzando en PCA Build 3600, puede configurar la
consola web PCA para aceptar direcciones IPv6 de forma
predeterminada. Para habilitarlo, establezca este valor en
1.
Nota: Para sistemas que se han actualizado, debe
insertar esta configuración y su valor manualmente en el
archivo de configuración. Este cambio de configuración
también puede aplicarse a PCA Build 3502.
Capítulo 4. Configuración de CX PCA
187
Tabla 25. Valores de configuración (continuación)
Opción de configuración
Descripción
<Timeout>
Comenzando en PCA Build 3600, puede configurar este
valor en un valor distinto de cero para habilitar tiempos
de espera de sesiones de la consola web PCA. El valor
especificado define el número de minutos que se permite
que una sesión de consola web esté desocupada antes de
que sobrepase el tiempo de espera automáticamente.
En función de su compilación, este valor puede estar
presente en esta ubicación. Busque el archivo. Si el valor
no está presente en su archivo, insértelo.
Para obtener más información, consulte “Consola web de
PCA - Pestaña Consola” en la página 89.
<Archivado>
Esta sección especifica las opciones de configuración para la habilitación y gestión
del archivado de paquetes TCP/IP local. Para obtener más información, consulte
“Consola web de PCA - Pestaña de copia de seguridad-registros” en la página 175.
Tabla 26. Valor de archivado
Opción de configuración
Descripción
<RecordingEnabled>
Habilita el archivado de paquetes TCP/IP local. Cuando
está habilitado, los archivos de archivado se guardan en
el directorio de registro de archivado (ubicación
predeterminada: /usr/local/ctccap/archive) en un
archivado acumulado. Los archivados se dividen en
particiones de archivos de 50 MB.
Este valor está inhabilitado de forma predeterminada.
Especifica el tamaño máximo de los archivados de
paquetes TCP/IP.
<MaxSize>
De forma predeterminada, MaxSize está establecido en
500 MB. El tamaño de directorio predeterminado
asignado a los archivados es de 18 GB.
</Archive>
<Captura>
Utilice los valores de configuración de captura para configurar la captura de datos
desde un puerto de conmutador distribuido o conexión de red.
Tabla 27. Valores de captura
Opción de configuración
Descripción
<HangingResponseTimeout>
Especifica el valor de tiempo de espera (en segundos)
entre el último paquete de la solicitud y el primer
paquete de la respuesta. Si el tiempo de espera se excede,
la conexión se marca como cancelada por el cliente.
El valor predeterminado es de 120 segundos.
188
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 27. Valores de captura (continuación)
Opción de configuración
Descripción
<HangingTransmissionTimeout>
<Especifica el valor de tiempo de espera (en segundos)
que define cuánto espera la captura pasiva entre
paquetes. Si el tiempo de espera se excede, la conexión
se marca como una solicitud cancelada por el cliente.
El valor predeterminado es de 120 segundos.
<Ignores/>
<ListenFullDuplex>
Define si la captura pasiva recibe datos bidireccionales
desde una conexión de red o unidireccionales desde un
puerto SPAN en un conmutador de red o equilibrador de
carga. Si la máquina host de captura pasiva recibe datos
desde una conexión de red, establezca
ListenFullDuplex=False. Si la máquina host recibe datos
desde un puerto distribuido, establezca
ListenFullDuplex=True.
<ListenOnBothInterfaces>
Indica si la captura pasiva está a la escucha en una o
ambas de sus interfaces de Ethernet. Puede utilizarse
para capturar dos puertos SPAN. Si la captura pasiva
recibe datos desde una conexión de red, establezca
ListenOnBothInterfaces=True. Si recibe datos desde un
puerto distribuido, establezca
ListenOnBothInterfaces=False.
<ListenTo>
Anidada dentro de la sección <Capture>, esta subsección
especifica el conjunto de servidores web que va a
supervisar la captura pasiva. Los atributos <Address> y
<Port> deben configurarse para cada servidor web que
se está supervisando.
La captura pasiva también da soporte a máscaras de red.
En el caso de que se utilice un valor de máscara de red,
debe añadirse un nodo <NetmaskSize> al archivo de
configuración bajo el nodo <Address> y antes del nodo
<Port>. Por ejemplo, si el rango de IP para servidores
web que se están supervisando es de 10.10.10.0 a
10.10.10.255 y los servidores web están a la escucha en
ambos puertos, 80 y 443, la configuración de ListenTo
aparecería de la siguiente manera:
<ListenTo>
<Address>10.10.10.0</Address>
<NetmaskSize>24</NetmaskSize>
<Port>80</Port&gt;
<Port2>443</Port2>
</ListenTo>
Para obtener más información sobre los métodos
recomendados en la gestión de las direcciones IP,
consulte “Navegadores soportados para la consola web
de PCA” en la página 70.
<ListenTos>
<Address>
Especifica la dirección IP del servidor web que se está
supervisando.
<Port>
Especifica el número de puerto en el que está a la
escucha el servidor web.
Capítulo 4. Configuración de CX PCA
189
Tabla 27. Valores de captura (continuación)
Opción de configuración
Descripción
<Port2>
Especifica un número de puerto extra asociado al
atributo Address. Está optimizado para la supervisión
típica de dos puertos.
<NetMaskSize>
Especifica el rango de direcciones IP que se van a
supervisar, a través del tamaño de máscara de red en
bits.
</ListenTo>
</ListenTos>
<MaxSimultaneousConnections>
Define el número máximo de conexiones TCP
simultáneas para las que el software de captura pasiva
está configurado para manejar.
El valor predeterminado es 10000.
<MaxConnectionsInSynState>
Define el número máximo de conexiones TCP
simultáneas donde están establecidas conexiones TCP
parciales.
El valor predeterminado es 4000.
<PrimaryInterface>
Especifica el nombre de la interfaz de Ethernet primaria.
El valor predeterminado es eth0.
<SecondaryInterface>
Especifica el nombre de la interfaz de Ethernet
secundaria.
<MaxSessionCacheSize>
Define el número máximo de conexiones SSL simultáneas
que pueden procesarse.
El valor predeterminado es 10.000.
<MaxInputBufferSize>
Nota: No modifique este valor sin ponerse en contacto
con el soporte técnico primero. Este valor se utiliza para
los problemas de depuración relacionados con
condiciones de tráfico pico que estén sobrepasando el
almacenamiento intermedio.Define el tamaño máximo
(en bytes) de la cola de manejo de paquetes TCP.
El valor predeterminado es 100.000.000
(aproximadamente 100 MB).
Cuando se llena el búfer, el PCA comienza a descartar
coincidencias. Mediante la imposición de un límite en el
búfer, el sistema evitará un bloqueo. Sin embargo, los
datos se descartan.
<MaxMemoryConsumption>
Nota: No modifique este valor sin ponerse en contacto
con el soporte técnico primero. Este valor se utiliza para
los problemas de depuración relacionados con
condiciones de tráfico pico que estén sobrepasando el
almacenamiento intermedio.Define la cantidad máxima
de memoria del sistema (en MB) asignada al proceso de
captura.
El valor predeterminado es 1300 MB (1.3 GB).
IBM Tealeaf Passive Capture Application es una
aplicación de 32 bits, lo que significa que cada proceso
de CX PCA puede dirigir un máximo de 2 GB de RAM.
190
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 27. Valores de captura (continuación)
Opción de configuración
Descripción
<TransparentLoadBalancingEnabled>
Habilita o inhabilita la característica de equilibrio de
carga transparente (TLB).
Para habilitar el equilibrio de carga, establezca
TransparentLoadBalancingEnabled en True.
Para inhabilitar el equilibrio de carga, establezca
TransparentLoadBalancingEnabled en False.
El valor predeterminado es True para habilitar el
equilibrio de carga. Para obtener más información,
consulte “Descripción general del equilibrio de carga
transparente de CX PCA” en la página 12.
<ReassInstances>
Configura el número de instancias reassd que se va a
crear. El valor predeterminado es 1.
<SslSessionInfoOnMemcachedServer>
Si está habilitado el equilibrio de carga transparente y
SslSessionInfoOnMemcachedServer está establecido en
True, PCA utiliza memcache para almacenar los datos SSL
en memoria caché.
El valor predeterminado para
SslSessionInfoOnMemcachedServer está establecido en
True.
<MaxConnectionsRoutingInfo>
Define cuánta información de direccionamiento de
conexión TCP puede almacenarse en la tabla hash
routerd local. Una vez que se alcanza el límite, los datos
más antiguos se eliminan de la tabla para que se pueda
grabar un valor nuevo en la misma.
El valor predeterminado es 100000.
<MaxInputRouterdBufferSize>
Define el tamaño de búfer, en MB, para el servicio
routered.
El valor predeterminado es 50 MB.
<DeleteTcpLargeConnDisabled>
Este valor es un distintivo booleano, establecido en True
o False. Si no se especifica, se toma como si estuviese
establecido en False. Si se establece en True, este valor
impide que se cierren conexiones TCP que tengan
tamaños excedidos de solicitudes o respuestas
individuales. En casos especiales como, por ejemplo,
archivos pdf grandes o conexiones de tráfico de
modalidad continua, puede que se tenga que inhabilitar
esta característica para mantener la conexión.
El tamaño máximo de solicitudes o respuestas
individuales está definido por el parámetro
MaxTcpConnSize.
Capítulo 4. Configuración de CX PCA
191
Tabla 27. Valores de captura (continuación)
Opción de configuración
Descripción
<MaxTcpConnSize>
Tamaño máximo permitido de una solicitud o respuesta
individual en una conexión TCP. Una única conexión
TCP puede tener varias solicitudes o respuestas, y cada
una se comprueba con respecto a este límite.
El valor predeterminado es 2097152.
Si se excede este límite, la conexión TCP se cierra
automáticamente cuando el valor
DeleteTcpLargeConnDisabled está establecido en False.
<CaptureKeys/>
<CaptureKey>
Esta sección opcional se utiliza para definir las claves
SSL necesarias para dar soporte a la captura de tráfico
HTTPS desde servidores web.
v Para cada clave privada, debe definirse una sección
CaptureKey que incluya a los nodos
<CertificateFile> (opcional), <Label> y
<PrivateKeyFile>.
v Las entradas <CertificateFile> y <PrivateKeyFile>
son los nombres de dominio completos de los archivos
que contienen el certificado y las claves privadas.
v La clave privada debe estar en el formato .PTL
convertido por Tealeaf para que pueda utilizarse.
<Certificate>
Especifica la ubicación en la que se va a pegar la clave
pública.
<Label>
Especifica el nombre de texto de la clave privada.
<PrivateKey>
Define la ubicación donde se va a pegar la clave privada.
</CaptureKey>
</CaptureKeys/>
<InstancesEnabled>
Este valor proporciona un valor global para
habilitar/inhabilitar varias instancias. Este valor es un
distintivo booleano, establecido en True o False.
v Si no se especifica, se toma como si estuviese
establecido en False.
v Si se establece en True, se utilizan las siguientes
<Instances> anidadas para la instanciación de varias
instancias. De lo contrario, sólo se crea una única
instancia.
<Instances>
Nodo de nivel superior para definiciones de varias
instancias anidadas.
<Instance>
Nodo de instancia para la definición de los atributos de
una instancia.
<InstanceDisabled>
Este valor es un distintivo booleano, establecido en True
o False.
v Si no se especifica, se toma como si estuviese
establecido en False.
v Si se establece en True, se inhabilita el nodo de
instancia local. Mediante la inhabilitación del nodo de
instancia, puede inhabilitar instancias individuales
para la depuración o prueba.
192
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 27. Valores de captura (continuación)
Opción de configuración
Descripción
<ListenFullDuplex>
Si se define dentro del nodo de instancia, tiene el mismo
significado que la instancia primaria anterior, pero este
valor se aplica a esta instancia específica.
Si no se define, la instancia hereda el valor de la
instancia primaria.
Establezca <ListenFullDuplex> en True o False.
<ListenOnBothInterfaces>
Si se define dentro del nodo de instancia, tiene el mismo
significado que la instancia primaria anterior, pero este
valor se aplica a esta instancia específica.
Si no se define, la instancia hereda el valor de la
instancia primaria.
Establezca <ListenOnBothInterfaces> en True o False.
<TcpChecksumDisabled>
De forma predeterminada, CX PCA ejecuta una
validación de suma de comprobación de los paquetes
TCP que se envían a la misma. En los entornos donde
está habilitada una opción de recepción grande (LRO) o
descarga de suma de comprobación, falla la validación
de suma de comprobación de PCA. Establezca el valor
en True para inhabilitarlo.
Si este valor no está en el XML predeterminado, CX PCA
asume que se desea la validación de suma de
comprobación y que está habilitada. Este valor aparece
en el XML después de inhabilitada la validación de suma
de comprobación de paquetes a través de la pestaña
Interfaz de consola web PCA seleccionando el recuadro
de selección de validación Inhabilitar suma de
comprobación de paquetes. Para obtener más
información, consulte “Consola Web de PCA - Pestaña
Interfaz” en la página 90.
<PipelineInstances>
Indica el número de procesos de interconexión
(interconectados) para crear un sistema capaz de
contener varias interconexiones. Puede añadir un proceso
interconectado extra para cada núcleo de procesador
adicional que esté desocupado.
De forma predeterminada, este valor está establecido en
1.
Para obtener más información sobre la creación de varias
interconexiones, consulte “Valores de la interconexión”
en la página 119.
<SslHwCheckDisabled>
Cuando está establecido en true, CX PCA inhabilita la
exploración y el uso de tarjetas de acelerador de
hardware de SSL.
El valor predeterminado es False.
<MaxPipelineSHMQueueSize>
Define el tamaño en megabytes de la cola que
proporciona coincidencias a las instancias de la
interconexión.
De forma predeterminada, este valor está establecido en
100 MB. El valor máximo permitido es de 200 MB.
Capítulo 4. Configuración de CX PCA
193
Tabla 27. Valores de captura (continuación)
Opción de configuración
Descripción
<MaxPipelineSHMQueue2Size>
Define el tamaño en megabytes de la cola que
proporciona coincidencias desde las instancias de la
interconexión al módulo de motor Tcl.
De forma predeterminada, este valor está establecido en
100 MB. El valor máximo permitido es de 200 MB.
Para obtener más información sobre la creación de varias
interconexiones, consulte “Valores de la interconexión”
en la página 119.
</Capture>
<Entrega>
Esta sección incluye los atributos para la configuración del transporte de datos en
tiempo real desde la máquina host de captura pasiva al entorno de IBM Tealeaf CX
Server.
Tabla 28. Valor de entrega
Opción de configuración
Descripción
<DeliveryMode>
Configura la modalidad de entrega para la
entrega de PCA a sus iguales. Para obtener
más información, consulte “Consola Web de
PCA - Pestaña de Entrega” en la página 110.
<DeliveryMode>2</DeliveryMode>
<BatchInterval>
Este valor no se utiliza.
<MaxQueueDepth>
Define el tamaño máximo (en bytes) de la
cola para el envío de datos a IBM Tealeaf CX
Server. El valor predeterminado es 0, que
establece la profundidad de cola en 50MB.
<MyCertificate>
Este valor no se utiliza.
<MyPrivateKey>
Este valor no se utiliza.
<StatisticsHitEnabled>
Este valor es un distintivo booleano,
establecido en True o False.
v Si se establece en True, las coincidencias
de estadísticas se habilitan como una
característica.
v Si se establece en False, se inhabilita la
característica. Si no se establece ningún
valor, se toma como False.
<StatisticsHitHost>
Este valor es el nombre de host o dirección
IP de la máquina que ejecuta al servicio de
transporte de Tealeaf que recibe
coincidencias de estadísticas.
<StatisticsHitIntervalSeconds>
Este valor, un número positivo, es el número
mínimo de segundos a transcurrir entre
intentos de enviar coincidencias de
estadísticas.
Si se establece en 0 (cero), no se envían
coincidencias de estadísticas.
194
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 28. Valor de entrega (continuación)
Opción de configuración
Descripción
<StatisticsHitPort>
Este valor, un número de puerto positivo, es
el número de puerto TCP/IP que se utiliza
al conectarse al servicio de transporte de
Tealeaf en el host.
<StatisticsHitSecure>
Este valor, un distintivo booleano, indica si
la conexión al servicio de transporte de
Tealeaf está habilitada para SSL. Puede
establecerse en True o False.
Si no se especifica, se toma como si
estuviese establecido en False.
<TimeSourceHost>
Designa el nombre de dominio o dirección
IP del host que ejecuta el servicio de
transporte de Tealeaf que se utilizará como
fuente de tiempo. Si no desea sincronizar
con una fuente de tiempo, deje este campo
en blanco.
<TimeSourcePort>
Designa el puerto en el que el host de la
fuente de tiempo escucha las consultas de
fuente de tiempo. Si no desea sincronizar
con una fuente de tiempo, deje este campo
en blanco.
<Peers>
<Peer>
Define la dirección IP o puerto del entorno
de IBM Tealeaf CX Server de recepción.
Debe definirse una sección <Peer> para cada
máquina de IBM TealeafCX Server de
recepción.
<Host>
Especifica la dirección IP o nombre de host
de los datos de recepción de IBM TealeafCX
Server de la máquina host de captura
pasiva.
<Port>
Especifica el número de puerto IP en el IBM
TealeafCX Server al que se están enviando
los datos.
El valor predeterminado es 1966.
</Peers>
<PollingInterval>
Este valor no se utiliza actualmente.
<WatchdogTimer>
Especifica el tiempo máximo (en segundos)
permitido para establecer una conexión con
IBM Tealeaf CX Server. Si el tiempo de
espera se excede, la conexión se marca como
desconectada.
El valor predeterminado es de 30 segundos.
</Delivery>
Capítulo 4. Configuración de CX PCA
195
Tabla 28. Valor de entrega (continuación)
Opción de configuración
Descripción
<ConfigurationChangeTime>
Especifica el tiempo de UNIX (segundos
desde el 1 de enero de 1970, Hora Universal
Coordinada) transcurrido desde la última
actualización realizada en el archivo de
configuración a través de la consola web.
Nota: No modifique este valor. Este valor se
modifica automáticamente cuando se realiza
una actualización a través de la consola web.
<Extensión/>
El valor <Extensión/> no se utiliza.
<Análisis>
Los siguientes valores de configuración se utilizan para definir los parámetros de
sesionización para el inyector de cookies de Tealeaf. Para obtener más información,
consulte “Valores de la interconexión” en la página 119.
Tabla 29. Valores de análisis
Opción de configuración
Descripción
<UserIDName>
(Opcional) Especifica el valor de cabecera
HTTP(S) establecido por el inyector de
cookies de Tealeaf como el atributo de ID de
usuario. El valor predeterminado es TLTUID.
<SessionIDName>
Especifica el valor de cabecera HTTP(S)
establecido por el inyector de cookies de
Tealeaf como el atributo de ID de sesión. El
valor predeterminado es TLTUID.
<HitIDName>
Especifica el valor de cabecera HTTP(S)
establecido por el inyector de cookies de
Tealeaf como el atributo de ID de hit. El
valor predeterminado es TLTUID.
<TealeafCookies>
Especifica si se está utilizando el inyector de
cookies de Tealeaf. El valor predeterminado
es True.
<CaptureMode>
Especifica la modalidad de captura que se
está utilizando. Existen dos posibles valores:
Business y BusinessIT.
v Si CaptureMode=Business, el software
captura sólo objetos de solicitud y
respuesta HTTP(S) para solicitudes de
página 'business' (por ejemplo, HTML, ASP,
JSP). Los objetos asociados que no sean
texto no se capturan (por ejemplo, GIF,
JPEG) en esa página.
v Si CaptureMode=BusinessIT, el software
también captura objetos de solicitud y
respuesta HTTP(S) para objetos de archivo
que estén asociados con la página
'business' (por ejemplo, GIF, JPEG).
v El valor predeterminado es Business.
196
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 29. Valores de análisis (continuación)
Opción de configuración
Descripción
<ExcludeExtensions>
Especifica las extensiones de archivos que se
deben excluir del flujo de datos de captura.
Este valor se puede utilizar para afinar el
comportamiento especificado por
CaptureMode.
<IncludeExtensions>
Especifica las extensiones de archivo que se
capturan completamente. Los archivos
binarios como los PDF ahora se pueden
incluir en la captura.
<CaptureAllTypes>
Especifica tipos de contenido (tipos MIME)
para los que se va a capturar una
coincidencia completa (incluida la
respuesta).
<IncludeMethods>
Especifica los métodos HTTP a incluir. Los
valores predeterminados son Get, Post y Put.
<RawRequest>
Determina si RawRequest está activada.
Rawrequest es una ayuda en la depuración.
El valor predeterminado es False
(inhabilitado).
Si está establecido en True, las cabeceras de
solicitud HTTP se añaden a la coincidencia.
Nota: Se recomienda establecer el valor en
False para impedir que se añadan datos
extra a cada coincidencia.
<ResponseHeaders>
Determina si ResponseHeaders están
activados. ResponseHeaders son ayudas en
la depuración. El valor predeterminado es
False (inhabilitado).
Si está habilitado (True), las cabeceras de
respuesta HTTP se añaden a la coincidencia.
Nota: Se recomienda establecer el valor en
False para impedir que se añadan datos
extra a cada coincidencia.
<MaxResponseSize>
Especifica el mayor tamaño aceptable de
respuesta (en bytes).
El valor predeterminado es 1572864 (1.5
MB).
<MaxDataSizeBytes>
El número máximo de bytes permitido para
la comunicación entre la captura pasiva y la
representación de coincidencia binaria que
se utiliza para comunicarse con el servicio
de transporte de Tealeaf.
El valor predeterminado es de 2 MB
(2097152).
<MaxRequestSizeBytes>
El número máximo de bytes permitido para
solicitudes HTTP. Si se excede este valor se
descarta el cuerpo de solicitud o toda la
solicitud.
El valor predeterminado es de 2 MB
(2097152).
Capítulo 4. Configuración de CX PCA
197
Tabla 29. Valores de análisis (continuación)
Opción de configuración
Descripción
<ShrinkToFit>
Si se establece en True, el código de
procesamiento de coincidencias no asigna
espacio extra cuando redimensiona búfers.
El espacio extra minimiza reasignaciones
futuras, lo que aumenta el rendimiento.
v Establezca este valor en True sólo si desea
emplear el código de procesamiento de
coincidencias de forma más agresiva y
mantener el uso de su memoria a un
mínimo.
v El valor predeterminado y recomendado
es False.
<InflateEnabled>
Si una respuesta tiene una cabecera de
codificación de contenido cuyo valor es
deflate, gzip o x-gzip, entonces es un
candidato para tener el cuerpo inflado
(ampliado a partir de su estado
comprimido).
v Si se establece en True, se realiza un
intento de inflar la respuesta.
– Si el inflado falla, se registra un
mensaje en el nivel de registro de
aviso.
– Si el inflado se realiza
satisfactoriamente, el valor de la
cabecera de codificación de contenido
se sobrescribe con el carácter X. Por
ejemplo, la cabecera de codificación de
contenido tendría el valor de XXXX.
v El valor predeterminado es False.
198
<MoveXMLToREQ>
Reubica el XML de la respuesta en una
sección de XML en la solicitud.
Nota: Esta característica está inhabilitada.
Independientemente del valor que se defina,
el PCA se comporta como si este atributo
estuviese establecido en False.
<UnReqCancelled>
Si se habilita, esta opción comprueba los
últimos 100 bytes del cuerpo de respuesta
para cuando capturetype=1 y los marca
como cancelados.
<CookieParsingEnabled>
Si se selecciona esta opción, se añade una
sección de cookies a la solicitud.
<URLDecodingEnabled>
Esta opción determina si se debe decodificar
la URL de los urlfields.
<DelImagesEnabled>
Cuando se selecciona, esta opción habilita la
característica DelImages en el PCA, que
suprime automáticamente coincidencias de
imagen que cumplan con criterios
específicos. Para obtener más información,
consulte “Valores de la interconexión” en la
página 119.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 29. Valores de análisis (continuación)
Opción de configuración
Descripción
<TLISupportEnabled>
Esta opción habilita la captura de contenido
estático a través de PCA con el fin de
almacenarlo en un servidor TLI que se
despliega entre sus servidores de Tealeaf
basados en Windows.
v Un servidor TLI habilita la captura de
contenido estático como, por ejemplo,
imágenes, JavaScripts y hojas de estilo, en
un archivado permanente para una
reproducción de máxima fidelidad y por
requisitos de auditoría. Para obtener más
información, consulte Manual de
administración de IBM Tealeaf cxImpact.
v Cuando está habilitada, esta opción
sustituye la característica DelImages en el
PCA. Para obtener más información,
consulte “Valores de la interconexión” en
la página 119.
<SessioningEnabled>
Si se establece esta opción, las coincidencias
se agrupan en sesiones que se basan en
<SessField/>.
<SessField>
El campo primario en el que se va a
sesionizar. Debe definirse si está habilitada
la sesionización. Este valor puede ser
cualquier campo en el búfer de solicitud, par
nombre-valor [urlfield], o REMOTE_ADDR en
la sección [env].
Puede especificar el campo de sesionización
primario y alternativas como una lista
delimitada por comas de nombres de
campos. Los nombres de campo en secciones
independientes pueden ir precedidos con el
nombre de la sección como, por ejemplo,
cookies:field1, urlfield:field2.
<SessSection>
Campo opcional que indica en qué sección
del búfer de solicitud se encuentra
SessField. Utilice este campo sólo si no se
hace referencia a una sección explícita en el
valor o valores SessField. Si no se
especifica, se busca en toda la solicitud y se
utiliza la primera coincidencia.
Capítulo 4. Configuración de CX PCA
199
Tabla 29. Valores de análisis (continuación)
Opción de configuración
Descripción
<SessFieldMaskOff>
Especifica una subserie del campo de
solicitud SessField para utilizar para la
sesionización. Este valor puede ser dos
desplazamientos basados en cero o un
desplazamiento inicial y la palabra end para
utilizar todo a partir de la posición inicial
hasta el final del valor. Por ejemplo:
v PrimarySessFieldMaskOff=0 end utiliza
toda la serie
v PrimarySessFieldMaskOff=0 19 utiliza los
primeros 20 caracteres
v PrimarySessFieldMaskOff=14 end-4 utiliza
el carácter número 15 hasta el número 4
desde el final
v PrimarySessFieldMaskOff=end-9 end-2
utiliza el noveno desde el final hasta el
segundo desde el final
<SessCaseInsensitive>
Cuando se establece en True, SessField y
SessSection (si están especificados) pueden
tener valores con mayúsculas y minúsculas.
Nota: Esta opción debe evitarse, ya que la
coincidencia que no distingue entre
mayúsculas y minúsculas utiliza más
recursos del sistema que la coincidencia que
sí lo hace.
Este valor sólo se aplica al nombre del
parámetro y no al valor del parámetro.
<TimeGradesEnabled>
Si está habilitada, la Calificación por tiempo
puede asignar una calificación a una
coincidencia en una de las tres áreas
siguientes:
v Web Server Page Gen: Cuánto demora el
servidor web para servir la página.
v Network Transit: Mide la velocidad de la
red basado en cuánto tiempo pasó un
paquete en la red.
v Round Trip: La cantidad de tiempo que le
toma a un paquete arbitrario ir desde el
cliente al servidor web.
200
<WSGenBreaks>
Cuánto demora el servidor web para servir
la página. Pares nombre-valor delimitados
por coma (name:value, name:value).
<NetworkTransitBreaks>
Mide la velocidad de la red basado en
cuánto tiempo pasó un paquete en la red.
Pares nombre-valor delimitados por coma
(name:value, name:value)).
<RoundTripBreaks>
La cantidad de tiempo que le toma a un
paquete arbitrario ir desde el cliente al
servidor web. Pares nombre-valor
delimitados por coma (name:value,
name:value).
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 29. Valores de análisis (continuación)
Opción de configuración
Descripción
<SamplingEnabled>
El muestreo de sesión, si está habilitado,
especifica un porcentaje de sesiones a
suprimir de la captura.
<SamplePercentage>
El porcentaje de tráfico a guardar, si está
habilitado el muestreo.
<PrivacyEnabled>
Determina si está habilitada la privacidad.
<InflatePreserveResponseOnErr>
La selección de esta opción activa la
característica de inflado. Si una respuesta
tiene una cabecera de codificación de
contenido cuyo valor es deflate, gzip o
x-gzip, entonces es un candidato para tener
el cuerpo inflado y ampliado a partir de su
estado comprimido.
Si el inflado falla, se registra un mensaje en
el nivel de registro de aviso.
Si el inflado se realiza satisfactoriamente, el
valor de la cabecera de codificación de
contenido se sobrescribe con el carácter X.
Por ejemplo, el valor de codificación de
contenido podría ser XXXX.
<XforwardingEnable>
Cuando se establece en True, el PCA se
configura para analizar un campo
HTTP-X-FORWARDING especificado.
Nota: Esta entrada no se crea hasta que se
habilite el reenvío-X.
Para obtener más información, consulte
“Valores de la interconexión” en la página
119.
<XforwardingField>
Cuando XforwardingEnable se establece en
True, este campo identifica el campo
HTTP-X-FORWARDING. Esta entrada no se crea
hasta que se habilite el reenvío-X.
Para obtener más información, consulte
“Valores de la interconexión” en la página
119.
</Parse>
<LastWSDescription>
Cuando TimeGrades está habilitado, la
descripción para utilizar para la cantidad de
veces de WSGen que superan a la última
vez definida por WSGenBreaks.
<LastNTDescription>
Cuando TimeGrades está habilitado, la
descripción para utilizar para la cantidad de
veces de transito de red que superan a la
última vez definida por
NetworkTransitBreaks.
<LastRTDescription>
Cuando TimeGrades está habilitado, la
descripción para utilizar para la cantidad de
idas y vueltas que superan a la última vez
definida por RoundTripBreaks.
Capítulo 4. Configuración de CX PCA
201
Tabla 29. Valores de análisis (continuación)
Opción de configuración
Descripción
<DeflateEnabled>
Si se establece en True, se comprime la
respuesta de cada coincidencia (si no se ha
hecho aún) antes de enviarla al igual de
entrega.
El valor predeterminado es False.
<HitArchiveEnabled>
Si se establece en True, todas las
coincidencias capturadas también se graban
en un archivo de archivado (TLA) en la
unidad local. Esto se realiza principalmente
para la resolución de problemas y no para
circunstancias normales de uso.
El valor predeterminado es False.
<HitArchiveDirectory>
Directorio donde se graban archivados de
coincidencias cuando
HitArchiveEnabled=True.
<HitArchiveRollSizeMBytes>
Especifica el tamaño de archivo de
retrotracción en megabytes, el valor
predeterminado es 100 MB.
<Migración tras error>
Puede configurar los valores de migración tras error a través de “Consola Web de
PCA - Pestaña de Migración tras error” en la página 177.
Tabla 30. Valores de migración tras error
202
Opción de configuración
Descripción
<Enabled>
Si está habilitada la migración tras error, una
máquina host de captura pasiva de copia de
seguridad (subordinada) toma el control si
falla la principal (Maestra).
<MasterAddress>
Dirección de la máquina de migración tras
error maestra.
<MasterPort>
Puerto de la máquina de migración tras
error maestra.
<SlaveAddress>
Dirección de la máquina de migración tras
error subordinada.
<SlavePort>
Puerto de la máquina de migración tras
error subordinada.
<HeartbeatInterval>
Cuánto tiempo se debe esperar entre
pulsaciones.
<HeartbeatTimeout>
La cantidad de tiempo que espera la captura
pasiva para obtener una respuesta de una
pulsación antes de que se exceda el tiempo
de espera.
<TimeoutLimit>
El número de tiempos de espera excedidos
de pulsaciones consecutivas que está
permitido antes de que se deba realizar una
migración tras error.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 30. Valores de migración tras error (continuación)
Opción de configuración
Descripción
<AutoFailback>
Pasa el control (estado activo) desde la
máquina host de captura pasiva
subordinada a la máquina host de captura
pasiva maestra una vez que la máquina
maestra indica que está pronta para volver a
tomar el control.
<FailbackDelay>
El número mínimo de segundos a esperar
antes de realizar una migración tras error
automática.
<FailoverOnSvcRestart>
Esta opción determina si se desencadena
una migración tras error cuando se reinician
los servicios de captura en el servidor IBM
Tealeaf Passive Capture Application activo.
<RemoteMonitors>
<RemoteMonitor>
Un supervisor remoto es un sistema
(representado por un nombre de host o
dirección IP) al que se le permite recibir
información de estado de migración tras
error enviando pulsaciones a una máquina
host de captura pasiva configurada para la
migración tras error.
<Host>
Nombre de host del supervisor remoto.
<CanControl>
Si esta opción está habilitada, el supervisor
remoto puede forzar una migración tras
error o restablecimiento.
</RemoteMonitor/>
</Failover>
</Conf>
<Pool>
Puede configurar los valores de agrupación SSL mediante la pestaña SSL de la
consola web de PCA.
Tabla 31. Valores de agrupación SSL
Opción de configuración
Descripción
<PoolPeer>
Contiene los valores de configuración de
agrupación SSL para el servidor de PCA
local.
El valor predeterminado es .
<IPv6>
Define si la dirección IP utiliza IPv6.
El valor predeterminado es false.
<Address>
Dirección IP para el servidor de PCA
El valor predeterminado es 9.19.145.49.
<Port>
Número de puerto para el servidor de PCA
El valor predeterminado es 11211.
Capítulo 4. Configuración de CX PCA
203
Tabla 31. Valores de agrupación SSL (continuación)
Opción de configuración
Descripción
<CacheSize>
Define el tamaño en MB de la memoria
caché que contiene la información de sesión
de SSL.
El valor predeterminado es 256.
<Secure>
Habilita o inhabilita la comunicación segura
entre servidores de PCA en la agrupación
SSL.
El valor predeterminado es false.
Configuración de varios pares Listend–Routerd
Configure varios pares Listend–Routerd (MLRP) para utilizar varias NIC para
capturar el tráfico de red en un entorno que genera un gran volumen de tráfico de
red.
Para configurar MLRP en el servidor de CX PCA:
1. Inicie la sesión en la consola web de PCA.
2. Vaya a la pestaña Interfaz. MLRP solamente está soportado cuando la
característica de equilibrio de carga transparente (TLB) está habilitada. Para
obtener más información sobre TLB, consulte “Descripción general del
equilibrio de carga transparente de CX PCA” en la página 12.
3. Seleccione Habilitar equilibrio de carga transparente.
4. Seleccione Captura de varias instancias para habilitar MLRP.
5. Seleccione Añadir instancia para configurar cuántos pares desea habilitar.
6. Vaya a Lista de instancias y configure los valores de la interfaz para cada
instancia.
7. Vaya a Reglas de filtro y aplique las reglas de filtro a cada instancia. Para
obtener más información sobre las reglas de filtro, consulte “Consola Web de
PCA - Pestaña Interfaz” en la página 90.
Puede ver la instancia de reassd y las estadísticas de cada par MLRP si selecciona
Estadísticas, selecciona una instancia y después selecciona Captura.
Configuración de agrupaciones SSL
Puede crear agrupaciones SSL para agrupar un conjunto de servidores de PCA de
modo que dichos servidores puedan compartir la información de sesión SSL.
Si configura un grupo de servidores de PCA de modo que formen parte de una
agrupación SSL, una sesión SSL que se haya iniciado en un servidor de PCA se
puede reanudar en otro servidor de PCA de la agrupación. Esta capacidad le ofrece
la posibilidad de configurar varios servidores de PCA en el entorno de Tealeaf.
Además, las agrupaciones SSL pueden utilizarse para impedir la puesta en cola y
la pérdida potencial de datos si un servidor de PCA de origen no puede continuar
procesando la sesión SSL.
Utilice el procedimiento siguiente para añadir un servidor de PCA a una
agrupación SSL.
204
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Nota: Cada servidor de PCA de la agrupación SSL debe contener una
configuración de agrupación SSL idéntica.
1. Vaya a la consola web de PCA.
2. Seleccione la pestaña SSL y desplácese hacia abajo hasta Configuración de
agrupación SSL. El servidor de PCA en el que ha iniciado sesión aparece
automáticamente en la lista de la configuración de la agrupación.
3. Seleccione Añadir para especificar la información de red de más servidores de
PCA en la agrupación SSL.
4. Escriba la dirección IP del servidor de PCA adicional en el campo Dirección
de host.
5. Escriba el número de puerto del servidor de PCA adicional en el campo
Puerto de host.
6. Seleccione Aceptar para continuar.
7. Cuando el servidor de PCA se haya añadido a la configuración de la
agrupación, se mostrará un mensaje de confirmación. Seleccione Aceptar para
regresar a Configuración de agrupación SSL.
8. Si tiene un servidor de PCA adicional para añadir a la configuración de la
agrupación, repita el paso 3.
9. En el campo Parámetros de ajuste para host local, especifique el tamaño de la
memoria caché. La memoria caché contiene la información de sesión SSL para
el servidor local. El valor predeterminado es 256 MB.
10. Pulse Guardar cambios de la agrupación para guardar y aplicar la
configuración de la agrupación SSL.
La configuración de agrupación correspondiente a cada servidor de PCA de la
agrupación SSL debe añadirse a cada servidor de PCA. Inicie la sesión en la
consola web de cada servidor de PCA que pertenece a la agrupación SSL y repita
este procedimiento.
Para obtener información sobre la eliminación de un servidor de PCA de la
agrupación SSL, consulte “Eliminación de un servidor de PCA de una agrupación
SSL”.
Para obtener información acerca de los programas de utilidad de resolución de
problemas de las agrupaciones SSL, consulte “Resolución de problemas de la
agrupación SSL” en la página 283.
Eliminación de un servidor de PCA de una agrupación SSL
Siga estos pasos para eliminar un servidor de PCA de una agrupación SSL.
1. Vaya a la consola web de PCA.
2. Seleccione la pestaña SSL y desplácese hacia abajo hasta Configuración de
agrupación SSL.
3. Localice el servidor de PCA que desea eliminar de la agrupación SSL.
4. Seleccione X en la columna Suprimir para eliminar el servidor de PCA de la
configuración de la agrupación.
5. Pulse Guardar cambios de la agrupación para guardar y aplicar la
configuración de la agrupación SSL.
Para obtener información sobre la adición de un servidor de PCA de la agrupación
SSL, consulte “Configuración de agrupaciones SSL” en la página 204.
Capítulo 4. Configuración de CX PCA
205
Para obtener información acerca de los programas de utilidad de resolución de
problemas de las agrupaciones SSL, consulte “Resolución de problemas de la
agrupación SSL” en la página 283.
206
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Capítulo 5. Configuración de Packet Forwarder
IBM Tealeaf Packet Forwarder puede configurarse a través de los archivos de
configuración que se han almacenado en el directorio de instalación.
El escenario típico de un sitio web en la nube incluiría un equilibrador de carga
elástico (ELB) para distribuir el tráfico web a un nivel de servidor web
suministrado dinámicamente que consta de varias instancias de servidor web.
Cada instancia de servidor web podría tener instalada una Packet Forwarder para
reenviar el tráfico web capturado a una CX PCA centralizada. La CX PCA se
ejecuta en una instancia de máquina virtual y procesa el tráfico web. Después de
configurar correctamente la instancia de servidor web, se crea una instancia de de
máquina Amazon (AMI) para la instancia. La AMI se suministra dinámicamente
para proporcionar tantas instancias como sea necesario.
Nota: En el momento de esta publicación, es necesario que el número máximo de
instancias de servidor web sea conocido. El número de instancias de servidor web
se utiliza en la configuración del reenviador de paquetes para determinar el
número máximo de conexiones TCP activas que pueden conectarse al receptor de
sockets de PCA de destino.
Configuración del Packet Forwarder para comunicarse con la CX PCA
Para procesar tráfico web en un entorno basado en nube, debe configurarse un
reenviador de paquetes para transmitir datos a una CX PCA central que funcione
en una máquina virtual.
Deben completarse los siguientes requisitos previos antes de configurar el software
del reenviador de paquetes.
v Todas las operaciones de instalación y configuración deben completarse
utilizando la cuenta de usuario root. La utilización del mandato sudo puede que
no proporcione permisos suficientes para permitir realizar modificaciones de
parámetros del sistema y podría hacer que la instalación fuera incompleta o
incorrecta.
v Instale el software del reenviador de paquetes. Para obtener más información,
consulte “Instalación del reenviador de paquetes” en la página 33.
Siga los pasos siguientes para configurar el reenviador de paquetes y CX PCA para
la comunicación en el entorno basado en nube.
1. Localice /usr/local/ctccap/etc/fwdr-conf.xml en el servidor proxy inverso o
en el servidor web virtual que está alojando el transmisor del reenviador de
paquetes.
2. Haga una copia del archivo de configuración existente copiando
/usr/local/ctccap/etc/fwdr-conf.xml en un directorio de copia de
seguridad. Si el archivo de configuración está dañado o no es válido, puede
restaurarlo a partir de la copia de seguridad o crear un nuevo archivo de
configuración a partir de fwdr-conf-defaults.xml. fwdr-conf-defaults.xml
contiene los valores de configuración predeterminados para el reenviador de
paquetes.
3. Edite el archivo /usr/local/ctccap/etc/fwdr-conf.xml. Puede utilizar el
editor vi u otro editor de texto para editar el archivo de configuración.
© Copyright IBM Corp. 1999, 2015
207
4. Localice la etiqueta <PrimaryInterface> y edite el nombre de dispositivo NIC
virtual para el reenviador de paquetes. El reenviador de paquetes captura el
tráfico del servidor web. Para la mayoría de las instalaciones, eth0 se utiliza
como nombre de dispositivo.
5. Edite los números de puerto de modo que refleje los puertos de tráfico que se
utilizan para el servidor. La regla de filtro de tráfico de captura
predeterminada está definida para estar a la escucha de tráfico en el puerto 80
y 443.
Valores de puerto de ejemplo:
<ListenTos>
<ListenTo>
<Port>80</Port>
<Port>443</Port>
</ListenTo>
</ListenTos>
6. Localice la etiqueta Delivery y edite la conexión de red de entrega para el
reenviador de paquetes. Esto conecta el reenviador de paquetes a la instancia
de la máquina virtual de la CX PCA centralizada.
Valores de conexión de red de entrega de ejemplo:
<Peers>
<Peer>
<Address>127.0.0.1</Address&gt>
<Port>1888</Port>
</Peer>
</Peers>
7. Localice y edite la etiqueta <Address> y <Port> de modo que coincida con el
puerto y la dirección IP internos asignados de la CX PCA que está instalada
en la máquina virtual.
Valor de ejemplo para la dirección IP interna de máquina virtual de la CX
PCA:
Nota: La etiqueta <Port> define el número de puerto de la conexión de red
base. Este es un número de puerto base donde define el bloque de números
de puerto que pueden utilizarse para el número de instancias de servidor web
que pueden suministrarse. Por ejemplo, si sabe que habrá un máximo de cinco
instancias de servidor web que pueden suministrarse dinámicamente, el
bloque de puertos que se utilizan empiezan por 1888. En este ejemplo, se
utilizarán los números de puerto 1888 a 1892 basándose en el máximo de
cinco instancias.
<Peers>
<Peer>
<Address>127.0.0.1</Address>
<Port>1888</Port>
</Peer>
</Peers>
8. Localice y edite la etiqueta <MaxRotatePeers> para definir el número máximo
de instancias del servidor web que pueden suministrarse dinámicamente. El
valor predeterminado se establece en 1 para una instancia de servidor web
donde no se utiliza ninguna otra instancia del reenviador de paquetes en el
nivel del servidor web.
Nota: Si está asignando estáticamente un número fijo de instancias de
servidor web con reenviadores de paquetes asociados, <MaxRotatePeers>
permanecerá establecido en el valor predeterminado de 1. Cada reenviador de
paquetes tiene que configurarse con un número de puerto exclusivo para
identificar una conexión de red exclusiva con la instancia de máquina virtual
208
IBM Tealeaf CX Passive Capture Application: Manual de PCA
de la CX PCA centralizada. Los números de puerto deben asignarse en orden
secuencial. Esto es necesario para el receptor de sockets para la CX PCA
cuando se configura para las conexiones de red del reenviador de paquetes. Si
decide empezar con el número de puerto 1888 para el primer reenviador de
paquetes, cuando los defina será de 1888 a 1892.
9. Guarde los cambios en el archivo de configuración.
10. Debe configurar una instancia de receptor del reenviador de paquetes para
cada instancia de transmisor del Packet Forwarder que ha desplegado. Para
obtener más información, consulte “Configuración de un receptor del Packet
Forwarder y la CX PCA para recibir paquetes reenviados”.
Una vez que el reenviador de paquetes está en ejecución, también puede realizar
las siguientes acciones:
v Compruebe el estado de un reenviador de paquetes, ejecutando service pktfwdr
status.
v Detenga un reenviador de paquetes, ejecutando service pktfwdr stop.
v Vea las estadísticas para un reenviador de paquetes, ejecutando ctcstats -p.
Configuración de un receptor del Packet Forwarder y la CX PCA para
recibir paquetes reenviados
Para procesar el tráfico de la web en un entorno basado en nube, las instancias del
receptor del Packet Forwarder deben desplegarse en la CX PCA basada en nube
central que esté funcionando en una máquina virtual.
Para cada instancia de transmisor del reenviador de paquetes que se despliega,
también debe desplegar una instancia de receptor del Packet Forwarder en el
servidor de la CX PCA. Para obtener más información sobre la instalación del
reenviador de paquetes, consulte “Instalación del reenviador de paquetes” en la
página 33.
Complete los siguientes pasos para configurar los valores para un receptor de
paquetes.
1. Inicie la sesión en la consola web de la CX PCA. Para obtener más información,
consulte “Inicio de sesión de la Consola Web de PCA” en la página 70.
2. Cambie el número de instancias interconectadas en la pestaña Interconexión. En
función de si se han aplicado las reglas de privacidad de CX PCA, el número
predeterminado de procesos CX PCA pipelined se establece en uno. Esto
podría ser insuficiente y se puede aumentar para manejar la carga de proceso.
Esto da por supuesto que la instancia de VM tiene suficientes recursos, como
por ejemplo, suficientes núcleos de procesador para dar soporte al aumento.
3. Guarde los cambios en la CX PCA pero no reinicie la CX PCA en este
momento.
4. Edite el archivo de configuración de CX PCA ctc-conf.xml. Para obtener más
información, consulte “Archivo de configuración de captura pasiva
ctc-conf.xml” en la página 187.
5. Localice la sección con la etiqueta Capture en el archivo de configuración y
cambie el contenido de esta sección por:
<ListenerSocketEnabled>true</ListenerSocketEnabled>
<TransparentLoadBalancingEnabled>false</TransparentLoadBalancingEnabled>
<SslSessionInfoOnMemcachedServer>false</SslSessionInfoOnMemcachedServer>
Capítulo 5. Configuración de Packet Forwarder
209
Nota: Si la CX PCA está configurada para descifrar tráfico SSL que procede del
reenviador de paquetes, establezca <SslSessionInfoOnMemcachedServer> en
true.
6. Localice los valores de receptor de sockets y edite los valores para el entorno
de red.
El siguiente ejemplo muestra los valores de receptor de sockets
predeterminados:
<Listener>
<Module>pktr</Module>
<Logfile>/var/log/tealeaf/listener.log</Logfile>
<BasePort>1888</BasePort>
<Instances>1</Instances>
<Options>
<Option>
<Value>-p</Value>
</Option></Options>
</Listener>
La etiqueta BasePort define el número de puerto base que utilizan los
reenviadores de paquetes. Este debe ser el mismo número de puerto para CX
PCA para capturar correctamente tráfico procedente del reenviador de paquetes
o de los reenviadores de paquetes. El valor predeterminado es utilizar un
puerto base de 1888 y solo recibir de un único reenviador de paquetes.
La etiqueta Instances define el número máximo de reenviadores de paquetes
con los que CX PCA se conectará. Establezca este valor según el número total o
el número máximo tal como lo determina el número de reenviadores de
paquetes desplegados.
7. Guarde los cambios en ctc-conf.xml.
8. Inicie CX PCA. Para obtener más información, consulte “Iniciar PCA” en la
página 45.
9. Después de que CX PCA se haya reiniciado, puede iniciar el nivel del servidor
web y cualquier reenviador de paquetes. Ejecute service pktfwdr start para
iniciar el daemon del reenviador de paquetes.
Una vez que el receptor de reenviador de paquetes está en ejecución, también
puede realizar las siguientes acciones:
v Compruebe el estado de un reenviador de paquetes, ejecutando service pktfwdr
status.
v Detenga un reenviador de paquetes, ejecutando service pktfwdr stop.
v Vea las estadísticas para un reenviador de paquetes, ejecutando ctcstats -p.
210
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Capítulo 6. Claves SSL
Para descifrar las transmisiones mediante protocolo SSL, IBM Tealeaf CX Passive
Capture Application debe proporcionar las claves SSL en uso en la corriente de
transacción.
Revise y complete las instrucciones en esta sección para generar y exportar la clave
privada para el uso deIBM Tealeaf CX Passive Capture Application.
1. “Configuración de la clave cifrada SSL”
2. “Exportación de la clave privada SSL” en la página 216
3. “Generación de un certificado autofirmado” en la página 224
Configuración de la clave cifrada SSL
Para descifrar las conexiones SSL, los clientes deben proporcionar un software de
captura de pasivo con sus claves de SSL válidas.
Nota: Normalmente, claves privadas SSL se proporcionan en formato PEM y se
convierten para su uso en el PCA. Antes de empezar, verifique que cualquier
archivo PEM que planea convertir contiene la clave privada RSA y nada más. Por
ejemplo, no debe contener el certificado y la información de atributo erróneo.
v Los archivos PEM que contienen datos adicionales aún pueden convertirse y
añadirse al PCA. Sin embargo, el tráfico de claves SSL no puede ser
correctamente descifrado por el PCA utilizando estas claves y la aplicación no
emite errores ni advertencias.
Esta sección describe cómo preparar sus claves válidas de SSL para utilizarlas y
cargarlas en el PCA.
v Auto convertir: Puede permitir que el PCA convierta de manera automática
archivos PEM de texto simple a claves PTL cifradas en el servidor PCA. Estas
claves se cargan automáticamente en el PCA para su uso. Existen algunas
limitaciones en la configuración de este proceso, consulte“Conversión automática
de claves SSL” en la página 212.
v Conversión manual: si desea controlar cada paso del proceso de conversión,
puede seguir los pasos de conversión manual. Consulte “Pasos para convertir
manualmente las claves SSL” en la página 213.
Descripción general
El software no carga directamente la clave SSL. En su lugar, carga un archivo
cifrado que contiene la clave SSL y un ID hash específico de máquina.
v El cifrado protege el contenido de la clave SSL frente a accesos no autorizados.
El archivo se cifra utilizando el algoritmo 3DES.
v El hash específico de máquina impide que el archivo cifrado se utilice con otra
instalación de captura pasiva.
Nota: Como parte del proceso de generación de la clave PTL cifrada, algunos
datos exclusivos de la tarjeta de interfaz de red instalada en la máquina host
PCA están incorporados en la clave. Si añade, elimina NIC o mueve el PCA a un
© Copyright IBM Corp. 1999, 2015
211
nuevo equipo con diferentes tarjetas, debe volver a generar las claves de PTL
mediante la clave maestra de archivos PEM y las instrucciones que se
proporcionan.
Este archivo se almacena en el servidor de captura pasiva en el formato PTL de
propiedad. Después de que el archivo se carga y se configura, el archivo de claves
SSL original se puede suprimir.
Conversión automática de claves SSL
Puede utilizar un proceso de conversión automático para ayudarla a convertir las
claves SSL que se pueden importar a CX PCA.
Nota: La conversión automática requiere que las claves SSL se almacenen en el
directorio capturekeys en el servidor PCA. Si desea almacenarlas en un directorio
diferente o realizar otros cambios de configuración al proceso, les debe convertir
manualmente. Consulte “Pasos para convertir manualmente las claves SSL” en la
página 213.
Conversión automática de PEM a PTL en el servidor de CX
PCA
CX PCA puede generar automáticamente un archivo PTL a partir de un archivo
PEM durante el arranque.
Cuando tenga un archivo PEM, CX PCA puede generar el PTL.
Nota: Este proceso sólo funciona para archivos PEM sin protección de contraseña.
1. Copie el archivo PEM al siguiente directorio:
/usr/local/ctccap/etc/capturekeys
Nota: Este proceso elimina el archivo PEM en este directorio. Asegúrese de
retener una copia en otra ubicación.
2. Reinicie el IBM Tealeaf CX Passive Capture Application software.
3. Durante el arranque, CX PCA convierte automáticamente el PEM en una clave
PTL. Por ejemplo, si el archivo myprivatekey.pem genera una clave PTL
denominada myprivatekey.ptl.
v El archivo PEM (myprivatekey.pem) se elimina del directorio.
4. Para verificar que la clave PTL se cargó correctamente, revise el archivo de
regristro de capturas (var/log/tealeaf/capture.log). Si el PTL se cargó
correctamente, un mensaje similar al siguiente debe aparece en el registro:
reassd[4681]: Autoloaded key file:
/usr/local/ctccap/etc/capturekeys/myprivatekey.ptl
Nota: Después de verificar una conversión satisfactoria, elimine los archivos PEM
desde el directorio capturekeys. Siempre que se inicia o reinicia CX PCA, se
sondea este directorio en busca de archivos y éstos se vuelven a convertir.
Conversión de la clave privada PFX SSL a PTL
Si posee una clave privada PFX de un origen desconocido, puede utilizar los
siguientes mandatos para hacer de él una clave PTL para utilizarlo con Tealeaf:
1. Descifre el archivo y vuelva a nombrarlo como un archivo PEM al ejecutar el
siguiente mandato en la máquina Host de captura pasiva:
openssl pkcs12 -nodes -nocerts -in key1.pfx -out key1.pem
212
IBM Tealeaf CX Passive Capture Application: Manual de PCA
2. Cuando se le solicite la contraseña de importación, escriba la contraseña que se
utilizó cuando se exporte el certificado a un archivo PFX. Debe recibir el
siguiente mensaje:
MAC verified OK.
3. Para validar el archivo resultante del mandato pkcs12:
openssl rsa -check -noout -in <private_key_filename>
Pasos para convertir manualmente las claves SSL
En las siguientes secciones se describe cómo realizar pasos manuales para convertir
certificados en claves que el PCA puede utilizar.
Carga de CX PCA con claves SSL
En esta sección puede obtener información acerca de cómo cargar PCA con claves
SSL.
Para cargar CX PCA con claves SSL, debe:
1. Cargar CX PCA con las claves SSL necesarias.
2. Vaya a la consola web de CX PCA y al separador Claves SSL.
3. Edite la configuración para añadir los archivos .PTL necesarios.
Carga de CX PCA con archivos de claves SSL
Utilice los pasos siguientes para cargar CX PCA con una o varias claves SSL.
Para cargar la captura pasiva con una o más claves SSL:
1. Adquiera un archivo PEM para cada clave SSL. Suele ejecutar este paso en el
servidor web que contiene las claves SSL. El software de captura pasiva
necesita la clave SSL para estar en formato PEM y que el nombre del archivo
finalice con una extensión .pem. El archivo PEM es un archivo de texto ASCII
que contiene la clave SSL en un formato codificado. Este es un ejemplo se una
clave SSL en formato PEM:
-----BEGIN RSA PRIVATE KEY----MII ... (many lines of encoding here)
....
-----END RSA PRIVATE KEY-----
Si el servidor web no almacena sus claves privadas en formato PEM, deberá
exportar las claves y posiblemente convertirlas al formato PEM. Por
procedimientos de exportación, consulte la sección“Exportación de la clave
privada SSL” en la página 216.
2. Transfiera los archivos PEM al directorio /usr/local/ctccap/etc en la máquina
de host de captura pasiva.
3. Inicie sesión en la máquina host de la captura pasiva como usuario root y vaya
al directorio /usr/local/ctccap/etc.
4. Cifrar los archivos PEM para producir un archivo PTL.
a. Utilice el mandato tealeaf pem2ptl para generar los archivos PTL para uno
o más archivos PEM. Por ejemplo, si tiene dos archivos PEM
denominadosserver1.pem y server2.pem, puede generar archivos PTL para
ambos utilizando el siguiente mandato:
tealeaf pem2ptl server1.pem server2.pem
El mandato anterior crea archivos denominados server1.ptl y server2.ptl
en el mismo directorio que los archivos PEM.
Capítulo 6. Claves SSL
213
v El mandato tealeaf pem2ptl no crea archivos PTL si ya existen. El
mandato establece la propiedad y permisos de los archivos PTL
resultantes para permitir solamente al usuario ctccap acceder a los
archivos.
b. Si posee una publicación anterior del paquete Tealeaf-pca que no
proporciona el mandato tealeaf pem2ptl, utilice los siguientes mandatos
para cada archivo PEM que desee cifrar, sustituyendo server1.pem con el
nombre de su archivo PEM:
/usr/local/ctccap/bin/tltenc -in server1.pem
chmod u=rw,go= server1.ptl
chown ctccap server1.ptl
Para convertir varios archivos PEM, utilice los mandatos ls y xargs para
cifrarlos. a siguiente línea de mandatos debe escribirse en una línea. Utiliza
el mandato ls para generar una lista de nombres de archivos. La barra
vertical permite que el mandato xargs utilice esta lista y ejecute el programa
de utilidad tltenc mediante el uso de cada nombre de archivo en la lista.
ls -1 server1.pem server2.pem server3.pem | xargs -L 1 -t \
/usr/local/ctccap/bin/tltenc -in
Después de ejecutar el mandato anterior, utilice los siguientes mandatos
para establecer la propiedad y los permisos de todos los archivos PTL.
Resulta seguro utilizar comodines porque la propiedad y los permisos son
los que necesita el PCA para acceder a cualquier archivo PTL.
chmod u=rw,go= *.ptl
chown ctccap *.ptl
5. Elimine los archivos PEM de la máquina host de captura pasiva. Espere hasta
confirmar que la captura pasiva decodificó correctamente conexiones SSL antes
de suprimir los archivos PEM.
Después de que las claves SSL están cargadas en una máquina host de captura
pasiva y cifradas en archivos PTL, configure captura pasiva para utilizar los
archivos PTL. Cuando debe configurar algunos archivos PTL, utilice el separador
Claves SSL en la consola web. Cuando configura archivos PTL, le puede resultar
más fácil utilizar un editor de texto como nano o vi para editar el archivo de
configuración directamente.
Carga de PCA con consola web
Para utilizar el separador de consola web Claves SSL:
1. Inicie sesión en la consola web de captura pasiva con un explorador web.
2. Pulse el separador Claves SSL.
3. Pulse Cargados en la parte superior de la página para visualizar las claves SSL
cargadas.
4. Escriba una clave de etiqueta de HTTPS descriptiva en el campo Etiqueta.
5. Escriba el nombre completo de vía de acceso para el archivo PTL en el campo
de nombre de archivo Archivo de claves. Por ejemplo: /usr/local/ctccap/etc/
server1.ptl.
6. Pulse Añadir. La entrada recién añadida para el archivo PTL se visualiza en la
página actualizada.
7. Repita los pasos 4 a 6 para cada archivo PTL que desee utilizar por la captura
pasiva.
8. Pulse Guardar cambios para guardar los archivos PTL añadidos al archivo de
configuración. Los programas de captura se reinician y utilizan los nuevos
archivos PTL que agregó.
214
IBM Tealeaf CX Passive Capture Application: Manual de PCA
9. Si la captura no se puede iniciar, visualice capture.log para determinar el
motivo.
Adición de archivos PTL
Puede añadir manualmente los archivos PTL a su configuración de CX PCA
editando el archivo ctc-conf.xml.
Para editar el archivo de configuración para añadir archivos PTL:
1. Inicie sesión en la máquina host de la captura pasiva como usuario root y vaya
al directorio /usr/local/ctccap/etc.
2. Edite el archivo de configuración de captura pasiva ctc-conf.xml.
3. Busque la línea siguiente:
<CaptureKeys></CaptureKeys>
4. Si ya se ha configurado la captura pasiva con archivos PTL, los etiquetas
<CaptureKeys> y </CaptureKeys> están en líneas separadas.
5. Añada una entrada <CaptureKey> para cada archivo PTL entre <CaptureKeys> y
</CaptureKeys>. Cada entrada requiere una etiqueta y el nombre completo de
vía de acceso del archivo PTL. Por ejemplo, la entrada <CaptureKey> para un
archivo PTL hipotético denominado /usr/local/ctccap/etc/web1.ptl se
parecería a la siguiente:
<CaptureKey>
<Label>Web1 Key </Label>
<PrivateKeyFile>/usr/local/ctccap/etc/web1.ptl</PrivateKeyFile>
</CaptureKey>
A continuación, se muestra un ejemplo de dos entradas <CaptureKey>
configuradas en una máquina host de captura pasiva:
<CaptureKeys>
<CaptureKey>
<Label>Web1 Key </Label>
<PrivateKeyFile>/usr/local/ctccap/etc/web1.ptl</PrivateKeyFile>
</CaptureKey>
<CaptureKey>
<Label>Web2 Key </Label>
<PrivateKeyFile>/usr/local/ctccap/etc/web2.ptl</PrivateKeyFile>
</CaptureKey>
</CaptureKeys>
6. Guarde los cambios en el archivo de configuración y salga del editor.
7. Reinicie los programas de captura utilizando los mandatos siguientes:
Tealeaf stop capture
Tealeaf start capture
8. Si la captura no se puede iniciar, visualice capture.log para determinar el
motivo.
9. Inicie sesión en la consola web de la captura pasiva con un navegador web y
pulse el separador Claves SSL para ver los archivos PTL que ha configurado.
Archivos PTL cargados de forma automática
A través de la consola web, puede cargar automáticamente certificados SSL en un
texto legible .pem o en un formato protegido con contraseña .pfx.
Nota: Por razones de seguridad, esta funcionalidad sólo está accesible a través de
SSL con un usuario autenticado. Si no accede a esta página a través de https, sólo
podrá visualizar las claves de PTL existentes.
1. Abra la consola web.
2. Pulse el separador Claves SSL.
Capítulo 6. Claves SSL
215
3. Pulse el enlace Claves de captura en la parte superior de la página.
4. Se visualiza la siguiente página:
Figura 42. Carga de claves
5. Para seleccionar un archivo, pulse Examinar....
6. Si la clave .pem es un archivo protegido con una clave .pfx, escriba la clave en
el campo Contraseña.
v Si el archivo es un texto legible .pem, deje el campo Contraseña en blanco.
7. Para convertir el certificado con una clave, pulse Cargar.
General
v Las claves convertidas están almacenadas en /usr/local/ctccap/etc/
capturekeys.
v Los archivos pem o pfx cargados que son claves válidas se convierten a ptl.
v Los archivos comprimidos cargados que contienen archivos pem válidos tienen
su contenido que se convierte a ptl.
v Sobre la terminación de una conversión, todos los archivos que no son ptl se
eliminan de/usr/local/ctccap/etc/capturekeys.
v Después de que se cargan los archivos necesarios, el PCA debe reiniciarse en el
separador Consola.
pfx
v Las claves protegidas con contraseñas (pfx) se convierten solamente si se
proporciona la contraseña correcta.
v Las claves protegidas por contraseñas se convierten directamente en archivos ptl.
pem
v Los archivos comprimidos deben ser planos (sin directorios).
v Los archivos comprimidos solamente pueden contener archivos pem.
Exportación de la clave privada SSL
En casos donde el tráfico de aplicación web se transmite a través de HTTPS, el
software de captura pasiva se debe configurar para descifrar la conexión SSL. Esta
configuración requiere la exportación de una copia de la clave privada desde un
servidor web existente para el software de captura pasiva.
Nota: Estas instrucciones se proporcionan para exportar claves privadas desde
sistemas de terceros en los que Tealeaf no es un componente. Esta información se
216
IBM Tealeaf CX Passive Capture Application: Manual de PCA
proporciona con fines de referencia solamente y no está soportada por Tealeaf.
Tealeaf no asume ninguna responsabilidad por estas instrucciones. Consulte la
documentación que se proporciona con el servidor web del producto.
Para obtener más información sobre la conversión de claves SSL para utilizarlas en
el PCA, consulte “Configuración de la clave cifrada SSL” en la página 211.
IIS 5 y 6 de Microsoft
Las siguientes instrucciones proporcionan los pasos para exportar la clave privada
desde IIS en un formato PKCS #12 (*.PFX), utilizando el certificado de asistente de
exportación IIS de Microsoft.
v Para obtener más información sobre cómo convertir un PFX desde un origen
distinto a IIS, consulte “Configuración de la clave cifrada SSL” en la página 211.
1. Inicie el gestor de Internet Information Service.
2. En el panel izquierdo, bajo el nombre de la máquina local, pulse en la carpeta
sitios web.
3. En el panel del lado derecho, pulse con el botón derecho del ratón Sitio web
predeterminado y seleccione Propiedades.
4. Pulse la pestaña Seguridad de directorio.
5. Pulse Visualizar certificado para visualizar el certificado.
6. Pulse en la pestaña Detalles.
7. Pulse Copiar en archivo.... Se inicia el asistente de exportación de certificados.
8. Pulse Siguiente. Aparece la ventana de Exportar clave privada.
9. Seleccione el botón de selección Si, exportar la clave privada y después
pulse Siguiente. Aparece la ventana de archivo de exportación de formato.
10. Seleccione el botón de selección Intercambio de información personal - PKCS
#12 (.PFX). Seleccione Habilitar protección segura e Incluir todos los
certificados en la vía de acceso del certificado si es posible. Pulse
Siguiente. Aparece la ventana de contraseña.
11. Si es necesario, ingrese la contraseña. Esta contraseña proporciona acceso
protegido al archivo si el sistema se configura para solicitar una contraseña.
12. Pulse Siguiente. Aparece la ventana para exportar el archivo.
13. Especifique o examine en busca del nombre de archivo, y a continuación,
pulse el botón Siguiente. Aparece la ventana Completar el certificado de
asistente de exportación.
14. Pulse el botón Finalizar. El certificado se exporta al archivo y se muestra un
mensaje que lo indica.
15. Copie el archivo en la máquina de host de captura pasiva de Tealeaf.
Asegúrese de que su nombre sea descriptivo para el servidor desde el que se
ha exportado.
16. Descifre el archivo y cambie su nombre como un archivo PEM ejecutando el
siguiente mandato en la máquina host de captura pasiva:
openssl pkcs12 -nodes -nocerts -in key1.pfx -out key1.pem
17. Cuando se le solicite la contraseña de importación, escriba la contraseña que
se utilizó al exportar el certificado a un archivo PFX. Debe recibir el siguiente
mensaje:
MAC verified OK.
18. Para validar el archivo resultante del mandato pkcs12:
openssl rsa -check -noout -in <private_key_filename>
Capítulo 6. Claves SSL
217
IIS 3.0 y 4.0 de Microsoft
Las siguientes instrucciones proporcionan los pasos para exportar la clave privada
desde IIS 3.0 y 4.0 de Microsoft.
1. Exportar un archivo de copia de seguridad de los certificados del gestor de
claves.
2. Desde el menú de claves en el gestor de claves, seleccione Exportar clave y
después seleccione Archivo de copia de seguridad.
3. Después de leer el aviso sobre cómo bajarse información confidencial en el
disco duro, pulse aceptar.
4. Escriba el nombre de clave en el recuadro Nombre de archivo, y pulse
Guardar. Al archivo se le dará una extensión *.KEY y se guarda en un disco
de 3 1/2 pulgadas en la unidad A: o en la unidad de disco duro.
5. Transfiera los archivos de clave al directorio/usr/local/ctccap/etc en la
máquina host de captura pasiva.
6. Inicie sesión en la máquina de host de captura pasiva como un usuario root.
7. Ejecute los siguientes mandatos para generar un archivo PEM desde el archivo
de claves IIS. Es posible que se le solicite una contraseña si la clave privada
está protegida con contraseña. Los siguientes mandatos utilizan varios
nombres de archivos como ejemplos:
cd /usr/local/ctccap/etc
./sbin/iis-extract-net-key.pl iis.key > iis-net.key
./bin/openssl rsa -inform NET -in iis-net.key -out iis.pem
iis.key: El archivo de claves IIS que se exporta desde el servidor web IIS y se
transfiere a la máquina host de captura pasiva
iis-net.key: La parte de iis.key en el formato NET
iis.pem: La clave resultante en formato PEM
8. Valide el archivo utilizando OpenSSL:
../bin/openssl rsa -check -noout -in iis.pem
9. Valide el resultado:
Si el resultado es RSA key OK, entonces la clave se convirtió correctamente.
Si el resultado es Enter pass phrase for iis.pem, entonces la clave está
cifrada.
Si el resultado es otro mensaje o un mensaje de error, entonces el archivo está
ya sea en el formato equivocado, o no es una clave.
10. Con un archivo PEM válido, ahora puede suprimir los archivos de claves IIS.
SunOne (iPlanet) 6.0
Las siguientes instrucciones proporcionan los pasos para exportar las claves
privadas desde SunOne 6.0:
Nota: Este procedimiento requiere que se instale OpenSSL en el servidor web del
que se está extrayendo la clave.
1. Recopile el decibelio del certificado y el decibelio de la clave para la instancia
de la que extrae la clave. Normalmente, está disponible en SERVER_ROOT/alias.
2. Añada lo siguiente a la variable PATH:
SERVER_ROOT/bin/https/admin/bin
3. Añada lo siguiente a la variable LD_LIBRARY_PATH:
SERVER_ROOT/bin/https/lib:$\{LD_LIBRARY_PATH\}
4. Exporte PATH; LD_LIBRARY_PATH
218
IBM Tealeaf CX Passive Capture Application: Manual de PCA
5. Este programa de utilidad pk12util se utiliza para exportar el certificado desde
la base de datos hacia el formato de clave. Al exportar la clave, se le solicitará
que especifique la contraseña de clave. Ejecute pk12util con la siguiente opción:
pk12util -o <export filename> -n <cert filename> -d <certdir> -P <db \
filename prefix for Sun DS>
Nota:
-o - El nombre del archivo al que se exporta el certificado.
-d - Opción que se utiliza par especificar la ubicación del directorio de
certificados (Vía de acceso a cert8.db/key3.db)
-P - Opción que se utiliza para especificar el nombre del prefijo decibelio
(opcional)
Ejemplos:
pk12util -o myCert.pk12 -n webServer.cert -d /sun/alias
pk12util -o myCert.pk12 -n webServer.cert -d /sun/alias -P "https-hostname-"
6. Al utilizar Open SSL, convierta este archivo al formato PEM requerido
mediante el uso de la siguiente opción:
openssl pkcs12 -nodes -nocerts -in {Certname} -out https-{webinstance}.pem
Nota:
-in - Opción que se utiliza para especificar el archivo de entrada binario y es el
archivo que especificó como el archivo con el -d en el paso 4.
-out - Opción que se utiliza para especificar el archivo de salida ASCII.
Resolución de problemas de iPlanet 6.0
Si encuentra el siguiente error de DLL que establece pk12util: find cert by
nickname failed: Failure to load dynamic library, entonces realice los
siguientes pasos:
1. Ejecute el mandato siguiente:
wib@<servername>$ ldd pk12util
2. Copie los siguientes archivos al directorio /usr/lib:
Archivo
Ubicación de origen
libssl3.so
/opt/netsite/SunOne6.1/bin/https/lib/libssl3.so
libsmime3.so
/opt/netsite/SunOne6.1/bin/https/lib/libsmime3.so
libnss3.so
/opt/netsite/SunOne6.1/bin/https/lib/libnss3.so
libplc4.so
/opt/netsite/SunOne6.1/bin/https/lib/libplc4.so
libplds4.so
/opt/netsite/SunOne6.1/bin/https/lib/libplds4.so
libnspr4.so
/opt/netsite/SunOne6.1/bin/https/lib/libnspr4.so
Capítulo 6. Claves SSL
219
libthread.so.1
/usr/lib/libthread.so.1
libnsl.so.1
/usr/lib/libnsl.so.1
libsocket.so.1
/usr/lib/libsocket.so.1
librt.so.1
/usr/lib/librt.so.1
libdl.so.1
/usr/lib/libdl.so.1
libc.so.1
/usr/lib/libc.so.1
libpthread.so.1
/usr/lib/libpthread.so.1
libmp.so.2
/usr/lib/libmp.so.2
libaio.so.1
/usr/lib/libaio.so.1
libnspr_flt4.so
/opt/netsite/SunOne6.1/bin/https/lib/cpu/sparcv8plus/
libnspr_flt4.so
libc_psr.so.1
/usr/platform/SUNW,Sun-Fire-480R/lib/libc_psr.so.1
3. Copie el cert y la clave dbs a cualquier directorio. A continuación, haga lo
siguiente en ese directorio para verificar su nombre:
ls -la
/opt/netsite/SunOne6.1/alias
v A continuación aparece la salida:
drwxr-xr-x 3 wib webmaster 1024 Feb 15 11:26.
drwxr-xr-x 15 wib webmaster 1024 Nov 26 23:25 ..
drwxr-xr-x 7 wib webmaster 1024 Dec 7 12:53 certs
-rwxr-xr-x 1 wib webmaster 2481 Feb 15 07:40 gte.pem
-rwxr-xr-x 1 wib webmaster 212992 Feb 15 12:52
https-<www.company.com>-<servername>-cert8.db
-rwxr-xr-x 1 wib webmaster 65536 Feb 15 12:52
https-<www.company.com>-<servername>-key3.db
-rwxr-xr-x 1 wib webmaster 32768 Feb 15 07:40 secmod.db
4. Ejecute el mandato pk12util. Incluya el nombre de certificado completo en la
opción -P, incluyendo el nombre de servidor y el guión (-) en el nombre del
archivo (nada antes de cert8 o key3):
pk12util -o https-sunone.<URL> -n Server-Cert \
-d /opt/netsite/SunOne6.1/alias -P https-<www.company.com>-<servername>\-
5. Se crea un nuevo archivo en el directorio que se especifica en la opción -d que
tiene el nombre de dominio sin ninguna extensión.
Sun iPlanet 4.x
Las siguientes instrucciones proporcionan los pasos para exportar la clave privada
desde la versión 4 de Sun iPlanet.
1. Inicie sesión en el servidor web como root.
2. Copie el certificado y clave de iPlanet.
220
IBM Tealeaf CX Passive Capture Application: Manual de PCA
3.
4.
5.
6.
7.
a. Los archivo de instancia de iPlanet se encuentran en /apps/netscape/
server4/alias/.
b. Copie la instancia iPlanet del archivo https-name**Key3.db hacia
/.netscape/key3.db.
c. Copie la instancia iPlanet del archivo https-name-*cert7.db hacia
/.netscape/cert7.db.
Copie la instancia iPlanet secmod.db hacia /.netscape/secmodule.db.
Configure X-display hacia el escritorio.
Inicie el navegador Netscape desde el servidor web (/opt/netscape/netscape).
Pulse el icono de bloqueo Seguridad.
En el diálogo, pulse Certificados, y luego pulse Suyo (como se muestra en la
siguiente figura).
Figura 43. - Sus certificados
8. Pulse sus certificados y, a continuación, pulse Exportar. El nombre
predeterminado es Server-Cert.
9. Escriba la contraseña para el archivo de clave privada DB.
10. Escriba una contraseña para proteger el archivo a exportar.
11. Guarde el archivo exportado en /.netscape/xxxxx.p12, donde el nombre del
archivo es xxxxx.
12. Cerrar el navegador Netscape.
Capítulo 6. Claves SSL
221
Apache 1.3.x, 2.0.x
Las siguientes instrucciones proporcionan los pasos para exportar la clave privada
de Apache versiones 1.3.x y 2.0.x.
Nota: Este procedimiento requiere que se instale OpenSSL en el servidor web del
que se está extrayendo la clave.
1. Si la clave se cifra, conviértalos en una tecla sin cifrar. El mandato básico sería:
openssl rsa -in <old_private_key_filename> -out <new_private_key_filename>
Nota: Necesita la contraseña para realizar esta conversión.
2. Extraiga la clave desde el directorio /etc/httpd/conf/ssl.key.
3. Cambie el nombre del archivo para tener una extensión .PEM.
4. Valide el archivo utilizando OpenSSL:
openssl rsa -check -noout -in <private_key_filename>
5. Valide el resultado: Si el resultado es clave RSA aceptar, entonces la clave se
exportó correctamente.Si el resultado es Escribir la frase de contraseña
para <private_key_filename>, entonces es una clave, pero cifrada.Si el
resultado es otro mensaje o un mensaje de error, entonces está ya sea en el
formato equivocado, o no es una clave.
Servidor HTTP de IBM
Las siguientes instrucciones proporcionan los pasos para exportar la clave privada
desde el servidor HTTP de IBM.
1. Seleccione el certificado en iKeyMan, y después seleccione Archivo > Exportar.
2. Guarde el archivo con la extensión PFX, establezca una contraseña y seleccione
cifrado débil.
3. Transfiera el archivo (en modalidad binario) a la máquina host de captura
pasiva.
4. Inicie sesión en la máquina de host de captura pasiva como usuario de raíz.
Ejecute el mandato siguiente:
openssl pkcs12 -nodes -nocerts -in x.pfx -out x.pem
5. Escriba la contraseña establecida cuando exportó el archivo.
6. Valide el archivo utilizando OpenSSL:
openssl rsa -check -noout -in key1.pem
7. Valide el resultado:
Si el resultado es clave RSA aceptar, entonces la clave se exportó
correctamente.
Si el resultado es Escribir la frase de contraseña para
<private_key_filename>, entonces es una clave, pero cifrada.
Si el resultado es otro mensaje o un mensaje de error, entonces está ya sea en el
formato equivocado, o no es una clave.
Exportación desde un almacén de claves (JKS) Java
El almacén de claves Java™ es la implementación predeterminada para certificados
y gestión de claves en aplicaciones Java. Por motivos de seguridad, no se
proporciona un método simple para extraer la clave privada del almacén de claves.
Un ejemplo común de exportación es utilizar la clave en un servidor web Apache
utilizando el estándar PEM.
222
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Si el almacén de claves está configurado para utilizar OpenSSL para crear su
certificado digital, entonces la clave privada está disponible de forma
transparente.
v Sin embargo, si está utilizando ikeyman (IHS) o la herramienta de claves basada
en Java, las funciones de exportación de claves privadas no se proporcionan por
razones de seguridad.
– Hay un método alternativo para la exportación desde la herramienta de
claves. Consulte“Solución temporal de la herramienta de claves Java”.
La clave privada es necesaria para convertir un certificado firmado con formato
DER que se recibe desde una entidad emisora de certificados a un formato PKC12,
que puede utilizar Tealeaf. Utilización de ikeyman para generar el certificado
original, puede recibir el certificado firmado de una entidad emisora de
certificados.
v ikeyman puede recibir un certificado en DER binario o en formato codificado en
base 64.
v ikeyman puede importar desde formatos CMS, JKS, JCEKS o PKCS12.
Nota: La extracción desde entornos de servidor HTTP de IBM requieren un paso
adicional para guardar la base de datos CMS como JKS a través de ikeyman.
Después de la conversión, la extracción funciona como si la base de datos
estuviera en un formato JKS nativo.
Las claves PEM se pueden exportar a continuación a un formato DER, que puede
ser consumido por Apache. Para exportar la clave privada desde JKS, debe
encontrar y compilar soluciones de origen Java.
v Por ejemplo, visitehttp://se9.blogspot.com/2008/10/extracting-private-keyfrom-java.html.
v Otros métodos se describen en detalle en internet.
Para revisar una clave PEM en un formato DER, utilice los siguientes mandatos:
v Para un certificado recibido de una entidad emisora de certificados:
openssl x509 -noout -text -in CRT.der
v Para una clave privada RSA:
openssl rsa -noout -text -in rsa.key
Solución temporal de la herramienta de claves Java
De forma predeterminada, la herramienta de claves deJava no proporciona medios
directos para exportar la clave privada. Sin embargo, si la versión del programa de
utilidad admite la exportación de un tipo de almacén de claves JKS hacia un
formato diferente de almacén de claves, entonces es capaz de aplicar el siguiente
método alternativo.
Nota: Si la herramienta de claves no admite esta exportación de almacén de claves,
los métodos en la sección anterior se pueden aplicar.
Para exportar mediante el uso de la herramienta de claves de Java:
En el siguiente ejemplo, el almacén de claves JKS se exporta a pkcs12, la cual
Tealeaf puede consumir.
1. Exporte el almacén de claves hacia uno diferente. En el siguiente ejemplo, el
almacén de claves se exporta a un tipo pkcs12 con un solo mandato:
Capítulo 6. Claves SSL
223
keytool -importkeystore -srckeystore test-app.keystore
-destkeystore mystore.p12 -srcstoretype JKS -deststoretype PKCS12
-srcstorepass test-app-pwd -deststorepass test-app-pwd
-srcalias test-app -destalias test-app -srckeypass test-app-pwd
-destkeypass test-app-pwd -noprompt
donde:
v test-app.keystore = vía de acceso al almacén de claves de aplicación
v mystore.p12 = vía de acceso al almacén de claves con destino pkcs12
v JKS = tipo de almacén de claves de origen. Se debe establecer en JKS.
v PKCS12 = tipo de almacén de claves de destino. Se deben establecer en PKCS12
cuando se exporta a pkcs12.
v test-app-pwd = la contraseña al almacén de claves se puede utilizar para
almacén de claves de origen y contraseñas de claves y lo mismo para las de
destino.
v test-app = el alias para el almacén de claves puede ser el mismo para el
origen y el destino.
2. Cuando el almacén de claves se exporta a PKCS12, puede utilizar openssl para
exportar la clave privada desde un archivo de claves pkcs12 formateado:
openssl pkcs12 -in mystore.p12 -out mystore.pem \
-passin pass:test-app-pwd -passout pass:test-app-pwd
3. La clave privada protegida por una contraseña ahora está contenida en
mystore.pem.
4. Tealeaf puede consumir esta clave privada.
v Para obtener más información sobre validar claves PEM, consulte
“Generación de un certificado autofirmado”.
v Para obtener más información sobre la importación de la clave, consulte
“Configuración de la clave cifrada SSL” en la página 211.
Generación de un certificado autofirmado
Para generar un certificado autofirmado, debe utilizar el programa de utilidad
openssl para generar una clave privada y un certificado autofirmado para esa
clave.
El paquete Tealeaf-pca proporciona la utilidad openssl en el directorio
/usr/local/ctccap/bin.
Los siguientes pasos suponen que inició sesión en la máquina host de captura
pasiva como un usuario root. Para generar un certificado autofirmado:
1. Genere una clave privada. En el ejemplo siguiente se genera un archivo de
clave RSA de 2048 bits denominado ejemplo.clave:
/usr/local/ctccap/bin/openssl genrsa -out example.key 2048
2. Genere un certificado autofirmado.En el siguiente ejemplo se genera un archivo
de certificado autofirmado denominado example.crt mediante el uso del
archivo de clave privada example.key que se generó en el paso 1. Con la opción
-days 365, el certificado es válido durante los siguientes 365 días (un año):
/usr/local/ctccap/bin/openssl req -x509 -days 365 -newkey rsa:2048 -key \
example.key -out example.crt
El mandato openssl req solicita de manera interactiva varios valores. La
siguiente tabla muestra las solicitudes y las respuestas de ejemplo:
224
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Solicitud
Respuesta de ejemplo
Nombre de país (código de 2 letras)
Estados Unidos
Estado o provincia (nombre completo)
California
Nombre de la localidad (por ejemplo, ciudad)
San Francisco
Nombre de la organización (por ejemplo, la compañía)
Tealeaf, una compañía de IBM
Nombre de la unidad organizativa (por ejemplo, sección)
Ingeniería de release
Nombre común (por ejemplo, su nombre)
pca.Tealeaf.com
Dirección de correo electrónico
[email protected]
El nombre común debe ser el nombre DNS totalmente calificado de la máquina
host de captura pasiva. Si la máquina host no tiene un nombre DNS asignado,
a continuación, utilice la dirección IP de la máquina.
3. Ahora, establezca la propiedad y los permisos de archivo adecuados:
a. Todos los archivos de clave privada debe ser legibles sólo para los que la
cuenta de usuario necesita acceso de lectura al archivo. Los siguientes
mandatoschmod y chown establecen la propiedad y los permisos de modo
que solamente los procesos de captura ejecutándose como ctccap pueden
acceder al archivo example.key:
chmod go= example.key
chown ctccap example.key
b. Coloque los archivos en un directorio accesible para la cuenta de usuario.
Para certificados y archivos de claves que se utilizan mediante el software
de captura pasiva, ubique los archivos en el directorio /usr/local/ctccap/
etc.
Utilización del algoritmo SHA-2 para generar el certificado
autofirmado
De forma predeterminada, el mandato openssl utiliza el algoritmo SHA-1 para
generar el certificado autofirmado en el PCA.
De manera opcional, puede utilizar SHA-2 para la firma digital hash mediante la
adición de la opción -sha256, como en el siguiente mandato:
Nota: El siguiente mandado está admitido in PCA Build 3500 o posterior.
/usr/local/ctccap/bin/openssl req -x509 -sha256 -days 365 -newkey rsa:2048 \
-key example.key -out example.crt
Si no es PCA Build 3500 o posterior, puede generar la clave SHA-2 en otro
sistemaLinux. Para determinar si es posible, ejecute el siguiente mandato en un
entorno que no sea de PCA:
openssl dgst ?h
La siguiente línea se puede visualizar en la salida generada:
Capítulo 6. Claves SSL
225
-sha256
to use the sha256 message digest algorithm
Si se visualiza el mandato anterior, entonces la instalación de Linux acepta la
opción SHA-2. Puede ejecutar el siguiente mandato sin proporcionar la vía de
acceso específica de PCA:
openssl req -x509 -sha256 -days 365 -newkey rsa:2048 -key example.key -out \
example.crt
Generación de una solicitud de certificado firmado para uso interno de
CA
Si desea utilizar su propia autoridad de certificación interna (CA) para generar un
certificado firmado, realice los siguientes pasos.
Los pasos siguientes utilizan el programa de utilidad openssl como el programa de
utilidad de ejemplo, aunque se pueden utilizar otros programas de utilidad.
1. Adquiera una clave privada RSA de 2048 bits. Esta clave se puede auto generar
como en el siguiente ejemplo, que utiliza la vía de acceso de instalación de
PCA predeterminada para acceder al openssl de PCA cmd:
/usr/local/ctccap/bin/openssl genrsa -out example.key 2048
2. Utilice la clave privada RSA para crear la petición del certificado firmado
(CSR). Si el archivo de claves es example.key, entonces el siguiente cmd genera
un archivo CSR cert_req.csr:
/usr/local/ctccap/bin/openssl req -new -key example.key -out cert_req.csr
Si el mandato anterior genera un mensaje de error que hace referencia a
openssl.cnf, entonces se debe configurar la vía de acceso de instalación de
PCA para ubicar de manera correcta el archivo openssl.cnf. En este caso,
puede aplicar la opción -config para definir la nueva, no predeterminada vía
de instalación. En el siguiente ejemplo, esta vía de acceso es /opt/tealeaf.
/opt/tealeaf/bin/openssl req -new -config /opt/tealeaf/ssl/openssl.cnf -key \
example.key -out cert_req.csr
3. Durante la generación de la CSR utilizando uno de los mandatos anteriores, se
le solicitarán valores de certificado público. Para obtener más información
acerca de los valores de inserción, consulte “Generación de un certificado
autofirmado” en la página 224.
4. Cuando el archivo CSR se generó de forma satisfactoria, se puede utilizar por
parte del CA interno para completar el proceso para crear el certificado
firmado.
5. El archivo de certificado firmado se puede aplicar ahora de la misma forma
que un certificado autofirmado para el uso de PCA.
Scripts de programa de utilidad
El paquete Tealeaf-pca proporciona un script simplificar los pasos para crear
certificados autofirmados.
La vía de acceso completa para el archivo de script es /usr/local/ctccap/sbin/
gen-self-signed-cert.sh. Especifique los nombres de la nueva clave privada y los
archivos de certificados como argumentos paragen-self-signed-cert.sh.
El script crea un archivo de claves RSA de 2048 bits y un certificado autofirmado
que es válido durante 10 años (3.650 días). Los archivos resultantes son propiedad
del usuario ctccap y la clave privada es legible sólo para ese usuario. A
continuación se muestra una invocación de ejemplo de este script:
226
IBM Tealeaf CX Passive Capture Application: Manual de PCA
/usr/local/ctccap/sbin/gen-self-signed-cert.sh example.key example.crt
El paquete Tealeaf-pca crea varios certificados autofirmados según sea necesario
cuando instala el paquete. Si cambia el nombre de host de la máquina host de
captura pasiva, puede volver a generar estos certificados. Utilice el siguiente
mandato para volver a generar todos estos certificados:
env FORCE=YES /usr/local/ctccap/sbin/all-self-signed-certs.sh
El mandato anterior suprime y vuelve a crear los siguientes archivos:
/usr/local/ctccap/etc/tealeaf-pca.crt
/usr/local/ctccap/etc/tealeaf-pca.key
/usr/local/ctccap/etc/tealeaf-tts.crt
/usr/local/ctccap/etc/tealeaf-tts.key
/usr/local/ctccap/etc/tealeaf-tts.pem
/usr/local/ctccap/etc/tealeaf-web.crt
/usr/local/ctccap/etc/tealeaf-web.key
Despliegue de certificados SSL para que las utilice la consola web
PCA
Según sea necesario, puede desplegar certificados SSL personalizados para utilizar
con la consola web PCA para asegurar el acceso seguro a la consola.
Nota: La fortaleza de cifrado y otras características del certificado deben ser
definidas para satisfacer sus requisitos empresariales.
1. Adquiera o genere el certificado SSL.
v El PCA utiliza el certificado autofirmado predeterminado y clave
proporcionado. Para obtener más información acerca de la creación de un
certificado autofirmado, consulte“Generación de un certificado autofirmado”
en la página 224.
v Tealeaf proporciona un script de programa de utilidad que simplifica el
proceso de creación de un certificado autofirmado. Este script genera un
certificado utilizando un conjunto reducido de opciones de configuración.
Consulte “Scripts de programa de utilidad” en la página 226.
2. El certificado generado y el archivo clave se deben añadir al archivo de
configuración Apache. Este archivo se almacena en la siguiente ubicación:
/usr/local/ctccap/etc/httpd.conf
3. En el siguiente ejemplo, el nombre del certificado es tealeaf-web.crt, y el
nombre del archivo de claves es tealeaf-web.key:
Define SSLCERTFILE ${SYSCONFDIR}/tealeaf-web.crt
Define SSLKEYFILE ${SYSCONFDIR}/tealeaf-web.key
4. Guarde el archivo.
5. Reinicie el PCA.
6. Todos los usuarios de la consola web ahora deben conectarse utilizando SSL.
v Para obtener más información sobre cómo conectarse mediante SSL,
consulte“Navegadores soportados para la consola web de PCA” en la página
70.
v Para obtener más información acerca del cambio de los puertos en los que
escucha la consola web PCA, consulte “Navegadores soportados para la
consola web de PCA” en la página 70.
Capítulo 6. Claves SSL
227
Configuración del Servicio de transporte de Tealeaf para cifrado SSL
Para cifrar la comunicación entre la máquina host de captura pasiva y el servicio
de transporte de Tealeaf, debe obtener un certificado SSL. A continuación,
configure el software de captura pasiva y el servicio de transporte de Tealeaf para
utilizarlo.
v El certificado debe ser una clave privada de 2048 bits.
v El certificado se instala en el PCA y en la máquina de servicio de transporte de
Tealeaf. El PCA necesita el certificado para el inicio, y el servicio de transporte
de Tealeaf utiliza el certificado para gestionar conexiones seguras con el PCA.
Nota: La transmisión a través de SSL entre el PCA y el servicio de transporte de
Tealeaf necesitan más procesos pueden afectar el rendimiento general.
1. Adquiera el certificado SSL.
v Si crea su propio certificado autofirmado, debe crear una clave privada de
2048 bits. Consulte “Generación de un certificado autofirmado” en la página
224.
a. El paquete Tealeaf-pca crea un certificado autofirmado para que lo utilice
cuando configure el cifrado de SSL de la comunicación de red entre la
máquina de host de captura pasiva y el servicio de transporte de Tealeaf.
Este certificado autofirmado contiene el nombre de host de la máquina
host en el momento de la instalación del paquete.
b. Los siguientes certificados y archivos de claves se crean mediante el
paquete Tealeaf-pca:
v /usr/local/ctccap/etc/tealeaf-tts.crt (archivo de certificado)
v /usr/local/ctccap/etc/tealeaf-tts.key (archivo de claves)
v /usr/local/ctccap/etc/tealeaf-tts.pem (archivo de claves y
certificados combinados en DOS EOL)
2. Puede elegir utilizar el archivo PEM anterior o crear el suyo propio.
a. Después de generar el certificado y los archivos de clave privada, utilice el
script /usr/local/ctccap/bin/crlf.sh para generar un único archivo
ASCII DOS-EOL que necesita el servicio de transporte de Tealeaf. : Por
ejemplo, si su clave privada se encuentra en el archivo example.key y su
certificado se encuentra en el archivo example.crt, utilice el siguiente
mandato para generar un único archivo DOS EOL denominado
example.pem
/usr/local/ctccap/bin/crlf.sh example.key example.crt > example.pem
b. El archivo resultante contiene una clave privada, por lo que debe restringir
su propiedad y los permisos utilizando los mandatos chmod y chown.
3. Transfiera el único archivo PEM DOS EOL a la máquina que está ejecutando el
servicio de transporte de Tealeaf. De forma ideal, debe restringir su acceso
sólo al servicio de transporte de Tealeaf.
v El certificado se debe instalar en el directorio de instalación de raíz de
Tealeaf.
4. Si es necesario, puede utilizar el lector de archivos de Tealeaf para verificar
que el certificado es válido y se puede utilizar. Consulte“Prueba del
certificado SSL utilizado por el servicio de transporte” en la página 230.
5. En el servidor de servicio de transporte de Tealeaf, edite el archivo
TealeafCaptureSocket.cfg.
v También puede realizar cambios de configuración a través del editor de
interconexión en TMS, que proporciona mantenimiento de versiones
228
IBM Tealeaf CX Passive Capture Application: Manual de PCA
centralizadas y asignaciones de los archivos de configuración de Tealeaf.
Edite el archivo de configuración del servicio de transporte en bruto e
inserte los valores en la sección [Globales]. Consulte "Pestaña TMS
WorldView" en el Manual de administración de IBM Tealeaf cxImpact.
a. Añada o edite las siguientes directivas en la sección [Globales] al nombre
de vía de acceso o el archivo PEM. Si los archivos no están en el directorio
de instalación Tealeaf, a continuación, especifique la vía de acceso
completa a los archivos.
CertificateFile=css-cert.pem
PrivateKeyFile=css-cert.pem
b. Utilizando nuestro ejemplo example.pem, modificaría css-cert.pem para
producir los siguientes resultados:
CertificateFile=example.pem
PrivateKeyFile=example.pem
c. En la sección [Globales], ingrese el número de puerto en el que el servicio
de transporte de Tealeaf escucha el tráfico de SSL. Ingrese el siguiente
código:
SSLPort=1967:DataDrop
v 1967 es el número de puerto en que el servicio de transporte de Tealeaf
escucha el tráfico SSL. Este valor es el valor predeterminado. Puede
cambiarlo, según sea necesario.
Nota: Este número de puerto no debe ser utilizado por ninguna otra
interconexión o componente de Tealeaf para escuchar el tráfico.
v DataDrop es el primer agente de sesión en la interconexión que se
configura para procesar el tráfico de SSL recibido.
6. Inicie sesión en la configuración web de captura pasiva de UI y pulse el
separador Entrega. Consulte “Consola Web de PCA - Pestaña de Entrega” en
la página 110.
a. En la sección destinatarios de destino, pulse Añadir.
b. Se muestra la página Añadir destinatario para entrega por coincidencia.
Ingrese la dirección del host y del puerto en los campos correspondientes,
seleccione el recuadro de selección Asegurar, y después pulse Aceptar.
Nota: El puerto especificado debe coincidir con el puerto de escucha de
SSL en el servicio de transporte. El valor predeterminado para el
transporte SSL es 1967.
7. Se visualiza la página Añadir certificado para entrega segura. Pegarlo en el
certificado y luego pulse Aceptar para guardar los cambios. El certificado es el
fragmento de texto ASCII que empieza con la siguiente línea:
-----BEGIN CERTIFICATE-----
y se amplía hasta e incluyendo la siguiente línea:
-----END CERTIFICATE-----
8. Copie y pegue todo desde (e incluyendo) la línea EMPEZAR hasta (e incluyendo)
la línea FINAL.
9. Reinicie el PCA.
10. Reinicie el servicio de transporte.
Capítulo 6. Claves SSL
229
Prueba del certificado SSL utilizado por el servicio de
transporte
Antes de desplegar el certificado SSL a la máquina que aloja el servicio de
transporte Tealeaf, verifique que el certificado sea válido y utilizable utilizando el
lector de archivos de Tealeaf.
1. Deje el certificado SSL instalado en el PCA.
2. En el archivo ArchiveReader.cfg en el directorio de instalación de Tealeaf en
la máquina que contiene el servicio de transporte de Tealeaf, ubique la sección
[Socket].
3. Para configurar el socket para utilizar SSL, especifique o establezca el
siguiente código:
USESSL=True
4. Establezca el servidor para que sea localhost.
5. Configure los siguientes valores para el nombre de archivo del certificado que
está instalado en el directorio de instalación de raíz de Tealeaf. Elimine la
marca (#) antes de que la línea de configuración lo habilite.
CertificateFile=css-cert.pem
PrivateKeyFile=css-cert.pem
6. Guarde el archivo.
7. Utilice ArchiveReader para enviar coincidencias al servicio de transporte.
v Consulte "Lector de archivos de TeaLeaf - Ejecutar sesiones archivadas" en
el Manual de configuración de IBM Tealeaf CX.
8. En el separador de estado de interconexión de TMS, verifique que se están
capturando y procesando coincidencias mediante las interconexiones
adecuadas.
v Consulte "Pestaña de estado del conducto del SGT" en el Manual de
administración de IBM Tealeaf cxImpact.
9. Si se están capturando y procesando coincidencias, el certificado SSL está
trabajando de manera correcta.
10. Ahora puede aplicar los cambios de configuración a la sección [Globals] del
TealeafCaptureSocket.cfg. Consulte “Configuración del Servicio de
transporte de Tealeaf para cifrado SSL” en la página 228.
Habilitación de estados PCA en el estado Tealeaf
Para habilitar que se visualice información sobre estadísticas de PCA en el informe
de estado de Tealeaf, debe crear una referencia en el servidor Capture Application
en la página Gestión de portal.
v En el menú Portal, seleccioneTealeaf > Gestión de portal.
v Consulte la sección "Gestión de servidores Tealeaf" en la publicación IBM Tealeaf
cxImpact Manual de administración.
Elimine o visualice el certificado
Si
1.
2.
3.
4.
230
desea eliminar o ver el certificado, utilice el siguiente procedimiento:
Inicie Internet Explorer en la estación de trabajo que ejecuta PortalStatus.
Seleccione Herramientas > Opciones de Internet.
Pulse el separador Contenido.
Pulse Certificados.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
5. Se muestra la ventana Certificados. Pulse la pestaña Autoridades de
certificación de confianza de raíces.
6. Ahora puede seleccionar el certificado para extraerlo o visualizarlo.
Validación de claves PEM
Para validar el archivo mediante OpenSSL, utilice el siguiente mandato:
/usr/local/ctccap/bin/openssl rsa -check -noout -in <filename>
A continuación se muestra el formato esperado:
-----BEGIN RSA PRIVATE KEY----.... (many lines of encoding here)
....
-----END RSA PRIVATE KEY-----
Sistema de gestión de claves SSL de nCipher
Algunas instalaciones de Tealeaf utilizan una tarjeta nCipher para descargar el
procesamiento de SSL de los procesadores principales. La sección siguiente explica
cómo establecer este tipo de configuración.
Aunque las tarjetas de nCipher pueden utilizarse para aceleración SSL mediante la
descarga de operaciones SSL a la tarjeta, su centro de atención principal es
proporcionar una caja fuerte de almacén de claves sumamente segura para las
claves SSL. También se conoce como Módulo de seguridad de hardware (HSM) o
el Sistema de gestión de claves de nCipher.
Nota: No todas las tarjetas nCipher proporcionan soporte de HSM.
Consideraciones sobre nCipher
El número de instancias que puede manejar una tarjeta nCipher depende de la
serie de las tarjetas que tiene y del número de CPU.
Nota: nCipher puede cambiar los estándares de sus tarjetas de acelerador SSL.
Para trabajar correctamente con el PCA de Tealeaf, los controladores que se
proporcionan con la tarjeta nCipher deben reconocer OpenSSL y deben
proporcionar acceso transparente.
nCipher tiene varios modelos de tarjetas de acelerador SSL y de gestión de claves,
admitiendo cada una un número máximo diferente de transacciones por segundo
de SSL. Por ejemplo, una tarjeta de acelerador SSL de la serie 4000 puede manejar
aproximadamente 4000 transacciones como máximo. La sobrecarga de operaciones
de la tarjeta es probable que reduzca el índice de rendimiento, y varias instancias
del PCA pueden también disminuir este número.
v Para obtener más información sobre el PCA de varias instancias, consulte
“Valores de la interconexión” en la página 119.
Con el ejemplo anterior, la tarjeta de la serie 4000 de nCipher tiene un máximo de
capacidad de instancia única de aproximadamente 300-400 (SSL de 1024 bits)
transacciones por segundo. Este número varía con el número de instancias PCA,
normalmente en dirección descendiente.
Nota: Evite proporcionar más tráfico SSL a cada instancia del PCA cuando se
alcanza la capacidad de rendimiento máximo de la tarjeta del acelerador.
Capítulo 6. Claves SSL
231
Compatibilidad entre IBM Tealeaf CX PCA y nCipher
Las claves de nCipher siguientes son compatibles con este release de IBM Tealeaf
CX PCA:
Tabla 32. Compatibilidad de claves de nCipher con IBM TealeafCX PCA
Clave de nCipher
Fortaleza de cifrado (en
bits)
Protocolo
DES-CBC-SHA
56 bits
SSL3, TLS1.0
RC4-MD5
128 bits
SSL3, TLS1.0, TLS1.1, TSL1.2
RC4-SHA
128 bits
SSL3, TLS1.0, TLS1.2
AES128-SHA
128 bits
SSL3, TLS1.0, DTLS1, TLS1.1,
TLS1.2
AES256-SHA
256 bits
SSL3, TLS1.0, DTLS1, TLS1.1,
TLS1.2
DES-CBC3-SHA
192 bits
SSL3, TLS1.0, DTLS1, TLS1.1,
TLS1.2
AES128-SHA256
128 bits
TLS1.2
AES256-SHA256
256 bits
TLS1.2
AES128-GCM-SHA256
128 bits
TLS1.2
AES256-GCM-SHA384
256 bits
TLS1.2
Instalación de nCipher
Consulte “Instalación del HSM de nCipher para PCA” en la página 234.
Integración de claves SSL de Tealeaf con HSM
Este apéndice describe metodologías de integración para proveedores de HSM
específicos. Un Módulo de seguridad de hardware (HSM) proporciona protección
lógica y física de datos sensibles del uso no autorizado y de adversarios
potenciales.
Nota: Estos métodos de integración son métodos generalizados para integrar
Tealeaf con los productos de cada proveedor. El método descrito debe
personalizarse para cumplir con los requisitos del entorno, y esto lo debe hacer un
administrador con conocimientos del producto HSM.
En un entorno HSM, el archivo de claves se almacena en el HSM y retiene una
capa adicional de control de acceso para impedir su movimiento. Tealeaf crea
claves de referencia para acceder a las claves que se almacenan en el HSM. Por lo
tanto, las claves utilizadas por el tiempo de ejecución de Tealeaf heredan las
medidas de protección que ofrece el HSM.
Métodos de integración del fabricante
v “Integración con el HSM de nCipher”
v “Instalación del HSM de nCipher para PCA” en la página 234
Integración con el HSM de nCipher
La sección siguiente describe un método general para integrar Tealeaf con claves
SSL almacenadas en un Módulo de seguridad de hardware (HSM) para productos
nShield de nCipher.
232
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Este método debe personalizarse para su solución HSM.
v Este método se aplica a nShield, payShield, y los ultra módulos de payShield de
nCipher.
Supuestos
A continuación se enuncian los supuestos de este método:
v Ha instalado el HSM en su entorno.
v Ha creado y configurado la seguridad mundial de nCipher.
v Posee un acceso de nivel de administrador al entorno de seguridad mundial y se
siente cómodo al utilizarlo.
Requisitos previos
Para proporcionar el mejor soporte posible para el HSM que se utiliza, el HSM
debe cumplir con los siguientes requisitos:
v Los controladores que se proporcionan con la tarjeta deben reconocer OpenSSL.
v La tarjeta debe configurarse para proporcionar acceso no aparente al inicio.
v Verificar que la instalación clave funciona al arrancar el sistema.
Para obtener más información sobre el cumplimiento de estos requisitos previos,
consulte Interfaces de aplicación de nCipher en la Guía del usuario de
nShield/payShield que se proporciona con el producto nCipher.
Cuando se cumplen los requisitos mencionados anteriormente, Tealeaf puede
acceder de forma transparente las claves privadas true mediante la creación de un
alias. También puede hacer referencia a claves generadas por las claves SSL
proporcionadas a Tealeaf.
Configuración de PCA
Consulte “Generación de un certificado autofirmado” en la página 224.
Configuración e integración de HSM
Para integrar Tealeaf con el sistema de gestión de claves nShield de nCipher,
aplique estas instrucciones generales a su entorno específico.
Nota: Estos pasos son solo una referencia general y no un procedimiento paso a
paso para la instalación. Los siguientes pasos opcionales suponen que usted está
familiarizado con el software de gestión de claves instalado. Para obtener más
información, consulte la Guía del usuario de nShield/payShield que se proporciona
con el producto nCipher.
Nota: Para almacenar claves SSL, el formato de texto simple PEM de las claves
puede ser necesario. El programa de utilidad nCipher generatekey crea archivos de
claves PEM de referencia equivalente. Estos archivos de claves de referencia son
utilizados por Captura pasiva para la conversión a su formato PTL cifrado,
utilizando la opción de script de Tealeaf PEM2PTL. Para obtener más información,
consulte Generación e importación de claves en la Guía del usuario de
nShield/payShield.
Integración
Para integrar:
1. Confirme que Linux y el software de Captura pasiva esté instalado y que el
servidor IBM Tealeaf CX Passive Capture Application arranque correctamente.
Capítulo 6. Claves SSL
233
2. Verifique que la tarjeta y el software de nCipher esté correctamente instalado,
incluyendo el lector del dispositivo de tarjeta inteligente. Para obtener más
información, consulte Prueba de la instalación en la Guía del usuario de
nShield/payShield.
3. Instale el software de nCipher en el servidor del PCA.
4. Añada el directorio de la biblioteca CHIL de nCipher (/opt/nfast/toolkits/
hwcrhk) a la vía de acceso de la librería de carga del archivo /etc/ld.so.conf,
si no está presente.
5. Rearranque el servidor PCA para confirmar que arranca correctamente.
6. Ejecute el cmd de la lista de módulos kernel para confirmar que el módulo
kernel de nCipher (lsmod) está cargado.
7. En el HSM, cree el mundo de seguridad para la importación de claves.
8. Genere y/o importe los archivos de claves PEM en el HSM.
v Para obtener más información, consulte Generación e importación de claves
en la Guía del usuario de nShield/payShield.
9. Verifique que las claves estén listadas en KeySafe.
10. En el servidor PCA, ejecute el programa de utilidad nCipher para listar las
claves el mundo de seguridad de nCipher:
/opt/nfast/bin/nfkminfo -l
11. Confirme que se esté ejecutando Captura pasiva y que esté decodificando
tráfico SSL.
Inhabilitar HSM
Para inhabilitar el inicio de la integración HSM a la hora de arranque de Captura
pasiva:
1. Cree un directorio DISABLED en /etc/init.d.
2. Mueva los scripts nCipher del directorio anterior al directorio DISABLED.
3. Reinicie Captura pasiva.
Nota: Este procedimiento debe realizarse antes de retirar el hardware para
permitir a Captura pasiva arrancar sin el Módulo de seguridad de hardware
(HSM).
Instrucciones para la instalación
Para obtener más información sobre la instalación, consulte “Instalación del HSM
de nCipher para PCA”.
Instalación del HSM de nCipher para PCA
Estas instrucciones de instalación se aplican a la serie de placas de Gestión de
claves de nCipher para trabajar con el IBM Tealeaf CX Passive Capture
Application.
Requisitos
A continuación se hallan las instrucciones de instalación:
v HSM de nShield 6000e
v Software de nCipher versión 11.40
v Plataformas Linux validadas, consulte “Requisitos” para obtener una lista de
plataformas admitidas.
234
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Nota: Si utiliza un sistema operativo de 64 bits, deben instalarse bibliotecas de
32 bits.
Aunque estas instrucciones no están validadas, como se establece en la sección
Requisitos, en el software de nCipher y las plataformas Linux también deben
funcionar para las siguientes tarjetas:
v Tarjetas serie 4000 nForce/nFast/nShield más antiguas
Requisitos adicionales
v Estas placas pueden utilizarse solamente para aceleración SSL, pero las claves
SSL aún se necesitan para operar correctamente.
v Puede utilizar otras placas nCipher que admitan solo aceleración SSL (sin
Gestión de claves). Los controladores deben funcionar de forma transparente con
OpenSSL (como por ejemplo el controlador de la biblioteca CHIL) y debe
configurarse para reconocer automáticamente OpenSSL al iniciarse. Verifique que
la instalación funciona también en el arranque del sistema.
v Si la tarjeta de nCipher se utilizará como almacén de claves de HSM, se debe
crear un Mundo de seguridad de nCipher. Consulte “Creación de Mundo de
seguridad de nCipher para PCA” en la página 240.
Nota: Los siguientes pasos opcionales suponen que está familiarizado con el
software de gestión de claves de nCpiher. Estos pasos son solo una referencia
general y no un procedimiento paso a paso para la instalación. Cuando sea posible,
informe a la ayuda de soporte de nCipher sobre la instalación del software, ya que
normalmente requiere la compilación de los controladores en el sistema host.
Requisitos previos
Antes de comenzar, verifique o complete lo siguiente.
1. El controlador kernel de nCipher necesita compilación en la plataforma Linux
requerida, por lo que debe realizar esta compilación en un entorno de
desarrollo Linux instalado para la plataforma. Intente compilar en la máquina
de producción esperada primero, para determinar si es suficiente para la
creación de controladores.
Nota: Para la plataforma Redhat RHEL 5.6 de 64 bits, el controlador kernel de
nCipher debe compilarse para sistemas operativos de 64 bits. El software del
PCA es una aplicación de 32 bits. La biblioteca de intercomunicación de
nCipher (libnfhwcrhk.so) también debe ser de 32 bits. Para verificar que
libnfhwcrhk.so sea de 32 o de 64 bits, ejecute file libnfhwcrhk.so desde un
indicador de mandatos.
2. Después que el controlador ha sido creado (nfp.ko), puede aplicar el
controlador
nfp.ko creado y el software del script de inicio correspondiente de nCipher al
sistema de producción para su instalación y despliegue.
v Para obtener más información, consulte la documentación de
nCipher/Thales.
3. Estas instrucciones suponen que no tiene el PCA instalado en IBM Tealeaf CX
Passive Capture Application.
v Si ya tiene el PCA instalado, debe detener el PCA durante el tiempo en que
instala e integra el software de nCipher.
4. Consulte “Importación de claves SSL al almacén de claves de nCipher” en la
página 242.
Capítulo 6. Claves SSL
235
Instalación de nCipher y pasos de creación
Detalles sobre cómo crear e instalar el controlador kernel de nCipher, confirmar la
instalación y configurar los scripts de inicio de nCipher para que arranque antes
que el PCA.
Controlador kernel de la compilación
1. Recupere lo siguiente de la versión 11.40 del DVD (de 64 bits) de Linux. Los
mandatos siguientes suponen que la unidad de DVD está montada como
/mnt/cdrom:
cd /
tar xvf /mnt/cdrom/linux/libc6_3/amd64/nfast/hwsp/agg.tar
tar xvf /mnt/cdrom/linux/libc6_3/amd64/nfast/ctls/agg.tar
2. Recupere los siguientes archivos:
a. Para la aplicación de 32 bits del PCA, adquiera una versión de 32 bits de
libnfhwcrhk.so:
Nota: libnfhwcrhk.so se suministra como un archivo binario, sin
compilación local. Esta versión no es una versión específica openSSL.
1) Recupere la versión de 32 bits del archivo siguiente:
tar xvf /mnt/cdrom/linux/libc6_3/nfast/hwcrhk/user.tar
2) Cuando el archivo tar anterior se extrae, contiene un archivo con el
nombre de vía de acceso relativo al libnfhwcrhk.so:
opt/nfast/toolkits/hwcrhk/libnfhwcrhk.so
3) Copie libnfhwcrhk.so en el siguiente directorio:
opt/nfast/toolkits/hwcrhk
b. También puede extraer los mismos archivos tar que se almacenan en el
DVD de los iso disponibles desde el sitio de descarga de nCipher. Recupere
los siguientes iso que contienen software nCSS de nCipher:
nCSS_linux64_user_11_40.iso
nCSS_linux_user_11_40.iso
3. En base a los mandatos anteriores, el software descomprimido debe estar en el
directorio siguiente:
/opt/nfast
4. Para crear el controlador kernel de nCipher (nfp.ko):
a. Para obtener instrucciones, consulte nShield_Quick_Start_Guide.pdf en el
directorio del documento del DVD v11.40. En el Capítulo 2, encuentre la
Instalación en la sección Linux en la página 11.
b. El script de configuración busca las cabeceras de kernel en el directorio
predeterminado
(/lib/modules/current_kernel_version/build/include).
1) Si las cabeceras de kernel están en un directorio diferente, configure la
variable de entorno KERNEL_HEADERS para que estén en
$KERNAL_HEADERS/include/. Para obtener más información, consulte
Configuración de variables de entorno en la página 46 del documento.
2) Históricamente, las cabeceras están en /usr/SRC/Linux/include/. Si las
cabeceras de kernel todavía no están instaladas, instálelas desde el disco
de distribución o póngase en contacto con su proveedor de kernel.
5. Mandatos de construcción:
cd /opt/nfast/driver
./configure
make
6. Si no se añade usuario, ejecute el mandato siguiente:
236
IBM Tealeaf CX Passive Capture Application: Manual de PCA
useradd -r nfast
7. Valide el kernel ejecutando el siguiente mandato:
groups nfast
Instalar el controlador kernel de nCipher
Nota: Antes de comenzar, verifique que la placa nCipher esté instalada en el
servidor de PCA.
1. El mandato siguiente instala nfp driver.ko y sus scripts de inicio.
a. Mandato:
/opt/nfast/sbin/install
b. Seleccione la opción 4. Esta opción puede ser necesaria para añadir
user:group.
2. Añada la vía de acceso a biblioteca CHIL de OpenSSL al archivo ld.so.conf,
que es necesario para el rearranque. Opciones:
a. Opción 1:
1) Añada la línea /opt/nfast/toolkits/hwcrhk al archivo siguiente a través
de vi:
vi /etc/ld.so.conf
2) Ejecute ldonfig -v para almacenar una nueva entrada al archivo
/etc/ld.so.cache
b. Opción 2: Exporte LD_LIBRARY_PATH=/opt/nfast/toolkits/hwcrhk
c. Opción 3: copie el /opt/nfast/toolkits/hwcrhk/libnfhwcrhk.so de 32 bits a
/usr/lib.
Nota: La opción 3 es el método recomendado, pero puede no ser el
preferido debido a la política de administración del sistema.
3. Si se seleccionó la Opción 1 anterior, puede verificar entradas actuales
ld.so.cache para hwcrhk, ejecutando el código siguiente:
ldconfig -p |grep hwcrhk
Confirmar el software instalado
Dependiendo de la opción que haya seguido para instalar el software, verifique su
ubicación en alguno de los siguientes directorios:
/opt/nfast/toolkits/hwcrhk/libnfhwcrhk.so
/usr/lib/libnfhwcrhk.so
Nota: Estos pasos suponen que la instalación del controlador kernel ha sido
completada. Consulte “Instalar el controlador kernel de nCipher”.
1. Ejecute el mandato siguiente para verificar el controlador kernel nfp cargado:
lsmod |grep nfp
2. La salida esperada es algo como:
nfp
42116
2
Método alternativo de inicio:
Si no ve la salida esperada, intente detener e iniciar el controlador nCipher:
/opt/nfast/sbin/init.d-ncipher stop
/opt/nfast/sbin/init.d-ncipher start
Capítulo 6. Claves SSL
237
Para iniciar/detener el servidor nCipher manualmente, utilice el mandato siguiente
que se proporciona con el software de nCipher 11.40:
/opt/nfast/sbin/init.d-ncipher start
/opt/nfast/sbin/init.d-ncipher stop
Dos nuevos scripts de inicio para el software v11.40 que se encuentra en
/etc/init.d:
1. Controladores de inicio:
nc_drivers start
donde:
nc_drivers -> /opt/nfast/scripts/init.d/drivers
2. Inicio de hardserver:
nc_hardserver start
donde:
nc_hardserver -> /opt/nfast/scripts/init.d/hardserver
Verifique que los scripts anteriores funcionen para la operación del controlador de
nCipher válida.
Nota: Los scripts de inicio anteriores pueden no funcionar para rearrancar. Los
scripts de inicio
del controlador de la tarjeta y del hardserver deben iniciarse primero para el PCA
para reconocerlos.
Instalar el software del PCA
Si no instaló el software del PCA, puede hacerlo ahora.
v Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la
página 19.
Configurar los scripts de inicio de nCipher para que arranquen
antes que el PCA
Los pasos siguientes configuran los scripts de inicio de nCipher para arrancar o
rearrancar antes que se ejecuten los scripts de inicio del PCA. La tarjeta de nCipher
debe ser inicializada antes que se inicie el PCA.
Dependiendo del sistema operativo en uso, complete los siguientes conjuntos de
instrucciones:
1. “Configuración de los scripts de inicio de RedHat”
2. “Configuración de los scripts de inicio de SLES” en la página 239
Configuración de los scripts de inicio de RedHat: Para los servidores que
utilizan RedHat, complete el siguiente conjunto de instrucciones:
1. Configuración de prueba:
1. Ejecute el mandato de lista de inicio del nivel de ejecución:
chkconfig --list |grep nc_
2. Si se devuelve una lista, significa que los scripts de inicio predeterminados de
nCipher se configuraron correctamente. Para probar, rearranque el PCA y
valide que es el controlador kernel nCipher. Consulte “3. Validar el acceso del
PCA al controlador kernel de nCipher” en la página 239.
3. Si no se lista nada, los scripts de inicio nCipher predeterminados no están
correctamente configurados. Consulte “2. Configuración manual” en la página
239.
238
IBM Tealeaf CX Passive Capture Application: Manual de PCA
2. Configuración manual:
1. Los siguientes scripts de inicio deben tener las cabeceras de nivel de ejecución
correcto
en el script para que se les reconozca:
nc_drivers
nc_hardserver
2. Los scripts de inicio de nCipher están enlazados simbólicamente a lo siguiente:
/opt/nfast/scripts/init.d/drivers
/opt/nfast/scripts/init.d/hardserver
3. Editar los scripts de inicio de nCipher:
a. Editar /opt/nfast/scripts/init.d/drivers. Añadir las líneas siguientes:
# chkconfig: 2345 45 55
# description: nCipher drivers
b. Editar /opt/nfast/scripts/init.d/hardserver. Añadir las líneas siguientes:
# chkconfig: 2345 50 50
# description: nCipher hardserver
c.
Por ejemplo:
#!/bin/sh
# generated by inst-def.sh
# chkconfig: 2345 45 55
# description: nCipher drivers
4. El sistema puede tardar algunos minutos para añadir los scripts
automáticamente a
la chkconfig --list. Si los scripts no se muestran, habilite los niveles de
ejecución manualmente, como se muestra en el paso siguiente:
a. Utilice chkconfig para activar el nivel de ejecución 2,3,4,5 para nc_drivers
y nc_hardserver.
chkconfig --level 2345 nc_drivers on
chkcofnig --level 2345 nc_hardserver on
5. Validar que el PCA puede acceder al controlador kernel. Consulte “3. Validar el
acceso del PCA al controlador kernel de nCipher”.
3. Validar el acceso del PCA al controlador kernel de nCipher:
1. Reinicie el PCA.
2. Después del arranque, ejecute el mandato siguiente:
# lsmod |grep nfp
3. La salida es la siguiente. El código 2 indica que es 'utilizado por':
nfp
42116
2
4. Para confirmar que los scripts de inicio del PCA y de nCipher tienen las
prioridades de arranque correctas,
los ejemplos siguientes muestran que nCipher se inicia primero, seguido por el
inicio del PCA:
/etc/rc.d/rc2.d/S45nc_drivers
/etc/rc.d/rc2.d/S50nc_hardserver
/etc/rc.d/rc2.d/S60tealeaf-pca
/etc/rc.d/rc2.d/S55tealeaf-startup
5. Después de completar las instrucciones siguientes, debe validar que el PCA ve
el controlador kernel de nCipher. Consulte “Verificación del uso de claves
privadas SSL” en la página 243.
Configuración de los scripts de inicio de SLES:
Capítulo 6. Claves SSL
239
Nota: Estas instrucciones se aplican a nCipher v11.40 y posterior, a menos que se
indique lo contrario.
Verifique que nCipher se inicie correctamente con la aplicación Captura pasiva. A
partir de nCipher v11.40, se proporcionan dos scripts de inicio (enlaces simbólicos symlinks) en los siguientes directorios. Para un inicio correcto, estos scripts deben
ejecutarse en el siguiente orden que se lista:
1. /etc/init.d/nc_drivers
2. /etc/init.d/nc_hardserver
Nota: Para que nCipher sea reconocido adecuadamente, estos scripts de inicio
de nCipher deben ejecutarse antes que los scripts de inicio de Captura pasiva.
1. Arranque alternativo:
Nota: Pueden existir problemas con la secuencia de arranque, al no funcionar
correctamente con Suse SLES.
Pasos:
Para SLES, el método alternativo sugerido es la secuencia siguiente.
1. Inhabilitar niveles de ejecución para nc_drivers y nc_hardserver:
chkconfig -s nc_drivers off
chkcofnig -s nc_hardserver off
2. Actívelos nuevamente con los niveles de ejecución 3 y 5:
chkconfig -s nc_drivers on 3 5
chkcofnig -s nc_hardserver on 3 5
3. De forma predeterminada, la prioridad de ambos scripts se establece en S01.
Cambie la prioridad del nivel de ejecución de arranque de cada uno de estos
scripts en los directorios rc3.d y rc5.d utilizando los mandatos siguientes:
mv /etc/rc.d/rc3.d/S01nc_drivers /etc/rc.d/rc3.d/S09nc_drivers
mv /etc/rc.d/rc5.d/S01nc_hardserver /etc/rc.d/rc5.d/S10nc_hardserver
2. Validar el controlador nCipher:
1. Después del arranque, para validar que el controlador nCipher está cargado
correctamente, utilice el siguiente cmd:
lsmod |grep nfp
2. La respuesta esperada debe ser similar a:
nfp
42116
2
(where ’2’ is expected)
Después de completar las instrucciones anteriores, debe validar que el PCA se vea
en el controlador kernel de nCipher. Consulte “Verificación del uso de claves
privadas SSL” en la página 243.
Creación de Mundo de seguridad de nCipher para PCA
Nota: Si la tarjeta de nCipher se utilizará como almacén de claves de HSM, se
debe crear un Mundo de seguridad de nCipher. Las siguientes instrucciones se
aplican a la creación de un Mundo de seguridad de nCipher con algunas
modificaciones específicas para IBM Tealeaf CX Passive Capture Application. Estas
instrucciones sirven para:
v nCipher nShield 4000
v nCipher nShield 6000e
240
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Si el entorno de red requiere un conjunto de políticas diferente o mayor
configuración, consulte nShield_Quick_Start_Guide.pdf para obtener más
instrucciones.
1. Conecte el lector del dispositivo de tarjeta inteligente e inserte una tarjeta. Una
luz verde en el lector indica una buena conexión.
2.
3.
4.
5.
Nota: Para crear un almacén de claves de Mundo de seguridad, el lector del
dispositivo de tarjeta inteligente debe conectarse con una tarjeta para escribir el
grupo de dispositivos de tarjetas inteligentes de AES.
a. La importación de claves SSL no necesita que el lector de tarjetas esté
conectado para el nivel 2 de FIPS140-2 predeterminado.
b. El lector de tarjetas debe estar instalado para ejecutar la PCA utilizando el
almacén de claves del Mundo de seguridad para sus claves SSL.
Crear un Mundo de seguridad. Para obtener más información, consulte la
página 13 de nShield_Quick_Start_Guide.pdf.
Inicie sesión en el sistema host como usuario en el grupo nfast.
Coloque el conmutador del módulo del panel trasero del nShield en la posición
I, que es el modo de inicialización previa.
Para borrar el módulo, ejecute el siguiente mandato:
/opt/nfast/bin/nopclearfail ca
6. Ejecute el mandato siguiente:
/opt/nfast/bin/new-world -m 1 -s 0 -Q 1/2 -k rijndael
7. El mandato anterior crea un Mundo de seguridad de doble cumplimiento de
Nivel FIPS, con recuperación y sustitución OCS que está habilitada, y 1/2 ACS.
El Mundo de seguridad está protegido por una clave AES.
a. El mandato anterior genera 2 dispositivos de tarjeta inteligente ACS, pero se
necesita solo una para el acceso de seguridad.
b. Durante el proceso de generación del dispositivo de tarjeta inteligente, debe
introducir la frase de contraseña. Por ejemplo:
ACS smartcard test passphrase: testcard123
c. Este proceso tarda 1-2 minutos por tarjeta.
d. Cuando se genera el Mundo de seguridad, debe mostrarse un mensaje
similar al siguiente:
Security World generated on module #1;
hknso = 26b0b0fed1e2753c665b34af15523ebbb2a995a3
8. Ponga el conmutador del módulo en la parte trasera de nShield en la posición
O, en el modo Operacional.
Validar la seguridad mundial
Para validar que el entorno de seguridad mundial está creado correctamente,
complete los pasos siguientes.
1. Ejecute el mandato siguiente:
/opt/nfast/bin/nfkminfo
2. La salida esperada debe ser la siguiente, con Usable indicando la correcta
validación:
World
generation #
state
0x17270000 Initialised Usable ...
...
Module #1
generation #
state
0x2 Usable
Capítulo 6. Claves SSL
241
3. Para obtener más información sobre añadir claves SSL al almacén de claves del
mundo de seguridad de nCipher, revise las instrucciones para la utilización del
mandato siguiente:
/opt/nfast/bin/generatekey
v Consulte “Importación de claves SSL al almacén de claves de nCipher”.
4. La salida del mandato anterior es una clave SSL de referencia .pem. Esta clave
debe convertirse al formato .ptl que utiliza el PCA. Para convertir el archivo
de claves de referencia en clave .ptl, utilice el mandato siguiente:
tealeaf pem2ptl <nCipherReference>.pem
5. Las claves .ptl del PCA recientemente creadas ahora pueden cargarse de forma
explícita en el PCA:
a. Manualmente: consulte “Configuración de la clave cifrada SSL” en la página
211.
b. Automático: cargue las claves en el directorio predeterminado:
/usr/local/ctccap/etc/capturekeys
Nota: Debe crear el directorio y habilitar los permisos de acceso apropiados.
Consulte “Configuración de la clave cifrada SSL” en la página 211.
6. Después de completar alguno de los dos métodos, las claves .ptl se cargan
para que las utilice el PCA.
Importación de claves SSL al almacén de claves de nCipher
Para almacenar claves SSL privadas para ser utilizadas por el PCA, se requiere el
formato de texto simple PEM de las claves. El programa de utilidad nCipher,
generatekey, crea archivos de claves de referencia equivalente PEM, que luego
pueden convertirse para ser utilizadas por el PCA.
A continuación se describe el procedimiento general para importar claves SSL al
almacén de claves
nCipher.
Para instalar el Sistema de gestión de claves SSL de nCipher:
1. Confirme que esté instalado Linux.
2. Instale la tarjeta de hardware de nCipher.
3. Instale el software de nCipher, que instala los directorios /opt/nfast/..., los
scripts nfast y así sucesivamente.
4. Añada el directorio de biblioteca CHIL de nCipher a la ruta de la librería de
carga, /opt/nfast/toolkits/hwcrhk, al archivo /etc/ld.so.conf, si no está
presente.
5. Confirme que el software de Captura pasiva esté instalado.
6. Reinicie el servidor IBM Tealeaf CX Passive Capture Application para
confirmar que arranque correctamente.
7. Ejecute el mandato de lista de módulos kernel para confirmar que el módulo
kernel nfp de nCipher esté cargado, lsmod.
8. Cree el entorno de mundo de seguridad necesario para la importación de
claves.
9. Importe los archivos de clave PEM de RSA al mundo de seguridad de
nCipher utilizando el programa de utilidad nCipher, /opt/nfast/bin/
generatekey.
Por ejemplo:
/opt/nfast/bin/generatekey -i embed
242
IBM Tealeaf CX Passive Capture Application: Manual de PCA
a. Este ejemplo supone que las claves están almacenadas en formato cifrado.
1) Ejecute el mandato siguiente:
[root@tstsys]# /opt/nfast/bin/generatekey -i embed
2) Aparece la siguiente solicitud:
protect: Protected by? (token, softcard, module) [module] >
3) Pulse RETURN para aceptar el valor predeterminado. A continuación,
solicite:
pemreadfile: PEM file containing RSA key? []
4) Introduzca el archivo de claves privado tealeaf-web.pem. A
continuación, solicite:
embedsavefile: Filename to write key to? []
5) Introduzca el nombre del archivo de referencia para escribir
tealeaf-web_ref.pem. A continuación, solicite:
plainname: Key name? []
6) Introduzca el alias del nombre de clave tealeaf-web.
7) Introduzca RETURN para las solicitudes restantes para aceptar los valores
predeterminados.
10. Puede ser necesaria la solicitud interactiva para la información restante.
11. Ejecute el programa de utilidad nCipher para listar claves en el mundo de
seguridad:
/opt/nfast/bin/nfkminfo \-l
Verificación del uso de claves privadas SSL
Mediante el registro de captura del PCA, puede verificar que el PCA es capaz de
ver y utilizar la tarjeta nCipher. En el archivo capture.log del PCA, debe ver el
siguiente mensaje durante el inicio:
May 26 15:30:11 mammoth reassd[22722]: OpenSSL hw engine(1): CHIL hardware
engine support
El número de claves también debe indicarse en el registro:
Aug 20 16:53:37 mammoth reassd[10889]: Loaded 1 keys from Capture.CaptureKeys.
Un mensaje como el siguiente indica un error en el acceso a la tarjeta nCipher:
hw engine(0)
Inhabilitar el inicio de nCipher en el momento de arranque de
Captura pasiva
Nota: Este procedimiento debe realizarse antes de retirar el hardware de nCipher
para permitir que Captura pasiva arranque sin el hardware.
1. Cree un directorio DISABLED en /etc/init.d.
2. Si ya está presente, mueva el script nfast desde el directorio /etc/init.d al
directorio DISABLED.
3. Si utiliza software v11.40 o posterior, mueva los dos scripts, nc_drivers y
nc_hardserver, del directorio /etc/init.d al directorio DISABLED.
4. En /usr/lib, cambie el nombre del libnfhwcrhk.so para añadir la extensión
.disabled
mv libnfhwcrhk.so libnfhwcrhk.so.disabled
5. Reinicie Captura pasiva.
Capítulo 6. Claves SSL
243
244
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Capítulo 7. Medida de rendimiento
La medida de rendimiento proporciona detalles sobre el rendimiento del software
de captura pasiva y las medidas de indicación de fecha y hora.
Las indicaciones de fecha y hora no forman parte del flujo de datos HTTP, por lo
que PCA debe insertar las indicaciones de fecha y hora como parte de su proceso
de captura.
Visión general de las indicaciones de fecha y hora
Puede utilizar los valores de timestamp para analizar el rendimiento de CX PCA.
La captura pasiva proporciona un amplio conjunto de valores de tiempo
disponibles para el análisis.
Nota: Esta información de indicación de fecha y hora solo es relevante para los
datos capturados con la captura pasiva. No refleja ninguna indicación de fecha y
hora ni ningún proceso realizado por otro software de Tealeaf.
Supuestos
Se aplican los siguientes supuestos a las indicaciones de fecha y hora.
v El software de captura pasiva crea todas las indicaciones de fecha y hora en el
punto de captura. Cuando el software ve los datos en su punto de captura,
asigna una indicación de fecha y hora.
v La máquina host de la captura pasiva está a una distancia corta, insignificante
del origen de generación de HTTP. Sin embargo, este factor no debe repercutir
sobre la indicación de fecha y hora, ya que los datos generalmente fluyen sin
obstáculos del servidor web al cliente.
v Los datos se envían tan rápido como la vía de acceso de red integral permite.
Hay posibles problemas que pueden afectar la precisión de la indicación de
fecha y hora del tráfico que está llegando a la PCA. Si el punto de captura es un
puerto de distribución de conmutadores, los almacenamientos intermedios
internos que se utilizan para agregar el tráfico de distribución pueden cambiar
su llegada de datos en tiempo real. Los almacenamientos intermedios pueden
retener y separar el puerto de tráfico de distribución en cualquier momento que
repercuta sobre la precisión. Otros dispositivos de red también pueden cambiar
las horas de llegada de los datos si forman parte de la vía de acceso de tráfico
de captura, pero no en la vía de acceso de tráfico en directo.
v Todas las indicaciones de fecha y hora se especifican en GMT con granularidad
de microsegundo. Un microsegundo es una millonésima de segundo.
Nota: Las indicaciones de fecha y hora registradas por Tealeaf CX Passive Capture
Application constituyen las mejores estimaciones. En la instalación predeterminada
de Tealeaf cxImpact, estas indicaciones de fecha y hora no incluyen información de
representación del navegador del cliente. Cuando se instala y se habilita la captura
de interfaz de usuario de Tealeaf en la aplicación web, dicha información se
captura y notifica mediante el portal.
v Para obtener más información sobre informes del lado de cliente, consulte
"Análisis de rendimiento" en la Guía de informes de IBM Tealeaf.
© Copyright IBM Corp. 1999, 2015
245
v Tealeaf CX UI Capture for AJAX es un componente con licencia separada de la
plataforma Tealeaf CX.
v Consulte la publicación "UI Capture for Ajax Guide" en la publicación IBM
Tealeaf UI Capture for Ajax Guide.
Indicaciones de fecha y hora de ejemplo en la solicitud
Los valores de ejemplo siguientes se visualizan en la solicitud después de que la
PCA genera sus indicaciones de fecha y hora.
RequestTimeEx=2009-02-26T15:33:58.347692Z
RequestEndTimeEx=2009-02-26T15:33:58.347836Z
ResponseStartTimeEx=2009-02-26T15:33:58.352928Z
ResponseTimeEx=2009-02-26T15:33:58.552479Z
ResponseAckTimeEx=2009-02-26T15:33:58.693390Z
TLapiArrivalTimeEx=2009-02-26T15:33:58.676361Z
ReqTTLB=144
RspTTFB=5092
RspTTLB=199551
RspTTLA=140911
ConnSpeed=628604
ConnType=DSL
WS_Generation=5092
WS_Grade=ExcellentWS
WS_GradeEx=0
NT_Total=340462
NT_Grade=ExcellentNT
NT_GradeEx=0
RT_Total=345554
RT_Grade=ExcellentRT
RT_GradeEx=0
Elementos
Uso*
RequestEndTimeEx=2009-02-26T15:33:58.
ResponseStartTimeEx=2009-02-26T15:33:58.
ResponseAckTimeEx=2009-02-26T15:33:58.
WS_Generation=5092
NT_Total=340462
RT_Total=345554
Se utiliza en el cálculo de indicaciones de fecha y hora y comportamiento
de red
347836
352928
693390 Valores de indicación de fecha y hora que se utilizan para cálculos
posteriores
Valores y definiciones de indicación de fecha y hora en la
solicitud
La tabla siguiente proporciona una explicación de cada uno de los valores en la
sección [timestamp] de la solicitud:
246
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 33. Valores de indicación de fecha y hora y definiciones
Valor
Descripción
RequestTimeEx
Inicio de la solicitud. La indicación de fecha y hora
cuando la PCA vio el primer paquete de la solicitud.
RequestEndTimeEx
Fin de la solicitud. La indicación de fecha y hora
cuando la PCA vio el último paquete de la solicitud.
ResponseStartTimeEx
Inicio de la respuesta. La indicación de fecha y hora
cuando la PCA vio el primer paquete de la respuesta.
Si no se ha visto ningún paquete de respuesta, se
utilizará el valor RequestEndTimeEx.
ResponseTimeEx
Fin de la respuesta. La indicación de fecha y hora
cuando la PCA vio el último paquete de la respuesta.
Si no se ha visto ningún paquete de respuesta, se
utilizará el valor RequestEndTimeEx.
ResponseAckTimeEx
La indicación de fecha y hora cuando la PCA vio que
el cliente/navegador reconoció el último paquete TCP
de la respuesta. Si no se ha visto ningún paquete de
respuesta, se utilizará el valor RequestEndTimeEx.
TLapiArrivalTimeEx
Esta indicación de fecha y hora indica cuándo la
coincidencia llega dentro del proceso interconectado
de la PCA. El tiempo completo de aciertos
reensamblados puede suceder más adelante si un
acierto incompleto se ha reensamblado o se ha
atrasado debido a un último paquete de datos muy
tardío. En un caso normal, esta indicación de fecha y
hora debería ser aproximadamente la misma que
ResponseTimeEx. Una gran diferencia podría indicar
un problema de red.
ReqTTLB
Tiempo en microsegundos desde el primer paquete
de la solicitud hasta el último (RequestEndTimeEx
menos RequestTimeEx). Este valor no incluye el
tiempo de red.
RspTTFB
Tiempo (en microsegundos) desde el inicio de la
solicitud hasta la primera de la página de respuesta
(ResponseTimeStartEx menos RequestTimeEx). Este
valor suele ser una aproximación precisa del tiempo
que el servidor web ha necesitado para generar la
página de respuesta. En particular, si la página
completa se almacena en el almacenamiento
intermedio (el valor predeterminado para ASP .NET
y muchos entornos J2EE), entonces esta medida es un
predictor exacto de cuánto demoro la infraestructura
del lado del servidor en responder.
Es posible que este valor no sea preciso si el servidor
web ha servido los datos en trozos.
RspTTLB
Tiempo en microsegundos desde el primer paquete
de la respuesta hasta el último (ResponseTimeEx
menos ResponseStartTimeEx). Este valor no incluye el
tiempo de red.
Capítulo 7. Medida de rendimiento
247
Tabla 33. Valores de indicación de fecha y hora y definiciones (continuación)
Valor
Descripción
RspTTLA
Tiempo de reconocimiento de cliente/navegador del
último paquete de datos (ResponseACKTimeEx menos
ResponseTimeEx). Este valor es una indicación del
recorrido completo de red.
Para calcular el tiempo unidireccional, divida este
valor por 2.
ConnSpeed
Velocidad de conexión, especificada en bits por
segundo (bps). Este valor se calcula dividiendo el
tamaño promedio de la respuesta por el tiempo
promedio que tardó en entregarse.
Cuando se determina la velocidad de conexión, se
ignoran los eventos de interfaz de usuario de cliente
detectados.
ConnType
En función del valor ConnSpeed, este valor se
establece en Dialup, ISDN, DSL o T1.
WS_Generation
Tiempo en microsegundos para que el servidor web
genere la respuesta. Este valor se calcula como:
ResponseStartTimeEx - RequestEndTimeEx
WS_Grade
El grado asignado al tiempo de generación de la
página del servidor web (WS_Generation). Los valores
posibles son los siguientes:
ExcellentWS, Very GoodWS, GoodWS, FairWS, PoorWS o
IncompleteWS.
Este valor se indexa de forma predeterminada.
WS_GradeEx
Un número que representa la agrupación de rango de
tiempo TimeGrades entre 0 y 4 para el tiempo de
generación de la página del servidor web. Consulte
“Valores de la interconexión” en la página 119.
NT_Total
Tiempo en microsegundos para el tiempo de viaje de
red.
NT_Grade
El grado asignado al tiempo de viaje de red
(NT_Total). Los valores posibles son los siguientes:
ExcellentNT, Very GoodNT, GoodNT, FairNT, PoorNT o
IncompleteNT.
Este valor se indexa de forma predeterminada.
NT_GradeEx
Un número que representa la agrupación de rango de
tiempo TimeGrades entre 0 y 4 para el tiempo de
viaje de red.
RT_Total
El tiempo total de viaje de recorrido completo en
microsegundos.
RT_Grade
El grado general para el rendimiento de red. Los
valores posibles son los siguientes:
ExcellentRT, Very GoodRT, GoodRT, FairRT, PoorRT o
IncompleteRT.
Este valor se indexa de forma predeterminada.
248
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 33. Valores de indicación de fecha y hora y definiciones (continuación)
Valor
Descripción
RT_GradeEx
Un número que representa la agrupación de rango de
tiempo TimeGrades entre 0 y 4 para el tiempo de
viaje de recorrido completo. Consulte “Valores de la
interconexión” en la página 119.
Cálculo de horas de la indicación de fecha y hora
Puede medir el rendimiento calculando las horas a partir de los valores de las
indicaciones de fecha y hora.
Las siguientes indicaciones de fecha y hora son las más importantes para ayudarle
a determinar el rendimiento.
v RequestTimeEx
v ResponseStartTimeEx
v ResponseAckTimeEx
1. El primer valor de tiempo en microsegundos es la diferencia entre que la PCA
ve el final de la petición y el inicio de la respuesta: RspTTFB =
ResponseStartTimeEx - RequestTimeEx
2. El segundo valor de tiempo en microsegundos es la diferencia entre que la PCA
ve el inicio de la solicitud al final de la respuesta: RspTTLB = ResponseTimeEx ResponseStartTimeEx
3. El tercer valor de tiempo en microsegundos es la hora en la que la última
respuesta debe viajar de la PCA al visitante. El tiempo que se necesita para que
la solicitud inicial vaya del usuario a la PCA, que es una medida de tiempo de
recorrido completo de red: RspTTLA = ResponseACKTimeEx minus ResponseTimeEx
Factores que afectan los valores de indicación de fecha y hora
Se deben tener en cuenta los factores siguientes cuando se evalúan las indicaciones
de fecha y hora.
v En un entorno de red de varios niveles, normalmente no hay almacenamientos
en la red. Sin embargo, las granjas de servidores grandes y sofisticadas pueden
emplear un equilibrador de carga (por ejemplo, F5), por lo que algunos
almacenamientos de datos de la solicitud HTTP pueden afectar los valores de
indicación de fecha y hora. Dado que estos dispositivos dedicados son altamente
personalizados para la velocidad, esta repercusión apenas se percibe.
v Los dispositivos de almacenamiento en memoria caché de contenidos en el
entorno pueden distorsionar los valores de tiempo. Cuando el contenido se
almacena en memoria caché, se reducen los valores de tiempo.
v Para tamaños de páginas en promedio mayores, es más eficaz comprimir los
datos para una transferencia más rápida.
v Si la opción de estado activo de HTTP/1.1 está habilitada, puede afectar la
velocidad a la que pueden realizarse varias solicitudes HTTP.
v Los valores de entrega de aplicaciones repercuten en la medida de rendimiento.
¿Está encendido el almacenamiento intermedio? Es decir, ¿la aplicación comienza
a transmitir cuando el primer byte está listo o espera a que toda la página esté
lista primero?
v La fragmentación afecta a los valores de indicación de fecha y hora. La respuesta
se puede entregar en un trozo o fragmentarse y entregarse a petición, como por
ejemplo, un archivo PDF con servidor de bytes.
Capítulo 7. Medida de rendimiento
249
v Los valores de navegador del lado de cliente pueden afectar al rendimiento y a
los valores de tiempo. Por ejemplo, si el almacenamiento en memoria caché está
habilitado, se reducen los tiempos de transferencia de páginas que contienen
contenido almacenado en memoria caché. El tamaño de la memoria caché es un
factor.
Indicaciones de fecha hora en las coincidencias ReqCancelled
Cuando el visitante o el servidor cancelan una solicitud, puede que las
indicaciones de fecha y hora no se inserten como siempre según la hora de
cancelación.
Tealeaf inserta indicaciones de fecha y hora de acuerdo con la tabla siguiente.
Tabla 34. Indicaciones de fecha hora en las coincidencias ReqCancelled
La acción
actual en el
momento
de la
cancelación
Indicación de fecha y hora de la
solicitud
Indicación de fecha y hora de la
respuesta
Solicitud
indicación de fecha y hora de la
enviada,
solicitud
respuesta no
iniciada
(tamaño de
la respuesta
= 0)
Utilice el valor RequestEndTimeEx
Solicitud
enviada,
respuesta
iniciada
(tamaño de
la respuesta
> 0)
indicación de fecha y hora de la
respuesta
indicación de fecha y hora de la
solicitud
La razón para que una respuesta no inicie puede incluir cualquiera de las
siguientes:
1. Cancelación del visitante
2. Cancelación del servidor
3. Problema de red
4. El servidor ha tardado demasiado en responder y se ha excedido el tiempo de
espera de PCA
5. PCA no ha podido hacer coincidir la solicitud con la respuesta
Nota: Cuando crea informes utilizando el evento Req Cancelled Count, puede
tabular los recuentos de todas las apariciones especificando el tipo de datos para
que el evento sea una [Sum], en lugar de un [Count].
Coincidencias sin indicaciones de fecha y hora
Si se recibe una coincidencia con información de indicación de fecha y hora
incompleta o con un formato inadecuado, la PCA no genera estas indicaciones de
fecha y hora asociadas.
250
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Cuando la coincidencia se pasa al servidor de procesos para su evaluación, este
aplica un valor de indicación de fecha y hora de 01/01/1970 a la coincidencia. La
coincidencia después se graba en un archivo de sesión con la misma indicación de
fecha y hora.
Cada hora, el servidor de procesos suprime los archivos de archivado de sesión
que sean más antiguos que el número de días de los datos que se han configurado
para ser retenidos en el servidor de procesos. Así, la coincidencia se suprime
automáticamente cada hora.
El número de días de datos que el servidor de procesos retiene está definido en el
separador Servicios de recipiente de la configuración de recipiente en el sistema de
gestión de Tealeaf. Consulte "Configuración del Recipiente de CX" en el Manual de
configuración de IBM Tealeaf CX.
Además de las indicaciones de fecha y hora faltantes o con un formato erróneo, los
siguientes tipos de coincidencias no pueden tener indicaciones de fecha y hora:
1. Las estadísticas del sistema de Tealeaf que envían los diferentes componentes
de Tealeaf para informar acerca de su estado no se pueden filtrar fuera de la
corriente de capturas del recipiente mediante el agente de sesión del
direccionador de sesiones.
v Para obtener más información acerca de estas coincidencias, consulte
"Estadísticas del sistema" en el Manual de administración de IBM Tealeaf
cxImpact.
v Consulte "Agente de sesión de direccionador de sesión" en el Manual de
configuración de IBM Tealeaf CX.
2. Si se despliega la base de datos de búsqueda de IBM Tealeaf cxReveal, pueden
haber referencias a estas coincidencias en los datos que se insertan en la base
de datos. Cuando se ejecuta una búsqueda de IBM Tealeaf cxReveal, las
coincidencias ya pueden estar depuradas. Aunque la base de datos indica que
las coincidencias existen, estas no existen en los datos de recipiente.
Nota: La base de datos de búsqueda de IBM Tealeaf cxReveal requiere una
instalación y configuración independientes. Consulte "Configuración de la
búsqueda de atributo de sesión" en el Manual de administración de IBM Tealeaf
cxReveal.
Capítulo 7. Medida de rendimiento
251
Informes de indicaciones de fecha y hora en el portal y RTV
El portal y RTV proporciona los siguientes valores de indicación de fecha y hora.
Tabla 35. Valores de indicación de fecha y hora y descripciones
Valor de indicación de
tiempo y hora
Tiempo de generación de
páginas
Descripción
El tiempo de generación de páginas es el tiempo necesario,
después de que se recibe la solicitud, para que la
infraestructura web (WS/AS/DB) procese la respuesta y
comience a transmitirla al navegador del cliente. Este valor de
tiempo en microsegundos es el tiempo entre que la PCA vio el
último paquete de la solicitud hasta el momento en que la
PCA recibe el primer paquete de la respuesta. Este valor se
calcula e inserta en la solicitud como WS_Generation :
WS_Generation = ResponseStartTimeEx - RequestEndTimeEx
En la solicitud de ejemplo que se visualiza arriba, el valor de
tiempo WS_Generation es 352928-347836 = 5092 microsegundos.
Tiempo de red
El tiempo de red es la diferencia de tiempo entre que el
servidor web comienza a enviar la respuesta y la PCA recibe el
acuse de recibo del visitante. Este valor se calcula e inserta en
la solicitud como NT_Total:
NT_Total =ResponseAckTimeEx - ResponseStartTimeEx
En la solicitud de ejemplo que se visualiza, el valor de tiempo
NT_Total es 693390 - 352928 = 340462 microsegundos.
Tiempo de recorrido
completo
El tiempo de recorrido completo es la diferencia de tiempo
entre que la PCA recibe el último paquete de la solicitud y
recibe el acuse de recibo del visitante de que llega toda la
respuesta.
Este valor se calcula e inserta en la solicitud como RT_Total:
RT_Total = ResponseAckTimeEx - RequestEndTimeEx
En la solicitud de ejemplo que se visualiza arriba, el valor de
tiempo RT_Total es:
693390 - 347836 = 345554 microsegundos
Revisión de las dos secciones anteriores:
RT_Total = WS_Generation + NT_Total
Tiempo de representación
La captura de interfaz de usuario de Tealeaf se puede
desplegar para capturar eventos de interfaz de usuario en el
navegador del cliente y para supervisar medidas del lado de
cliente, como por ejemplo, el tiempo necesario para
representar la página en el navegador.
Si la captura de interfaz de usuario se ha desplegado, el
tiempo de presentación se notifica a Tealeaf en milisegundos.
Prueba del rendimiento del proceso de Tealeaf
Puede utilizar la siguiente prueba para comprobar la rapidez con la que Tealeaf
procesa las coincidencias. En un sistema ideal, la longitud de tiempo entre que la
PCA captura una coincidencia y esta aparece en el recipiente a corto plazo es de
unos pocos segundos.
252
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Nota: Si el recipiente a corto plazo pone las coincidencias en cola en el disco, el
proceso se retarda aún más y esta prueba no es un indicador fiable del
rendimiento normal del sistema.
1. Inicie una sesión en el portal de Tealeaf.
2. Para visualizar las sesiones activas actualmente, seleccione Activo > Portal.
Clasifique el orden de visualización por hora.
3.
4.
5.
6.
7.
8.
9.
Nota: Estas operaciones pueden tomar hasta cinco segundos en completarse y
pueden presentar un factor de retraso en la medida de rendimiento.
Abra una herramienta de reloj en el sistema, que muestre el segundero.
Registre la hora de inicio de una nueva sesión.
v Continúe renovando la página Sesiones activas hasta que comience una
nueva sesión.
v Inicie una nueva sesión desplazándose hacia la aplicación web mediante una
ventana de navegador nueva.
Tan pronto como aparezca una nueva sesión, anote el valor actual del
segundero.
Abra la misma sesión en la aplicación de Reali-Tea Viewer o en la
Reproducción basada en navegador.
En la primera coincidencia de la sesión, abra la solicitud.
En la sección [timestamp], revise el valor de ResponseTimeEx.
La diferencia en segundos entre el valor anterior y la hora en la que la sesión
comenzó proporciona una aproximación más precisa del tiempo que Tealeaf
requiere actualmente para procesar una nueva coincidencia en el recipiente a
corto plazo.
Informes
Los informes basados en la información de las indicaciones de fecha y hora que
captura y calcula Tealeaf se pueden configurar y revisar mediante el portal de
Tealeaf.
Los informes basados en la información de las indicaciones de fecha y hora que
captura y calcula Tealeaf se pueden configurar y revisar mediante el portal de
Tealeaf.
Si despliega la biblioteca de IBM Tealeaf CX UI Capture for AJAX, hay más
información de temporización del lado de cliente en informes basados en el portal.
Capítulo 7. Medida de rendimiento
253
254
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Capítulo 8. Configuración de la captura pasiva en Red Hat
Enterprise Linux (RHEL)
Las secciones siguientes contienen información importante para la configuración de
la Captura pasiva en un entorno de Red Hat Enterprise Linux:
v “Captura pasiva en RHEL - Configuración de DNS”
v “Captura pasiva en RHEL - Configuración de interfaces de red” en la página 256
v “Configuración NTP para la captura pasiva en RHEL” en la página 258
v Captura pasiva en RHEL - Configuración del acceso de Puerto serie
Captura pasiva en RHEL - Configuración de DNS
Esta sección proporciona una breve descripción de los archivos de configuración de
(DNS) Servicio de nombre de dominio, el servicio que se utiliza para realizar
conversiones entre nombres del sistema principal y direcciones IP. El archivo
/etc/nsswitch.conf controla la utilización de varios archivos de base de datos de
sistemas y nombres de servicio. Cuando el archivo nsswitch.conf habilita el DNS,
el archivo /etc/resolv.conf controla cómo se realizan las búsquedas. Los cambios
que se realizan a estos archivos de sistema toman efecto después de que guarda los
cambios en los archivos.
También puede utilizar el programa de utilidad gráfico redhat-config-network para
configurar el DNS. Está disponible cuando se instala el paquete
redhat-config-network. El paquete y los mandatos que proporciona no están
disponibles con una mínima instalación RHEL.
Inhabilitar DNS
Para inhabilitar búsquedas DNS:
1. Editar archivo /etc/nsswitch.conf.
2. Coloque un signo de almohadilla (#) al principio de la línea que lee hosts:
archivos dns.
3. Después de editar, la línea se debe parecer al código siguiente:
#hosts: archivos dns
Habilitar DNS
Para habilitar búsquedas DNS:
1. Edite /etc/nsswitch.conf.
2. Elimine signos de almohadilla (#) al principio de la línea que lee hosts:
archivos dns. Después de editar, la línea que se parece a:
hosts: archivos dns
/etc/resolv.conf
Para especificar el dominio DNS y los servidores:
1. Edite el archivo /etc/resolv.conf.
2. Cuando DHCP está habilitado para una interfaz de red, el archivo
/etc/resolv.conf se genera automáticamente gracias al programa cliente
DHCP con los servidores DNS especificados por el servidor DHCP.
© Copyright IBM Corp. 1999, 2015
255
v Normalmente se edita /etc/resolv.conf sólo cuando se utilizan direcciones
de IP fijas (estáticas).
3. El archivo /etc/resolv.conf debería especificar el sufijo del nombre del
dominio para utilizar cuando el nombre de host no está totalmente calificado.
4. También debe especificar el nombre de al menos un servidor DNS para utilizar
para el nombre de host y la resolución IP. El siguiente es un ejemplo de
/etc/resolv.conf para las máquinas del dominio Tealeaf.com con dos
servidores DNS:
search machines.tealeaf.com
nameserver 172.16.0.5
nameserver 172.16.0.6
Captura pasiva en RHEL - Configuración de interfaces de red
Los archivos de configuración de red en el directorio /etc/sysconfig se leen y se
procesan durante la inicialización del sistema. Para aplicar cambios, inicie la
máquina utilizando el mandato shutdown -r ahora.
v En lugar de reiniciar la máquina, también puede traer la máquina en modo de
usuario único mediante el uso del mandato shutdown now. En el indicador de
mandatos, escriba el mandato exit para dejar el modo de usuario único y
vuelva a escribir el modo de usuario múltiple, el cuál habilita la conexión de red
e inicia las interfaces de red.
Ejemplo DHCP
Este ejemplo configura una máquina denominada capture.my.domain que recupera
la información de red, a través de DHCP en la interfaz eth0.
El archivo /etc/hosts contiene la línea siguiente para asegurar una correlación de
nombre de host/dirección IP para la máquina:
127.0.0.1 capture.my.domain capture localhost.localdomain localhost
El archivo /etc/sysconfig/network contiene la línea siguiente:
HOSTNAME=capture.my.domain
El archivo /etc/sysconfig/network-scripts/ifcfg-eth0 contiene sólo las líneas
siguientes:
BOOTPROTO=dhcp
DEVICE=eth0
ONBOOT=yes
Ejemplo ETHTOOL_OPTS
Todas las interfaces de red que se utilizan con la captura pasiva se deben
configurar para la modalidad dúplex. La modalidad dúplex asegura el uso máximo
de las interfaces de red para capturar paquetes y entregarle coincidencias de
Tealeaf al servicio de transporte de Tealeaf.
Puede añadir una variable denominada ETHTOOL_OPTS al archivo ifcfg para una
interfaz de red para forzar su modalidad dúplex. Usualmente debe hacerlo si el
dispositivo se auto-negocia a sí mismo en medio dúplex. A continuación verá la
línea de muestra que establece la variable ETHTOOL_OPTS para forzar la interfaz de
red en dúplex en 1 gigabit.
ETHTOOL_OPTS="autoneg off duplex full speed 1000"
256
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Debe especificar el dúplex y la velocidad en conjunto y en el orden que se
enumeran. La auto-negociación de debe inhabilitar primero, y luego el dúplex y la
velocidad se pueden establecer. El dúplex y velocidad se deben establecer en
conjunto para asegurar que el controlador de dispositivo de interfaz de red no
restablezca el tiempo de dúplex o la velocidad cuando se modifica.
Con la variable ETHTOOL_OPTS definida en el archivo ifcfg para una interfaz de red,
el mandato ifup ejecuta el programa de utilidad y pasa las opciones que están
definidas por la variable. Por ejemplo, si editó ifcfg-eth0 con el ejemplo anterior,
entonces ifup ejecuta el mandato:
ethtool -s eth0 ${ETHTOOL_OPTS}
El mandato proporciona la salida siguiente:
ethtool -s eth0 autoneg off duplex full speed 1000
Los cambios que realice en el archivo ifcfg para una interfaz de red entran en
vigor sólo cuando el script ifup se ejecuta, lo que sucede usualmente cuando la
máquina rearranca. Puede ejecutar el mandato ethtool de manera manual para que
entre en vigor inmediatamente. Por ejemplo:
ethtool -s eth0 autoneg off duplex full speed 1000
Ejemplo de escucha de la interfaz
Este ejemplo configura la interfaz de red eth2 para capturar paquetes desde un
conmutador o un dispositivo de escucha.
Cuando se capturan desde un conmutador, sólo se necesita una interfaz de red ya
que está recibiendo tráfico bidireccional. Un dispositivo de escucha envía tráfico
unidireccional (de entrada y salida) utilizando dos cables de red. Por lo tanto, para
un dispositivo de escucha debe configurar dos interfaces de red, una para cada
cable. En ambos casos, configure la interfaz de red de la misma manera. Una
interfaz a la escucha no necesita una dirección IP ya que solo recibe paquetes de
un conmutador o de un dispositivo de escucha. Nunca se utiliza para enviar
paquetes en la conexión.
El archivo /etc/sysconfig/network-scripts/ifcfg-eth2 contiene sólo las
siguientes líneas:
DEVICE=eth2
ONBOOT=yes
Ejemplo de IP estática
Esta configuración de ejemplo muestra cómo se configura un servidor de capturas
con valores de IP estática.
La tabla siguiente muestra un ejemplo de los valores de IP estática para un
servidor de capturas.
Tabla 36. Valores de IP
Valor
Valor
DNS
my.domain
Nombre de host
captura
dirección IP
172.16.1.100
Máscara de red
255.255.255.0
Capítulo 8. Configuración de la captura pasiva en Red Hat Enterprise Linux (RHEL)
257
Tabla 36. Valores de IP (continuación)
Valor
Valor
Pasarela
172.16.1.1
Los siguientes archivos de configuración muestran dónde se almacenan los valores
de host de ejemplo.
El archivo /etc/hosts contiene las líneas siguientes:
127.0.0.1 localhost.localdomain localhost
172.16.1.100 capture.my.domain capture
El archivo /etc/sysconfig/network contiene la línea siguiente:
HOSTNAME=capture.my.domain
El archivo /etc/sysconfig/network-scripts/ifcfg-eth0 contiene las líneas
siguientes:
BOOTPROTO=static
IPADDR=172.16.1.100
NETMASK=255.255.255.0
GATEWAY=172.16.1.1
DEVICE=eth0
ONBOOT=yes
Lectura adicional
Para obtener más información, consulte el directorio
Red Hat Enterprise Linux Guía de referencia: El directorio sysconfig:
http://www.redhat.com/docs/manuals/enterprise/RHEL-3-Manual/ref-guide/chsysconfig.html
Red Hat Enterprise Linux Guía de referencia: Interfaces de red:
http://www.redhat.com/docs/manuals/enterprise/RHEL-3-Manual/ref-guide/chnetworkscripts.html
Configuración NTP para la captura pasiva en RHEL
Puede configurar un daemon NTP para sincronizar la hora de la máquina con uno
o más servidores NTP.
Primero, instale el paquete NTP, que no está incluido con una mínima instalación.
Después de instalar el paquete NTP, seleccione los servidores NTP, cree archivos de
configuración, y después habilite e inicie el servicio.
Tabla 37. Configuración de NTP
Visión general
de la
configuración
Instale el
paquete NTP
258
Pasos de configuración
Si todavía no lo ha hecho, instale el paquete NTP desde su distribución Linux.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Tabla 37. Configuración de NTP (continuación)
Visión general
de la
configuración
Pasos de configuración
Seleccione
servidores NTP
Para sincronizar la hora de la estación de trabajo, el daemon NTP en sus contactos de estación de
trabajo en uno o más servidores NTP especificado en el archivo de configuración /etc/ntp.conf.
Si un servidor NTP no está disponible en la red local, siga uno de los pasos siguientes:
v Seleccione un servidor NTP público (visite http://www.ntp.org/ y pulse Listas de servidor de
horas). Si selecciona un servidor NTP público, lea las Reglas de Compromiso (pulse Reglas de
Compromiso en la página principal en el sitio NTP).
v Utilice la agrupación del servidor de horas NTP (visite http://www.pool.ntp.org/ y pulse
How do I use pool.ntp.org).
Como usuario root en la estación de trabajo, verifique que la máquina pueda contactar los
servidores NTP seleccionados. Utilice el mandato ntpdate con la consulta opción -q. Por ejemplo,
para consultar un servidor NTP cuya dirección IP es 1.2.3.4, utilice el mandato siguiente:
ntpdate -q 1.2.3.4
La salida se debe ver de la siguiente manera, que muestra el servidor contactado y la diferencia
de tiempo entre la estación de trabajo local y el servidor.
server 1.2.3.4, stratum 2, offset 150.695779, delay 0.03366
17 Nov 10:27:09 ntpdate[21597]: step time server 1.2.3.4 offset 150.695779 sec
Si la consulta falla, la salida probablemente sea la siguiente:
server 1.2.3.4, stratum 0, offset 0.000000, delay 0.00000
17 Nov 10:29:04 ntpdate[21599]: no server suitable for synchronization found
Cree archivos de Siga los pasos siguientes como usuario root en la máquina:
configuración
1. Creación del archivo /etc/ntp/step-tickers. Puede hacer una copia de seguridad de
cualquier versión existente del archivo. El archivo contiene los nombres de hosts o de
direcciones IP de los servidores NTP para ponerse en contacto durante el inicio para
inicialmente establecer el tiempo. Si utiliza el grupo de servidores NTP, debe utilizar los
nombres de host, lo que requiere DNS.
Por ejemplo, si los dos servidores NTP que se van a utilizar son 1.2.3.4 y 5.6.7.8, entonces
utilice los siguientes mandatos para crear el archivo:
echo 1.2.3.4 &gt; /etc/ntp/step-tickers
echo 5.6.7.8 &gt;&gt; /etc/ntp/step-tickers
2. Crear archivo /etc/ntp.conf con los mandatos siguientes. Puede hacer una copia de
seguridad de cualquier versión existente del archivo.
echo restrict default ignore > /etc/ntp.conf
echo restrict 127.0.0.1 >> /etc/ntp.conf
echo driftfile /var/lib/ntp/drift >> /etc/ntp.conf
3. Añada entradas utilizando las palabras claves restringir y servidor para cada servidor NTP.
El ejemplo siguiente añade entradas para los servidores NTP hipotéticos 1.2.3.4 and 5.6.7.8.
Las opciones la máscara, nomodify, notrap, y noquery evitan que el servidor modifique el
servicio NTP en la máquina host captura pasiva.
nullecho
restrict 1.2.3.4 mask 255.255.255.255 nomodify notrap noquery >> /etc/ntp.con
echo server 1.2.3.4 >> /etc/ntp.conf
echo restrict 5.6.7.8 mask 255.255.255.255 nomodify notrap noquery >> \
/etc/ntp.con
echo server 5.6.7.8 &gt;&gt; /etc/ntp.conf
Capítulo 8. Configuración de la captura pasiva en Red Hat Enterprise Linux (RHEL)
259
Tabla 37. Configuración de NTP (continuación)
Visión general
de la
configuración
Habilite e inicie
el servicio NTP
Pasos de configuración
Siga los pasos siguientes como usuario root en la máquina:
1. Configurar el servicio para que se inicie durante el arranque utilizando el mandato siguiente:
chkconfig ntpd on
2. Inicie el servicio inmediatamente utilizando el mandato siguiente:
service ntpd start
3. Verifique que el servicio haya iniciado y contactado un servidor utilizando el mandato
siguiente:
ntpq -np
4. Vea los mensajes de registro para el daemon NTP en el archivo /var/log/messages.
Instalación del paquete NTP y selección de los servidores
NTP
Para sincronizar la hora de la estación de trabajo, el daemon NTP en sus contactos
de estación de trabajo en uno o más servidores NTP especificado en el archivo de
configuración /etc/ntp.conf.
Si todavía no lo ha hecho, instale el paquete NTP para su distribución Linux.
Si un servidor NTP no está disponible en la red local, siga uno de los pasos
siguientes:
1. Seleccione un servidor NTP público (visite http://www.ntp.org/ y pulse Listas
de servidor de horas). Si selecciona un servidor NTP público, lea las Reglas de
Compromiso (pulse Reglas de Compromiso en la página principal en el sitio
NTP).
2. Utilice la agrupación del servidor de horas NTP (visite http://
www.pool.ntp.org/ y pulse How do I use pool.ntp.org).
Como usuario root en la estación de trabajo, verifique que la máquina pueda
contactar los servidores NTP seleccionados. Utilice el mandato ntpdate con la
consulta opción -q. Por ejemplo, para consultar un servidor NTP cuya dirección IP
es 1.2.3.4, utilice el mandato siguiente:
ntpdate -q 1.2.3.4
La salida se debe ver de la siguiente manera, que muestra el servidor contactado y
la diferencia de tiempo entre la estación de trabajo local y el servidor.
server 1.2.3.4, stratum 2, offset 150.695779, delay 0.03366
17 Nov 10:27:09 ntpdate[21597]: step time server 1.2.3.4 offset 150.695779 sec
Si la consulta falla, la salida probablemente sea la siguiente:
server 1.2.3.4, stratum 0, offset 0.000000, delay 0.00000
17 Nov 10:29:04 ntpdate[21599]: no server suitable for synchronization found
Creación de Archivos de configuración
Siga los pasos siguientes como usuario root en la máquina:
1. Creación del archivo /etc/ntp/step-tickers. Puede hacer una copia de
seguridad de cualquier versión existente del archivo. El archivo contiene los
nombres de hosts o de direcciones IP de los servidores NTP para ponerse en
260
IBM Tealeaf CX Passive Capture Application: Manual de PCA
contacto durante el inicio para inicialmente establecer el tiempo. Si utiliza el
grupo de servidores NTP, debe utilizar los nombres de host, lo que requiere
DNS. Por ejemplo, si los dos servidores NTP que se van a utilizar son 1.2.3.4 y
5.6.7.8, entonces utilice los siguientes mandatos para crear el archivo:
echo 1.2.3.4 > /etc/ntp/step-tickers
echo 5.6.7.8 >> /etc/ntp/step-tickers
2. Crear archivo /etc/ntp.conf con los mandatos siguientes. Puede hacer una
copia de seguridad de cualquier versión existente del archivo.
echo restrict default ignore > /etc/ntp.conf
echo restrict 127.0.0.1 >> /etc/ntp.conf
echo driftfile /var/lib/ntp/drift >> /etc/ntp.conf
3. Añada entradas utilizando las palabras claves restringir y servidor para cada
servidor NTP. El ejemplo siguiente añade entradas para los servidores NTP
hipotéticos 1.2.3.4 and 5.6.7.8. Las opciones la máscara, nomodify, notrap, y
noquery evitan que el servidor modifique el servicio NTP en la máquina host
captura pasiva.
nullecho
restrict 1.2.3.4 mask 255.255.255.255 nomodify notrap noquery >> /etc/ntp.con
echo server 1.2.3.4 >> /etc/ntp.conf
echo restrict 5.6.7.8 mask 255.255.255.255 nomodify notrap noquery >> \
/etc/ntp.con
echo server 5.6.7.8 >> /etc/ntp.conf
Habilitar e iniciar el servicio
Siga los pasos siguientes como usuario root en la máquina:
1. Configurar el servicio para que se inicie durante el arranque utilizando el
mandato siguiente:
chkconfig ntpd on
2. Inicie el servicio inmediatamente utilizando el mandato siguiente:
service ntpd start
3. Verifique que el servicio haya iniciado y contactado un servidor utilizando el
mandato siguiente:
ntpq -np
4. Ver mensajes de registro para el daemon NTP en el archivo
/var/log/messages.
Capítulo 8. Configuración de la captura pasiva en Red Hat Enterprise Linux (RHEL)
261
262
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Capítulo 9. Supervisión de captura pasiva
Puede supervisar la captura pasiva para diagnosticar problemas de rendimiento.
Esta sección proporciona información sobre cómo supervisar la IBM Tealeaf CX
Passive Capture Application.
Lista de comprobación para el diagnóstico de problemas de CX
Passive Capture Application
La consola web de PCA proporciona información detallada acerca de cómo
diagnosticar problemas con la IBM TealeafCX Passive Capture Application.
Puede utilizar la lista de comprobación siguiente para verificar las operaciones de
PCA mediante los separadores de la consola web de PCA.
Lista de comprobación principal
La siguiente lista de comprobación se puede utilizar para verificar el estado de su
entorno de captura pasiva.
1. “Consola web de PCA - Pestaña Consola” en la página 89 Habilitar/inhabilitar la captura pasiva.
a. Verifique que la captura pasiva esté habilitada.
2. “Consola Web de PCA - Pestaña Resumen” en la página 76 - Contiene
medidas e información de estado sobre procesos de PCA individuales, pares e
interfaces de red. Los mensajes de aviso y error se visualizan aquí. Verifique
que:
a. Todos los procesos de captura están en funcionamiento.
b. Los pares de entrega están definidos y conectados y están entregando
coincidencias
c. Las interfaces de red están activas.
v Para obtener estadísticas de una interfaz de red, pulse (detalles).
v Para obtener más diagnósticos, pulse el enlace Programas de utilidad.
v Para obtener más información sobre los mensajes que se visualizan en el
separador Resumen, consulte “Consola Web de PCA - Pestaña Resumen”
en la página 76.
3. “Consola Web de PCA - Pestaña Interfaz” en la página 90 - Configuración de
varias instancias de PCA, interfaces de red, segmentación de datos y filtros de
datos. Contiene parámetros de ajuste de rendimiento. Verifique que:
a. La interfaz primaria está en funcionamiento y escuchando ambas
direcciones de tráfico.
b. Las direcciones de cada interfaz se han configurado correctamente. Consulte
“Consola Web de PCA - Pestaña Interfaz” en la página 90.
c. Los números de puerto de tráfico necesarios se han establecido
correctamente.
d. Los filtros de tráfico ignorados no están filtrando datos deseados.
e. Si utiliza varias instancias de PCA, verifique que las configuraciones de
segmentación de datos dirijan el tráfico a la instancia adecuada.
© Copyright IBM Corp. 1999, 2015
263
f. Las reglas de filtro definidas incluyen o excluyen correctamente el tráfico de
puerto.
g. Los valores de parámetro de ajuste no están repercutiendo en el
rendimiento del sistema.
4. “Consola Web de PCA - Pestaña de Entrega” en la página 110 - Definir y
probar las conexiones con destinatarios de datos de PCA. Habilitar y configurar
la entrega de estadísticas de PCA a la interconexión de Windows. Verifique que:
a. Los nombres de host y números de puerto de destino se han especificado
correctamente
b. Para diagnosticar problemas, entregar coincidencias de estadísticas de PCA
a la interconexión de Windows permite un mejor rastreo de rendimiento del
sistema. Para obtener más información sobre la coincidencia de estadísticas,
consulte “Estadísticas por instancia” en la página 153.
Lista de comprobación de configuración de PCA adicional
Además de la lista de comprobación principal, puede realizar algunas
comprobaciones adicionales basadas en los problemas siguientes:
1. Problemas de SSL: si la PCA no captura adecuadamente el tráfico HTTPS,
revise la configuración de las claves SSL.
v Verifique que no falte ninguna clave privada.
v Verifique en el servidor web que la clave SSL actual se exporte y proporcione
a la PCA.
v PCA requiere que la clave privada del servidor web se exporte, convierta y
después importe en la PCA.
2. Datos sensibles: si los datos sensibles se pasan mediante la PCA a la
interconexión de Windows y a las bases de datos, puede configurar las reglas
de privacidad para bloquear o enmascarar estos datos tan pronto como lleguen
a la PCA.
v Verifique que las reglas de privacidad se configuren correctamente.
v Revise el uso de expresiones regulares en las reglas de privacidad, que
pueden afectar significativamente el rendimiento de la PCA.
3. Problemas de migración tras error: la PCA se puede configurar para que realice
la migración tras error desde la instancia de PCA primaria a una secundaria
según sea necesario.
Sugerencias adicionales para el diagnóstico de problemas
Si la lista de comprobación principal no ha ayudado a diagnosticar el problema,
puede revisar los elementos siguientes para verificar el rendimiento del servidor de
IBM TealeafCX Passive Capture Application.
En algunos casos, los problemas que aparecen en la IBM Tealeaf CX Passive
Capture Application se originan en el sistema operativo o a nivel de red. Las
siguientes sugerencias son pasos de validación útiles antes de ponerse en contacto
con el soporte de consumidor de Tealeaf.
v Compruebe el espacio de disco en el volumen donde la PCA está alojada
v Compruebe los procesos del sistema operativo
v Verifique el historial reciente de las modificaciones de la consola web de la PCA,
que están registradas en el siguiente archivo:
/var/log/tealeaf/confxxx.log
264
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Verifique el estado de los NIC utilizando herramientas externas como ifconfig y
ethtool
v Verifique las conexiones físicas entre el servidor, los NIC y la red
Supervisión de la captura pasiva mediante el estado de Tealeaf
El informe de estado de Tealeaf, sondea cada servidor de Tealeaf activo que esté
configurado en la página Gestión del portal por información de estado y genera un
informe de resumen dentro del portal. Proporciona una vista del panel de control
en el estado del sistema.
Para incluir informes de la PCA en el informe de estado de Tealeaf, realice los
siguientes pasos para habilitar la aplicación de portal. Se comunica con el servidor
o servidores que alojan la PCA.
1. Inicie sesión en el portal como administrador Tealeaf.
2. En el menú Portal, seleccione Tealeaf > Gestión del portal.
3. En la página Gestión del portal, pulse el enlace Gestionar servidores.
4. Revise la lista de servidores. Verifique que la lista contenga una referencia por
cada servidor de PCA del que desee recibir información de estado de Tealeaf.
5. Si un servidor no figura en la lista, cree una entrada para el mismo:
a. Pulse Nuevo. En el menú desplegable, seleccione Servidor de aplicaciones
de capturas.
b. En la parte inferior de la página, especifique las propiedades que habilitan
que la aplicación de portal se conecte con el servidor de PCA.
c. Verifique que la casilla de verificación esté seleccionada.
d. Para guardar la entrada, pulse Guardar.
e. La entrada debe visualizarse en la lista de servidores.
f. Seleccione la entrada. En la parte superior de la lista de servidores, pulse la
herramienta ping para probar la conexión entre la aplicación de portal y el
servidor.
6. Repita los pasos anteriores para crear entradas para otros servidores de PCA en
el entorno.
7. Cuando haya terminado de crear las entradas para todos los servidores de
PCA, genere un informe de estado de Tealeaf:
a. En la página Gestión de portal, pulse el enlace Registros en el panel de
navegación izquierdo.
b. Pulse el enlace Ver estado de Tealeaf.
c. Se visualiza el informe de estado de Tealeaf.
d. Busque en el informe PCA.
Registro para CX Passive Capture Application
La IBM Tealeaf CX Passive Capture Application utiliza los registros siguientes.
Registros de PCA
Se puede utilizar los siguientes archivos de registro para la resolución de
problemas.
Capítulo 9. Supervisión de captura pasiva
265
Tabla 38. Descripciones de los registros de CX PCA
Nombre de archivo de registro
Descripción
capture.log
Registro de mensajes de software principales de CX
PCA, incluidos los mensajes de error y de arranque.
v Este registro se retrotrae regularmente, según el
tamaño de su archivo.
v syslog se utiliza para la generación de mensajes.
Otros registros utilizan métodos de generación
nativa.
conf_changelog.log
Registro de cambios de configuración de CX PCA.
Cambios al archivo de configuración ctc-conf.xml.
statistics_YYYYMMDD.log
Instantánea minuto a minuto de estadísticas de CX
PCA. Este registro se retrotrae a diario.
maintenance_YYYYMMDD.log
Supervisión de estado de salud y mensajes de
sincronización de hora de CX PCA. Este registro se
retrotrae a diario.
privacy_changelog.log
Cambio de la configuración de privacidad del inicio
de sesión que se aplica mediante CX PCA.
Registros de servidor de Apache
Se pueden utilizar los siguientes archivos de registro para la resolución de
problemas de la consola web de PCA alojada en el servidor Apache.
Tabla 39. Descripción de los registros del servidor Apache
266
Nombre de archivo de registro
Descripción
access_log
Mensajes de error de operación de Apache.
ssl_engine_log
Mensajes de operaciones SSL de Apache.
ssl_request_log
URL de solicitudes SSL de Apache.
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Capítulo 10. Visión general del mantenimiento de la captura
pasiva
El programa de utilidad de mantenimiento realiza tareas de mantenimiento y de
registro de rutina la captura pasiva de Tealeaf. Puede utilizar el programa de
utilidad para mantener la posibilidad de captura pasiva de PCA.
Comprobación de estado de salud de la captura
El programa de utilidad de mantenimiento supervisa los procesos de captura para
determinar si están en buen estado.
Si el programa de utilidad decide que los procesos de captura no están en buen
estado, realiza un reinicio forzado. El reinicio forzado detiene los procesos de
captura, borra las estadísticas de tiempo de ejecución que recolectan y después los
reinicia. La comprobación de estado le ayuda a los procesos de captura a
recuperarse de situaciones que disminuyan su eficacia y rendimiento. Cuando el
programa de utilidad determina que la captura es incorrecta y necesita ser
reiniciada, escribe un mensaje en el archivo de registro de mantenimiento para
indicar esta situación.
Reinicio de la captura
Según una planificación predefinida, el programa de utilidad detiene los procesos
de captura, borra las estadísticas de tiempo de ejecución recopiladas y reinicia los
procesos.
El reinicio se realiza a una hora específica cada día o cada semana a una hora
determinada de un día específico. El reinicio forzado impide que los procesos de
captura entren en situaciones no aceptables que provocarían un error en la
comprobación de estado.
Nota: La hora especificada (y el día de la semana opcional) debe ser una hora en
que se pueda forzar el reinicio de la captura sin repercutir en la entrega de
coincidencias al servicio de transporte de Tealeaf. Los servicios incluyen el periodo
de mantenimiento de redes de rutina o un periodo de volúmenes bajos de tráfico a
capturar.
Ubicación de los archivos de registro
En IBM TealeafCX Passive Capture Application, los archivos de registro se
encuentran en los directorios siguientes:
/var/log/tealeaf
Cuando se actualiza la PCA, la ubicación de los directorios de archivos de registro
nunca se actualiza. Si actualiza la PCA desde una instalación inicial antes de la
compilación 3206, los archivos de registro se almacenan en la ubicación siguiente:
/usr/local/ctccap/logs
El directorio del archivo de registro se almacena en el siguiente archivo:
/usr/local/ctccap/etc/tealeaf.conf
© Copyright IBM Corp. 1999, 2015
267
Localice la siguiente entrada:
logfiledir="/var/log/tealeaf"
Limpieza de archivos de registro
Los archivos de registro supervisados por el programa de utilidad se encuentran
en el directorio /var/log/tealeaf e incluyen la feche en el nombre de archivo,
como por ejemplo, statistics_20050602.log.
El programa de utilidad supervisa la edad y el tamaño de archivos de registro
específicos. También los suprime si son anteriores a un número especificado de
días o más grandes que un tamaño especificado.
Registro de estadísticas
Los archivos de registro de estadísticas se generan en el directorio de registros de
PCA.
El programa de utilidad de mantenimiento genera un archivo que contiene varias
estadísticas de tiempo de ejecución a lo largo del tiempo. Este archivo está pensado
para la depuración y el diagnóstico de varios problemas de entrega de
coincidencias y capturas.
Los archivos de registro de estadísticas se generan en el directorio de registros de
PCA, que es la siguiente ubicación de forma predeterminada:
/var/log/tealeaf/
Los archivos de registro tienen el siguiente formato de nombre de archivo:
statistics_yyyymmdd.log.
v Los registros más recientes están formato de texto sin formato.
v Los registros más antiguos se comprimen en archivos comprimidos.
Conversión de archivos de registro de estadísticas en formato
de salida
Si es necesario, puede utilizar un script proporcionado por Tealeaf para convertir
un archivo statslog de PCA al formato .csv o .xml para un análisis adicional. El
script se encuentra en la siguiente ubicación:
/usr/local/ctccap/sbin/stat2csv
Nota: En este script se presupone que el software PCA se instala en
/usr/local/ctccap.
Si el software de PCA se instala en otra ubicación, el shebang en la línea 1 del
script debe cambiarse para que apunte a la ubicación correcta del binario de php:
<pca install location>/bin/php.
Uso:
./stat2csv -t type -f infile -w outfile
donde:
v infile, el archivo de registro de estadísticas en texto sin formato o formato
comprimido.
v outfile, el nombre del archivo .csv o .xml a generar.
v type, el tipo de archivo a generar: csv o xml
268
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Ejemplos:
./stat2csv -t csv -f statistics_20090406.log -w statistics_20090406.csv
./stat2csv -t xml -f statistics_20090406.log.gz -w statistics_20090406.xml
Sincronización de la hora
El programa de utilidad sincroniza la fecha y hora actuales con la fecha y hora
actuales de un servidor de IBM TealeafCX que ejecuta el servicio de transporte de
Tealeaf. El archivo de registro de mantenimiento contiene la salida de la tarea de
sincronización horaria si está habilitado.
Configuración manual
Puede configurar manualmente el programa de utilidad editando el archivo de
configuración para el programa de utilidad.
Para configurar el programa de utilidad de mantenimiento, edite el archivo
/usr/local/ctccap/etc/runtime.conf, y añada líneas que asignen valores a las
variables.
Las líneas que contienen un signo de almohadilla ("#") al principio de la línea son
comentarios y el programa de utilidad de mantenimiento los ignora.
Una asignación de variables debe ser una única línea en el formato siguiente:
variable_name="value"
Nota: No incluya espacios al principio o al final de la línea y antes o después del
signo de igual. Especifique el valor entre comillas.
La lista siguiente documenta las variables de configuración, sus valores
predeterminados (si no se especifica en el archivo runtime.conf) y sus significados.
Varios son valores booleanos que deben ser YES o NO.
Comprobación de estado de salud de la captura
capture_health_capture_packets_dropped_in_output_high_threshold="50000"
Si las estadísticas de captura Packets dropped in output están por encima de este
valor, el estado de la captura es incorrecto. Este valor es alto cuando la captura no
puede reensamblar coincidencias tan rápido como se capturan fuera de las
interfaces de red.
capture_health_enable="YES"
Habilita las comprobaciones de estado de captura. Esta comprobación está
habilitada de forma predeterminada para supervisar el estado de los procesos de
captura.
capture_health_reassd_pct_cpu_high_threshold="90"
Si el proceso de reensamblaje de coincidencia utiliza más de 90% de la CPU, el
estado de la captura es incorrecto.
capture_health_reassd_virtual_size_high_threshold="1024000"
Si el proceso de reensamblaje de coincidencias utiliza más del número especificado
de kilobytes (1,024,000 kilobytes es aproximadamente de 1 gigabyte), el estado de
la captura es incorrecto.
Capítulo 10. Visión general del mantenimiento de la captura pasiva
269
capture_health_schedule_minutes="5"
El número de minutos entre comprobaciones de estado.
Reinicio de la captura
capture_restart_enable="NO"
Fuerza a la captura a reiniciarse a una hora específica cada día o semanalmente, en
un día determinado de la semana. Esta comprobación está inhabilitada de forma
predeterminada porque el programa de utilidad no conoce una hora de volumen
de tráfico bajo o seguro para forzar un reinicio. Para habilitarla, asígnele un valor
de YES y establezca la hora de reinicio de la captura en la propiedad siguiente.
capture_restart_time_local="00:30"
Reinicie la captura a la hora local especificada (utilizando un reloj de 24 horas). Si
desea reiniciar la captura a las 11:30 PM, utilice el valor "23:40". No incluya el cero
inicial si la hora es menor que 10. Por ejemplo, para especificar 6:30 AM, utilice el
valor "6:30".
capture_restart_weekday_local (no default)
Reinicie la captura en el día especificado de la semana a la hora especificada
mediante la variable capture_restart_time_local. El valor debe ser uno de los
siguientes (todos en minúsculas): sunday, monday, tuesday, wednesday, thursday,
friday, Saturday.
Reinicie la captura en el día especificado de la semana a la hora especificada
mediante la variable capture_restart_time_local. Si especifica este valor, el reinicio
forzado se produce en el día especificado a la hora especificada.Si no establece este
valor (el predeterminado), los reinicios forzados se producen todos los días a la
hora especificada.
Depuración
maintenance_debug_enable="NO"
Habilita el registro detallado de los valores y la ejecución. Esta opción existe para
ayudar a diagnosticar el comportamiento del programa de utilidad de
mantenimiento. Genera muchas salidas en el archivo maintenance.log y solo se
debe utilizar cuando sea necesario.
Limpieza de archivos de registro
logfile_cleanup_enable="YES"
Habilita la limpieza de archivos de registro.
logfile_cleanup_keepdays="14"
v Conserva los archivos de registro durante el número de días especificado. Los
archivos de registro que sean más antiguos que el número de días especificado
se suprimen.
v Los archivos de registro que el programa de utilidad de mantenimiento
supervisa contienen una fecha en el nombre de archivo en el formato
<Año><Mes><Día>, como por ejemplo, 20050601 para el 1 de junio de 2005.
v El programa de utilidad utiliza la fecha que se extrae del nombre de archivo, no
la fecha y hora del archivo que el sistema operativo mantiene.
logfile_cleanup_keepsize_kb="5120"
270
IBM Tealeaf CX Passive Capture Application: Manual de PCA
v Mantiene archivos de registro más pequeños que el número de kilobytes
especificado. El valor predeterminado mantiene archivos de registro más
pequeños que aproximadamente 5 megabytes.
v Los archivos más grandes que este tamaño se suprimen. El objetivo de este valor
es evitar que los archivos grandes se acumulen en la máquina host de captura
pasiva.
logfile_cleanup_schedule_minutes="30"
El número de minutos entre comprobaciones para la limpieza de archivos de
registro.
Registro de estadísticas
statistics_logging_enable="YES"
Habilita el registro de estadísticas. Cuando está habilitado, el programa de utilidad
de mantenimiento crea archivos en el directorio /usr/local/ctccap/logs con el
nombre statistics_YYYYMMDD.log, donde YYYYMMDD es el año, mes y día actuales,
como por ejemplo, statistics_20050602.log.
statistics_logging_schedule_minutes="1"
El número de minutos entre registros de estadísticas.
Sincronización de la hora
timesource_sync_enable="NO"
v Habilita la sincronización de la hora con un servidor de IBM Tealeaf CX que
ejecuta Tealeaf Transport Service.
v Los valores de configuración para el host y el puerto del servicio de transporte
de Tealeaf del archivo /usr/local/ctccap/etc/ctc-conf.xml normalmente se
asignan mediante el separador Entrega de la consola web.
v Cuando los valores de configuración para el host y el puerto se especifican, el
programa de utilidad de mantenimiento habilita esta característica de forma
predeterminada. De lo contrario, el programa de utilidad de mantenimiento
inhabilita la sincronización horaria.
timesource_sync_schedule_minutes="15"
El número de minutos entre sincronizaciones horarias.
Capítulo 10. Visión general del mantenimiento de la captura pasiva
271
272
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Apéndice A. Preguntas frecuentes sobre la captura pasiva
(FAQ)
El contenido siguiente incluye las preguntas frecuentes o los casos de uso que se
pueden utilizar como ayuda para aislar o resolver un problema con CX Passive
Capture Application.
Sistema operativo
v “¿Captura pasiva admite Linux de 64 bits?” en la página 274
v “¿Captura pasiva admite FreeBSD?” en la página 275
Actualización del sistema operativo
Si está realizando una actualización de la versión del sistema operativo importante,
desinstale primero la PCA y después ejecute la actualización.
Después de finalizada la actualización, instale la versión nueva de la PCA. Por
ejemplo, si realiza la actualización de SLES9 a SLES10, debe desinstalar el software
de la PCA para SLES9. A continuación, actualice el sistema operativo, verifique que
la actualización del SO es satisfactoria y entonces instale la versión SLES10 de la
PCA.
Instalar
v “¿Cómo puedo automatizar la instalación y configuración del PCA?” en la
página 275
v “¿Qué paquetes necesita el RPM de tealeaf-pca?” en la página 276
v “¿Qué cambios realiza el RPM del PCA de Tealeaf al servidor de PCA?” en la
página 276
v “¿Cómo puedo especificar el directorio para el enlace simbólico de Tealeaf?” en
la página 278
v “¿Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf?” en la
página 278
v “¿Cómo puedo instalar en un directorio que no sea el predeterminado?” en la
página 279
v “¿Qué directorios y archivos no se encuentran en el directorio de instalación?”
en la página 279
Configuración del servidor web
v “¿Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del
servidor web?” en la página 281
v “Faltan algunas coincidencias SSL de las sesiones del navegador Firefox” en la
página 283
Configuración de PCA
v “¿Cómo puedo especificar archivos de configuración alternativos?” en la página
286
© Copyright IBM Corp. 1999, 2015
273
Consola
v “¿Por qué la consola web de PCA ignora mis cambios guardados?” en la página
287
v “¿Por qué no puedo detener los procesos de la consola web?” en la página 288
Registros
v “¿Dónde está el directorio de registros ctccap?” en la página 288
v “¿Cómo puedo cambiar manualmente el directorio del archivo de registro?” en
la página 289
Otros
v “¿Cómo identifica el PCA páginas ReqCanceled?” en la página 292
v “¿Cómo maneja el PCA paquetes TCP duplicados?” en la página 291
v “¿Cómo puedo hacer que el PCA borre automáticamente sus estadísticas?” en la
página 290
v “¿Cuál es el número de puerto predeterminado para la migración tras error?” en
la página 291
v “¿Cómo gestiona el PCA la captura de direcciones IPv6?” en la página 298
Resolución de problemas
Para obtener más información sobre la resolución de problemas, consulte
"Resolución de problemas - Captura" en la publicación IBM Tealeaf: Guía de
resolución de problemas.
¿Captura pasiva admite Linux de 64 bits?
Pregunta
¿Captura pasiva admite Linux de 64 bits?
Respuesta
En este momento, Tealeaf no proporciona una versión de IBM Tealeaf CX Passive
Capture Application de 64 bits para distribuciones de 64 bits de RHEL (Red Hat
Enterprise Linux) y SUSE Linux Enterprise Server (SLES).
No obstante, puede instalar el PCA en un sistema operativo de 64 bits. Tealeaf
proporciona un paquete de 32 bits solamente, que depende de bibliotecas de 32
bits. Estas bibliotecas no se incluyen en instalaciones mínimas de distribuciones de
64 bits de RHEL y deben instalarse antes de instalar el PCA.
Nota: Para instalar el IBM Tealeaf CX Passive Capture Application en una versión
de 64 bits de Linux, debe instalar las versiones de 32 bits de los paquetes
necesarios para su sistema operativo. Consulte Capítulo 2, “Instalación de CX
Passive Capture Application”, en la página 19.
274
IBM Tealeaf CX Passive Capture Application: Manual de PCA
¿Captura pasiva admite FreeBSD?
Pregunta
¿La aplicación Captura pasiva admite el sistema operativo FreeBSD?
Respuesta
FreeBSD ya no se admite.
Nota: Los clientes que están utilizando el PCA en un sistema operativo no
admitido o una versión no admitida de un sistema operativo admitido no obtienen
soporte para problemas relacionados con capturas.
En varias releases importantes anteriores, Tealeaf daba soporte a FreeSBD, un
sistema operativo similar a UNIX. Tealeaf no ha probado IBM Tealeaf CX Passive
Capture Application en FreeBSD desde que Tealeaf comenzó a dar soporte a Linux.
El problema potencial más grande es el reconocimiento de versiones entre la
entrega de PCA y Transport Service en los servidores Windows de Tealeaf.
Lo ideal es que los clientes que están actualmente utilizando sistemas operativos
no admitidos deban cambiarse a una de nuestras versiones admitidas, disponibles
en los enlaces “Referencias” a continuación.
Referencias
requiere-texto
Configuración del hardware del PCA e Instalación del sistema
operativo
v Configuración del Hardware e instalación del sistema operativo
Instalación del PCA
v Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19
¿Cómo puedo automatizar la instalación y configuración del PCA?
Pregunta
¿Cómo puedo automatizar la instalación y la configuración del PCA?
Respuesta
Nota: Esta solución requiere como mínimo una fecha y versión de
tpcinstaller.sh: 05/07/2007, revisión 17.
Puede utilizar el script tpcinstaller.sh para automatizar la instalación y
configuración del paquete del PCA de Tealeaf. El script está en el subdirectorio bin
después de la instalación, o puede solicitarlo a Tealeaf.
Referencias
v Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
275
¿Qué paquetes necesita el RPM de tealeaf-pca?
Pregunta
¿Qué paquetes necesita el RPM de tealeaf-pca?
Respuesta
Utilice la siguiente línea de mandatos para que RPM muestre la lista de paquetes
que el archivo de paquete denominado abc.rpm necesita:
rpm -q --requires -p abc.rpm | fgrep -v rpmlib | sort -u | while read x; \
do rpm -q --whatprovides "\${x}"; done | sort -u
Nota:
v Ejecute el mandato como root.
v Sustituya el nombre de archivo abc.rpm con el nombre del archivo que desea
consultar.
v El mandato utiliza la sintaxis shell Bourne, por lo que debe se deben estar
ejecutando /bin/sh, /bin/bash, /bin/ksh y así sucesivamente.
A continuación, se muestran los resultados de la ejecución del mandato anterior en
las distribuciones a las que Tealeaf da soporte.
Nota: El RPM de tealeaf-pca se instala en un instalación mínima de Red Hat
Enterprise Linux sin necesitar más paquetes. En la práctica, se pueden necesitar
más paquetes.
La instalación del RPM de 32 bits de Tealeaf en un sistema Linux de 64 bits
normalmente requiere la instalación de más bibliotecas de 32 bits.
v Consulte Capítulo 2, “Instalación de CX Passive Capture Application”, en la
página 19.
Nota: El paquete que proporciona una capacidad que el paquete de Tealeaf
necesita puede diferir entre distribuciones y distintos releases y actualizaciones de
la misma distribución.
Para obtener más información sobre los paquetes necesarios para los releases
específicos del sistema operativo, consulte Capítulo 2, “Instalación de CX Passive
Capture Application”, en la página 19.
¿Qué cambios realiza el RPM del PCA de Tealeaf al servidor de PCA?
Pregunta
¿Qué cambios realiza el RPM del PCA de Tealeaf al servidor de IBM Tealeaf CX
Passive Capture Application?
Respuesta
Puede instalar Captura pasiva en un diccionario que no sea el predeterminado
/usr/local/ctccap.
v Consulte “¿Cómo puedo instalar en un directorio que no sea el
predeterminado?” en la página 279.
276
IBM Tealeaf CX Passive Capture Application: Manual de PCA
El paquete crea el directorio del archivo de registro, que de forma predeterminada
es /var/log/tealeaf, si no existe. Era /usr/local/ctccap/logs en versiones
anteriores.
v Cuando actualiza desde una instalación más antigua que contiene un directorio
/usr/local/ctccap/logs no vacío, el paquete utiliza el directorio existente
/usr/local/ctccap/logs en lugar de /var/log/tealeaf. Este comportamiento
está pensado para evitar sorprender al usuario dejando archivos de registro
antiguos en el antiguo directorio (/usr/local/ctccap/logs) y escribir nuevos
archivos de registro en el nuevo predeterminado (/var/log/tealeaf).
v Esta comprobación de /usr/local/ctccap/logs es independiente del prefijo de
instalación que se elija para la instalación para la actualización. De modo que si
instala Captura pasiva en /opt/tealeaf, el paquete aún busca un directorio no
vacío /usr/local/ctccap/logs.
El paquete realiza las siguientes operaciones de archivo:
v Crea los siguientes archivos de certificado autofirmado de SSL en
/usr/local/ctccap/etc. El paquete los crea automáticamente como una
conveniencia para instalaciones que no proporcionan sus propios certificados
SSL:
/usr/local/ctccap/etc/tealeaf-pca.crt
/usr/local/ctccap/etc/tealeaf-pca.key
/usr/local/ctccap/etc/tealeaf-tts.crt
/usr/local/ctccap/etc/tealeaf-tts.key
/usr/local/ctccap/etc/tealeaf-tts.pem
/usr/local/ctccap/etc/tealeaf-web.crt
/usr/local/ctccap/etc/tealeaf-web.key
Nota:
– Los archivos tealeaf-pca no se usan actualmente y están reservados para su
uso en el futuro.
– Los archivos tealeaf-web los utiliza el httpd.conf predeterminado para la
consola web.
– Los archivos tealeaf-tts se proporcionan para su conveniencia al configurar
conexiones SSL con el servicio de transporte TeaLeaf.
– El directorio /usr/local/ctccap/etc es normalmente de escritura por el
usuario raíz y de captura, ctccap.
v Instalar archivo crontab: /etc/cron.d/tealeaf. El archivo crontab planifica la
ejecución de tealeaf cron como usuario root.
v Instale los siguientes scripts de inicialización en /etc/init.d: tealeaf-pca,
tealeaf-startup.
v Cree el archivo capture.log en el directorio logfile si el archivo no existe.
El paquete realiza las siguientes acciones que modifican directorios y archivos
fuera del prefijo de instalación:
v Crea el grupo ctccap si no existe.
v Crea el usuario ctccap si no existe.
Nota: Este usuario se crea sin una contraseña que se le asigna, de modo que no
puede iniciar sesión con esa cuenta de forma predeterminada. Los riesgos de
seguridad son mínimos; el usuario ctccap solo puede iniciar y poseer los
procesos de Tealeaf. Dependiendo de los requisitos de seguridad de su empresa,
puede asignar una contraseña al usuario ctccap desde el usuario root.
v Establece /usr/local/ctccap/bin/listend y /usr/local/ctccap/bin-debug/
listend como raíz de bit de modalidad establecer-ID-usuario (que se necesita
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
277
para que listend abra dispositivos eth para que realicen el examen del paquete;
se despliega a ctccap de usuario después de que se abren los dispositivos eth).
v Elimine archivos de sesión PHP de /tmp. Se supone que estos archivos son
archivos de sesión PHP para la consola web de Captura pasiva.
v Actualice /etc/syslog.conf (si es necesario) para asegurar que contiene una
entrada para que el recurso local0 archive capture.log en el directorio logfile.
v Reinicie syslogd para volver a cargar su configuración y utilizar cualquier
cambio que se realice a /etc/syslog.conf.
Referencias
v Capítulo 2, “Instalación de CX Passive Capture Application”, en la página 19
¿Cómo puedo especificar el directorio para el enlace simbólico de
Tealeaf?
Pregunta
¿Cómo puedo especificar el directorio para el enlace simbólico de Tealeaf?
Respuesta
De forma predeterminada, el paquete del PCA de Tealeaf crea un enlace simbólico
de /usr/local/bin/tealeaf a /usr/local/ctccap/bin/tealeaf.
Puede especificar un directorio alternativo para el enlace simbólico en lugar de
/usr/local/bin configurando la variable de entorno TEALEAFCMDDIR. Debe ser el
nombre completo de un directorio. Debe establecer la variable de entorno antes de
iniciar los mandatos de instalación y actualización de RPM y el script
tpcinstaller.sh.
A continuación se muestra una invocación de ejemplo que especifica una ubicación
de instalación alternativa para el enlace simbólico:
env TEALEAFCMDDIR=/usr/bin rpm -U tealeaf-pca-3204-1.RHEL4.i386.rpm
¿Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf?
Pregunta
¿Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf?
Respuesta
De forma predeterminada, el paquete de PCA de Tealeaf crea un enlace simbólico
que apunta al mandato /usr/local/ctccap/bin/tealeaf.
Puede inhabilitar la creación de este enlace simbólico estableciendo la variable de
entorno TEALEAFCMDENABLE en NO. Debe establecer la variable de entorno antes de
iniciar la instalación de RPM y actualizar mandatos y el script tpcinstaller.sh.
A continuación se muestra una invocación de ejemplo que inhabilita la creación del
enlace simbólico.
env TEALEAFCMDENABLE=NO rpm -U tealeaf-pca-3204-1.RHEL4.i386.rpm
278
IBM Tealeaf CX Passive Capture Application: Manual de PCA
¿Cómo puedo instalar en un directorio que no sea el predeterminado?
Pregunta
¿Cómo puedo instalar en un directorio que no sea /usr/local/ctccap?
Respuesta
Nota: Esta solución requiere como mínimo una fecha y versión de
tpcinstaller.sh: 05/07/2007, revisión 17.
Puede reubicar el paquete de tealeaf-pca en un directorio distinto al
predeterminado /usr/local/ctccap. Puede especificar el directorio alternativo
utilizando la opción --prefix del mandato rpm junto con los mandatos de
instalación y actualización.
A continuación se muestran algunas invocaciones RPM de ejemplo:
rpm -i --prefix=/opt/tealeaf tealeaf-pca-3204-1.RHEL4.i386.rpm
rpm -U --prefix=/home/tealeaf tealeaf-pca-3204-1.RHEL4.i386.rpm
Cuando no utilice la opción --prefix durante una instalación o actualización, RPM
utiliza el directorio de instalación predeterminado que se especifica en el archivo
del paquete del PCA de Tealeaf, que es /usr/local/ctccap. Una vez que reubica
un paquete, debe especificar de forma coherente el directorio alternativo de modo
que el paquete compruebe y actualice correctamente las instalaciones anteriores.
Si está utilizando el script instalador, tpcinstaller.sh, puede especificar la
variable de entorno TPCINSTALLPREFIX antes de iniciar el script para instalar el
paquete del PCA de Tealeaf.
Si no especifica la variable de entorno TPCINSTALLPREFIX antes de iniciar el script,
esto determina el prefijo de instalación actual y automáticamente lo pasa a los
mandatos RPM que ejecuta. Si el paquete no está actualmente instalado o no es
una versión reubicable, el paquete del PCA de Tealeaf utiliza el directorio
predeterminado /usr/local/ctccap.
A continuación se muestra una invocación de ejemplo del script tpcinstaller.sh.
env TPCINSTALLPREFIX=/opt/tealeaf /etc/opt/tpcinstaller.sh \
tealeaf-pca-3204-1.RHEL3-i386.rpm
¿Qué directorios y archivos no se encuentran en el directorio de
instalación?
Pregunta
¿Qué directorios y archivos no se encuentran en el directorio de instalación?
Respuesta
Nota: Esta solución requiere como mínimo una fecha y versión de
tpcinstaller.sh: 05/07/2007, revisión 17.
La lista siguiente describe varios directorios y archivos asociados con la captura
pasiva que no residen en el directorio de instalación que, de forma
predeterminada, es /usr/local/ctccap. El software utiliza directamente algunas
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
279
vías de acceso. Algunas son configurables por el usuario y otras se marcan
mediante el curso de la administración y el uso normal del software.
/archivo [opcional]
El directorio opcional se documenta en el procedimiento para realizar una
instalación mínima de Red Hat Enterprise Linux. Existe en caso de que el
archivado de paquetes se deba habilitar para diagnosticar diversos problemas de
captura. No es necesario para las operaciones normales y no se utiliza de forma
predeterminada.
/etc/cron.d/tealeaf
El paquete tealeaf-pca instala crontab para que lo utilice el paquete.
/etc/init.d/tealeaf-pca.sh
/etc/init.d/tealeaf-startup.sh
El paquete tealeaf-pca instala los scripts tealeaf-pca.sh y tealeaf-startup.sh
para controlar el inicio y el cierre del software.
/etc/opt/tealeaf
La captura pasiva utiliza el directorio para varios valores de instalación y
configuración. Por ejemplo, el paquete tealeaf-pca utiliza este directorio para
registrar el directorio de instalación en el archivo /etc/opt/tealeaf/config/
installprefix y para registrar la ubicación del enlace simbólico de tealeaf en el
archivo /etc/opt/tealeaf/config/tealeafcmd. El script tpcinstaller.sh utiliza
este directorio para sus archivos de configuración, incluidas las claves SSL que
deben importarse automáticamente.
/etc/syslog.conf
La captura pasiva utiliza el recurso syslog para registrar mensajes, que están
configurados en el archivo.
/etc/group, /etc/passwd y otros archivos relacionados con cuentas de usuario.
El paquete tealeaf-pca crea un usuario y una cuenta de grupo para ejecutar el
software si estos no existen. Estas operaciones modifican varios archivos de sistema
que se actualizan cuando las cuentas de usuario se crean o actualizan.
/tmp/tealeaf-pca-11-prein.log
/tmp/tealeaf-pca-12-postin.log
/tmp/tealeaf-pca-21-preun.log
/tmp/tealeaf-pca-22-postun.log
El paquete tealeaf-pca crea los archivos de registro para registrar diversas
actividades relacionadas con la instalación.
/tmp/tealeaf-pca.log
El paquete tealeaf-pca, anterior a la compilación 3204, utilizaba el archivo de
registro para registrar diversas actividades relacionadas con la instalación.
280
IBM Tealeaf CX Passive Capture Application: Manual de PCA
/tmp/tpcinstaller.log
El script tpcinstaller.sh utiliza el archivo de registro para registrar sus
actividades.
/usr/local/bin/tealeaf
El archivo anterior es un enlace simbólico al mandato de Tealeaf en el
subdirectorio bin del directorio de instalación. Por ejemplo: /usr/local/ctccap/
bin/tealeaf. Las variables de entorno TEALEAFCMDDIR y TEALEAFCMDENABLE
gestionan la ubicación y creación de este enlace simbólico.
/var/log/messages
La captura pasiva utiliza el recurso syslog para registrar mensajes, que pueden
afectar el archivo de registro, configurado en /etc/syslog.conf.
/var/log/tealeaf
La captura pasiva utiliza el directorio para sus archivos de registro.
¿Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado
SSL del servidor web?
Diffie-Hellman es un tipo de cifra de cifrado SSL. Está diseñado para terceros, que
son sistemas diferentes de las otras dos partes en ambos extremos de una
conversación, y no puede decodificar el tráfico de comunicaciones. Una sesión de
usuario que se establece con un servidor web utilizando este cifrado no puede
capturarse utilizando el IBM Tealeaf CX Passive Capture Application.
De forma predeterminada, las versiones del navegador Firefox más nuevas pueden
intentar negociar por la familia de cifrado Diffie-Hellman. Dada la creciente
popularidad de Firefox, Tealeaf proporciona las siguientes instrucciones a nuestros
clientes sobre cómo inhabilitar la negociación Diffie-Hellman en sus servidores
web, si optan por hacerlo.
Nota: Si la infraestructura del servidor web incluye un dispositivo de terminación
o aceleración SSL en sentido ascendente más cercano al navegador web del
visitante que el punto en el cual el servidor Tealeaf IBM Tealeaf CX Passive
Capture Application (servidor PCA) está supervisando el tráfico, entonces el
servidor PCA puede ver todo el tráfico como texto simple no SSL, incluso si se
aplica Diffie-Hellman. En esta situación, la solución siguiente no se aplica. El
dispositivo SSL de terminación es libre de negociar Diffie-Hellman con el
navegador del visitante. Esto se debe a que el servidor PCA se encuentra en
sentido descendente en relación al tráfico cifrado y no tiene que realizar ningún
descifrado.
Localización de servidores utilizando Diffie-Hellman
En un entorno de aplicación web con varios servidores, la localización de
servidores que están utilizando el cifrado Diffie-Hellman no es trivial.
Utilizando Wireshark, puede aplicar un filtro de visualización para afinar la lista
de servidores e identificar aquellos que están utilizando el cifrado Diffie-Hellman.
v Para obtener más información sobre Wireshark, visite http://www.wireshark.org.
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
281
1. Inicie Wireshark.
2. Cargue o capture un archivo TCPdump del tráfico que se envíe al PCA.
3. En el recuadro de texto Filtro, copie la cadena siguiente. Edítela para eliminar
los caracteres de barra inclinada al final de cada línea, que se utilizan para
indicar continuación. A continuación, pegue la cadena para filtrar el tráfico de
wireshark.
ssl.handshake.ciphersuite == 0x10 || ssl.handshake.ciphersuite == 0x1a || \
ssl.handshake.ciphersuite == 0x1b || ssl.handshake.ciphersuite == 0x30 \
||ssl.handshake.ciphersuite == 0x31 || ssl.handshake.ciphersuite == 0x32 || \
ssl.handshake.ciphersuite == 0x33 || ssl.handshake.ciphersuite == 0x34 \
||ssl.handshake.ciphersuite == 0x36 || ssl.handshake.ciphersuite == 0x37 || \
ssl.handshake.ciphersuite == 0x38 || ssl.handshake.ciphersuite == \
0x39||ssl.handshake.ciphersuite == 0x3a || ssl.handshake.ciphersuite == 0x63 \
|| ssl.handshake.ciphersuite == 0x65 || ssl.handshake.ciphersuite == 0x66
4. El tráfico filtro ahora muestra solo tráfico de cifrados Diffie-Hellman.
5. El uso del cifrado Diffie-Hellman debe inhabilitarse en los servidores listados.
Para obtener más información complete los pasos siguientes, dependiendo del
tipo de servidor.
Inhabilitar
Para inhabilitar la suite de cifrado Diffie-Hellman del servidor web, siga una de las
opciones a continuación. Si el servidor web no está listado, consulte la
documentación del servidor web en búsqueda de instrucciones para inhabilitar esta
suite de cifrado para su servidor web en particular.
Inhabilitar Diffie-Hellman en servidores IIS
1. Añada o modifique la siguiente clave de registro en cada servidor web:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\
SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman\
Enabled = 0 (DWORD value)
2. Reinicie el servidor web para que los cambios entren en vigor.
Inhabilitar Diffie-Hellman en servidores Apache
En cada servidor web, en el archivo ssl.conf, o, en algunos casos, el archivo de
configuración principal de Apache, añada el identificador !DH: al inicio de la serie
de opciones de configuración de SSLCipherSuite.
1. En el directorio de configuración de Apache, localice el archivo:
ssl.conf
o
httpd.conf
2. Busque la palabra clave de SSLCipherSuite, cuyo valor de serie debe ser similar
a la siguiente cadena:
"ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP"
3. Añada !DH: después de la lista ALL: de modo que la línea se vea como la
cadena siguiente:
"ALL:!DH:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP"
Nota: La cadena !ADH: de la cadena anterior ahora es redundante y puede ser
eliminada.
4. Repita esta edición en cada sección de configuración de SSL, si no está
utilizando una sección global.
5. Guarde el archivo.
282
IBM Tealeaf CX Passive Capture Application: Manual de PCA
6. Reinicie el servidor web para que los cambios entren en vigor.
Faltan algunas coincidencias SSL de las sesiones del navegador
Firefox
Nota: Este problema se ha solucionado en PCA Build 3611 y posterior.
Nota: A partir de la compilación 3327, el IBM Tealeaf CX Passive Capture
Application admite la extensión de boleto de sesión TLSv1 de SSL. Si está
utilizando la compilación 3327 o posterior y tiene esta extensión que está habilitada
en el servidor web, el PCA puede capturar todos los datos de sesión correctamente.
v Si está utilizando una compilación anterior a la 3327, debe actualizar a la
compilación más reciente para el release en lugar de utilizar esta solución
temporal.
v A partir de la compilación 3611 del PCA, éste puede capturar TLSv1.1 de SSL.
Esta explicación se aplica a TLSv1.1 para compilaciones de soporte también.Para
obtener más información sobre la descarga de IBM Tealeaf, consulte IBM
Passport Advantage Online.
Cuando las sesiones se inician en el navegador Firefox versión 3 y se reanudan
más tarde, las coincidencias SSL no están siendo descifradas. Por lo tanto, faltan
del tráfico capturado.
v Este problema no se muestra en tráfico que no sea SSL.
v Este problema no se conoce o no se visualiza en otro navegador que no sea
Firefox 3.
Este problema se produce por una característica de la extensión SSL que se
implementa en la versión 3 de Firefox y en los módulos OpenSSL utilizados en los
servidores web Apache más recientes (y posiblemente otros servidores web). Una
nueva extensión de protocolo TLSv1 de SSL (RFC-5077) para la reanudación de
sesión sin estado, conocida como extensión SessionTicket, cifra la información del
estado SSL que se utiliza solo si ambos, el navegador cliente y el servidor web,
cumplen con el estándar.
Tealeaf no admite esta característica de extensión SSL. Si instala o ha actualizado a
la compilación más reciente del servidor Apache v2.2 en los últimos meses, es
probable que esta nueva extensión le afecte. Las instrucciones siguientes se
proporcionan para inhabilitar esta extensión en Apache.
Nota: Debe inhabilitar esta característica en los servidores web.
Resolución de problemas de la agrupación SSL
Puede probar y solucionar los problemas de los servidores de PCA de la
agrupación SSL.
Los programas de utilidad siguientes están disponibles para ayudarle a resolver los
problemas de la agrupación SSL.
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
283
Tabla 40. Programas de utilidad para la resolución de problemas de la agrupación SSL
Cabecera
Cabecera
Memping
Hace ping al servidor de PCA utilizando la
dirección IP y el número de puerto que se
visualiza.
Memstats
Muestra las estadísticas del servidor de PCA
listado.
Memflush
Nota: Los datos se pierden cuando se
ejecuta este programa de utilidad. Se
recomienda ponerse en contacto con el
soporte técnico de IBM antes de utilizar el
programa de utilidad Memflush.
Borra de la memoria caché del servidor de
PCA toda la información de sesión SSL
almacenada.
Para obtener información sobre la configuración de una agrupación SSL, consulte
“Configuración de agrupaciones SSL” en la página 204.
Para obtener información sobre la eliminación de un servidor de PCA de una
agrupación SSL, consulte “Eliminación de un servidor de PCA de una agrupación
SSL” en la página 205.
Síntomas
Cuando los visitantes de su aplicación web están utilizando SSL a través de Firefox
3 y se detienen, después de reanudar su sesión, las coincidencias no son
capturadas por el PCA. Esto se debe al soporte predeterminado de Firefox 3 de
esta nueva extensión SSL.
Cuando el navegador Firefox negocia el reconocimiento SSL con su servidor web
para reanudar la sesión, el navegador espera que el servidor suministre un
identificador de sesión única de SSL de 32 bytes al navegador cliente.
v La intención de la característica es reutilizar información de clave de sesión SSL
y reducir el uso de SSL en sesiones SSL posteriores.
Como Tealeaf no admite esta extensión SSL, no reconoce este identificador SSL de
32 bytes. Sin este ID, el PCA de Tealeaf no puede de descifrar más tráfico SSL
utilizando el ID en sesiones SSL reanudadas.
En los ejemplos siguientes, se puede ver cómo los identificadores de sesión se
envían al visitante que está reanudando una sesión en Firefox 3 versus Internet
Explorer.
Para Firefox:
SSL cipher used: Cipher Suite:
TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
Session ID Length: 0
Para IE:
SSL cipher used: Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
Session ID Length: 32
Session ID: 2FD9AAAEE999B2EA3DEF8FA005CD0CDD3D6EAE62E05E4975...
284
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Como se observa en lo anterior, la longitud de ID de sesión SSL de Firefox es 0, lo
que no proporciona ningún valor utilizable.
Esta nueva extensión de protocolo TLSv1 de SSL para reanudación de sesión sin
estado, conocida como extensión SessionTicket, cifra la información de estado de
SSL, como por ejemplo el identificador de sesión de SSL en un paquete de
"boletos" que tanto el navegador cliente como el servidor deben utilizar.
Actualmente, Firefox 3 es el único navegador que utiliza esta extensión de forma
predeterminada. Para aceptar esta extensión, el servidor también debe admitirla.
Para probarlo
Para probar si este problema se está produciendo, puede forzar el servidor web o
proxy a utilizar el cifrado seleccionado por IE para ver si las sesiones de Firefox se
capturan entonces correctamente.
Para solucionarlo
Actualmente, el único método para solucionar el problema es inhabilitar el uso de
esta extensión SSL en el servidor web o en proxy web.
Navegador Firefox
Para omitir el problema como usuario individual, puede inhabilitar el uso de esta
extensión a través de Firefox. Para inhabilitar el uso de esta extensión en Firefox,
siga los pasos siguientes:
1. Abra Firefox.
2. Inhabilite el cifrado TLS 1.0 en Firefox.
a. En el menú de Firefox, seleccione la pestaña Herramientas > Opciones >
Avanzadas > Cifrado.
b. En la sección Protocolos, deje en blanco el recuadro de selección Utilizar
TLS 1.0.
c. Seleccione el recuadro de selección Utilizar SSL 3.0.
d. Pulse Aceptar y guarde los cambios.
v Para obtener más información, consulte https://kb.bluecoat.com/
index?page=content&id=KB2887&actp=RSS.
Proxy web
Si el servidor proxy está gestionando el procesamiento SSL, puede inhabilitar el
uso de la característica de extensión SessionTicket TLSv1 de SSL en el proxy.
Consulte la documentación que se entrega con el producto servidor proxy.
Servidores web de Apache
Dependiendo de la versión de Apache, esta característica puede habilitarse de
forma predeterminada. El mod_ssl de Apache más reciente utiliza openSSL 9.8j o
posterior, que habilita esta extensión SessionTicket de TLS de forma
predeterminada.
v Es probable que esta característica se muestre primero en el servidor Apache
versión 2.2.
Para inhabilitar:
1. En la máquina del servidor web, edite /usr/local/apache2/conf/httpd.conf.
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
285
2. Añada el siguiente fragmento de código a la ubicación correspondiente del
archivo:
SSLEngine on
SSLOptions +StrictRequire
<Directory />
SSLRequireSSL
</Directory>
SSLProtocol +all -TLSv1 -SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM:!DH
Nota: En el código anterior, la referencia !DH elimina el algoritmo de cifrado
Diffie-Hellman, que requieren todas las soluciones Tealeaf. Consulte “¿Cómo
puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del servidor
web?” en la página 281.
3. Guarde el archivo.
4. Reinicie el servicio Apache.
v Para obtener más información, consulte http://www.securityfocus.com/
infocus/1818.
Servidores web no Apache
La mayoría de lo servidores no proporcionan un método sencillo de inhabilitar el
uso de la extensión. Puede inhabilitar esta extensión mediante la inhabilitación del
uso de TLS 1.0 en las opciones de configuración del servidor web. Para obtener
detalles específicos, consulte la documentación del producto.
¿Cómo puedo especificar archivos de configuración alternativos?
Pregunta
¿Cómo puedo especificar archivos de configuración alternativos?
Respuesta
Puede utilizar el script tpcinstaller.sh para automatizar la sobrescritura de varias
configuraciones que son creadas por el paquete del PCA de Tealeaf cuando lo
instala inicialmente.
Estos archivos de configuración se crean normalmente cuando no existen. Una vez
que existen, el paquete del PCA de Tealeaf no los modifica ni los actualiza. Si el
paquete del PCA de Tealeaf detecta que no modificó los archivos, los elimina
durante la desinstalación.
Utilice el mandato tpcinstaller.sh del script postinstall para sobrescribir varios
archivos de configuración. El script está en el subdirectorio bin bajo el directorio
de instalación después de la instalación.
El script automatiza la instalación y la configuración, pero este ejemplo solo
demuestra su mandato postinstall que sobrescribe archivos de configuración y
después inicia el software. A continuación se muestra un breve ejemplo que
demuestra el sabor básico de esta prestación.
v Supone que el paquete del PCA de Tealeaf ya está instalado en directory
/opt/tealeaf.
v Los mandatos que ha de ejecutar raíz tienen como prefijo el símbolo de numeral
(#).
286
IBM Tealeaf CX Passive Capture Application: Manual de PCA
1. Inicialice el directorio /etc/opt/tealeaf:
# sh /opt/tealeaf/bin/tpcinstaller.sh init
2. Cree y/o coloque los archivos de configuración personalizada en el directorio
/etc/opt/tealeaf que crea el paso 1.
a. Para sobrescribir ctc-conf.xml, proporcione el archivo ctc-conf-custom.xml.
Para que el script instalador automáticamente convierta archivos PEM en
archivos PIL y actualice el archivo ctc-conf.xml antes de sobrescribir:
1) Coloque los archivos PEM en /etc/opt/tealeaf/capturekeys.
2) Sustituya la sección <CaptureKeys> del ctc-conf-custom.xml por:
<CaptureKeys>CAPTUREKEYSCONF</CaptureKeys>
b. Para sobrescribir httpd.conf, proporcione el archivo httpd-custom.conf.
c. Para sobrescribir privacy.cfg, proporcione el archivo privacy-custom.cfg.
d. Para sobrescribir runtime.conf, proporcione el archivo runtime-custom.conf.
3. Cree un archivo de configuración que indique al script instalador que siempre
sobrescriba archivos de configuración en lugar de sobrescribir archivos solo
cuando no se han cambiado de los archivos predeterminados. A continuación
está el contenido de dicho archivo de configuración, que debe designarse
/etc/opt/tealeaf/tpcinstaller.conf:
custom_capture_conf_enable="YES"
custom_httpd_conf_enable="YES"
custom_privacy_conf_enable="YES"
custom_runtime_conf_enable="YES"
4. Sobrescriba los archivos de configuración e inicie todos los servicios:
# sh /etc/opt/tealeaf/bin/tpcinstaller.sh postinstall
Si desea indicar al script de instalación que también instale/actualice el RPM,
debe guardar una copia del script de instalación en /etc/opt/tealeaf y
entonces iniciarlo con el nombre del archivo RPM. A continuación está el
ejemplo:
# env TPCINSTALLPREFIX=/opt/tealeaf sh /etc/opt/tealeaf/tpcinstaller.sh \
/root/tealeaf-pca-3204-1.RHEL4.i386.rpm
Nota: El uso de TPCINSTALLPREFIX requiere como mínimo la versión de
compilación 3204 del PCA.
¿Por qué la consola web de PCA ignora mis cambios guardados?
Pregunta
¿Por qué la consola web ignora mis cambios guardados?
Respuesta
Confirme que las cookies estén habilitadas. La consola web de PCA requiere que
las cookies estén habilitadas para poder mantener el estado de la sesión mientras
realiza varias tareas.
Si las cookies están inhabilitadas, después de pulsar Guardar cambios, la página
que está viendo vuelve al estado en que se encontraba antes de que realizara los
cambios.
Referencias
v “Consola Web de PCA - Pestaña Resumen” en la página 76
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
287
¿Por qué no puedo detener los procesos de la consola web?
Pregunta
¿Por qué no puedo detener los procesos de la consola web?
Respuesta
En la compilación 3100, la ubicación predeterminada del archivo httpd.pid que el
script tealeaf utiliza para encontrar la consola web ha cambiado. Este archivo
solía residir en logfile directory pero se ha trasladado al directorio
/usr/local/ctccap/var para acomodar otro trabajo de característica.
Si ha modificado anteriormente el httpd.conf de forma que difiere del
httpd.conf.default, entonces el httpd.conf se conserva cuando un paquete
tealeaf-pca posterior instala el nuevo httpd.conf.default. Esta conservación
significa que el script de Tealeaf más reciente en un paquete 3100 o posterior no
puede encontrar el httpd.pid porque la consola web lo continúa escribiendo en la
ubicación anterior especificada por el httpd.conf.
Para solucionar este problema, siga estos pasos:
v Detenga todos los procesos de la consola web utilizando el siguiente mandato
como raíz:
killall httpd
v Revise los cambios entre httpd.conf y el archivo predeterminado desde el
paquete, httpd.conf.default. Por ejemplo, puede ver los cambios utilizando el
mandato diff de la siguiente manera:
cd /usr/local/ctccap/etc
diff -c httpd.conf.default httpd.conf
v Aísle los cambios que se han realizado localmente para el servidor de
aplicaciones de captura pasiva (por ejemplo, autenticación básica, inhabilitación
de un puerto que no es SSL) de los cambios introducidos por el paquete.
v Guarde el httpd.conf existente, sobrescriba el httpd.conf con el
httpd.conf.default y fusione los cambios aislados del paso 3.
¿Dónde está el directorio de registros ctccap?
Pregunta
¿Dónde se encuentra el directorio /usr/local/ctccap/logs?
Respuesta
A partir de la compilación 3102, el directorio predeterminado para los archivos de
registro de captura pasiva es /var/log/tealeaf. Cuando instala el paquete
tealeaf-pca por primera vez en un sistema, este crea y utiliza /var/log/tealeaf.
Si está actualizando desde una versión anterior y el directorio
/usr/local/ctccap/logs no es un directorio vacío, la captura pasiva continúa
utilizando ese directorio en lugar de /var/log/tealeaf.
La página Copia de seguridad/Registros de la consola web se actualiza para
mostrar el directorio de archivos de registro en uso.
288
IBM Tealeaf CX Passive Capture Application: Manual de PCA
¿Cómo puedo cambiar manualmente el directorio del archivo de
registro?
Pregunta
¿Cómo puede cambiar manualmente el directorio del archivo de registro de
/var/log/tealeaf a XYZ?
Respuesta
A partir de la compilación 3100, se muestra a continuación el directorio logfile
predeterminado que utilizan las instalaciones nuevas:
/var/log/tealeaf
Si no desea que Captura pasiva utilice ese directorio, siga los pasos a continuación.
Los pasos configuran el directorio logfile para que sea /var/tealeaf.
v Lleve a cabo todos los pasos como usuario root.
v Estos pasos suponen que Captura pasiva ya está instalada en
/usr/local/ctccap.
1. Detenga todos los daemons de Captura pasiva:
tealeaf stop
tealeaf stop failoverd
2. Cree el directorio, si no existe, y asígnele su propiedad y permisos.
mkdir /var/tealeaf
chmod u=rwx,go= /var/tealeaf
chown ctccap:ctccap /var/tealeaf
Un prolongado listado solo del directorio debe producir los siguientes
resultados:
# ls -ld /var/tealeaf
drwx-----2 ctccap
ctccap
4096 Sep 6 14:41 /var/tealeaf
Nota: El grupo ctccap se introdujo en la compilación 3101.
3. Cree archivos de registro vacíos. Puede utilizar tealeaf initlogs. Si ese
mandato no está disponible en la versión que está ejecutando, debe crear al
menos el archivo capture.log utilizando los mandatos siguientes:
touch /var/tealeaf/capture.log
chmod u=rw,go= /var/tealeaf/capture.log
chown ctccap:ctccap /var/tealeaf/capture.log
Un prolongado listado del directorio debe producir los siguientes resultados:
# ls -l /var/tealeaf
total 0
-rw------1 ctccap
ctccap
0 Sep 6 14:42 capture.log
De forma opcional, puede optar por copiar todos los archivos de registro de
/var/log/tealeaf en el nuevo directorio.
4. Edite el archivo de configuración daemon de syslog:/etc/syslog.conf.
Sustituya la línea para local0 desde :
local0.* -/var/log/tealeaf/capture.log
con este código:
local0.* -/var/tealeaf/capture.log
5. Reinicie el daemon de syslog:
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
289
/etc/init.d/syslog stop
/etc/init.d/syslog start
En sistemas Red Hat puede utilizar:
service syslog stop
service syslog start
6. Edite el archivo /usr/local/ctccap/etc/runtime.conf, que es utilizado por la
Captura pasiva. Elimine todas las definiciones de variables existentes para
logfiledir y añada la siguiente línea:
logfiledir="/var/tealeaf"
7. Inicie los daemons de Captura pasiva:
tealeaf start failoverd
tealeaf start
Si examina /var/tealeaf/capture.log, debe ver mensajes de inicio de Captura
pasiva.
Todos los pasos anteriores se basan en el procesamiento para la variable de
configuración logfiledir realizado por el script postinstallimp.sh posterior a la
instalación de la distribución de Captura pasiva (en el subdirectorio sbin).
¿Cómo puedo hacer que el PCA borre automáticamente sus
estadísticas?
Pregunta
¿Cómo puedo hacer que el PCA borre automáticamente sus estadísticas?
Respuesta
Cree un trabajo cron en /etc/cron.d/tealeaf para despertar y borrar las
estadísticas. Ejemplos:
* * * * * root /usr/local/ctccap/bin/tealeaf cron > /dev/null 2>&1
# the command ’tealeaf cron’ is run every minute (already exists in
# /etc/cron.d/tealeaf
30 3 * * * root /usr/local/ctccap/bin/tealeaf clearstats > /dev/null 2>&1
# ’tealeaf clearstats’ is run at 3:30 a.m. every day.
15 4 * * 2 root /usr/local/ctccap/bin/tealeaf clearstats > /dev/null 2>&1
# ’tealeaf clearstats’ is run at 4:15 a.m. on Tuesdays.
01 0 1 * * root /usr/local/ctccap/bin/tealeaf clearstats > /dev/null 2>&1
# ’tealeaf clearstats’ is run at 12:01 a.m. on the first day of every month.
290
IBM Tealeaf CX Passive Capture Application: Manual de PCA
¿Cuál es el número de puerto predeterminado para la migración tras
error?
Pregunta
¿Cuál es el número de puerto predeterminado (o recomendado) para la migración
tras error?
Respuesta
Si no se especifica un número de puerto al configurar una migración tras error
maestra o subordinada, la migración tras error utiliza el puerto 9866.
¿Cómo maneja el PCA paquetes TCP duplicados?
Solo los paquetes TCP de la conexión TCP se comprueban con sus números de
secuencia TCP. Los duplicados se determinan en base a números de secuencia TCP.
Si bien los procesos de PCA pueden manejar paquetes de tráfico duplicados,
representan un uso innecesario que puede afectar el rendimiento cuando el sistema
se acerca a su nivel de rendimiento máximo. El envío de paquetes duplicados al
PCA debe reducirse siempre que sea posible.
A nivel del paquete TCP, el IBM Tealeaf CX Passive Capture Application
comprueba la presencia de paquetes duplicados en una conexión TCP. El PCA lo
hace mediante la evaluación de sus números de secuencia TCP. Cuando se detectan
duplicados, se manejan de las siguientes formas:
v Si se muestran dos paquetes opuesto con opuesto en la misma conexión, el
segundo paquete se descarta.
v Si se muestran dos paquetes en la misma conexión, contienen un número de
secuencia repetido pero no se muestran opuesto con opuesto, el segundo
paquete se descarta.
v Si los orígenes y los destinos de los paquetes son diferentes, PCA acepta los
paquetes y los vuelve a ensamblar para su entrega a recipientes en sentido
descendiente.
Mediante la pestaña Estadísticas de la consola web del PCA, puede supervisar la
frecuencia de paquetes TCP duplicados. A continuación se muestran las estadísticas
clave a supervisar:
Total back-to-back duplicate packets
En el archivo stats.xml, esta estadística se visualiza como:
<TcpTotalDuplicatePackets>
Un número alto de paquetes duplicados puede indicar que los puertos de
distribución del conmutador de red no están correctamente configurados. Por
ejemplo, si el número de paquetes duplicados se acerca a la mitad del valor
especificado en la estadística Total packets rcvd value. También indica que los
puertos están enviando tráfico duplicado al servidor IBM Tealeaf CX Passive
Capture Application.
Consulte “Estadísticas por instancia” en la página 153.
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
291
¿Cómo identifica el PCA páginas ReqCanceled?
Esta sección proporciona una breve descripción de cómo la PCA evalúa y identifica
páginas como páginas ReqCancelled.
v Una página ReqCancelled puede cancelarse mediante una solicitud del
navegador cliente (visitante) o del servidor web.
Valores del lado del servidor
Después que ensambla una página de respuesta o solicitud HTTP desde los
paquetes TCP, la cabecera HTTP está disponible. En la cabecera se muestran los
valores que calcula el servidor para HeaderSize y DataSize de la respuesta o
solicitud. En el ejemplo siguiente, se muestra la respuesta en bruto:
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Content-Type: text/html;charset=UTF-8
Date: Fri, 25 Feb 2011 14:40:14 GMT
Cache-Control: private
Content-Length: 83
<html>
<body>
Response
<hr>
Read 652 bytes in 7ms.
</body>
</html>
En el ejemplo anterior, el valor Content-Length informado por el servidor es 83
bytes.
Valores calculados por el PCA
El PCA también calcula el tamaño observado real de la coincidencia de los
paquetes cuando están enlazados entre sí. Estos valores se almacenan en la sección
[env] de la solicitud:
[env]
...
RequestHeaderSize=1741
RequestDataSize=0
RequestSize=1741
ResponseHeaderSize=418
ResponseDataSize=25151
ResponseSize=25569
...
Analizar valores de tamaño del contenido
Como resultado, el PCA utiliza dos conjuntos de valores de dimensionamiento:
v Los valores del lado del servidor
v Los valores que observa y calcula el PCA
Estos números deben coincidir.
Nota: Si los valores reales observados por el PCA son inferiores a los valores del
lado del servidor insertados en la cabecera de respuesta, el PCA marca la
coincidencia como una coincidencia ReqCancelled.
292
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Codificación de transferencia segmentada
Es un caso especial cuando el servidor no informa el valor Content-Length. En la
codificación de transferencia segmentada, el servidor transfiere datos utilizando el
protocolo HTTP sin saber con anticipación el tamaño del cuerpo del mensaje
completo. Cuando la codificación de transferencia segmentada está habilitada por
el servidor, la siguiente es la respuesta:
.HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Cache-Control: private
Pragma: no-cache
Set-Cookie: logging=CC4993FF05A9AC05B52CD9756B094B10|egapp39p|;
Domain=.example.com; Path=/
Set-Cookie: DealDetectorUser=true; Domain=.example.com; Expires=Thu,
20-Feb-2031 14:39:33 GMT; Path=/
P3P: CP="CAO DSP CURa ADMa DEVa TAIa PSAa PSDa IVAi IVDi CONi OUR DELi SAMi
OTRi BUS PHY ONL UNI PUR COM NAV INT DEM STA POL HEA PRE GOV"
Content-Type: text/html
Date: Fri, 25 Feb 2011 14:39:33 GMT
Transfer-Encoding: chunked
En el ejemplo anterior, no hay un valor informado para Content-Length. Dado que
la longitud del contenido no es conocida con anterioridad, se inserta el siguiente
valor:
Transfer-Encoding: chunked
Cuando el PCA observa que la transferencia está segmentada, ensambla los
paquetes en la coincidencia y rastrea el valor DataSize para la página hasta que
alcanza el paquete final segmentado. Este último paquete se designa por un trozo
de longitud cero (tamaño de segmento codificada como 0) y no tiene ninguna
sección de datos.
Nota: Como el servidor no informa un valor Content-Length en la codificación de
transferencia segmentada, la cabecera de cada segmento contiene una entrada para
la longitud del trozo. Como resultado, la longitud total real del trozo se calcula de
manera dinámica.
v Si algún trozo no proporciona todos los datos según se informa en la cabecera, el
PCA marca la página en que se muestra el trozo como una página ReqCancelled.
Identificación de las coincidencias ReqCancelled en Tealeaf
Una descripción general para identificar coincidencias ReqCancelled en Tealeaf.
Datos registrados
Cuando una coincidencia se identifica como incluyendo una solicitud cancelada, el
IBM Tealeaf CX Passive Capture Application inserta la siguiente información en la
sección [env]:
v ReqCancelled por Visitante (navegador cliente):
[env]
?
ReqCancelled=Client
?
v ReqCancelled por Servidor:
[env]
?
ReqCancelled=Server
?
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
293
Código de estado HTTP
El código de estado HTTP se genera como parte de la respuesta HTTP. El código
de estado de una coincidencia ReqCancelled depende de cuándo se canceló la
coincidencia:
Cuando se produjo ReqCancelled:
Valores del código de estado
Antes de que el servidor enviara una respuesta
Código de estado = 0
Después que el servidor haya enviado una respuesta
Un valor diferente a 200 (OK)
Otras características
Dependiendo de cuándo y cómo se ha cancelado la solicitud, algunas partes de los
datos de coincidencia pueden estar mal formados:
v Para las coincidencias enviadas desde IBM Tealeaf CX UI Capture for AJAX, la
sección [xml1] puede estar mal formada o incompleta, si el POST fue
interrumpido antes de completarse.
v Si está incluida para la captura por parte del PCA, una versión incompleta o mal
formada de la sección [RawRequest] puede indicar que la solicitud se canceló
antes del comienzo del procesamiento de la respuesta en el servidor.
v Para las coincidencias canceladas durante la generación de la respuesta, puede
haber partes faltantes en la respuesta.
Nota: Ya sea que una respuesta haya sido ReqCancelled o completada, el campo
de la cabecera de solicitud HTTP siempre se incluye. El PCA no captura una
coincidencia si falta esta cabecera de la solicitud.
Creación de un evento
Tealeaf proporciona un evento de bloque de creación que detecta la presencia de
una coincidencia ReqCancelled: Req Cancelled [BB-NoDim]. En su calidad de
evento de bloque de creación, no es pasible de ser encontrado.
A continuación se dan algunos pasos generales para crear el objeto de evento para
realizar el seguimiento de coincidencias canceladas de solicitud:
1. Inicie sesión en el portal como administrador.
2. Desde el menú del portal, seleccione Configurar > Gestor de eventos.
3. Aparece el Gestor de eventos de Tealeaf. Consulte "Gestor de eventos de
Tealeaf" en el Manual del Gestor de eventos de IBM Tealeaf.
4. Haga clic en la pestaña Eventos.
5. Haga clic en Nuevo evento.... Aparece el asistente Añadir evento.
6. Configure las propiedades siguientes:
Propiedad
Descripción
Name
Sugiera Req Cancelled Type.
Description
Sugiera Type of canceled request: client or server.
Evaluate
Establezca en Every Hit
294
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Track
Establezca en First Per Session, aunque esto es para una
coincidencia.
Value Type
Establezca en Text.
7. Deje los demás valores como los predeterminados. Haga clic en el paso
Condición.
a. En el panel de la izquierda, haga clic en la categoría Eventos.
b. Haga clic en Tealeaf Standard Events.
c. Seleccione ReqCancelled [BB-NoDim]. El evento se añade como una
condición a la definición de eventos Req Canceled Type.
1) En la primera lista desplegable de la condición de evento añadida,
seleccione Value.
2) En la lista desplegable operador de condición, seleccione Equals.
3) En el tercer recuadro de texto, escriba servidor.
4) Deje en blanco la casilla de verificación sensible a las mayúsculas y
minúsculas.
d. En el panel izquierdo, seleccione nuevamente ReqCancelled [BB-NoDim].
1) Llénelo como se indica anteriormente, exceptuando el tercer recuadro
de texto, donde debe introducir cliente.
e. En la lista desplegable de la parte superior del panel de configuración
principal, seleccione:
Any of the following conditions must be met
f. El paso Condición se configura para probar la presencia de alguna de las
condiciones de eventos. Debe verse como la pantalla siguiente:
Figura 44. Tipo de evento Req Canceled - Paso Condición
8. Haga clic en la pestaña Valor.
a. Haga clic en Seleccionar elemento para registrar....
b. En el diálogo Seleccionar elemento, haga clic en la categoría Eventos.
c. Haga clic en Eventos estándar de Tealeaf.
d. Seleccione Req Cancelled [BB-NoDim].
e. Deje el valor de la lista desplegable como Value.
f. El valor para registrar se configura para ser el valor de Req Cancelled
[BB-NoDim], que se establece en server o client si se cumple alguna de las
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
295
condiciones de eventos. Debe verse como la pantalla siguiente:
Figura 45. Tipo de evento Req Canceled - Paso Valor
9. Debe configurar los otros pasos de la definición de eventos según sea
necesario para el entorno.
10. Haga clic en Guardar borrador.
11. En la pestaña Eventos, haga clic en Guardar cambios para confirmar el nuevo
evento en el servidor.
Búsqueda de sesiones con tipo ReqCancelled
El evento mencionado anteriormente ahora está definido para registrar el valor
client o server si el visitante o el servidor web cancelan una solicitud. A través
del portal puede buscar apariciones de este evento.
Nota: Después que el evento se guarda en el servidor, está activo y es procesado
en cada coincidencia. Puede pasar algún tiempo antes de que las sesiones con
solicitudes canceladas sean capturadas y procesadas por Tealeaf.
Para buscar el evento ReqCancelled Type, complete los pasos siguientes:
1. En el portal, seleccione Buscar > Sesiones completadas.
2. Para buscar la aparición de una coincidencia ReqCancelled en una sesión:
a. Borre cualquiera de los términos de búsqueda predeterminados.
b. Pulse el término de búsqueda Eventos.
c. Pulse <seleccionar un evento.
d. En el Selector de eventos, deje en blanco la casilla de verificación Ver por
códigos.
e. En el recuadro de búsqueda, introduzca Req Cancelled.
f. Seleccione Req Canceled Type.
g. Pulse Seleccionar.
h. Se muestra su búsqueda de la existencia del evento en una en una sesión.
Debe verse como la pantalla siguiente:
296
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Figura 46. Tipo Req Canceled - Búsqueda de la existencia del evento
3. Para buscar un tipo específico de coincidencia ReqCancelled en una sesión:
a. Borre cualquiera de los términos de búsqueda predeterminados.
b. Pulse el término de búsqueda Valores de eventos.
c. Pulse <seleccionar un evento>.
d. En el Selector de eventos, deje en blanco la casilla de verificación Ver por
códigos.
e. En el recuadro Búsqueda, introduzca Req Canceled.
f. Seleccione Req Canceled Type.
g. Pulse Seleccionar.
h. En el término de búsqueda, verifique que el operador de búsqueda esté
establecido en Includes.
i. En el recuadro de texto introduzca uno de los siguientes valores:
v server - buscar coincidencias ReqCancelled iniciadas por el servidor
v client - buscar coincidencias ReqCancelled iniciadas por el cliente
j. Se muestra su búsqueda de un tipo específico de coincidencia ReqCancelled
en una sesión. Debe verse como la pantalla siguiente:
Figura 47. Tipo Req Cancelled - Buscar coincidencias ReqCancelled del servidor
4. Para ejecutar las búsquedas, pulse Buscar.
5. De la lista de sesiones que se muestra, puede seleccionar una para revisarla y
obtener más información. Si se devuelven sesiones, puede localizar la
coincidencia donde se produjo la ReqCancelled utilizando los siguientes
métodos generales:
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
297
v Probador de eventos: de la lista de sesiones, puede enviar la sesión al
Probador de eventos. En el Probador de eventos, seleccione el evento Req
Canceled Type a mostrar. En los resultados de la prueba, puede localizar la
coincidencia donde se produjo el evento.
v Consulte la sección "Envío al probador de eventos" en la publicación IBM
Tealeaf cxImpact Manual del usuario.
v QuickView: en la lista de sesiones, puede abrir QuickView, que muestra
información de eventos por coincidencia. En la lista desplegable Ordenar por,
seleccione Event Name. Localice la coincidencia en que se produjo el evento
Req Canceled Type.
v Consulte la sección "Vista rápida" en la publicación IBM Tealeaf cxImpact
Manual del usuario.
¿Cómo gestiona el PCA la captura de direcciones IPv6?
A partir del release 3500, el IBM Tealeaf CX Passive Capture Application puede
configurarse para capturar direcciones IPv6.
Nota: Actualmente no se da soporte a la agrupación en hosts de servidores Tealeaf
utilizando direcciones IPv6.
Nota: El soporte para el proceso de direcciones IPv6 con fines de búsqueda,
reproducción e información está disponible en el release 8.4 y posterior.
Nota: La habilitación de la captura del PCA está disponible solo a petición.
Consulte “Habilitación de Captura IPv6” en la página 300.
Visión general de IPv6
La versión 6 de Protocolo Internet (IPv6) es la siguiente generación de métodos
para especificar direcciones de Protocolo Internet. IPv4, la versión anterior,
habilitaba direcciones de 32 bits, lo que permitía la especificación de 2 direcciones
32
. Todos los bloques de dirección IPv4 están asignados.
IPv6 habilita la especificación de direcciones IP de 128 bits, lo cual admite la
especificación de 2 direcciones 128. Esta especificación ampliada permite el uso de
direcciones IP específicas de los dispositivos, para el siempre creciente conjunto de
dispositivos conectados. Otras características:
v Mayor flexibilidad en la asignación de direcciones
v Eficacia en el direccionamiento de tráfico
v Elimina la necesidad primaria de conversión de direcciones de red (NAT)
Mientras que los sistemas operativos principales admiten IPv6, IPv6 no
implementa características de interoperabilidad nativa con IPv4. Normalmente, la
interoperabilidad de las dos redes que direcciona esquemas requiere una pila de
redes duales (una pila para cada una).
Nota: El IBM Tealeaf CX Passive Capture Application puede configurarse para
capturar solo IPv6, solo IPv4, y mixtas IPv6 e IPv4 e IPv6 con IPv4 incluido.
Nota: IPv6 con IPv4 incluido no puede insertarse en la consola web del PCA, pero
puede insertar estos valores en el archivo ctc-conf.xml. El PCA es capaz de
utilizar estas direcciones. Consulte “Métodos para capturar y convertir direcciones
IP” en la página 300.
298
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Consulte Capítulo 1, “Descripción general de la captura pasiva”, en la página 1.
Formato IPv4
La especificación de Protocolo Internet originalmente daba formato a direcciones IP
de la siguiente manera. Este formato era de uso universal hasta 2009.
AAA.BBB.CCC.DDD:EEEE
En lo anterior, cada conjunto de valores de tres dígitos se denomina octeto.
v El valor EEEE representa un número de puerto y está precedido por dos puntos
(:).
Formato IPv6
Una dirección IPv6 se representa como una secuencia de ocho grupos de cuatro
dígitos hexadecimales. Los grupos están separados por dos puntos (:).
El formato IPv6 está diseñado para suceder al formato IP4, ya que proporciona un
rango mucho más grande de direcciones potenciales. IPv6 se muestra más
frecuentemente en internet. Se especifica en el formato siguiente:
2001:0db8:85a3:0000:0000:8a2e:0370:7334(8080)
Los dígitos hexadecimales no son sensibles a mayúsculas y minúsculas pero deben
representarse en minúsculas para mantener la consistencia.
Números de puerto
Puesto que la especificación utiliza los dos puntos (:) como separador, no pueden
utilizarse los dos puntos como marcador del número de puerto, como en IPv4:
https://langley:19000
En su lugar, se utiliza la notación de paréntesis, como en el ejemplo siguiente:
2001:0db8:85a3:0000:0000:8a2e:0370:7334(8080)
Nota: El número de puerto se incluye entre paréntesis ((8080). Para las direcciones
IPv6, no se admiten las búsquedas utilizando números de puerto.
Simplificaciones
La representación completa de ocho grupos de 4 dígitos puede simplificarse
mediante varias técnicas, eliminando partes de la representación.
Ceros a la izquierda
Los ceros a la izquierda en un grupo pueden omitirse, pero cada grupo debe
contener al menos un dígito hexadecimal. El ejemplo de dirección anterior puede
simplificarse como:
2001:db8:85a3:0:0:8a2e:370:7334
Nótese la eliminación de dos conjuntos de ceros a la izquierda y dos conjuntos de
octetos compuestos de ceros.
Grupos de ceros
Uno o más grupos consecutivos de valores de cero pueden sustituirse por un único
grupo vacío utilizando dos veces consecutivas dos puntos (::).
v La sustitución solo se puede aplicar una vez en una dirección, ya que las
apariciones múltiples crean una representación ambigua.
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
299
v Si se puede aplicar más de una de dichas sustituciones, se debe utilizar la
sustitución que reemplaza la mayoría de los grupos. Si el número de grupos es
igual, entonces se debe utilizar la sustitución más a la izquierda.
Con estas reglas, la dirección de ejemplo se simplifica aún más:
2001:db8:85a3::8a2e:370:7334
Direcciones especiales
Tabla 41. Direcciones especiales
Nombre de
dirección
Dirección sin formato
Dirección abreviada
La dirección 0:0:0:0:0:0:0:1
localhost
(bucle de
retorno)
::1
La dirección 0:0:0:0:0:0:0:0
IPv6 no
especificada
::
Origen: http://www.wikipedia.org
Habilitación de Captura IPv6
Para obtener más información sobre la habilitación de la captura de direcciones
IPv6 en la compilación de PCA 35xx o posterior, póngase en contacto con
http://support.tealeaf.com de Tealeaf.
Captura
Esta sección describe métodos de captura y conversión de direcciones IP y soporte
de PCA para IPv6.
Métodos para capturar y convertir direcciones IP
Para hacer que las direcciones IPv6 estén disponibles para búsqueda, se deben
capturar las direcciones de IPv4 o IPv6. Estas direcciones se normalizan a un
formato que sea conocido para la indexación y los procesos de búsqueda de
Tealeaf.
Tealeaf admite dos métodos de captura y conversión de direcciones:
v PCA: cuando se despliega la compilación del PCA 3501 o posterior, se puede
habilitar la captura de direcciones IPv6. Las direcciones IPv4 pueden convertirse
a un formato IPv6 para indexación y búsqueda. Consulte “Soporte del PCA para
IPv6” en la página 301.
v Agente de sesión de inflado: si ahora el PCA no puede actualizarse a una
compilación que admita IPv6, debe desplegar el agente de sesión de inflado para
insertar los valores adecuados en la solicitud para la indexación y búsqueda de
direcciones IPv6. Consulte "Agente de sesión inflado" en el Manual de
configuración de IBM Tealeaf CX.
Nota: Este método está disponible en el release 8.4 o posterior.
300
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Nota: Si no puede actualizar a la compilación 3501 o posterior del PCA ahora,
debe desplegar el agente de sesión de inflado en cada interconexión de
procesamiento de Windows para admitir la indexación y búsqueda de
direcciones IPv6.
Soporte del PCA para IPv6
En el compilado 3501 o posterior del PCA, el IBM Tealeaf CX Passive Capture
Application puede configurarse para capturar direcciones IPv6. El PCA puede
aplicar compresión a dichas direcciones y habilitar la configuración utilizando
direcciones IPv6.
Nota: IPv6 no puede habilitarse a través de la consola web del PCA. Si desea más
información, póngase en contacto con Tealeaf http://support.tealeaf.com.
Consulte Cómo maneja el PCA la captura de direcciones IPv6.
Inserciones de datos en la solicitud
Las inserciones de datos en la solicitud involucran el formato IPv6 y el modo
convertir.
Formato IPv6
Cuando está habilitada la captura IPv6 y las direcciones IPv6 se detectan en la
corriente de captura, las siguientes variables se insertan en la sección [env] de la
solicitud:
[env]
...
IPV6_XLAT=False
IPV6=True
...
REMOTE_ADDR=fe80::20b:dbff:fe93:a462
LOCAL_ADDR=fe80::213:72ff:fe67:ed26
SERVER_NAME=fe80::213:72ff:fe67:ed26
IPV6_REMOTE_ADDR=FE80:0000:0000:0000:020B:DBFF:FE93:A462
IPV6_LOCAL_ADDR=FE80:0000:0000:0000:0213:72FF:FE67:ED26
IPV6_SERVER_NAME= fe80::213:72ff:fe67:ed26
...
Campo Descripción
IPV6_XLAT
Cuando se establece IPv6 en True, esta opción, si es True, indica si las
direcciones IP insertadas en la solicitud contienen direcciones IPv4 y deben
ser convertidas.
IPV6
Indica si el tráfico capturado es IPv6, si es True.
REMOTE_ADDR
La dirección IP sin procesar, como se capturó, para la dirección remota
puede estar en formato IPv6 o IPv4.
v El PCA puede insertar este valor.
Nota: Este valor puede comprimirse para el formato IPv6.
LOCAL_ADDR
La dirección IP sin procesar, como se capturó, para la dirección local puede
estar en formato IPv6 o IPv4.
v El PCA puede insertar este valor.
Apéndice A. Preguntas frecuentes sobre la captura pasiva (FAQ)
301
Nota: Este valor puede comprimirse para el formato IPv6.
SERVER_NAME
El nombre de campo existente ahora puede aceptar datos IPv6.
Nota: El SERVER_NAME no está indexado.
IPV6_REMOTE_ADDR
El valor REMOTE_ADDR que se representa en formato no comprimido IPv6
v El PCA puede insertar este valor.
IPV6_LOCAL_ADDR
El valor LOCAL_ADDR que se representa en formato no comprimido IPv6
v El PCA puede insertar este valor.
IPV6_SERVER_NAME
Se utiliza un nuevo nombre de campo para almacenar el valor SERVER_NAME
en formato no comprimido IPv6.
Modo de conversión de IPv6
En el modo de conversión de IPv6, el PCA convierte las direcciones IPv4 nativas a
un formato que se puede leer utilizando los componentes de los servidores de
Windows Tealeaf. El PCA inserta los siguientes campos en la solicitud. Además de
los campos, se insertan los valores originales para los siguientes:
v IPV6_REMOTE_ADDR_ORIG
v IPV6_LOCAL_ADDR_ORIG
v IPV6_SERVER_NAME_ORIG
Ejemplo:
IPV6_XLAT=True
IPV6=True
REMOTE_ADDR=254.147.164.98
LOCAL_ADDR=254.103.237.38
SERVER_NAME=254.103.237.38
?
IPV6_REMOTE_ADDR=0000:0000:0000:0000:0000:FFFF:FE93:A462
IPV6_LOCAL_ADDR=0000:0000:0000:0000:0000:FFFF:FE67:ED26
IPV6_SERVER_NAME=0000:0000:0000:0000:0000:FFFF:FE67:ED26
?
IPV6_REMOTE_ADDR_ORIG=FE80:0000:0000:0000:020B:DBFF:FE93:A462
IPV6_LOCAL_ADDR_ORIG=FE80:0000:0000:0000:0213:72FF:FE67:ED26
IPV6_SERVER_NAME_ORIG=FE80:0000:0000:0000:0213:72FF:FE67:ED26
Campo Descripción
IPV6_REMOTE_ADDR_ORIG
Contiene la dirección IPv6 original para el REMOTE_ADDR antes de
convertirse.
IPV6_LOCAL_ADDR_ORIG
Contiene la dirección IPv6 original para el LOCAL_ADDR antes de
convertirse.
IPV6_SERVER_NAME_ORIG
Contiene la dirección IPv6 original para el SERVER_NAME antes de
convertirse.
Consulte “Formato IPv6” en la página 301.
302
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Apéndice B. Documentación y ayuda de IBM Tealeaf
IBM Tealeaf proporciona información y ayuda a los usuarios, desarrolladores y
administradores.
Visualización de la documentación del producto
Toda la documentación del producto IBM Tealeaf está disponible en el siguiente
sitio web:
https://tealeaf.support.ibmcloud.com/
Utilice la información de la tabla siguiente para ver la documentación del producto
de IBM Tealeaf:
Tabla 42. Cómo obtener ayuda
Para visualizar...
Haga esto...
Documentación del producto
En el portal de IBM Tealeaf, vaya a ? >
Documentación del producto.
IBM Tealeaf Knowledge Center
En el portal de IBM Tealeaf, vaya a ? >
Documentación del producto y seleccione
IBM Tealeaf Customer Experience en el
Knowledge Center de ExperienceOne.
Ayuda para una página en el portal de IBM
Tealeaf
En el portal IBM Tealeaf, vaya a ? > Ayuda
para esta página.
Ayuda para IBM Tealeaf CX PCA
En la interfaz web de IBM Tealeaf CX PCA,
seleccione Guía para acceder al Manual de
IBM Tealeaf CX PCA.
Documentos disponibles para productos de IBM Tealeaf
La tabla siguiente es una lista de los documentos disponibles para todos los
productos de IBM Tealeaf disponibles:
Tabla 43. Documentación disponible para productos de IBM Tealeaf.
Productos de IBM Tealeaf
Documentos disponibles
IBM Tealeaf CX
v Guía de visión general de IBM Tealeaf
Customer Experience
v Guía de integración de datos de
infraestructura de cliente de IBM Tealeaf CX
v Manual de configuración de IBM Tealeaf CX
v Manual de IBM Tealeaf CX Cookie Injector
v Guía de bases de datos de IBM Tealeaf CX
v Manual de gestor de suscesos de IBM Tealeaf
CX
v Glosario de IBM Tealeaf CX
v Manual de instalación de IBM Tealeaf CX
v Manual de IBM Tealeaf CX PCA
v Notas del release de IBM Tealeaf CX PCA
© Copyright IBM Corp. 1999, 2015
303
Tabla 43. Documentación disponible para productos de IBM Tealeaf (continuación).
Productos de IBM Tealeaf
Documentos disponibles
IBM Tealeaf CX
v Manual de IBM Tealeaf CX RealiTea Viewer
Client Side Capture
v Manual de usuario de IBM Tealeaf CX
RealiTea Viewer
v Notas del release de IBM Tealeaf CX
v Manual de actualización del release de IBM
Tealeaf CX
v Preguntas más frecuentes de resolución de
problemas de soporte de IBM Tealeaf CX
v Guía de resolución de problemas de IBM
Tealeaf CX
v IBM Tealeaf CX UI Capture j2 Guide
v Notas del release de IBM Tealeaf CX UI
Capture j2
IBM Tealeaf cxImpact
v Manual de administración de IBM Tealeaf
cxImpact
v Manual del usuario de IBM Tealeaf cxImpact
v Guía de creación de informes de IBM Tealeaf
cxImpact
IBM Tealeaf cxConnect
v Manual de administración de IBM Tealeaf
cxConnect para análisis de datos
v Manual de administración de IBM Tealeaf
cxConnect for Voice of Customer
v Manual de administración de IBM Tealeaf
cxConnect for Web Analytics
IBM Tealeaf cxOverstat
Manual del usuario de IBM Tealeaf cxOverstat
IBM Tealeaf cxReveal
v Manual de administración de IBM Tealeaf
cxReveal
v Guía de la API de IBM Tealeaf cxReveal
v Manual del usuario de IBM Tealeaf cxReveal
IBM Tealeaf cxVerify
v Guía de instalación de IBM Tealeaf cxVerify
v Guía del usuario de IBM Tealeaf cxVerify
IBM Tealeaf cxView
Guía del usuario de IBM Tealeaf cxView
IBM Tealeaf CX Mobile
v IBM Tealeaf CX Mobile Android Logging
Framework Guide
v Notas del release de la infraestructura de
registro Android de IBM Tealeaf
v Manual de administración de IBM Tealeaf CX
Mobile
v Manual del usuario de IBM Tealeaf CX
Mobile
v IBM Tealeaf CX Mobile iOS Logging
Framework Guide
v Notas del release de IBM Tealeaf iOS Logging
Framework
304
IBM Tealeaf CX Passive Capture Application: Manual de PCA
Avisos
Esta información se ha desarrollado para productos y servicios ofrecidos en EE.UU.
Es posible que IBM no ofrezca los productos, servicios o funciones que se tratan en
este documento en otros países. Consulte al representante de IBM de su zona para
obtener información acerca de los productos y servicios que están actualmente
disponibles en su zona. Cualquier referencia a un producto, programa o servicio de
IBM no pretende indicar ni implicar que sólo pueda utilizarse dicho producto,
programa o servicio de IBM. En su lugar, puede utilizarse cualquier producto,
programa o servicio con funciones equivalentes que no infrinja ningún derecho de
propiedad intelectual de IBM. No obstante, es responsabilidad del usuario evaluar
y verificar el funcionamiento de cualquier programa, producto o servicio que no
sea de IBM.
IBM puede tener patentes o solicitudes de patentes pendientes que aborden temas
descritos en este documento. La posesión de este documento no le otorga ninguna
licencia sobre tales patentes. Puede enviar consultas sobre licencias por escrito a:
IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY
10504-1785 EE. UU.
Para consultas sobre licencias relacionadas con información de doble byte (DBCS),
póngase en contacto con el departamento de propiedad intelectual de IBM de su
país o envíe sus consultas, por escrito, a:
Intellectual Property Licensing Legal and Intellectual Property Law IBM Japan, Ltd.
19-21, Nihonbashi-Hakozakicho, Chuo-ku Tokyo 103-8510, Japón
El párrafo siguiente no se aplica al Reino Unido ni a ningún otro país donde estas
disposiciones sean incompatibles con la legislación local: INTERNATIONAL
BUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN
TAL CUAL, SIN NINGÚN TIPO DE GARANTÍA, EXPLÍCITAS NI IMPLÍCITAS,
INCLUYENDO PERO NO LIMITÁNDOSE A ELLAS, LAS GARANTÍAS
IMPLÍCITAS DE NO VULNERACIÓN, COMERCIALIZACIÓN O IDONEIDAD
PARA UN PROPÓSITO DETERMINADO. Algunas legislaciones no contemplan la
declaración de limitación de responsabilidad, ni implícita ni explícita, en
determinadas transacciones, por lo que cabe la posibilidad de que esta declaración
no sea aplicable en su caso.
Esta información podría incluir imprecisiones técnicas o errores tipográficos. La
información que ofrece está sometida a informaciones periódicas, las cuales se van
incorporando en ediciones posteriores. IBM puede efectuar, en cualquier momento
y sin previo aviso, mejoras y cambios en los productos y programas descritos en
esta publicación.
Cualquier referencia incluida en esta información a sitios web que no son de IBM
sólo se proporcionan para su comodidad y en ningún modo constituye una
aprobación de dichos sitios web. La información de esos sitios web no forma parte
de la información del presente producto de IBM y la utilización de esos sitios web
se realiza bajo la propia responsabilidad del usuario.
© Copyright IBM Corp. 1999, 2015
305
IBM puede utilizar o distribuir cualquier información que se le proporcione en la
forma que considere adecuada, sin incurrir por ello en ninguna obligación para con
el remitente.
Los licenciatarios de este programa que deseen obtener información sobre él con el
fin de permitir: (i) el intercambio de información entre programas creados
independientemente y otros programas (incluido este) y (ii) el uso mutuo de
información que se ha intercambiado, deben ponerse en contacto con:
IBM Bay Area Lab 1001 E Hillsdale Boulevard Foster City, California 94404, EE.
UU.
Dicha información puede estar disponible, sujeta a los términos y condiciones
correspondientes, incluyendo, en algunos casos, el pago de una tarifa.
IBM proporciona el programa bajo licencia que se describe en este documento y
todo el material bajo licencia disponible para éste en función de los términos del
IBM Customer Agreement, IBM International Program License Agreement o
cualquier otro acuerdo equivalente entre ambas partes.
Todos los datos de rendimiento contenidos aquí se han determinado en un entorno
controlado. Por lo tanto, los resultados obtenidos en otros entornos operativos
podrían variar de forma significativa. Algunas mediciones pueden haberse
realizado en sistemas a nivel de desarrollo y no existe garantía alguna de que estas
mediciones sean iguales en los sistemas de disponibilidad general. Además,
algunas mediciones pueden haberse calculado mediante extrapolaciones. Puede
que los resultados reales varíen. Los usuarios de este documento deben verificar
los datos aplicables a su entorno específico.
La información relativa a los productos que no son de IBM se ha obtenido de los
proveedores de dichos productos, sus anuncios publicados u otras fuentes
disponibles para el público. IBM no ha probado dichos productos y no puede
confirmar la predicisón de rendimiento, la compatibilidad ni cualquier otra
afirmación relacionada con los productos que no sean de IBM. Las consultas sobre
las prestaciones de los productos que no sean de IBM deberán dirigirse a los
proveedores de dichos productos.
Todas las sentencias respecto a los planes futuros de IBM están sujetas a cambios o
retiradas sin previo aviso y sólo representan las metas y los objeticos.
Esta información contiene ejemplos de datos y de informes que se utilizan en
operaciones empresariales cotidianas. Para ilustrarlos de la forma más completa
posible, los ejemplos incluyen nombres de personas, empresas, marcas y productos.
Todos estos nombres son ficticios y cualquier similitud con nombres y direcciones
de empresas reales es pura coincidencia.
LICENCIA DE COPYRIGHT:
Esta información contiene programas de aplicación de muestra en lenguaje fuente
que ilustran técnicas de programación en diversas plataformas operativas. Puede
copiar, modificar y distribuir estos programas de muestra de cualquier modo sin
pagar a IBM con el fin de desarrollar, utilizar, comercializar o distribuir programas
de aplicación que se ajusten a la interfaz de programación de aplicaciones para la
plataforma operativa para la que se ha escrito el código de muestra. Estos ejemplos
no se han probado de forma exhaustiva en todas las condiciones. IBM, por lo
tanto, no puede garantizar ni dar por supuesta la fiabilidad, la capacidad de
306
IBM Tealeaf CX Passive Capture Application: Manual de PCA
servicio ni la funcionalidad de estos programas. Los programas de ejemplo se
proporcionan "TAL CUAL", sin ningún tipo de garantía. IBM no será responsable
de ningún daño resultante de la utilización de los programas de muestra por parte
del usuario.
Marcas registradas
IBM, el logotipo de IBM e ibm.com son marcas registradas de International
Business Machines Corp., en muchos países del mundo. Otros nombres de
servicios y productos podrían ser marcas registradas de IBM u otras compañías.
Hay disponible una lista actual de marcas registradas de IBM en la Web en
“Información de marca registrada y copyright en ”www.ibm.com/legal/
copytrade.shtml.
Consideraciones de política de privacidad
Los productos de software de IBM, que incluyen software como soluciones de
servicio (“Ofertas de software”), pueden utilizar cookies u otras tecnologías para
recopilar información de uso de los productos, para ayudar a mejorar la
experiencia final del usuario, para personalizar las interacciones con el usuario
final o para otros fines. Una cookie es un elemento de datos que un sitio web
puede enviar al navegador, que a continuación se puede almacenar en el sistema
como una etiqueta que identifica el sistema. En muchos casos, estas cookies no
recopilan información personal. Si una Oferta de software que utiliza le permite
recopilar información personal mediante cookies y tecnologías similares, le
informamos sobre los detalles a continuación.
En función de las configuraciones desplegadas, esta Oferta de software puede
utilizar cookies de sesión y persistentes para recopilar el nombre de usuario de
cada usuario, y otra información personal para fines de gestión de sesiones, mayor
facilidad de uso u otros fines funcionales o de seguimiento de uso. Estas cookies
pueden inhabilitarse, pero si se inhabilitan también se eliminará la funcionalidad
que habilitan.
Distintas jurisdicciones regulan la recopilación de información personal mediante
cookies y tecnologías similares. Si las configuraciones desplegadas para esta Oferta
de software le proporcionan como cliente la capacidad de recopilar información
personal de los usuarios finales mediante cookies y otras tecnologías, debe buscar
asesoramiento legal sobre la legislación aplicable para la recopilación de dicha
información, incluidos los requisitos para proporcionar el aviso y consentimiento
donde corresponda.
IBM requiere que los Clientes (1) proporcionen un enlace visible de forma clara y
evidente a los términos de uso del sitio web del Cliente (por ejemplo, política de
privacidad) que incluya un enlace a las prácticas de uso y recopilación de datos de
IBM y del cliente, (2) notifique que IBM coloca cookies y balizas web/clear gif en
el sistema del visitante en nombre del Cliente junto con una explicación de la
finalidad de dicha tecnología y, (3) hasta donde lo requiera la ley, obtenga el
consentimiento de los visitantes del sitio web andes de que el Cliente o IBM en
nombre del Cliente coloque cookies y balizas web/clear gif en los dispositivos del
visitante
Para obtener más información sobre el uso de diversas tecnologías, incluidas las
cookies, para estos fines, consulte la Declaración de privacidad en línea de IBM en:
http://www.ibm.com/privacy/details/us/en, la sección “Cookies, Web Beacons
and Other Technologies".
Avisos
307
308
IBM Tealeaf CX Passive Capture Application: Manual de PCA
IBM®
Impreso en España