Удаление объектов Kaspersky CyberTrace (RSA NetWitness)

В этом разделе описывается порядок удаления объектов, связанных с Kaspersky CyberTrace, из RSA NetWitness после удаления Kaspersky CyberTrace. Обратите внимание, что после удаления этих объектов события из Kaspersky CyberTrace останутся в RSA NetWitness.

Чтобы удалить из RSA Net Witness объекты, связанные с Kaspersky CyberTrace, выполните следующие действия:

1. Удалите каталог /etc/netwitness/ng/envision/etc/devices/cybertrace на сервере, где работает Log Decoder.
2. В настройках Log Decoder удалите правило пересылки cybertrace аналогично тому, как оно было добавлено.
3. Если пересылка событий в будущем не планируется, отключите пересылку событий, для этого установите для параметра /decoder/config/logs.forwarding.enabled значение false.
4. Удалите информационную панель Kaspersky CyberTrace аналогично тому, как информационная панель была создана.
5. Удалите диаграммы Kaspersky CyberTrace так же, как они были включены.
6. Удалите отчет CyberTrace Report аналогично тому, как он создается.
7. Удалите правила Kaspersky CyberTrace Service так же, как они были импортированы.
8. Если в файлы index-concentrator-custom.xml или table-map-custom.xml добавлялись поля, удалите их из этих файлов.
9. Перезапустите Concentrator, если в файл index-concentrator-custom.xml внесены изменения.
10. Перезапустите Log Decoder.