IBM Tealeaf CX Passive Capture Application Versión 3670 and de diciembre de Manual de PCA

Transcripción

1 IBM Tealeaf CX Passie Capture Application Versión 3670 and de diciembre de 2014 Manual de PCA

2 Note Before using this information and the product it supports, read the information in Notices en la página 305. Esta edición se aplica a la compilación 3670 y 3720 de IBM Tealeaf CX Passie Capture Application y a todos los releases y modificaciones posteriores hasta que se indique lo contrario en nueas ediciones. Copyright IBM Corporation 1999, 2014.

3 Contenido Manual de la aplicación de captura pasia ix Capítulo 1. Descripción general de la captura pasia Enhanced International Character Support (EICS) para CX Passie Capture Application (PCA) ersión Seguridad y administración Soporte SSL Integración con HSM Arquitectura de despliegue Despliegue en las instalaciones Despliegue en la nube Rendimiento de PCA Visión general del Packet Forwarder Arquitectura de software Proceso de captura Captured Listend Reassd Pipelined Routerd Tcld Delierd Failoerd Memcached Varias instancias Procesos de interconexión de arias instancias.. 9 Correlaciones de interconexión de arias instancias Visión general del equilibrio de carga transparente de PCA Varios pares Listend Routerd Programa de mantenimiento Consola web Software de terceros Mandatos de este manual Requisitos de tráfico de captura de red de Tealeaf PCA Requisitos básicos de tráfico Cifrado Diffie-Hellman Extensión de SessionTicket de TLS Conexiones TCP Datos duplicados Orígenes de los problemas de calidad de tráfico de red Paquetes TCP de red descartados Tráfico unidireccional Medición de paquetes descartados Capítulo 2. Instalación Lista de comprobación preia a la instalación Requisitos de tráfico de red Requisitos de hardware Tarjetas aceleradoras admitidas Requisitos del sistema operatio Recomendaciones de partición del disco duro.. 23 Varias instancias de PCA Cambios en el seridor PCA (área de control de páginas) Requisitos de PCA para Softlayer Instalación de paquete Copia del paquete de instalación desde el disco CD-ROM Instalación del rpm de tealeaf-pca Ejecutar PCA como raíz por primera ez Instalación del reeniador de paquetes Instalación de PCA en la nube de Softlayer Instalación de PCA en la nube de Microsoft Azure Lista de comprobación posterior a la instalación.. 39 Validar instalación del PCA Generar claes SSL Iniciar PCA Realizar configuración inicial de PCA Compruebe alores de conexiones permitidas.. 40 Configuración del PCA para la captura de Rich Internet Applications Sericio de software de Captura pasia de Tealeaf Parches de la CX PCA Resolución de problemas y sugerencias Archios principales Retrasos de inicio Actualización del software de CX PCA Desinstalación o retrotracción de la CX Passie Capture Application Desinstalar el Packet Forwarder Capítulo 3. Actualización del software de CX PCA Antes de actualizar Validación de las claes SSL actuales Actualización básica Si la instalación cumple los requisitos ya mencionados, para actualizar Actualización de PCA con autenticación de usuario 49 Configuración de nueos tipos de datos Capítulo 4. Configuración de CX PCA 51 Visión general de configuración de captura pasia 51 Configuración a traés de la consola web Configuración a traés de ctc-conf.xml Configuración a traés de runtime.conf Archios Cómo guardar los cambios Descifrado SSL A. IU web: B. Línea de mandatos: Copyright IBM Corp. 1999, 2014 iii

4 C. Reinicio de sericios: Referencia de línea de mandato de Tealeaf PCA.. 53 Configuración inicial de PCA Requisitos preios Configuración de ejemplo Factores de complicación Pasos de configuración Iniciar Apache Abrir la consola web de PCA Configuración de la interfaz de CX PCA Configuración de la entrega de coincidencias.. 59 Configuración de interconexión de PCA Configuración de priacidad Habilitar Captura Probar la configuración Naegadores soportados para la consola web de PCA Inicio de sesión de la Consola Web de PCA Cierre de sesión de da Consola Web de la PCA.. 64 Pestaña de consola web Configuración Habilitación de la autenticación de consola web 66 Conmutación de acceso HTTP/HTTPS Despliegue de un certificado SSL para la consola web Cambio de puertos de escucha de consola web 67 Soporte IP6 en la consola web PCA Página SysInfo Sistema dmesg Consola Web de PCA - Pestaña Resumen Estadísticas de compuesto de instancias El porcentaje de paquetes extraños Si es true, reassd no puede mantener listend.. 71 El porcentaje de conexiones de paquete descartadas El porcentaje se conierte en tráfico unidireccional La tasa a la que reassd uele a montar en la actualidad los aciertos no SSL Si es true, se ha encontrado Diffie Hellman SSL 73 El porcentaje de conexiones enejecidas Claes de SSL que faltan/seg KBytes de tráfico filtrados/seg Si es no cero, se están eliminando los hits debido a una sobrecarga de la interconexión Si es distinto de cero, los paquetes se eliminar debido a que sobrepasan la límite de tamaño máximo Conexiones TCP Estado de la máquina Estadísticas de montaje Iguales Estadísticas actuales por segundo Información adicional de depuración de la consola web de PCA Consola web de PCA - Pestaña Consola Consola Web de PCA - Pestaña Interfaz Utilice el Tealeaf Transport Serice como Fuente de tiempo Entrega de estadísticas a Tealeaf Transport Serice 105 Consola Web de PCA - Pestaña Claes SSL Claes cargadas Claes que faltan Capturar claes Valores de la interconexión Instancias de interconexión Sesionamiento de datos Reenío-X Muestreo de sesión Modalidad de captura Métodos de captura de solicitud Calificación por tiempo Procesamiento de coincidencias Listas de tipo de captura Cómo el PAC ealúa tipos de captura Tipos de contenido capturados predeterminados 123 Extensiones de Archios Excluidos Extensiones de archio incluido Capturar todos los Mimetypes Capturar todos los tipos POST Tipos de autoprueba de encendido XML Tipos de POST binarios Capturar todos los tipos de Contenido-Codificación Tipos de contenido e indexación Descarga de la configuración de priacidad Manipulación de reglas Manipulación de prueba Manipulación de acciones Manipulación de claes Añadir/Editar reglas Añadir/Editar pruebas Añadir/Editar acciones Añadir/Editar claes Referencia Priacy.cfg Reglas Pruebas Acciones Cambios de registro Cambios en la priacidad Registro de diferencias Referencia Estadísticas por instancia Comprobación de la salud del sistema a traés de stats.xml Procesos de software de captura Estadísticas de captura pasia Sección General Sección hora Sección de memoria Sección TCP Sección SSL Sección de coincidencias Sección Capturar Sección destinatarios de destino Sección de migración tras error Consola web de PCA - Pestaña de copia de seguridad-registros Consola Web de PCA - Pestaña de Migración tras error Pulsación i IBM Tealeaf CX Passie Capture Application: Manual de PCA

5 Valores automáticos Superisores remotos Consola Web de PCA - Pestaña de Programas de utilidad Interfaces de red Página de detalles bwmon Programas de utilidad del sistema Consola Web de PCA - Página de depuración 175 Acceso a página de depuración Página Visión general Salida de depuración Cómo proporcionar el ZIP de la PCA a soporte Contenidos de los archios ZIP Archio de configuración de captura pasia ctc-conf.xml Configuración de arios pares Listend Routerd 195 Configuración de agrupaciones SSL Eliminación de un seridor de PCA de una agrupación SSL Capítulo 5. Configuración de Packet Forwarder Configuración del Packet Forwarder para comunicarse con la CX PCA Configuración de un receptor del Packet Forwarder y la CX PCA para recibir paquetes reeniados Capítulo 6. Claes SSL Configuración de la clae cifrada SSL Descripción general Conersión automática de claes SSL Autoconertir PEM a PTL en un seridor PCA 204 Conersión de la clae priada PFX SSL a PTL 204 Pasos para conertir manualmente las claes SSL 204 Carga de PCA con claes SSL Archios PTL cargados de forma automática 207 Exportación de la clae priada SSL IIS5y6deMicrosoft IIS 3.0 y 4.0 de Microsoft SunOne (iplanet) Resolución de problemas de iplanet Sun iplanet 4.x Apache 1.3.x, 2.0.x Seridor HTTP de IBM Exportación desde un almacén de claes (JKS) Jaa 214 Solución temporal de la herramienta de claes Jaa Generación de un certificado autofirmado Utilización del algoritmo SHA-2 para generar el certificado autofirmado Generación de una solicitud de certificado firmado para uso interno de CA Scripts de programa de utilidad Despliegue de certificados SSL para que las utilice la consola web PCA Configuración del Sericio de transporte Tealeaf para cifrado SSL Prueba del certificado SSL utilizado por el sericio de transporte Habilitación de estados PCA en el estado Tealeaf 222 Elimine o isualice el certificado Validación de claes PEM Capítulo 7. Medida de rendimiento 223 Descripción general de la indicación de fecha y hora Supuestos Indicaciones de fecha y hora de ejemplo en la solicitud Valores y definiciones de indicación de fecha y hora en la solicitud Cálculo de horas de la indicación de fecha y hora Factores que afectan los alores de indicación de fecha y hora Indicación de fecha y hora en las coincidencias de ReqCancelled Coincidencias sin indicaciones de fecha y hora 228 Informes de indicaciones de fecha y hora en portal y RTV Tiempo de generación de páginas Tiempo de red Tiempo de recorrido completo Tiempo de representación Prueba del rendimiento del proceso de Tealeaf Informes Referencias Capítulo 8. Configuración de la captura pasia en Red Hat Enterprise Linux (RHEL) Captura pasia en RHEL - Configuración de DNS 233 /etc/nsswitch.conf Inhabilitar DNS Habilitar DNS /etc/resol.conf Captura pasia en RHEL - Configuración de interfaces de red Ejemplo DHCP Ejemplo ETHTOOL_OPTS Ejemplo de escucha de la interfaz Ejemplo de IP estática Lectura adicional Captura pasia en RHEL - Configuración NTP Instale el paquete NTP Seleccione seridores NTP Creación de Archios de configuración Habilitar e iniciar el sericio Captura pasia en RHEL - Configuración del acceso de Puerto serie Capítulo 9. Superisión de captura pasia Lista de comprobación para el diagnóstico de problemas de PCA Lista de comprobación principal Lista de comprobación de configuración de PCA adicional Contenido

6 Sugerencias adicionales para el diagnóstico de problemas Superisión de la captura pasia mediante el estado de Tealeaf Registro para la aplicación de captura pasia Registros de PCA Registros de seridor de Apache Capítulo 10. Configuración del Hardware e instalación del sistema operatio Configuración del hardware Pasos anteriores a la instalación Configuración general Inhabilitar iptables Hyperthreading Instalación de Red Hat Enterprise Linux Inhabilitar SELinux RHEL Seguridad de la consola web Inhabilitación del seridor web para la consola web Inhabilitación de la consola web mediante el puerto Habilitación del acceso a la consola web mediante una dirección IP única Aplicación de la autenticación al acceder a la consola web Aplicación de los cambios de configuración inmediatamente Usuarios del sistema operatio Actualizaciones del sistema operatio Capítulo 11. Mantenimiento de la captura pasia Descripción general Comprobación de estado de captura Reinicio de captura Ubicación del archio de registro Registro de estadísticas Sincronización horaria Configuración manual Apéndice A. Apéndices del PCA Apéndice B. Apéndice - Tarjetas aceleradoras del hardware soportado. 257 Tarjetas aceleradoras admitidas Apéndice C. Sistema de gestión de claes SSL de ncipher Consideraciones sobre ncipher Compatibilidad entre IBM Tealeaf CX PCA y ncipher Instalación de ncipher Apéndice D. Apéndice - Integración de claes de SSL de Tealeaf con HSM Integración con el HSM de ncipher Supuestos Requisitos Preios Configuración de PCA Configuración e integración de HSM Integración Inhabilitar HSM Instrucciones para la instalación Instalación del HSM de ncipher para PCA Requisitos Requisitos preios Instalación de ncipher y pasos de creación Controlador kernel de la compilación Instalar el controlador kernel de ncipher Confirmar el software instalado Instalar el software del PCA Configurar los scripts de inicio de ncipher para que arranquen antes que el PCA Creación de Mundo de seguridad de ncipher para PCA Validar la seguridad mundial Importación de claes SSL al almacén de claes de ncipher Verificación del uso de claes priadas SSL Inhabilitar el inicio de ncipher en el momento de arranque de Captura pasia Apéndice E. Apéndice - Temas adicionales de la Captura pasia Sistema operatio Instalar Configuración del seridor web Configuración de PCA Consola Registros Otros Resolución de problemas Captura pasia admite Linux de 64 bits? Captura pasia admite FreeBSD? Cómo puedo automatizar la instalación y configuración del PCA? Qué paquetes necesita el RPM de tealeaf-pca? Qué cambios realiza el RPM del PCA de Tealeaf al seridor de PCA? Cómo puedo especificar el directorio para el enlace simbólico de Tealeaf? Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf? Cómo puedo instalar en un directorio que no sea el predeterminado? Qué directorios y archios no se encuentran en el directorio de instalación? Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del seridor web? Localización de seridores utilizando Diffie-Hellman Inhabilitar Inhabilitar Diffie-Hellman en seridores IIS i IBM Tealeaf CX Passie Capture Application: Manual de PCA

7 Inhabilitar Diffie-Hellman en seridores Apache 282 Faltan algunas coincidencias SSL de las sesiones del naegador Firefox Resolución de problemas de la agrupación SSL Síntomas Para probarlo Para solucionarlo Naegador Firefox Proxy web Seridores web de Apache Seridores web no Apache Cómo puedo especificar archios de configuración alternatios? Pregunta Respuesta Por qué la consola web de PCA ignora mis cambios guardados? Por qué no puedo detener los procesos de la consola web? Dónde está el directorio de registros ctccap? Cómo puedo cambiar manualmente el directorio del archio de registro? Pregunta Respuesta Cómo puedo hacer que el PCA borre automáticamente sus estadísticas? Cuál es el número de puerto predeterminado para la migración tras error? Cómo maneja el PCA paquetes TCP duplicados? 291 Cómo identifica el PCA páginas ReqCanceled? 292 Valores del lado del seridor Valores calculados por el PCA Analizar alores de tamaño del contenido Codificación de transferencia segmentada Identificación de coincidencias ReqCancelled en Tealeaf Datos registrados Creación de un eento Búsqueda de sesiones con tipo ReqCancelled 296 Cómo gestiona el PCA la captura de direcciones IP6? Visión general de IP Formato IP Formato IP Habilitación de Captura IP Captura Métodos para capturar y conertir direcciones IP Soporte del PCA para IP Apéndice F. IBM Tealeaf documentation and help Notices Trademarks Priacy Policy Considerations Contenido ii

8 iii IBM Tealeaf CX Passie Capture Application: Manual de PCA

9 Manual de la aplicación de captura pasia El Manual de la IBM Tealeaf CX Passie Capture Application detalla cómo configurar y utilizar la IBM Tealeaf CX Passie Capture Application. Captura todas las solicitudes y respuestas de la aplicación web y las ensambla para su uso en el sistema Tealeaf. Utilice los enlaces siguientes para acceder a los temas específicos del manual. Copyright IBM Corp. 1999, 2014 ix

10 x IBM Tealeaf CX Passie Capture Application: Manual de PCA

11 Capítulo 1. Descripción general de la captura pasia La captura pasia de Tealeaf captura y registra la interacción completa entre el isitante y el entorno de la aplicación web mediante una conexión de red o un puerto de distribución de conmutadores de red. El software de captura pasia ofrece los beneficios siguientes: No introduce sobrecarga, latencia de página o utilización de CPU al seridor web No introduce riesgo de anomalía a la aplicación web; el tráfico superisado/capturado no forma parte del tráfico actio Da soporte a cualquier entorno de aplicación web: homogéneo o mixto, empaquetado o personalizado Da soporte al tráfico cifrado (HTTPS) y no cifrado (HTTP) Da soporte al despliegue en el entorno basado en nube de Amazon Web Serices (AWS) Reconstruye el tráfico HTTP de la experiencia del usuario para el procesamiento en sentido descendente de sesiones de usuario y eentos Para capturar solicitudes y respuestas del tráfico de su sitio web, la IBM Tealeaf CX Passie Capture Application requiere un origen de datos de alta calidad que se proporciona mediante una red fiable. Consulte Requisitos de tráfico de captura de red de Tealeaf PCA en la página 12. Enhanced International Character Support (EICS) para CX Passie Capture Application (PCA) ersión 3720 Seguridad y administración Soporte SSL Tealeaf PCA ersión 3720 da soporte a la captura de datos que se codifican utilizando caracteres internacionales mejorados. PCA ersión 3720 se utiliza para capturar el tráfico web para que lo procese Tealeaf CX ersión 9.0.1A. El software de captura pasia de Tealeaf está altamente controlado y protegido. Está enlazado con la estación de trabajo de host de captura y puede funcionar sin una interfaz pública. Todas las funciones de administración pueden efectuarse mediante un programa de cliente Secure Shell (SSH). Hay una interfaz de consola web protegida disponible para funciones administratias/gestionadas. El software de captura pasia de Tealeaf proporciona soporte completo para transacciones (HTTPS) SSL. Nota: Para dar soporte a SSL, se debe proporcionar una copia de las claes priadas SSL al software de captura pasia de Tealeaf. Si hay arios certificados SSL, es necesaria una copia de cada clae priada. Esto le permite al software de captura pasia descifrar el tráfico SSL para el proceso de contenido de coincidencias HTTP. Copyright IBM Corp. 1999,

12 Integración con HSM En algunos entornos, las restricciones de seguridad a niel del sistema operatio no son suficientes para la gestión de claes priadas cifradas. En estos entornos, Tealeaf da soporte a las integraciones con Módulos de seguridad de hardware. Un Módulo de seguridad de hardware (HSM) proporciona protección lógica y física de las claes priadas SSL sensibles de uso no autorizado y posibles adersarios. Arquitectura de despliegue Mientras que la implementación de la importación/exportación de claes priadas SSL al seridor de IBM Tealeaf CX Passie Capture Application con el HSM aría de entorno a entorno, el objetio de diseño de estas transferencias es un proceso automatizado mediante el cual las claes priadas están seguras en el HSM. Los proeedores del HSM proporcionan soluciones que responden a los requisitos de este proceso de transferencia, generalmente incluyendo arios métodos soportados para la instalación de claes en los HSM. Normalmente hay aspectos específicos de la implementación para el diseño del proceso de instalación automatizado. En un entorno de HSM, las claes que el tiempo de ejecución de Tealeaf utiliza heredan las medidas de protección que el HSM ofrece. El archio de claes se almacena en el HSM y mantiene una capa adicional de control de acceso que impide su moimiento. Para obtener más información sobre la integración del HSM, consulte Apéndice D, Apéndice - Integración de claes de SSL de Tealeaf con HSM, en la página 261. Sin un HSM, las claes priadas SSL se conierten en un formato de archio Tealeaf.ptl cifrado y se almacenan en un directorio de sistema operatio en un formato que puede utilizarse solo en la misma estación de trabajo; la clae se trocea en una forma específica de la máquina. Para obtener más información acerca de este método, consulte Configuración de la clae cifrada SSL en la página 203. La captura pasia consta del software que se ejecuta en un host, que conecta directamente con el dispositio de recopilación, una conexión de red o un puerto de distribución de conmutadores. El flujo de datos desde el dispositio de recopilación a la estación de trabajo es unidireccional; el host solo recibe datos de forma pasia. Desde el host, el software de captura pasia transporta los datos en tiempo real al entorno de seridor de Tealeaf CX. Los datos se pueden transportar a traés de TCP/IP o mediante un cable de transición de red que se conecta directamente entre el host de la capturar pasia y la estación de trabajo receptora en el entorno de Tealeaf CX. La captura pasia realiza las funciones siguientes: Reconstruir los cuerpos de solicitud y respuesta HTTP(S) de los datos de paquete de TCP/IP capturados Descifrar SSL (si es aplicable) (opcional) Sesionizar (o secuenciar) las páginas de solicitud y respuesta HTTP mediante un ID de sesión en sesiones de isitante (opcional) Puede definirse el bloqueo de priacidad para los datos sensibles Transportar los datos al entorno de seridor de Tealeaf CX 2 IBM Tealeaf CX Passie Capture Application: Manual de PCA

13 Despliegue en las instalaciones La arquitectura de despliegue en las instalaciones representa un entorno común de IBM Tealeaf que se despliega en la infraestructura de red local. El dispositio de captura debe tener acceso a todo el tráfico eniado al direccionador de equilibrio de carga o un segmento de red que contiene el grupo de aplicaciones/seridores web soportado por la solución de IBM Tealeaf CX. Debido a que el host de la captura pasia de Tealeaf está conectado directamente al dispositio de recopilación, no es necesario abrir los puertos de cortafuegos para recopilar datos. Los siguientes diagramas ilustran arquitecturas de despliegue típicas para métodos de conexión de red o distribución de conmutadores. Desde el host de la captura pasia, se transportan los datos (mediante TCP/IP o SSL) al entorno de seridor de IBM Tealeaf CX donde se analizan, agregan y archian. Figura 1. Caso de ejemplo de arquitectura de despliegue: duplicación de puerto desde el conmutador (o equilibrador de carga) Capítulo 1. Descripción general de la captura pasia 3

14 Figura 2. Caso de ejemplo de arquitectura de despliegue: conexión de red Despliegue en la nube La arquitectura de despliegue en la nube representa un entorno común de IBM Tealeaf que se despliega en una infraestructura basada en nube soportada. IBM Tealeaf puede desplegarse en una de las infraestructuras basadas en nube siguientes: IBM SoftLayer Amazon Web Serices (AWS) Microsoft Azure El siguiente diagrama ilustra la arquitectura de despliegue para las instalaciones basadas en nube utilizando un seridor proxy inerso que también tenga instalado un reeniador de paquetes. En este despliegue, el reeniador de paquetes captura tráfico web de la red irtual al seridor proxy inerso y enía los datos capturados a la PCA que se aloja en una máquina irtual distinta. 4 IBM Tealeaf CX Passie Capture Application: Manual de PCA

15 El siguiente diagrama ilustra la arquitectura de despliegue para instalaciones basadas en nube donde el reeniador de paquetes se ha desplegado en el seridor web. En este escenario, cada instancia de seridor web tiene una instancia del reeniador de paquetes que se despliega en el seridor web. Cada instancia del reeniador de paquetes captura el tráfico web entre el seridor web y el cliente. El reeniador de paquetes enía el tráfico web capturado al reeniador de paquetes que se aloja en una máquina irtual distinta. Para obtener información sobre la instalación del reeniador de paquetes de IBM Tealeaf, consulte Visión general del Packet Forwarder en la página 6. Capítulo 1. Descripción general de la captura pasia 5

16 Rendimiento de PCA La capacidad de IBM Tealeaf CX Passie Capture Application para procesar datos de coincidencias que se reenían a él depende de los siguientes factores y más: 1. Tarjetas NIC: la tarjeta de interfaz de red representa el límite superior de lo que una instancia específica del seridor de PCA puede capturar y procesar. Por ejemplo, utilizar NIC de 100 megabits/segundo limita el rendimiento máximo para un seridor de PCA, en comparación con NIC de 1 gigabit/segundo, que puede proporcionar hasta 10x más de rendimiento. Nota: Tealeaf recomienda 1 gigabit o mejores tarjetas de interfaz de red. 2. Núcleos de CPU: los beneficios de PCA cuando se instala en un seridor con ocho o más CPU. Con núcleos extras disponibles, puede instalar más instancias de laibm Tealeaf CX Passie Capture Application. Nota: Tealeaf recomienda instalar la PCA en un sistema con ocho o más núcleos. 3. RAM: RAM adicional en el seridor de PCA habilita más recursos para el procesamiento de datos capturados. 4. SSL: el tráfico seguro es intensio de la CPU y puede tener un gran impacto en el rendimiento general. Por ejemplo, una PCA puede manejar 700 megabits/segundo de rendimiento que no es SSL, mientras que procesar el mismo tráfico mediante SSL puede generar solo un rendimiento de 70 megabits/segundo. Cualquiera de los parámetros anteriores puede limitar efectiamente el rendimiento de toda la IBM Tealeaf CX Passie Capture Application. Por ejemplo, si la PCA es capaz de manejar un rendimiento efectio de 700 megabits/segundo pero su ancho de banda máximo de hardware NIC es de 100 megabits, entonces el NIC es el factor limitante, en lugar de la PCA. Visión general del Packet Forwarder El Packet Forwarder se utiliza para capturar y reeniar hits a una CX PCA basada en nube que está funcionando en una máquina irtual. La CX PCA procesa los hits que se reenían mediante el Packet Forwarder. El software del Packet Forwarder se incluye con la CX PCA y consta de un componente transmisor y receptor. El transmisor captura paquetes TCP y los reenía al receptor designado. El receptor puede configurarse para capturar datos que se someten desde un transmisor especificado. Puede configurar arias instancias de transmisor para eniar datos a una CX PCA centralizada. Cada instancia del transmisor debe conectarse a una instancia del receptor indiidual en la CX PCA. Nota: Las instancias de transmisor y las instancias de receptor no pueden compartir el mismo puerto de escucha. El Packet Forwarder proporciona la siguiente funcionalidad: Sustituye el componente de rastreador de paquetes TCP de la PCA por un escucha de socket de red. Dirige el tráfico a una instancia de la PCA interna. El transmisor apunta a una instancia de PCA centralizada en la nube y entrega paquetes al receptor a traés de una conexión de red. 6 IBM Tealeaf CX Passie Capture Application: Manual de PCA

17 Los paquetes TCP se capturan rastreando el puerto designado. Arquitectura de software Los componentes del Packet Forwarder pueden desplegarse en una nube pública o priada para gestionar la captura y el reenío de paquetes TCP para que los procese una instalación de IBM Tealeaf basada en nube. El software de captura pasia consta de tres componentes: 1. Los procesos de captura principales 2. Un programa de mantenimiento utilizando el sericio cron 3. Una consola web opcional. Proceso de captura Los procesos de captura principales capturan, reensamblan, procesan posteriormente y entregan las coincidencias HTTP/HTTPS reensambladas al sericio de transporte de Tealeaf que se ejecuta en otra estación de trabajo. Los cinco procesos en orden de procesamiento durante la captura se denominan captured, listend, reassd, pipelined y delierd. El proceso tcld puede o no estar presente en la PCA. Captured Captured es el proceso de captura de niel superior. Es el padre de arios procesos hijos: listend, reassd, pipelined y delierd. Sus dos roles principales son crear instancias de captura y crear y gestionar sus procesos hijos. Una instancia de captura es un par de procesos listend y reassd que capturan y reensamblan el tráfico de red. Al iniciar, captured crea todas las instancias de capturas configuradas como procesos hijos. Después, crea los procesos pipelined y delierd como procesos hijos. Captured reinicia sus procesos hijos cuando terminan inesperadamente o cuando su script de mantenimiento determina una condición incorrecta. Listend La función principal de Listend es capturar paquetes de tráfico de red de las interfaces primaria y secundaria configuradas y eniarlos al proceso de reensamblaje, Reassd. Listend es esencialmente un rastreador de paquetes. Utiliza el tráfico configurado e ignorado para determinar los paquetes que se an a capturar. Listend almacena en el almacenamiento intermedio los paquetes que enía a Reassd en la memoria para acomodar pequeños retrasos en la capacidad de Reassd de leer los paquetes. Listend proporciona adicionalmente un archiado de paquetes para registrar los paquetes capturados en los archios del disco duro local. Reassd La función principal de reassd es reensamblar paquetes TCP, descifrar el tráfico SSL y analizar inicialmente las solicitudes y respuestas HTTP resultantes. Reassd recupera paquetes para reensamblar desde su conducto de comunicaciones con el proceso listend. Después de que analiza un par de solicitud y respuesta HTTP, reassd enía la coincidencia reensamblada a pipelined. Reassd es el proceso principal de la captura pasia y normalmente el mayor proceso intensio de la CPU debido a sus procesos HTTP y SSL. Capítulo 1. Descripción general de la captura pasia 7

18 Pipelined La función primaria de pipelined es recuperar la solicitud y respuesta HTTP reensamblada desde reassd, darles un formato de coincidencia de Tealeaf y realizar los postprocesos configurados. El postproceso puede incluir la eliminación de coincidencias que se basan en opciones configurables, compresión/descompresión de datos, filtrado y bloqueo de priacidad, y puede indicarle a delierd que eníe la coincidencia a una estación de trabajo. La estación de trabajo ejecuta el sericio de transporte de Tealeaf, que normalmente el seridor de IBM Tealeaf CX. PCA da soporte a la creación de arias instancias del proceso pipelined. Consulte Procesos de interconexión de arias instancias en la página 9. Routerd La función principal de Routerd es equilibrar la carga de forma transparente (TLB) de paquetes de red entrantes y conexiones con las arias instancias de proceso Reassd. Mediante una distribución de tráfico de red más equitatia a traés de todas las instancias de Reassd, se aumenta la eficiencia de los núcleos de cpu del sistema, permitiendo un mejor rendimiento general. Este módulo de proceso sólo está presente si está habilitada la modalidad TBL. Para obtener más información, consulte Visión general del equilibrio de carga transparente de PCA en la página 10. Tcld La función principal de tcld es proporcionar procesos de script basados en TCL para manejar la gestión de las coincidencias de Tealeaf para la entrega especializada con el proceso delierd. Este proceso puede aceptar coincidencias de Tealeaf de uno o más procesos de origen pipelined. Delierd La función principal de delierd es entregar las coincidencias formateadas de Tealeaf a uno o más sericios de transporte de Tealeaf en estaciones de trabajo remotas siguiendo las instrucciones de tcld. Tcld se encarga de decidir si una coincidencia se debe eniar y a quién se debe eniar. Delierd se encarga de establecer la conexión de red y eniar las coincidencias a traés de la red al sericio de transporte de Tealeaf. Opcionalmente, puede comunicarse de con el sericio de transporte de Tealeaf utilizando una conexión SSL para proporcionar un canal seguro. Failoerd Este proceso opcional está presente si la migración tras error está habilitada y en ejecución en una instancia de la IBM Tealeaf CX Passie Capture Application. Este proceso enía señales de pulso a los procesos failoerd en otras instancias de PCA en el entorno. Este proceso se ejecuta independientemente de los otros procesos de PCA. Consulte Consola Web de PCA - Pestaña de Migración tras error en la página 168. Memcached El proceso Memcached proporciona un sistema de almacenamiento en antememoria en memoria global a CX PCA. Memcached se usa principalmente para almacenar información de sesión de SSL para su posterior acceso a traés de todas las 8 IBM Tealeaf CX Passie Capture Application: Manual de PCA

19 Varias instancias instancias Reassd en el descifrado de SSL de procesamiento (sesiones de SSL reanudadas). Este módulo de proceso sólo está presente si está habilitada la modalidad TBL. Para obtener más información, consulte Visión general del equilibrio de carga transparente de PCA en la página 10. En las modalidades TLB y no TLB, CX PCA puede configurarse para iniciar arias instancias de procesos listend y reassd para utilizar arios núcleos de CPU para manejar cargas grandes de tráfico de captura. Las instancias se pueden configurar para capturar distintos puertos y direcciones de TCP/IP para poder distribuir la carga de tráfico entre las instancias de captura. Las instancias pueden compartir NIC para la captura de paquetes o pueden capturar paquetes utilizando diersas NIC disponibles en el seridor de IBM Tealeaf CX Passie Capture Application. CX PCA también puede crear arias instancias de proceso interconectado para distribuir sus requisitos de carga de proceso. En modalidad TLB, se utiliza una única instancia de listend para alimentar arios procesos reassd a traés del proceso routerd. Se proporcionan arias instancias a traés de los procesos reassd donde se necesita un trabajo eficaz y se elimina la carga de trabajo manual de segmentar y distribuir la carga de tráfico de captura. Para la integración con seridores web con equilibrio de carga que utilizan un único IP irtual (VIP), consulte Visión general del equilibrio de carga transparente de PCA en la página 10. Procesos de interconexión de arias instancias Nota: Se da soporte a arias instancias del proceso interconectado en la compilación 3403 y posteriores de PCA. El proceso interconectado ejecuta arias operaciones intensias de la CPU, como actiidades de bloqueo de priacidad, que pueden proocar cuellos de botella de rendimiento en configuraciones de una sola hebra. Según sea necesario, puede crear arias instancias del proceso interconectado para distribuir la carga de proceso para todas las instancias de PCA en los recursos de CPU disponibles. Por ejemplo, suponga que una única instancia de PCA está generando 500 páginas istas/segundo y se ha configurado para el proceso de priacidad de interconexión intensio, que limita su rendimiento a 200 páginas istas/segundo. La adición de dos instancias de interconexión más (para un total de tres interconexiones) habilita el manejo del rendimiento general de páginas istas. Uno o más procesos de reassd (instancias de arias PCA) pueden incorporar sus coincidencias de HTTP resultantes en una única cola de memoria compartida (SHM), que gestiona la distribución a las instancias disponibles de los procesos pipelined por turnos. En un ejemplo de instancias de arias PCA, suponga que ha creado cuatro instancias de PCA, que están generando 1000 páginas istas/segundo. Si una única interconexión puede procesar 400 páginas istas/segundo en el entorno, se pueden añadir dos interconexiones más para gestionar el proceso de todo el olumen. Capítulo 1. Descripción general de la captura pasia 9

20 La migración tras error maestra y esclaa de la PCA también da soporte a interconexiones de arias instancias. Consulte Consola Web de PCA - Pestaña de Migración tras error en la página 168. Para obtener más información sobre la configuración de arias instancias del proceso interconectado, consulte Valores de la interconexión en la página 110. Correlaciones de interconexión de arias instancias Cuando se despliegan arias instancias de la interconexión, los procesos interconectados adicionales se integran con la interconexión principal de la siguiente forma: pipe queue queue2 pipe listend ---> reassd >+->-+> pipelined >-+--> tcld <--> delierd listend ---> reassd >+ +> pipelined >-+ Visión general del equilibrio de carga transparente de PCA La PCA puede configurarse para el equilibrio de carga transparente (TLB) que proporciona la posibilidad de segmentar y distribuir de forma transparente el tráfico de captura de red. Las instalaciones nueas de PCA ienen con TLB habilitado de forma predeterminada. Antes de esta característica (modalidad no TLB), la segmentación del tráfico de captura requería la asignación de bloques de tráfico a instancias específicas de PCA para el procesamiento equilibrado de carga. Al configurar PCA para el equilibrio de carga transparente, puede: Reducir los problemas de sericio de atención al cliente proocados por cargas de tráfico irregulares o cambios en el perfil de tráfico a traés de arias instancias de PCA donde un aumento repentino del tráfico de red puede sobrecargar una instancia de PCA. Si una instancia de PCA está sobrecargada, puede proocar el reinicio de la instancia y la pérdida del tráfico capturado. Mediante la habilitación del equilibrio de carga transparente, el tráfico de red se distribuye a las instancias de PCA utilizando un método rotatio de distribución. La distribución del tráfico de red a las instancias de PCA eita su sobrecarga. Simplifique la instalación y configuración de PCA. Mediante la habilitación del equilibrio de carga transparente, no es necesario proporcionar configuración extra para cada instancia adicional de PCA. Puede especificar el número de instancias que desea utilizar y Tealeaf distribuye automáticamente el tráfico de red a las instancias. Capture el tráfico de un IP irtual único (VIP) para los seridores web que estén configurados para trabajar bajo un único VIP. Varios pares Listend Routerd Puede habilitar arias instancias de listend utilizando arios pares Listend-Routerd (MLRP). MLRP proporciona la posibilidad de utilizar arias NIC para la captura de datos en un entorno de equilibrio de carga. Puede configurar CX PCA para utilizar MLRP con arias NIC con el fin de mejorar el rendimiento de la captura de paquetes y aumentar la escalabilidad para satisfacer las demandas del tráfico de red. Para utilizar arias NIC, MLRP crea arias instancias del proceso routerd. Cada proceso routerd necesita un núcleo de CPU para funcionar. Cada proceso routerd dirige actiamente el flujo de tráfico de red de entrada desde un proceso listend hasta los procesos reassd. Cada proceso listend está emparejado con un 10 IBM Tealeaf CX Passie Capture Application: Manual de PCA

21 Programa de mantenimiento Consola web Software de terceros Mandatos de este manual único proceso routerd y puede procesar 1 gigabit por segundo de tráfico. La posibilidad de direccionar el tráfico de red a arios procesos reassd elimina la necesidad de segmentar manualmente el tráfico capturado y distribuirlo para eitar colas. El equilibrio del tráfico de red a arios procesadores reassd permite a CX PCA utilizar arias NIC para recibir y procesar grandes cantidades de tráfico de red. Para obtener información sobre la configuración de MLRP, consulte Configuración de arios pares Listend Routerd en la página 195. El software de captura pasia incluye un programa de mantenimiento que se ejecuta como el usuario root a traés del sericio cron de la estación de trabajo. El programa de mantenimiento realiza arias tareas, incluidas la comprobación de estado de los procesos de captura pasia, los registros, las estadísticas, el enío de estadísticas de diagnóstico a otra estación de trabajo y la gestión de arios archios de registro creados por los programas de software de captura pasia. La consola web está disponible a traés de un seridor web interno incluido con el software de captura pasia. Proporciona una interfaz basada en naegador para la configuración y gestión de la captura pasia. El seridor web también proporciona un URL para utilizar mediante el programa de utilidad PortalStatus. El programa de utilidad PortalStatus recupera el contenido del URL para superisar la salud y el estado del seridor de IBM Tealeaf CX Passie Capture Application. La consola web y su seridor web son opcionales y pueden inhabilitarse. Consulte Naegadores soportados para la consola web de PCA en la página 64. Los paquetes de instalación del software de la captura pasia incluyen los siguientes paquetes de terceros: Apache HTTPD Expat 1.2 LibNet LibPCAP OpenSSL 1.0.0d PHP TCL 8.4.x Tcpdump Tcpslice El software de Tealeaf utiliza directamente algunos de estos paquetes y algunos se proporcionan como herramientas para la gestión del sistema. Los mandatos de Linux en el manual pueden formatearse con fines de isualización seguidos de métodos aceptados. Por ejemplo, el siguiente es un mandato que se especifica en la pantalla: # tcpdump -Xnr tst1.dmp more Capítulo 1. Descripción general de la captura pasia 11

22 Para fines de isualización, el mandato se puede isualizar en el manual de la siguiente manera: # tcpdump -Xnr \ tst1.dmp more Anote la barra inclinada inertida, que se utiliza como el indicador de continuación de línea. Los mandatos que se isualizarán de nueo en la pantalla pueden formatearse de la siguiente forma: # tcpdump -Xnr \ > tst1.dmp more Anote el símbolo de intercalación (>) al principio de la segunda línea para indicar continuación. Nota: Tenga cuidado al copiar y pegar mandatos de Linux del manual. Algunos mandatos pueden requerir modificación. Requisitos de tráfico de captura de red de Tealeaf PCA Requisitos básicos de tráfico Esta sección proporciona una descripción general de los requisitos de Tealeaf para la duplicación del tráfico de red y su reenío a la PCA para la captura. Los dispositios de red, como por ejemplo, puertos de distribución de conmutadores, conexiones de red y equilibradores de carga son solo algunos de los puntos de captura de tráfico de red que pueden proporcionar una copia de tráfico de red en directo a la IBM Tealeaf CX Passie Capture Application. Normalmente, el tráfico duplicado consta del tráfico de seridor web del sitio web del cliente. El tráfico de red duplicado se considera de naturaleza pasia, ya que los NIC de captura de la PCA no interactúan con el tráfico de red en directo. Nota: La IBM Tealeaf CX Passie Capture Application da soporte a la captura de tráfico SSL de 128 bits. No se da soporte a los métodos de cifrado utilizando unos pocos números de bits de cifrado. Para un funcionamiento correcto, la PCA requiere que el tráfico de red duplicado sea de alta integridad y calidad. Las pérdidas de paquetes TCP de red críticos pueden impedir que la PCA reensamble el tráfico TCP en coincidencias de HTTP. Los paquetes TCP perdidos pueden generar sesiones de Tealeaf con páginas faltantes, páginas parciales o ambas. En el peor de los casos, toda la sesión puede ser inutilizable. Confirme los requisitos básicos siguientes con el administrador de red: 1. Corriente de tráfico: la PCA requiere una corriente de tráfico bidireccional o dos corrientes de tráfico unidireccionales que contengan todo el tráfico de solicitudes y respuestas HTTP entre la aplicación web y los naegadores del isitante que están interactuando con él. 2. Sin errores o paquetes descartados: sin errores, paquetes descartados o paquetes de desbordamiento a niel de red y tarjeta de interfaz de red del sistema operatio Un mandato ifconfig ethx en la captura de NIC debe mostrar un número constante de paquetes descartados o errores. 12 IBM Tealeaf CX Passie Capture Application: Manual de PCA

23 Si el número aumenta a un ritmo alto, puede haber problemas con la fidelidad del tráfico eniado a la PCA. Puede haber un dimensionamiento inadecuado del hardware de la PCA para el olumen de tráfico o ambos. 3. IP reales del isitante: el punto de captura puede er las IP reales del isitante o direcciones de host del IP del isitante. El acceso a las direcciones IP reales de los isitantes es un recurso útil a efectos de resolución de problemas. Para los clientes que utilizan equilibradores de carga, este requisito no puede ser posible. 4. Tráfico filtrado: el tráfico distribuido se filtra hasta el tráfico esencial solamente. Tealeaf recomienda filtrar tanto tráfico innecesario como sea posible a niel de red antes de que se entregue a la PCA. Este filtrado descarga los recursos de proceso que la PCA debe utilizar para filtrar tráfico. 5. Problemas de conexiones persistentes TCP: Para capturar tráfico, la PCA debe er el inicio de todas las conexiones TCP. Consulte Conexiones TCP en la página 14. Cifrado Diffie-Hellman Diffie-Hellman es un tipo de cifra de cifrado SSL. Está diseñado de forma que los terceros, que son sistemas distintos de los de dos partes en los dos puntos finales de una conersación, no pueden descifrar el tráfico de comunicaciones. Una sesión de usuario que se ha establecido con un seridor web utilizando este cifrado no se puede capturar mediante la IBM Tealeaf CX Passie Capture Application. Nota: Tealeaf no admite el uso del protocolo criptográfico Diffie-Hellman y recomienda la configuración de los seridores web para no utilizarlo. Consulte Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del seridor web? en la página 281. Extensión de SessionTicket de TLS Esta extensión de protocolo SSL la utilizan algunos seridores web para transmitir tráfico cifrado a los naegadores que la soportan. En los módulos OpenSSL de los seridores web Apache más recientes y probablemente otros seridores web, la nuea extensión de protocolo SSL TLS (RFC-5077) para la reanudación de sesión sin estado, que se conoce como la extensión de SessionTicket, cifra la información de estado SSL, que se utiliza únicamente si el naegador del cliente y el seridor web cumplen con el estándar. Nota: La IBM Tealeaf CX Passie Capture Application da soporte a la extensión de Session Ticket de SSL en compilaciones recientes. Si habilita esta extensión en el seridor web, erifique que ha instalado o actualizado a la compilación TLS1.x in Build 3327 o posterior. Para obtener más información sobre la descarga de IBM Tealeaf, consulte IBM Passport Adantage Online. Consulte Faltan algunas coincidencias SSL de las sesiones del naegador Firefox en la página 282. Capítulo 1. Descripción general de la captura pasia 13

24 Conexiones TCP Consulte con el equipo de TI para er si las conexiones persistentes TCP están habilitadas en la infraestructura de TI. Las conexiones persistentes TCP indiiduales pueden ser utilizadas por arios isitantes de la aplicación web. También se puede desplegar mediante un equilibrador de carga como un dispositio de red F5, un proxy frontal como por ejemplo, un seridor Akamai o el propio seridor web. La IBM Tealeaf CX Passie Capture Application requiere superisar el inicio de todas las conexiones TCP. Si las conexiones persistentes TCP están habilitadas, la PCA puede reensamblar coincidencias de conexiones en curso. Para las sesiones SSL, la agrupación de transacciones SSL se considera como una optimización. Sin embargo, la agrupación de transacciones SSL en un set de conexiones persistentes TCP puede causar problemas, que impiden que estas sesiones se descifren. Si una nuea sesión SSL no parece permitir que la PCA almacene en la memoria caché la información de ID de sesión SSL, las sesiones SSL posteriores que uelan a utilizar el ID de sesión no se pueden descifrar. En un entorno de este tipo, las conexiones pueden persistir hasta 24 horas, lo que introduce una latencia en la captura de las sesiones cuando la PCA se instala, actualiza o reinicia. Pueden haber posibles soluciones temporales o alores de configuración de compromiso en los dispositios de red de origen que pueden mitigar el periodo de latencia. Para obtener más información, póngase en contacto con el equipo de TI. Datos duplicados Cada instancia de IBM Tealeaf CX Passie Capture Application debe incorporar datos que sean exclusios dentro de Tealeaf. Nota: Los datos duplicados no se deben pasar intencionalmente a Tealeaf. Aunque la PCA está diseñada para filtrar datos duplicados, los paquetes duplicados innecesarios en un entorno de alto olumen pueden dificultar el proceso. Tealeaf da soporte a la migración tras error pasia en arias instancias de la IBM Tealeaf CX Passie Capture Application. Consulte Consola Web de PCA - Pestaña de Migración tras error en la página 168. Orígenes de los problemas de calidad de tráfico de red Puede obtener información acerca de los problemas de calidad de tráfico de red en esta sección. Paquetes TCP de red descartados Los paquetes TCP de red se pueden descartar en cualquiera de las condiciones siguientes. Se pueden producir situaciones menos comunes, adicionales. Puerto de distribución con exceso de solicitudes Los paquetes de red descartados puede deberse a un puerto de distribución de conmutadores de red con exceso de solicitudes. En esta configuración, una o más corrientes de tráfico de red seleccionadas se configuran para compartir un único puerto cuando el total de todos los tráficos seleccionados excede el ancho de banda del puerto. Por ejemplo, tres corrientes de tráfico de 500 megabits/s con ancho de banda agregado de 1.5 gigabits/segundo se duplica en un puerto de distribución 14 IBM Tealeaf CX Passie Capture Application: Manual de PCA

25 de conmutadores que pueden gestionar solo 1.0 gigabits/segundo. Durante los periodos de mayor tráfico, este puerto de distribución no puede gestionar la carga y los paquetes se descartan. Recursos de CPU inadecuados en el conmutador El puerto de distribución puede depender del CPU del conmutador para que los ciclos disponibles añadan y/o filtren el tráfico necesario para la duplicación. Los conmutadores contemporáneos normalmente asignan ciclos de CPU disponibles para la duplicación de puerto de distribución donde la prioridad de la CPU es gestionar operaciones de conmutación. Si la CPU está ocupada con operaciones de conmutación, no puede haber suficientes ciclos para gestionar la duplicación, en cuyo caso las operaciones de puerto de distribución "mueren de hambre" y los paquetes de red se descartan en el tráfico duplicado. Nota: El ancho de banda del tráfico duplicado no puede estar cerca de los límites prácticos del puerto de distribución. La cura de utilización de conmutador de red se uele un factor importante para proporcionar tráfico duplicado de alta integridad. Otros dispositios de red En una infraestructura de red más compleja, se pueden utilizar más dispositios de red con un origen de tráfico de red duplicado, como por ejemplo, agregadores de tráfico de red y reproductores de puertos de red. Estos tipos de dispositios pueden proocar pérdida de paquetes de red, especialmente si algún dispositio actio está alterando el tráfico de red como parte de su proceso. Tráfico unidireccional Un simple error de configuración puede producir que la PCA reciba tráfico de red para una sola dirección. En estas instancias, las solicitudes o respuestas HTTP se reenían a la PCA, pero no ambas. Para que la PCA reensamble correctamente las coincidencias de HTTP, se debe proporcionar el tráfico TCP para ambas direcciones. En la mayoría de los casos, esta situación es relatiamente fácil de identificar y generalmente se debe a un error de configuración del dispositio de red de origen. Medición de paquetes descartados Lamentablemente, pocas medidas del conmutador de red pueden indicar cuándo un conmutador ha excedido sus almacenamientos intermedios internos, generando paquetes de red descartados. Las medidas indirectas como el ancho de banda de puerto y la utilización de CPU pueden indicar un posible problema. Estas medidas muestrean el estado del conmutador de red en algún interalo de tiempo predeterminado. Sin embargo, si se produce una condición óptima entre periodos de muestreo, no habría ninguna indicación disponible en absoluto. La PCA proporciona arias medidas para ayudar a identificar las condiciones de los paquetes de red descartados. Estas medidas son solo puntos de datos para ayudarle a ealuar las causas probables de los paquetes descartados. El mejor indicador es ealuar las sesiones de Tealeaf capturadas en busca de páginas faltantes y/o páginas parciales. La alidación estática de sesiones de Tealeaf de prueba puede proporcionar únicamente otro punto de datos en el Capítulo 1. Descripción general de la captura pasia 15

26 análisis del la causa de las sesiones de páginas faltantes. El rastreo en directo en tiempo real de sesiones de Tealeaf con eentos compuestos para desencadenar páginas faltantes puede ayudar a determinar si una solución resuele el problema. Otras herramientas de diagnóstico y métodos pueden ayudar a resoler el problema. Consulte "Resolución de problemas: captura" en la Guía de resolución de problemas de IBM Tealeaf. 16 IBM Tealeaf CX Passie Capture Application: Manual de PCA

27 Capítulo 2. Instalación Siga las instrucciones de instalación para instalar el software de Captura pasia de Tealeaf en Red Hat Enterprise Linux (RHEL). Las arquitecturas de despliegue que se utilizan en Capítulo 1, Descripción general de la captura pasia, en la página 1 representan los entornos de IBM Tealeaf en las instalaciones o basados en nube comunes que están soportados. Nota: Si a a actualizar desde una ersión anterior de CX PCA, consulte Actualización del software de CX PCA en la página 44. Para empezar a instalar el software de CX PCA en el entorno de IBM Tealeaf: 1. Configure e instale el hardware y el sistema operatio para el seridor de CX PCA (consulte Capítulo 10, Configuración del Hardware e instalación del sistema operatio, en la página 243). 2. Realice la comprobación preia a la instalación (consulte Lista de comprobación preia a la instalación ). 3. Instale el software CX PCA en el seridor de CX PCA indicado (consulte Instalación de paquete en la página 26). 4. Configure el seridor de CX PCA (consulte Capítulo 4, Configuración de CX PCA, en la página 51). 5. Si el entorno de IBM Tealeaf está basado en nube, despliegue los reeniadores de paquetes del entorno de CX PCA (consulte Instalación del reeniador de paquetes en la página 28). 6. Realice las tareas posteriores a la instalación (consulte Lista de comprobación posterior a la instalación en la página 39). Lista de comprobación preia a la instalación Deben cumplirse los requisitos siguientes antes de instalar IBM Tealeaf CX Passie Capture Application y el Packet Forwarder. Se deben capturar las direcciones IP6. El proceso de las direcciones IP6 en toda la solución de Tealeaf está disponible solo para el release 8.4 y posteriores. Los seridors Apache manejan tráfico de compresión de SSL desde y hacia los naegadores de Chrome. Para el soporte HTTP_X_FORWARDING, debe utilizar PCA 3502 o posterior. Para er los requisitos adicionales, consulte: Cambios en el seridor PCA (área de control de páginas) en la página 24 Requisitos de hardware en la página 18 Recomendaciones de partición del disco duro en la página 23 Varias instancias de PCA en la página 23 Requisitos de tráfico de red en la página 18 Requisitos del sistema operatio en la página 19 Tarjetas aceleradoras admitidas en la página 19 Copyright IBM Corp. 1999,

28 Requisitos de tráfico de red Antes de comenzar, debe reisar los requisitos para el tráfico de red que PCA espera recibir. Esta información se debe compartir con el equipo de infraestructura de TI. Nota: Tealeaf no admite el uso del protocolo criptográfico Diffie-Hellman y recomienda la configuración de los seridores web para no utilizarlo. Nota: El IBM Tealeaf CX Passie Capture Application soporta la extensión de tíquet de sesión de SSL. Si habilita esta extensión en el seridor web, actualice a una de las compilaciones de soporte: TLS1.1 en la compilación 3611 o posterior TLS1.2 en la compilación 3611 o posterior Para obtener más información sobre la descarga de IBM Tealeaf, consulte IBM Passport Adantage Online. Nota: El IBM Tealeaf CX Passie Capture Application espera er el inicio de todas las conexiones de TCP. Si las conexiones persistentes de TCP son utilizadas por cualquier seridor que alimente con datos a PCA, entonces se puede introducir la latencia en la captura de sesiones, y los datos se pueden perder. Consulte Requisitos de tráfico de captura de red de Tealeaf PCA en la página 12. Consulte Requisitos de tráfico de captura de red de Tealeaf PCA en la página 12. Requisitos de hardware A continuación se muestran los requisitos de hardware para IBM Tealeaf CX Passie Capture Application. Requisitos recomendados Nota: Las siguientes recomendaciones se aplican a PCA Build 3403 y posterior. Tealeaf recomienda el siguiente hardware para la instalación de IBM Tealeaf CX Passie Capture Application: Procesador dual, núcleo cuádruple: Procesador Xeon de núcleo cuádruple de Intel a 2.8 GHz o superior para un total de ocho núcleos como mínimo 16 GB de RAM o superior 3 NIC, 1 gigabit por cada uno unidad de disco duro de SAS o SCSI de 100 GB o superior tiempo de acceso de 15 ms elocidad de unidad de 7200 rpm El siguiente hardware se recomienda para la instalación de software general y la recuperación de máquina: unidad de CD-ROM unidad de disquetes de 1.44 MB segunda unidad para la captura y almacenamiento del tráfico de red en los archios: 200 GB GB 18 IBM Tealeaf CX Passie Capture Application: Manual de PCA

29 Requisitos mínimos El software de Captura pasia de Tealeaf requiere del siguiente hardware mínimo: Nota: Estos son los requisitos mínimos para el funcionamiento del software de Captura pasia. No pueden soportar con precisión el olumen de datos y los requisitos de proceso para el entorno. Para obtener más información acerca del dimensionamiento para el entorno, póngase en contacto con los Sericios profesionales de Tealeaf. Procesador dual, doble núcleo: Procesador Xeon de doble núcleo de Intel a 2.8 GHz o superior para un total de cuatro núcleos como mínimo 8 GB de RAM o superior 3 NIC, 1 gigabit por cada uno disco duro de SAS o SCSI de 100 GB o superior tiempo de acceso de 15 ms elocidad de unidad de 7200 rpm Tarjetas aceleradoras admitidas Consulte Apéndice B, Apéndice - Tarjetas aceleradoras del hardware soportado, en la página 257. Integración con módulos de seguridad de hardware La Tealeaf PCA puede estar integrándose con claes priadas retenidas en los módulos de seguridad del hardware. Consulte Apéndice D, Apéndice - Integración de claes de SSL de Tealeaf con HSM, en la página 261. Requisitos del sistema operatio Red Hat Enterprise Linux o SUSE Linux Enterprise Serer debe estar instalado antes de empezar a instalar IBM Tealeaf CX Passie Capture Application. Para obtener más información, consulte Capítulo 10, Configuración del Hardware e instalación del sistema operatio, en la página 243. Distribuciones de sistema operatio admitidas para compilaciones de CX PCA Nota: Si el seridor de la CX PCA está ejecutando una compilación anterior a la compilación 3502, se recomienda actualizar a la compilación 3502 o posterior. Antes de actualizar a la compilación 3502 o posterior de CX PCA, debe actualizar el sistema operatio en el seridor de la CX PCA a una distribución de Linux que esté soportada por la CX PCA. Las siguientes distribuciones de Red Hat Enterprise Linux y SUSE Linux Enterprise Serer son compatibles con la compilación 3505 y posterior de CX PCA. Red Hat Enterprise Linux (RHEL) ersiones 5.6 y 6.1 SUSE Linux Enterprise Serer (SLES) ersión 11 Nota: En función del tipo de sistema operatio, es posible que se necesite más instalación. Reise todos los siguientes requisitos. Capítulo 2. Instalación 19

30 istribuciones de sistema operatio admitidas para Packet Forwarder El requisito mínimo de sistema operatio para instalar y ejecutar el software de Packet Forwarder es Red Hat Enterprise Linux (RHEL) 6.4. El requisito de sistema operatio se aplica a todas las infraestructuras de despliegue admitidas para el Packet Forwarder. Nota: En función del tipo de sistema operatio, es posible que se necesite más instalación. Reise todos los siguientes requisitos. Inhabilitar SELinux Antes de comenzar, se debe inhabilitar SELinux a traés del sistema operatio para todas las ersiones de Red Hat Linux. Consulte Capítulo 10, Configuración del Hardware e instalación del sistema operatio, en la página 243. Inhabilitar iptables En el seridor Linux que aloja la IBM Tealeaf CX Passie Capture Application, inhabilite el uso de iptables. Para obtener más información, consulte Capítulo 10, Configuración del Hardware e instalación del sistema operatio, en la página 243. Hyperthreading Nota: Si CX PCA está alojada en un seridor que da soporte a hyperthreading, no lo inhabilite. Está habilitado en la mayoría de los seridores que lo soportan y se debe habilitar para IBM Tealeaf CX Passie Capture Application. Si utiliza arias instancias de CX PCA, no considere los procesadores irtuales con hyperthreading como núcleos de CPU disponibles. Para calcular el número máximo de instancias de CX PCA, solo considere los núcleos reales de CPU. Consulte Varias instancias de PCA en la página 23. SO multinúcleo de 32 bits Para un sistema multinúcleo con un sistema operatio de 32 bits, el proceso de instalación detecta de forma automática los procesadores adicionales e instala un kernel SMP para habilitar el soporte multinúcleo. Se incluye el soporte de la extensión de dirección física (PAE) como parte del kernel SMP y da soporte hasta a 16 GB de RAM en un sistema operatio de 32 bits. SO multinúcleo de 64 bits En un sistema multinúcleo con un sistema operatio de 64 bits, el proceso de instalación no requiere de kernels adicionales. Nota: La ersión de 32 bits de las bibliotecas necesarias se debe instalar del disco de instalación de la ersión de 64 bits de Linux. Consulte Paquetes necesarios. Paquetes necesarios El RPM de software de Captura pasia de Tealeaf requiere los siguientes paquetes, que se incluyen con una instalación mínima de RHEL y SLES. Como parte de una instalación de sistema operatio de 32 bits, estos paquetes ya deben estar instalados. 20 IBM Tealeaf CX Passie Capture Application: Manual de PCA

31 Los debe instalar manualmente para las instalaciones de 64 bits. Mientras se instalan automáticamente las ersiones de 64 bits de estas bibliotecas, PCA requiere las ersiones de 32 bits y deben estar disponibles en el soporte de instalación. Nota: Se necesita una instalación mínima de Red Hat Enterprise Linux para la instalación de Tealeaf. Si se necesita más configuración o software debido a políticas locales relatias a los cortafuegos o software de superisión, esos componentes se deben instalar y configurar. Esto se llea a cabo luego de que se completa la instalación mínima de Tealeaf y de que la Captura pasia esté actia y en ejecución. Red hat Enterprise Linux Serer release 5.6 Paquetes necesarios: bash coreutils el5 expat gawk el5 glibc libgcc el5 libgdbm libicudata.so.38 Proporcionado con el rpm de Tealeaf libicuuc.so.38 Proporcionado con el rpm de Tealeaf libstdc el5 libxml perl zlib Red Hat Enterprise Linux Serer release 6.1 Paquetes necesarios: bash el6.i686 coreutils el6.i686 gawk el6.i686 glibc el6.i686 libgcc el6.i686 libstdc el6.i686 libxml el6.i686 libicudata.so.38 Proporcionado con el rpm de Tealeaf libicuuc.so.38 Proporcionado con el rpm de Tealeaf openssl el6.i686 perl el6.i686 zlib el6.i686 Capítulo 2. Instalación 21

32 Red Hat Enterprise Linux Serer release 6.5 Paquetes necesarios: glibc el6_5.2.i686.rpm keyutils-libs el6.i686.rpm krb5-libs el6_5.1.i686.rpm libcom_err el6.i686.rpm libgcc el6.i686.rpm libselinux el6_4.1.i686.rpm libstdc el6.i686.rpm libxml el6_5.2.i686.rpm nss-softokn-freebl el6_5.i686.rpm openssl-1.0.1e-16.el6_5.14.i686.rpm zlib el6.i686.rpm SUSE Linux Enterprise Serer 11 Paquetes necesarios: bash coreutils gawk glibc libgcc _ libstdc libxml zlib Instalación de los paquetes necesarios Los paquetes necesarios se deben instalar para que el rpm de tealeaf-pca se instale correctamente. Nota: La instalación se debe ejecutar como raíz. Consulte Capítulo 10, Configuración del Hardware e instalación del sistema operatio, en la página 243. Para isualizar los paquetes necesarios para la máquina específica, ejecute lo siguiente: rpm -q --requires -p tealeaf-pca-xxxx-1.yyyy.zzzz.rpm fgrep - rpmlib \ sort -u while read x; do rpm -q --whatproides ${x}; done sort -u Donde: XXXX es el número de compilación de PCA YYYY es la distribución de Linux ZZZZ es la arquitectura Si no se pueden encontrar los RPM en el disco/iso de instalación, póngase en contacto con el administrador de Linux. 22 IBM Tealeaf CX Passie Capture Application: Manual de PCA

33 Nota: La mayoría de las ersiones de Linux incluyen un sistema automatizado de repositorio de RPM que puede buscar y actualizar los RPM que faltan. RHEL utiliza el sistema de repositorio YUM. SUSE utiliza el sistema de repositorio YAST. Tealeaf no proporciona estos RPM. Recomendaciones de partición del disco duro A continuación se proporcionan las particiones recomendadas y los tamaños para una unidad de 100-GB para el software de captura pasia. Punto de montaje Tamaño / 4GB /archio Disco restante (42 GB) /tmp /usr /ar swap 4GB 40 GB 8GB 2GB La partición /archie se utiliza para almacenar archios de paquetes en bruto, si se ha habilitado. De forma predeterminada, la característica está desactiada y se debe utilizar sólo para la resolución de problemas. La partición /usr contiene el software de captura pasia. El software de captura pasia Tealeaf RPM instala archios en /usr/local. Varias instancias de PCA Nota: La siguiente fórmula y las notas asociadas se deben utilizar como directrices al configurar arias instancias de PCA. Utilícelas para estimar los requisitos y esté preparado para realizar ajustes en base a patrones de tráfico y uso de CPU. Puede instalar arias instancias de IBM Tealeaf CX Passie Capture Application. Para calcular el número máximo recomendado de instancias de PCA en el entorno de Tealeaf, utilice la siguiente fórmula: # of PCA instances =# ofphysical cores -# ofpcapipelines - 1. Por ejemplo, si el entorno tiene 16 núcleos físicos, puede esperar tener hasta 15 instancias de PCA para utilizar. Nota: Para cada conducto de PCA adicional dentro de una instancia de aplicación de PCA, debe deducir uno del número máximo de instancias de PCA, tal como se indica en la fórmula anterior. Nota: No considere a los procesadores irtuales con hyperthreading como núcleos disponibles. El proceso de hyperthreading proporciona pocas mejoras en el rendimiento del proceso de PCA altamente intensio para CPU y no se debe considerar en el uso esperado. El límite anterior supone que cada núcleo de PCA está utilizando más del 60% de la capacidad. Si los núcleos están utilizando mucho menos que esta capacidad, puede aumentar el número de instancias de PCA sobre este límite. Capítulo 2. Instalación 23

34 Si utiliza una tarjeta de aceleración, puede aumentar este número máximo, ya que el impacto se descarga en el hardware de la tarjeta. Nota: Cuando se descarga un cifrado en una tarjeta de aceleración de SSL, puede necesitar un mayor número de instancias para capturar y procesar la carga de tráfico de forma eficaz. Consulte Tarjetas aceleradoras admitidas en la página 19. Segmentar tráfico a traés de arias instancias de PCA Puede añadir instancias de PCA a traés de la consola web de PCA. PCA soporta arios métodos de segmentación de tráfico: Para instancias de PCA no TLB: Filtrado de las direcciones IP/Puerto del host del seridor web: el método típico y preferido para la segmentación de tráfico por la instancia de PCA es filtrar a las direcciones IP/Puerto del host del seridor web. Filtrado de la segmentación de puerto de cliente de TCP: La segmentación de puerto de cliente de TCP puede utilizarse cuando el tráfico de captura se presenta como una única dirección IP de web irtual (VIP). Nota: Las instancias de PCA son sensibles al IP/Puerto. No añada instancias de PCA si no dispone de las direcciones IP o puertos para segregar el tráfico de captura. Nota: Si la segregación IP/puerto no está habilitada en el entorno con arios CPU, al menos puede crear dos instancias de PCA. La primera instancia maneja tráfico que no sea de SSL en el puerto 80, mientras que la segunda maneja transacciones de SSL en el puerto 443. Este acuerdo no se aproecha demasiado de las tarjetas de aceleración de SSL. Algunas opciones: Muea el punto de captura luego de cualquier balanceador de carga. Utilice direcciones IP del lado de cliente para segregar el tráfico en arias instancias. Si tiene un número razonable de direcciones IP de NAT, puede agrupar direcciones entrantes en bloques de máscara de red o basadas de forma discreta en direcciones IP para entregar al manejador apropiado. Para instancias de PCA de TLB: Cuando está habilitada la modalidad TLB, ya no se necesita el proceso de determinar cómo segmentar el tráfico de captura de red. El tráfico de captura de red se segmenta automáticamente y se distribuye para crear un entorno de equilibrio de carga transparente. La modalidad TLB no requiere tanta configuración en la interfaz de red como la modalidad no TLB. Para obtener más información acerca de la adición de instancias de PCA, consulte Consola Web de PCA - Pestaña Interfaz en la página 81. Cambios en el seridor PCA (área de control de páginas) Cuando se instala el paquete rpm, el PCA se instala de forma predeterminada en /usr/local/ctccap. Además del directorio de instalación, se realizan otros cambios en el sistema. 24 IBM Tealeaf CX Passie Capture Application: Manual de PCA

35 El paquete crea el directorio de archios de registro en /ar/log/tealeaf de forma predeterminada, si no existe. En ersiones anteriores del PCA, el directorio de registro era /usr/local/ctccap/logs. Al actualizar desde una ersión anterior con un directorio no acío /usr/local/ctccap/logs, el paquete utiliza el directorio existente del directorio más reciente /ar/log/tealeaf. Este comportamiento está pensado para eitar sorprender al usuario dejando archios de registro antiguos en el directorio antiguo (/usr/local/ctccap/logs) y escribir nueos archios de registro para el nueo alor predeterminado (/ar/log/tealeaf). Nota: Esta comprobación para /usr/local/ctccap/logs es independiente del prefijo de instalación que se elige para la instalación para la actualización. Si instala la Captura pasia en /opt/tealeaf, el paquete todaía busca un directorio no acío /usr/local/ctccap/logs. Los archios tealeaf-pca no se usan actualmente y están reserados para su uso en el futuro. Los archios tealeaf-web los utiliza el httpd.conf predeterminado para la consola web. Los archios tealeaf-tts se proporcionan para su coneniencia al configurar conexiones SSL con el sericio de transporte TeaLeaf. El directorio /usr/local/ctccap/etc es normalmente de escritura por el usuario raíz y de captura, ctccap. Instalar archio crontab: /etc/cron.d/tealeaf. El archio crontab planifica la ejecución de "tealeaf cron" como usuario root. Instale los scripts siguientes de inicialización en /etc/init.d: tealeaf-pca tealeaf-startup Cree el archio capture.log file en el directorio de archios de registro, si el archio no existe. El paquete realiza las siguientes acciones que modifican directorios y archios fuera del prefijo de instalación. Crea el grupo ctccap si no existe. Crea el usuario ctccap si no existe. Establece /usr/local/ctccap/bin/listend y /usr/local/ctccap/bin-debug/ listend como raíz de bit de modalidad establecer-id-usuario (que se necesita para que listend abra dispositios eth para que realicen el examen del paquete; se despliega a ctccap de usuario después de que se abren los dispositios eth). Elimina los archios de la sesión PHP en /tmp; se asume que son archios de sesión PHP para la consola web de captura pasia. Actualiza /etc/syslog.conf (si es necesario) para asegurarse de que contiene una entrada para el recurso local0 en el archio capture.log en el directorio de archio de registro. Reinicia syslogd para obligarlo a oler a cargar su configuración y utilizar cambios que se realicen a /etc/syslog.conf. Añade el archio /etc/ld.so.conf.d/tealeaf.conf o modifica /etc/ld.so.conf para apuntar a /usr/local/ctccap/lib para asegurarse de que las bibliotecas compartidas están enlazadas correctamente en tiempo de ejecución. Capítulo 2. Instalación 25

36 Requisitos de PCA para Softlayer El reeniador de paquetes de CX PCA captura el tráfico web que se produce entre un cliente y el seridor web y reenía los datos a una instancia de PCA irtual centralizada. Cada sericio reeniador de paquetes que esté en ejecución en el seridor web se conecta a un sericio de escucha que está en ejecución en el seridor de PCA. Para obtener más información, consulte Visión general del Packet Forwarder en la página 6. Los siguientes requisitos deben cumplirse para utilizar una PCA en un entorno de seridor web basado en nube alojado por Softlayer. Cada reeniador de paquetes necesita los siguientes recursos: Un procesador principal que esté dedicado al sericio. La elocidad del núcleo de CPU requiere una elocidad de procesador mínima de 2,0 GHz. El reeniador de paquetes requiere la ersión de Red Hat Linux (RHEL) 6.4 como mínimo para funcionar. Nota: Si un reeniador de paquetes se despliega en un entorno operatio de 64 bits, debe instalar las ersiones de 32 bits de las bibliotecas yum install glibc.i686 yum e install zlib.i686. En los entornos que utilizan una gran cantidad de ancho de banda, configure los sondeos del reeniador de paquetes para los seridores web y de aplicaciones para generar instancias dinámicas. La generación de instancias dinámicas permiten al reeniador de paquetes utilizar una agrupación de conexiones de socket de red para localizar un escucha de paquetes. Cada instancia de par de reeniador de paquetes y escucha de paquetes requiere un puerto dedicado. El primer par de reeniador de paquetes y escucha de paquetes utiliza el puerto 1888 para comunicarse. Cada par adicional utilizaría un número de puerto incremental. Por ejemplo, si tiene diez pares de reeniadores de paquetes y escuchas de paquetes, debe asegurarse de que los puertos del 1888 al 1898 estén abiertos en los alores del cortafuegos del sistema operatio y los alores de cortafuegos de red. Instalación de paquete Cada sericio de escucha de paquetes necesita los siguientes recursos: Un mínimo de cuatro núcleos de procesador; cada núcleo debe funcionar a una elocidad mínima de 2,0 GHz y debe tener asignado un mínimo de 8 GB de memoria. Versión de Red Hat Linux (RHEL) 6.4 como mínimo para funcionar. Cada instancia de par de reeniador de paquetes y escucha de paquetes requiere un puerto dedicado. El primer par de reeniador de paquetes y escucha de paquetes utiliza el puerto Cada par adicional utilizaría un puerto extra. Por ejemplo, si tiene diez reeniadores de paquetes y escuchas de paquetes, debe asegurarse de que los puertos del 1888 al 1898 estén abiertos en los alores del cortafuegos del sistema operatio y los alores de cortafuegos de red. El nombre de archio del paquete de software de Captura pasia de Tealeaf tiene el siguiente aspecto: tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm Donde: 26 IBM Tealeaf CX Passie Capture Application: Manual de PCA

37 <nnnn> es el número de ersión de compilación; por ejemplo, <rrr> es el número de reisión de RPM. Esto suele ser un número de un solo dígito. <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. Puede acceder al paquete de instalación de IBM TealeafCX Passie Capture Application a traés de IBM Passport Adantage Online. Copia del paquete de instalación desde el disco CD-ROM 1. Inserte el disco CD-ROM en la unidad de CD-ROM. 2. Escriba los mandatos siguientes, reemplazar <nnnn>, <rrr>, y <distro> con los números apropiados para el archio de paquete: mount /mnt/cdrom cp /mnt/cdrom/tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm /root umount /mnt/cdrom 3. Expulse el disco CD-ROM y elimínelo. Instalación del rpm de tealeaf-pca Nota: La instalación se debe ejecutar como raíz. Consulte Capítulo 10, Configuración del Hardware e instalación del sistema operatio, en la página 243. Ejecute el siguiente mandato para instalar el paquete de tealeaf-pca. rpm -ih tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm Donde: <nnnn> es el número de ersión de compilación; por ejemplo, <rrr> es el número de reisión de RPM. Esto suele ser un número de un solo dígito. <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. También puede utilizar Yum Package Manager para instalar el paquete tealeaf-pca ejecutando el siguiente mandato: yum install tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm De forma predeterminada, el software de la CX PCA se instala en /usr/local/ctccap. Puede reubicar el paquete de tealeaf-pca en un directorio distinto al predeterminado /usr/local/ctccap. Puede especificar el directorio alternatio utilizando la opción --prefix del mandato rpm junto con los mandatos de instalación y actualización. A continuación se muestran algunos ejemplos de inocaciones rpm. rpm -i --prefix=/opt/tealeaf tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm rpm -U --prefix=/home/tealeaf tealeaf-pca-<nnnn>-<rrr>.<distro>.i386.rpm Donde: <nnnn> es el número de ersión de compilación; por ejemplo, Capítulo 2. Instalación 27

38 <rrr> es el número de reisión de RPM. Esto suele ser un número de un solo dígito. <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. Cuando no utilice la opción --prefix durante una instalación o actualización, RPM utiliza el directorio de instalación predeterminado que se especifica en el archio del paquete del PCA de Tealeaf, que es /usr/local/ctccap. Una ez que reubica un paquete, debe especificar de forma coherente el directorio alternatio de modo que el paquete compruebe y actualice correctamente las instalaciones anteriores. Ejecutar PCA como raíz por primera ez La primera ez que ejecuta PCA, lo debe ejecutar como usuario root. Instalación del reeniador de paquetes El reeniador de paquetes de Tealeaf se utiliza para reeniar tráfico web que se transmite entre un cliente y un seridor web basado en nube a una PCA basada en nube. El reeniador de paquetes de Tealeaf se empaqueta con el software de Tealeaf PCA y comparte los mismos requisitos que el software de Tealeaf PCA. Instalación basada en nube con un seridor proxy inerso Si la solución web basada en nube incluye un seridor proxy inerso, puede instalar el software de reeniador de paquetes en el seridor proxy inerso y en el seridor de PCA. Después de instalar el software de reeniador de paquetes, debe configurar la instancia de transmisor de reeniador de paquetes en el seridor proxy inerso y las instancias de receptor de reeniador de paquetes en la PCA. Instalación basada en nube con ningún seridor proxy inerso Si la solución web basada en nube no incluye un seridor proxy inerso, puede instalar el software de reeniador de paquetes en cada seridor web en el entorno basado en nube y en el seridor de PCA. Después de instalar el software de reeniador de paquetes, debe configurar las instancias de transmisor de reeniador de paquetes en los seridores web y las instancias de receptor de reeniador de paquetes en la PCA. Cada instancia de transmisor requiere una instancia de receptor dedicado. Ejecute el siguiente mandato para instalar el paquete tealeaf-pktfwdr. Si utiliza Red Hat Package Manager, escriba lo siguiente: rpm -ih tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm rpm -ih --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm Donde: <nnnn> es el número de ersión de compilación; por ejemplo, <rrr> es el número de reisión de RPM. Esto suele ser un número de un solo dígito. <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. Si utiliza Yellowdog Updater Modified (Yum), escriba lo siguiente: yum install tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm yum install --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm Donde: 28 IBM Tealeaf CX Passie Capture Application: Manual de PCA

39 <nnnn> es el número de ersión de compilación; por ejemplo, <rrr> es el número de reisión de RPM. Esto suele ser un número de un solo dígito. <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. De forma predeterminada, el software de PCA se instala en /usr/local/ctccap. Puede reubicar el paquete en un directorio distinto del directorio predeterminado/usr/local/ctccap. Puede especificar el directorio alternatio utilizando la opción --prefix del mandato rpm junto con los mandatos de instalación y actualización. A continuación se muestran algunos ejemplos de inocaciones rpm. rpm -i --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm rpm -U --prefix=/home/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686.rpm Donde: <nnnn> es el número de ersión de compilación; por ejemplo, <rrr> es el número de reisión de RPM. Esto suele ser un número de un solo dígito. <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. Cuando no utiliza la opción --prefix durante una instalación o actualización, RPM utiliza el directorio de instalación predeterminado que se especifica en el archio de paquete, que es /usr/local/ctccap. Si reubica un paquete, debe asegurarse de especificar siempre el directorio alternatio de modo que el paquete pueda comprobar de forma precisa si hay instalaciones anteriores y actualizarlas. Si no se utiliza un directorio de instalación personalizado, se crea la siguiente estructura de directorios. /opt/tealeaf/ /bin/pktfwdr /bin/ctcstats /etc/fwdr-conf.xml /etc/fwdr-conf-defaults.xml /sbin/ Se instalan los siguientes archios principales: Nota: Esta no es una lista completa de cada archio que el instalador copia en el disco. Tabla 1. Componentes de archios instalados Nombre de archio pktfwdr Descripción Daemon del reeniador de paquetes ctcstats fwdr-conf.xml fwdr-conf-defaults.xml Para iniciar una instancia del reeniador de paquetes, ejecute /user/local/ctccap/bin/pktfwdr -t como usuario root. Estadísticas/métricas operatias Archio de configuración del reeniador de paquetes Archio de configuración predeterminado Nota: Si utiliza una ersión de 64 bits de Red Hat Enterprise Linux, ejecute uno de los siguientes mandatos para instalar las bibliotecas de compatibilidad de 32 bits necesarias: Capítulo 2. Instalación 29

40 yum install glibc.i686 yum install zlib.i686 o yum install rpm -ih --prefix=/opt/tealeaf tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686_24thapr14.rpm Una ez que se ha completado la instalación, debe configurar las instancias del reeniador de paquetes. Mandatos del Packet Forwarder Puede ejecutar el programa de utilidad de Packet Forwarder con opciones de mandatos. El Packet Forwarder puede ejecutarse con opciones para iniciar una instancia, detener una instancia y más. Por ejemplo, para iniciar el Packet Forwarder, ejecute /user/local/ctccap/bin/pktfwdr -t donde -t es la opción que inicia al Packet Forwarder que inicie el sericio. Las siguientes opciones están disponibles al ejecutar el Packet Forwarder. Tabla 2. Mandatos del Packet Forwarder Opción Descripción -c <archio de configuración> Altera temporalmente el archio de configuración predeterminado y le ofrece la posibilidad de utilizar un archio de configuración personalizado, donde <archio de configuración> es el nombre del archio de configuración. -D Suprimir SHM de transmisor. -d Opción de depuración. -e Encapsular modalidad de paquetes. -f <regla de filtro> Alterar temporalmente las reglas de filtro que se especifican en el archio de configuración. -h Versión y lista de opciones. -i <interfaz NIC> Alterar temporalmente los alores de NIC que se especifican en el archio de configuración. -I <instancias#> Especifica el número de instancias de transmisor para cargar, donde <instancias> es el número de instancias que desea ejecutar. -k Detener el sericio y sus instancias. -l Informa si el sericio se está ejecutando. -n Opción de depuración para un entorno autónomo. -t Iniciar el sericio. Instalación de PCA en la nube de Softlayer Las instrucciones siguientes se utilizan para desplegar la PCA en un entorno basado en nube Softlayer. También se recomienda erificar que las máquinas irtuales puedan comunicarse entre sí. Póngase en contacto con el administrador de red para asegurarse de que todos los puertos de red necesarios están abiertos para el software de PCA, los reeniadores de paquetes y los escuchas de paquetes. 30 IBM Tealeaf CX Passie Capture Application: Manual de PCA

41 Las instalaciones de sitio web habituales en la nube utilizan un equilibrador de carga irtual para distribuir el tráfico web a un niel de seridor web suministrado dinámicamente que consta de arias instancias de seridor web. Cada instancia de seridor web necesita que se instale un reeniador de paquetes para reeniar el tráfico web capturado a una PCA centralizada que se ejecuta en una máquina irtual para su proceso. El proceso de instalación consiste en instalar los reeniadores de paquetes en las instancias web e instalar la PCA centralizada en la máquina irtual alojada. Requisitos de PCA para una máquina irtual de Softlayer Antes de instalar la PCA en una máquina irtual Softlayer, asegúrese de que la máquina irtual cumple los requisitos de hardware y software para el software de PCA. Los requisitos de hardware y software se identifican en una lista de comprobación preia a la instalación. Para obtener más información, consulte Lista de comprobación preia a la instalación en la página 17. Los elementos siguientes también son necesarios: Softlayer suministra máquinas físicas o seridores irtuales dedicados para proporcionar la máxima flexibilidad de la infraestructura de red. Los seridores pueden configurarse con alores de red dinámica o estática. Puede ser necesario proporcionar direcciones IP internas estáticas para permitir la comunicación interna de instancia a instancia donde las direcciones IP asignadas se mantienen si las instancias se detienen o se cambian de orden. Esto es necesario para oler a establecer las conexiones de red entre la instancia del escucha de PCA y sus instancias de sondeo de reeniador de paquetes. Cada seridor que aloja una instancia de seridor web debe tener un núcleo de CPU dedicado a la ejecución del sericio reeniador de paquetes. La elocidad mínima del núcleo es 2,0 GHz. Si la aplicación de seridor web y las instancias del reeniador de paquetes están instaladas en Linux Red Hat, se necesita RHEL 6.4 como ersión mínima. Se recomienda inhabilitar SELinux. Si está habilitado, configure los alores del cortafuegos para permitir la comunicación en los puertos utilizados por los reeniadores de paquetes y los escuchas de paquetes. Si la instancia de seridor web utiliza una ersión de 64 bits de Linux Red Hat, las ersiones de 32 bits de glibc y zlib deben estar desplegadas durante el proceso de instalación. En el seridor de PCA, cada sericio de escucha de paquetes requiere cuatro núcleos de CPU. Cada núcleo de CPU debe ser de 2.0 GHz o más y tener 8 GB de memoria dedicada. Configure los alores del cortafuegos para permitir la comunicación en el puerto El número de los puertos se incrementa en uno para cada reeniador de paquetes adicional que se despliegue. Si se despliegan cinco reeniadores de paquetes, los puertos del 1888 al 1892 deben estar abiertos. Los puertos los utilizan los reeniadores de paquetes para eniar información a los escuchas de paquetes, que procesan los datos en la PCA. Instalación del reeniador de paquetes Nota: El número máximo de instancias de seridor web debe conocerse antes de realizar el proceso de instalación. El número de instancias de seridor web se Capítulo 2. Instalación 31

42 utiliza en la configuración del reeniador de paquetes para determinar el número máximo de conexiones TCP actias que pueden conectarse al receptor de sockets de PCA de destino. Nota: Debe haber iniciado la sesión como usuario root para realizar todas las instalaciones relacionadas con la PCA. La realización de una instalación utilizando otra cuenta puede impedir que se disponga de los permisos que son necesarios para instalar satisfactoriamente el software. Utilice el rpm de instalación para instalar el reeniador de paquetes en cada instancia web. El directorio de instalación predeterminado es /usr/local/ctccap. Puede utilizar la opción --prefix al ejecutar el mandato de instalación para instalar el software en otro directorio. Para instalar el software, ejecute rpm -ih --prefix=/opt/tealeaf tealeaf-pktfwdr-xxxx-1.rhel6.i686.rpm, donde xxxx es el número de ersión del software de PCA. El reeniador de paquetes requiere bibliotecas de 32 bits adicionales si a a instalarlo en una ersión de 64 bits de Linux. Para instalar todas las bibliotecas dependientes, ejecute el mandato siguiente: yum -y install tealeaf-pktfwdr rhel6.i686.rpm Nota: Si no a a instalar el reeniador de paquetes en el directorio predeterminado, debe instalar las bibliotecas glibc y zlib manualmente con los mandatos siguientes: 1. yum install glibc.i yum install zlib.i686 Utilice la opción --prefix para especificar la ía de acceso de instalación. Los archios siguientes se utilizan para configurar y ejecutar el reeniador de paquetes. Tabla 3. Archios necesarios de configuración y operatios del reeniador de paquetes Nombre de archio /bin/pktfwdr /bin/ctcstats /etc/fwdr-conf.xml /etc/fwdr-conf-defaults.xml Descripción Daemon del reeniador de paquetes Métricas y estadísticas operatias Archio de configuración del reeniador de paquetes Archio de configuración predeterminado Configure el reeniador de paquetes editando el archio de configuración /etc/fwdr-conf.xml. 1. Edite la etiqueta PrimaryInterface para añadir el nombre de dispositio NIC irtual que el reeniador de paquetes utiliza para capturar el tráfico del seridor web. En la mayoría de las instalaciones, el nombre del dispositio NIC es eth0. 2. Localice la etiqueta ListenTos y añada en el archio de configuración los puertos adicionales de los que desea que se capture el tráfico. Los puertos 80 y 443 aparecen listados de forma predeterminada. 32 IBM Tealeaf CX Passie Capture Application: Manual de PCA

43 3. Localice la etiqueta Deliery y edite las etiquetas Address y Port para incluir el número de puerto y la dirección IP de la máquina irtual que aloja el seridor de PCA centralizado. Nota: Cada par de reeniador de paquetes y escucha utiliza un solo puerto. El número de puerto predeterminado es Cuando se utilizan arios pares, la dirección de puerto define el primer número de puerto que se utiliza para definir un bloque de números de puerto. Por ejemplo, si a a capturar tráfico de cinco seridores web, se utilizan cinco pares de reeniador de paquetes y escucha de paquetes para capturar el tráfico. En este escenario, se utilizan los puertos del 1888 al Edite la etiqueta Puerto para definir el número de puerto para la conexión de red. Cada reeniador de paquetes requiere un número de puerto exclusio para identificar una conexión de red exclusia a la instancia de máquina irtual de PCA centralizada. Los números de puerto deben asignarse en orden secuencial. Esto lo requiere el receptor de sockets de PCA cuando se configura para las conexiones de red de los reeniadores de paquetes. Si decide empezar por el número de puerto 1888 para el primer reeniador de paquetes, cuando se definan cinco serían explícitamente los puertos del 1888 al Edite la etiqueta MaxRotatePeers para definir el número máximo de instancias del seridor web que pueden suministrarse dinámicamente. El alor predeterminado es 1. Si a a capturar tráfico de cinco seridores web, establezca este alor en 5. Nota: Si está asignando estáticamente un número fijo de instancias de seridor web con reeniadores de paquetes asociados, MaxRotatePeers permanecerá establecido en el alor predeterminado de 1. Cada reeniador de paquetes tiene que configurarse con un número de puerto exclusio para identificar una conexión de red exclusia con la instancia de máquina irtual de PCA centralizada. Los números de puerto deben asignarse en orden secuencial. Esto lo requiere el receptor de sockets de PCA cuando se configura para las conexiones de red de los reeniadores de paquetes. Si decide empezar con el número de puerto 1888 para el primer reeniador de paquetes, si define cinco deberán ir explícitamente del 1888 al Guarde los cambios en el archio /etc/fwdr-conf.xml. Instalación de una PCA centralizada en una máquina irtual de Softlayer Una PCA centralizada se utiliza para recibir la comunicación procedente de los reeniadores de paquetes que están desplegados en las instancias de seridor web en el entorno en nube. La instalación del software de PCA en una máquina irtual es parecida al proceso de instalación en un seridor físico. Utilice el proceso siguiente para instalar el software de PCA en una máquina irtual. 1. Instale el software de PCA en la máquina irtual. Si desea más información, consulte los apartados Instalación de paquete en la página 26 y Lista de comprobación posterior a la instalación en la página 39. Nota: Ya ha instalado los reeniadores de paquetes en las instancias de seridor web siguiendo las instrucciones de Instalación del reeniador de paquetes en la página 31. Instalación del reeniador de paquetes en la página 28 no se aplica a este procedimiento de instalación. 2. Inicie la sesión en la consola web de PCA. Capítulo 2. Instalación 33

44 3. Vaya a la pestaña Entrega y edite los alores de entrega del entorno. Para obtener más información, consulte Consola Web de PCA - Pestaña de Entrega en la página Vaya a la pestaña Interconexión y edite el alor de Instancias de interconexión para configurar el número de instancias de interconexión para la configuración. Para obtener más información sobre las instancias de interconexión, consulte Instancias de interconexión en la página Seleccione Guardar cambios para guardar los alores de configuración actualizados. Nota: No reinicie el seridor de PCA. 6. Edite el archio de configuración de PCA; para ello, abra /usr/local/ctccap/etc/ctc-conf.xml en un editor de texto. 7. Vaya a los alores de la etiqueta Capture y edite los alores siguientes. Establezca ListenerSocketEnabled en true. Establezca TransparentLoadBalancingEnabled en false. Establezca SslSessionInfoOnMemcachedSerer en false. Nota: Si el seridor de PCA está configurado para descifrar tráfico SSL que procede del reeniador de paquetes, establezca SslSessionInfoOnMemcachedSerer en true. 8. Vaya a los alores de la etiqueta Listener y edite los alores siguientes. Establezca BasePort de modo que coincida con el número de puerto que se define en los alores de ListenTos del archio de configuración de reenío de paquetes. Para acceder al archio de configuración del reeniador de paquetes, abra /etc/fwdr-conf.xml en una instancia de seridor web. Establezca Instances de modo que sea igual al número de reeniadores de paquetes con los que la PCA se conecta. 9. Guarde los cambios en /usr/local/ctccap/etc/ctc-conf.xml. 10. Ejecute tealeaf restart para reiniciar los sericios de PCA. Inicio del seridor de PCA y los reeniadores de paquetes Se recomienda iniciar el seridor de PCA central antes de iniciar los reeniadores de paquetes. Si los reeniadores de paquetes se inician antes de que el seridor de PCA esté en ejecución, pueden experimentar condiciones de tiempo de espera agotado de red y proocar un retraso en el tiempo que se tarda en conectar con el seridor de PCA. Para iniciar el seridor de PCA, ejecute tealeaf start all desde la máquina irtual que aloja el seridor de PCA. Para iniciar una instancia del reeniador de paquetes, ejecute serice pktfwdr start en cada instancia del seridor web. Para detener un reeniador de paquetes, ejecute serice pktfwdr stop en cada instancia del seridor web. Para comprobar el estado operatio de un reeniador de paquetes, ejecute serice pktfwdr status en cada instancia del seridor web. Para er las métricas disponibles de un reeniador de paquetes, ejecute opt/tealeaf/bin/ctcstats -p en cada instancia del seridor web. 34 IBM Tealeaf CX Passie Capture Application: Manual de PCA

45 Para comprobar que un reeniador de paquetes se conecta al seridor de PCA, utilice el programa de utilidad netstat. Si la conexión de puerto está configurada para el puerto 1888, ejecute netstat -an grep La salida deuele un estado de ESTABLISHED si el reeniador de paquetes está conectado al seridor de PCA. Si no se establece una conexión, las reglas de cortafuegos de la red podrían no estar configuradas para permitir la comunicación entre los reeniadores de paquetes y el seridor de PCA. Compruebe los alores de configuración de red para los reeniadores de paquetes y el seridor de PCA; a continuación, asegúrese de que los alores de cortafuegos permiten la comunicación en esos alores de red. Instalación de PCA en la nube de Microsoft Azure Las instrucciones siguientes se utilizan para desplegar la PCA en un entorno basado en nube Microsoft Azure. También se recomienda erificar que las máquinas irtuales puedan comunicarse entre sí. Póngase en contacto con el administrador de red para asegurarse de que todos los puertos de red necesarios están abiertos para el software de PCA, los reeniadores de paquetes y los escuchas de paquetes. Las instalaciones de sitio web habituales en la nube utilizan un equilibrador de carga irtual para distribuir el tráfico web a un niel de seridor web suministrado dinámicamente que consta de arias instancias de seridor web. Cada instancia de seridor web necesita que se instale un reeniador de paquetes para reeniar el tráfico web capturado a una PCA centralizada que se ejecuta en una máquina irtual para su proceso. El proceso de instalación consiste en instalar los reeniadores de paquetes en las instancias web e instalar la PCA centralizada en la máquina irtual alojada. Requisitos de PCA para una máquina irtual de Microsoft Azure Antes de instalar la PCA en una máquina irtual Microsoft Azure, asegúrese de que la máquina irtual cumple los requisitos de hardware y software para el software de PCA. Los requisitos de hardware y software se identifican en una lista de comprobación preia a la instalación. Para obtener más información, consulte Lista de comprobación preia a la instalación en la página 17. Los elementos siguientes también son necesarios: Cada seridor que aloja una instancia de seridor web debe tener un núcleo de CPU dedicado a la ejecución del sericio reeniador de paquetes. La elocidad mínima del núcleo es 2,0 GHz. Si la aplicación de seridor web y las instancias del reeniador de paquetes están instaladas en Linux Red Hat, se necesita RHEL 6.4 como ersión mínima. Se recomienda inhabilitar SELinux. Si está habilitado, configure los alores del cortafuegos para permitir la comunicación en los puertos utilizados por los reeniadores de paquetes y los escuchas de paquetes. Si la instancia de seridor web utiliza una ersión de 64 bits de Linux Red Hat, las ersiones de 32 bits de glibc y zlib deben estar desplegadas durante el proceso de instalación. En el seridor de PCA, cada sericio de escucha de paquetes requiere cuatro núcleos de CPU. Cada núcleo de CPU debe ser de 2.0 GHz o más y tener 8 GB de memoria dedicada. Configure los alores del cortafuegos para permitir la comunicación en el puerto El número de los puertos se incrementa en uno para cada reeniador de Capítulo 2. Instalación 35

46 paquetes adicional que se despliegue. Si se despliegan cinco reeniadores de paquetes, los puertos del 1888 al 1892 deben estar abiertos. Los puertos los utilizan los reeniadores de paquetes para eniar información a los escuchas de paquetes, que procesan los datos en la PCA. Instalación del reeniador de paquetes Nota: El número máximo de instancias de seridor web debe conocerse antes de realizar el proceso de instalación. El número de instancias de seridor web se utiliza en la configuración del reeniador de paquetes para determinar el número máximo de conexiones TCP actias que pueden conectarse al receptor de sockets de PCA de destino. Nota: Debe haber iniciado la sesión como usuario root para realizar todas las instalaciones relacionadas con la PCA. La realización de una instalación utilizando otra cuenta puede impedir que se disponga de los permisos que son necesarios para instalar satisfactoriamente el software. Utilice el rpm de instalación para instalar el reeniador de paquetes en cada instancia web. El directorio de instalación predeterminado es /usr/local/ctccap. Puede utilizar la opción --prefix al ejecutar el mandato de instalación para instalar el software en otro directorio. Para instalar el software, ejecute rpm -ih --prefix=/opt/tealeaf tealeaf-pktfwdr-xxxx-1.suse11.i586.rpm, donde xxxx es el número de ersión del software de PCA. El reeniador de paquetes requiere una biblioteca de 32 bits adicional si a a instalarlo en una ersión de 64 bits de Linux. Para instalar todas las bibliotecas dependientes, ejecute el mandato siguiente: zypper install zlib-32bit Ejecute zypper clean -a para borrar la memoria caché de rpm local. Los archios siguientes se utilizan para configurar y ejecutar el reeniador de paquetes. Tabla 4. Archios necesarios de configuración y operatios del reeniador de paquetes Nombre de archio /bin/pktfwdr /bin/ctcstats /etc/fwdr-conf.xml /etc/fwdr-conf-defaults.xml Descripción Daemon del reeniador de paquetes Métricas y estadísticas operatias Archio de configuración del reeniador de paquetes Archio de configuración predeterminado Configure el reeniador de paquetes editando el archio de configuración /etc/fwdr-conf.xml. 1. Edite la etiqueta PrimaryInterface para añadir el nombre de dispositio NIC irtual que el reeniador de paquetes utiliza para capturar el tráfico del seridor web. En la mayoría de las instalaciones, el nombre del dispositio NIC es eth0. 36 IBM Tealeaf CX Passie Capture Application: Manual de PCA

47 2. Localice la etiqueta ListenTos y añada en el archio de configuración los puertos adicionales de los que desea que se capture el tráfico. Los puertos 80 y 443 aparecen listados de forma predeterminada. 3. Localice la etiqueta Deliery y edite las etiquetas Address y Port para incluir el número de puerto y la dirección IP de la máquina irtual que aloja el seridor de PCA centralizado. Nota: Cada par de reeniador de paquetes y escucha utiliza un solo puerto. El número de puerto predeterminado es Cuando se utilizan arios pares, la dirección de puerto define el primer número de puerto que se utiliza para definir un bloque de números de puerto. Por ejemplo, si a a capturar tráfico de cinco seridores web, se utilizan cinco pares de reeniador de paquetes y escucha de paquetes para capturar el tráfico. En este escenario, se utilizan los puertos del 1888 al Edite la etiqueta Address para definir la dirección IP de alojamiento de PCA. Se trata de la dirección IP de la máquina irtual. 5. Edite la etiqueta Puerto para definir el número de puerto para la conexión de red. Cada reeniador de paquetes requiere un número de puerto exclusio para identificar una conexión de red exclusia a la instancia de máquina irtual de PCA centralizada. Los números de puerto deben asignarse en orden secuencial. Esto lo requiere el receptor de sockets de PCA cuando se configura para las conexiones de red de los reeniadores de paquetes. Si decide empezar por el número de puerto 1888 para el primer reeniador de paquetes, cuando se definan cinco serían explícitamente los puertos del 1888 al Edite la etiqueta MaxRotatePeers para definir el número máximo de instancias del seridor web que pueden suministrarse dinámicamente. El alor predeterminado es 1. Si a a capturar tráfico de cinco seridores web, establezca este alor en 5. Nota: Si está asignando estáticamente un número fijo de instancias de seridor web con reeniadores de paquetes asociados, MaxRotatePeers permanecerá establecido en el alor predeterminado de 1. Cada reeniador de paquetes tiene que configurarse con un número de puerto exclusio para identificar una conexión de red exclusia con la instancia de máquina irtual de PCA centralizada. Los números de puerto deben asignarse en orden secuencial. Esto lo requiere el receptor de sockets de PCA cuando se configura para las conexiones de red de los reeniadores de paquetes. Si decide empezar con el número de puerto 1888 para el primer reeniador de paquetes, si define cinco deberán ir explícitamente del 1888 al Guarde los cambios en el archio /etc/fwdr-conf.xml. Instalación de una PCA centralizada en una máquina irtual de Microsoft Azure Una PCA centralizada se utiliza para recibir la comunicación procedente de los reeniadores de paquetes que están desplegados en las instancias de seridor web en el entorno en nube. La instalación del software de PCA en una máquina irtual es parecida al proceso de instalación en un seridor físico. Utilice el proceso siguiente para instalar el software de PCA en una máquina irtual. 1. Instale el software de PCA en la máquina irtual. Si desea más información, consulte los apartados Instalación de paquete en la página 26 y Lista de comprobación posterior a la instalación en la página 39. En la imagen de Azure natia para Suse 11 SP3 (64 bits), se necesitan las bibliotecas dependientes de 32 bits siguientes: Capítulo 2. Instalación 37

48 libgcc_s1-32bit-4.7.2_ x86_64.rpm libuuid1-32bit x86_64.rpm libxml2-32bit x86_64.rpm libstdc++6-32bit-4.7.2_ x86_64.rpm zlib-32bit x86_64.rpm Para instalar las bibliotecas de 32 bits, ejecute zypper install zlib-32bit Después de extraer las bibliotecas al disco, ejecute zypper clean -a para borrar la memoria caché de rpm local. Nota: Ya ha instalado los reeniadores de paquetes en las instancias de seridor web siguiendo las instrucciones de Instalación del reeniador de paquetes en la página 36. Instalación del reeniador de paquetes en la página 28 no se aplica a este procedimiento de instalación. 2. Inicie la sesión en la consola web de PCA. 3. Vaya a la pestaña Entrega y edite los alores de entrega del entorno. Para obtener más información, consulte Consola Web de PCA - Pestaña de Entrega en la página Vaya a la pestaña Interconexión y edite el alor de Instancias de interconexión para configurar el número de instancias de interconexión para la configuración. Para obtener más información sobre las instancias de interconexión, consulte Instancias de interconexión en la página Seleccione Guardar cambios para guardar los alores de configuración actualizados. Nota: No reinicie el seridor de PCA. 6. Edite el archio de configuración de PCA; para ello, abra /usr/local/ctccap/etc/ctc-conf.xml en un editor de texto. 7. Vaya a los alores de la etiqueta Capture y edite los alores siguientes. Establezca ListenerSocketEnabled en true. Establezca TransparentLoadBalancingEnabled en false. Establezca SslSessionInfoOnMemcachedSerer en false. Nota: Si el seridor de PCA está configurado para descifrar tráfico SSL que procede del reeniador de paquetes, establezca SslSessionInfoOnMemcachedSerer en true. 8. Vaya a los alores de la etiqueta Listener y edite los alores siguientes. Establezca BasePort de modo que coincida con el número de puerto que se define en los alores de ListenTos del archio de configuración de reenío de paquetes. Para acceder al archio de configuración del reeniador de paquetes, abra /etc/fwdr-conf.xml en una instancia de seridor web. Establezca Instances de modo que sea igual al número de reeniadores de paquetes con los que la PCA se conecta. 9. Guarde los cambios en /usr/local/ctccap/etc/ctc-conf.xml. 10. Ejecute tealeaf restart para reiniciar los sericios de PCA. Inicio del seridor de PCA y los reeniadores de paquetes Se recomienda iniciar el seridor de PCA central antes de iniciar los reeniadores de paquetes. Si los reeniadores de paquetes se inician antes de que el seridor de 38 IBM Tealeaf CX Passie Capture Application: Manual de PCA

49 PCA esté en ejecución, pueden experimentar condiciones de tiempo de espera agotado de red y proocar un retraso en el tiempo que se tarda en conectar con el seridor de PCA. Para iniciar el seridor de PCA, ejecute /usr/local/bin/tealeaf start all desde la máquina irtual que aloja el seridor de PCA. Para iniciar una instancia del reeniador de paquetes, ejecute serice pktfwdr start en cada instancia del seridor web. Para detener un reeniador de paquetes, ejecute serice pktfwdr stop en cada instancia del seridor web. Para comprobar el estado operatio de un reeniador de paquetes, ejecute serice pktfwdr status en cada instancia del seridor web. Para er las métricas disponibles de un reeniador de paquetes, ejecute opt/tealeaf/bin/ctcstats -p en cada instancia del seridor web. Para comprobar que un reeniador de paquetes se conecta al seridor de PCA, utilice el programa de utilidad netstat. Si la conexión de puerto está configurada para el puerto 1888, ejecute netstat -an grep La salida deuele un estado de ESTABLISHED si el reeniador de paquetes está conectado al seridor de PCA. Si no se establece una conexión, las reglas de cortafuegos de la red podrían no estar configuradas para permitir la comunicación entre los reeniadores de paquetes y el seridor de PCA. Compruebe los alores de configuración de red para los reeniadores de paquetes y el seridor de PCA; a continuación, asegúrese de que los alores de cortafuegos permiten la comunicación en esos alores de red. Lista de comprobación posterior a la instalación A continuación, se muestra la lista de comprobación posterior a la instalación de PCA. Validar instalación del PCA Después de completar la instalación de Tealeaf, puede alidar la instalación. El mandato siguiente lee una lista de archios con el usuario, grupo y los alores de permiso esperados y compara la lista con lo que se instaló. Si la coincidencia falla, se imprime un mensaje de error con los alores reales y los esperados. tealeaf ps Si la alidación es satisfactoria, la salida que se muestra es parecida a la siguiente: [root@enus ~]# tealeaf ps PID TTY TIME CMD 29939? 00:00:00 captured 29940? 00:00:00 listend 29941? 00:00:00 reassd 29942? 00:00:00 tcld 29943? 00:00:00 delierd 29945? 00:00:00 pipelined 29964? 00:00:00 httpd 29969? 00:00:00 httpd 29970? 00:00:00 httpd 29971? 00:00:00 httpd 29972? 00:00:00 httpd 29973? 00:00:00 httpd Capítulo 2. Instalación 39

50 Generar claes SSL Para un transporte seguro, puede aplicar un certificado firmado o autofirmado para uso del PCA (área de control de páginas). Consulte Generación de un certificado autofirmado en la página 216. Iniciar PCA Después de finalizada la instalación de la PCA rpm, el primer inicio de la PCA debe completarse como el usuario root. La utilización de este usuario permite a la PCA establecer distintas ariables kernel del sistema al utilizar el cmd sysctl, el cual está disponible sólo como root. Nota: El usuario ctccap se crea sin una contraseña asignada a él, por lo que no podrá iniciar sesión de manera predeterminada con esa cuenta. Los riesgos de seguridad son mínimos; el usuario ctccap puede iniciar y poseer los procesos Tealeaf. En función de los requisitos de seguridad de la empresa, puede asignar un contraseña al usuario ctccap desde el usuario root. El cmd sysctl se ejecuta en el script tealeaf principal. Después de iniciar sesión como usuario root, el siguiente mandato inicia la IBM Tealeaf CX Passie Capture Application: tealeaf start Después de que la PCA se inicia por primera ez, las eces siguientes puede ejecutar el script como usuario no root ctccap. Para ejecutar como usuario ctccap: 1. Detenga la PCA, ejecute cmd: tealeaf stop 2. Cambie al usuario ctccap: su ctccap 3. Inicie la PCA como usuario ctccap: tealeaf start Nota: Después de iniciar la PCA como root, también puede reiniciar la máquina PCA para que se ejecute como usuario ctccap. Realizar configuración inicial de PCA Tealeaf proporciona un conjunto de pasos de configuración inicial que se pueden utilizar o modificar para su utilización en la mayoría de los entornos de PCA. Debe ejecutar ahora la configuración inicial de PCA. Consulte Configuración inicial de PCA en la página 55. Cuando haya finalizado, uela a esta página y reise y compare las siguientes tareas. Compruebe alores de conexiones permitidas En el momento de instalación, el PCA (área de control de páginas) establece el máximo de conexiones permitidas para cada instancia PCA. De forma predeterminada, estos alores de establecen de la siguiente manera: Actual máximo de conexiones: 5000 Máximo de conexiones SYN/WAIT: 1000 Nota: Los alores definen el máximo de conexiones PCA permitidas para cada instancia. Si el número real de conexiones supera estos alores, se pueden perder 40 IBM Tealeaf CX Passie Capture Application: Manual de PCA

51 datos. Cualquier análisis de rendimiento PCA que se basa en el estado actual puede ser desiado en función del olumen de los datos capturados. Debe reisar estos alores tan pronto como sea posible. Puede comprobar el estado actual de estos alores en la pestaña estadísticas de la consola web PCA. Para cada instancia PCA, las estadísticas para comparar son: Current Máximo Current connections Current connections max SYN/WAIT connections SYN/WAIT connections max Si alguna de las métricas actuales está cerca del máximo correspondiente, debe considere elear el máximo para todas las instancias PCA afectadas. Asegura que los datos se capturen de manera afectia. Configuración del PCA para la captura de Rich Internet Applications Si su rich internet application (RIA) desplegada está eniando datos para la captura, debe erificar que PCA esté configurado para capturar todos los tipos de datos eniados. Nota: Si el PCA no está configurado para capturar POST y Mimetypes que se enían mediante rich internet application (RIA), esas coincidencias no se capturan y los datos en ellas se pierden para Tealeaf. Verifique que tiene una lista de todos los tipos requeridos que PCA debe capturar para la reproducción y creación de informes de RIA. Incluye tipos personalizados que están desplegados. Captura de JaaScripts De forma predeterminada, el PCA excluye la captura de archios JaaScript. La captura de JaaScript estático por el PCA es raramente necesaria para la reproducción precisa de rich internet applications. En la mayoría de las situaciones, estos archios pueden almacenarse en una base de datos estática o re-referenciada mediante reglas de reproducción. Nota: Si su aplicación web genera JaaScript dinámica, el PCA se debe configurar manualmente para capturar esto archios. Captura de XML De forma predeterminada, el PCA captura los siguientes tipos de contenido sin ninguna configuración adicional. application/xml text/xml Los contenidos de estos tipos sometidos al seridor web se insertan en el almacenamiento intermedio de solicitud en la sección [xml1] para el procesamiento por parte del sistema Tealeaf. Capítulo 2. Instalación 41

52 Tipos de captura RIA típicos Los siguientes tipos de captura debe añadirse a los tipos de captura PCA, en función de la aplicación superisada. Estos tipos se pueden especificar en la lista de tipos de post XML. Consulte Para configurar. application/json application/x-json text/json text/x-json En las secciones siguientes, puede reisar conjuntos de ejemplos de tipos para arios tipos de aplicaciones completas para Internet. Ejemplo RIA: Ajax Tipos de captura predeterminados: application/xml text/xml application/json text/json Los siguientes tipos personalizados pueden estar presentes y se deben configurar: ajax/xml JaaScripts generados dinámicamente Para configurar Si está sometiendo otros tipos de post XML que Tealeaf debe capturar, más configuración es necesaria, dependiendo del número de compilación de su IBM Tealeaf CX Passie Capture Application: Compilación 3326 o posterior: Debe añadir el tipo de post XML a la lista blanca en la pestaña conducto de la consola web PCA. Consulte Valores de la interconexión en la página 110. Compilación 3325 o posterior: Contacto Sericio de software de Captura pasia de Tealeaf Se ha instalado el software de Captura pasia de Tealeaf. Puede utilizar este mandato de sericio para reiniciar, iniciar y detener el software de Captura pasia de Tealeaf. A continuación se muestran los ejemplos. tealeaf restart tealeaf start tealeaf stop Si algunos componentes de Captura pasia no se detienen dentro del tiempo asignado, el mandato tealeaf restart no puede iniciarlos después del intento de detenerlos. En su lugar, utilice el mandato tealeaf stop para confirmar que el software de Captura pasia de Tealeaf se ha finalizado. Utilizando el siguiente mandato para determinar si algún proceso de Tealeaf sigue en ejecución: ps Uctccap 42 IBM Tealeaf CX Passie Capture Application: Manual de PCA

53 Parches de la CX PCA Los parches se publican para mejorar el rendimiento y la fiabilidad del software del CX PCA. Una ez que el seridor de la CX PCA se ha instalado y configurado, puede aplicar todos los parches que pueden estar disponibles para la ersión del software de la CX PCA. Los parches para la CX PCA pueden descargarse de IBM Fix Central en Para localizar los parches de la página de Fix Central: 1. Utilice el naegador web para ir a 2. Localice Product Group y, a continuación, seleccione Enterprise Marketing Management. 3. Localice Select from Enterprise Marketing Management y, a continuación, seleccione Tealeaf Customer Experience. 4. Pulse Continue. 5. En el menú "Identify fixes", seleccione Browse for fixes y pulse Continue para isualizar todos los arreglos de Tealeaf disponibles. Puede utilizar la sección "Filter your content" para filtrar la lista de arreglos disponibles. Asegúrese de descargar el parche correcto para su sistema operatio. Resolución de problemas y sugerencias En esta sección, puede aprender sobre la resolución de problemas en la PCA. Archios principales La presencia de archios core.* en el directorio /usr/local/ctccap es un signo de que la captura falló y grabó un archio principal de olcado. Retrasos de inicio Puede notar retrasos durante el procedimiento de inicio y al ejecutar arios mandatos relacionados a la red si el archio /etc/resol.conf contiene la información incorrecta para la red local. Los retrasos puede tomar la forma de largo intento de inicio de sesión SSH cuando el daemon SSH en la estación de trabajo host de la captura pasia agota el tiempo de espera mientras utiliza información de resolución DNS incorrecta desde el archio /etc/resol.conf. Este archio puede contener información incorrecta si quedó de una configuración IP estática en una red diferente. También puede ser un estigio de cuando la estación de trabajo se cerró mientras se estaba utilizando DHCP, aunque el arrancar con DHCP normalmente crea un archio /etc/resol.conf. Arreglar el archio depende de si la estación de trabajo host esta configurada para fdhcp o información IP estática. DHCP Si el software de captura pasia esta configurado para DHCP, entonces realice los pasos siguientes: 1. Inicie sesión como usuario root. 2. Suprima el archio /etc/resol.conf. 3. Ejecute shutdown now para introducir el modo de usuario único. 4. Utilice el mandato exit para dejar la modalidad de usuario único y permitir al sistema generar un archio /etc/resol.conf nueo. Capítulo 2. Instalación 43

54 IP estática Si el software de Captura pasia está configurado con una dirección IP estática, siga estos pasos: 1. Inicie sesión como usuario root. 2. Suprima el archio /etc/resol.conf. 3. Ejecute tealeaf ipconfig para oler a introducir la información del DNS y salga. 4. El programa genera un nueo archio /etc/resol.conf, el que entra en igor de inmediato. Modo de usuario único Si acaba de reiniciar la máquina host de Captura pasia o la ha encendido y debe introducir un modo de usuario único, entonces realice lo siguiente mientras utiliza el cargador de arranque GRUB: 1. Cuando el menú de arranque GRUB se isualiza, pulse SPACEBAR para impedir cualquier arranque automático. 2. Utilice las teclas de flecha para seleccionar el kernel y la ersión de Red Hat Enterprise Linux que desea arrancar. 3. Pulse la tecla A para añadir opciones de kernel. 4. En la solicitud grub append, añada la palabra single. Pulse SPACEBAR y luego introduzca single. 5. Pulse ENTER para aceptar el nueo alor y arranque. 6. Para obtener más información, consulte el capítulo Recuperación básica del sistema de la guía de administración de sistema de Red Hat Enterprise de Linux. Visualización de registros de capturas La examinación de los registros de captura pasia puede indicar el posible problema. Si la captura no se inicia, capture.log normalmente muestra la razón por la que no se inicia, como por ejemplo una mala sintaxis en una entrada o una entrada inálida en el archio de configuración. Otro registro de resolución de problemas, maintenance_200xxxxx.log, muestra las condiciones defectuosas que están forzando el reinicio/conclusión del software de Captura pasia. Ambos registros pueden isualizarse por la consola web o por un editor de texto Linux en el directorio de registros predeterminado de Captura pasia. Dependiendo de la ersión del software de Captura pasia, pueden residir en /usr/local/ctccap/logs o /ar/log/tealeaf. Actualización del software de CX PCA Puede obtener información acerca de las diferentes consideraciones que es necesario conocer antes de actualizar la ersión. Desinstalación o retrotracción de la CX Passie Capture Application Si fuera necesario, puede completar las siguientes instrucciones para desinstalar el software de la PCA. 44 IBM Tealeaf CX Passie Capture Application: Manual de PCA

55 Desinstalar la CX Passie Capture Application Para desinstalar: Detenga Tealeaf PCA. En la línea de mandatos, escriba: tealeaf stop Desde el indicador de mandatos UNIX, compruebe si hay algún proceso en ejecución. Mientras esté conectado a root, especifique el siguiente mandato: PS Tealeaf Si algún proceso está en ejecución, especifique el siguiente mandato: killall <processname> donde <processname> es el nombre del proceso en ejecución. Haga una copia de seguridad de la carpeta ctccap/etc existente. Esta carpeta contiene los archios de configuración personalizados como ctc-conf.xml, claes PTL almacenadas y más. Para desinstalar el software, ejecute el siguiente mandato: Nota: El siguiente mandato elimina el software de la PCA del seridor Linux. rpm -e tealeaf-pca El software de la PCA se desinstala. Para completar una desinstalación limpia, suprima la carpeta /usr/local/ctccap. Retrotraer la CX Passie Capture Application Para retrotraer a una ersión anterior: 1. Complete los pasos de desinstalación. Nota: Verifique que la carpeta /usr/local/ctccap no exista antes de la instalación. 2. Instale el paquete rpm para la ersión anterior. Consulte Instalación del rpm de tealeaf-pca en la página Restaure la ersión de copia de seguridad de los archios de configuración guardados a la carpeta ctccap/etc. Desinstalar el Packet Forwarder Si es necesario pude completar las siguientes instrucciones para desinstalar el software del Packet Forwarder. Puede utilizar Red Hat Package Manager (RPM) para desinstalar el Packet Forwarder. Para desinstalar el Packet Forwarder, escriba lo siguiente en una línea de mandatos: rpm -e tealeaf-pktfwdr-<nnnn>-<rrr>.<distro>.i686 donde: <nnnn> es el número de ersión de compilación; por ejemplo, <rrr> es el número de reisión de RPM; por ejemplo, 1 <distro> es un identificador para la distribución Linux, como por ejemplo "RHEL6" para Red Hat Enterprise Linux 6 Capítulo 2. Instalación 45

56 46 IBM Tealeaf CX Passie Capture Application: Manual de PCA

57 Capítulo 3. Actualización del software de CX PCA Antes de actualizar Puede obtener información acerca de las diferentes consideraciones que es necesario conocer antes de actualizar la ersión. En esta sección, puede aprender acerca de todo lo que debe hacer antes de actualizar. Si se actualiza a un sistema operatio de 64 bits Si está actualizando desde una ersión de 32 bits a una ersión de 64 bits de un sistema operatio soportado, debe instalar un conjunto de bibliotecas de 32 bits para soportar el PCA, una aplicación de 32 bits. Consulte Paquetes necesarios en la página 20. Antes de habilitar la modalidad de Equilibrio de carga transparente (TLB) La característica de equilibrio de carga transparente está disponible en PCA Build 3620 o posterior. Si está actualizando desde una compilación de PCA anterior a 3620, puede habilitar TLB en su PCA. Nota: Si habilita TLB para la comunicación de red, se sobrescribirán los alores de la interfaz de red anteriores. Antes de habilitar TLB, asegúrese de copiar los alores de la interfaz de red existentes si inhabilita la modalidad TLB. Para obtener más información sobre el equilibrio de carga transparente, consulte Visión general del equilibrio de carga transparente de PCA en la página 10. Validación de las claes SSL actuales Antes de actualizar, debe realizar una prueba para er si las claes SSL actuales todaía son álidas en el nueo Build de la PCA. Los siguientes pasos muestran cómo extraer el proceso reassd de la nuea distribución de la PCA y el mandato apropiado para ejecutarlo. 1. Adquiera la última compilación de la PCA. Para obtener más información sobre la descarga de IBM Tealeaf, consulte IBM Passport Adantage Online. 2. Copie el rpm a la PCA a /tmp. 3. Ejecute el siguiente mandato para extraer el proceso reassd del rpm proporcionado y ubicarlo en el directorio actual: rpm2cpio tealeaf-pca-<nnnn>-<rrr>.<distro>.i686.rpm cpio \ -id./usr/local/ctccap/bin-debug/reassd ; \ m usr/local/ctccap/bin-debug/reassd. Donde: <nnnn> es el número de ersión de compilación; por ejemplo, <rrr> es el número de reisión de RPM. Esto suele ser un número de un solo dígito. <distro> es un identificador para la distribución de Linux, como por ejemplo "RHELn" para Red Hat Enterprise Linux release n. Copyright IBM Corp. 1999,

58 Actualización básica 4. reassd debe estar en el directorio /tmp. 5. Para probar las claes SSL actuales, ejecute el siguiente mandato desde el directorio /tmp:./reassd -j a. Si las claes SSL actuales se cargan satisfactoriamente, aparecerá el siguiente mensaje: Success loading configuration and SSL keys. b. Si las claes SSL actuales no se pueden cargar, se isualizará el siguiente mensaje: Failed loading configuration (1), likely due to: * Loading bad SSL keys * Error in configuration file * Other unknown error Si la carga falla, el capture.log de la PCA informa el siguiente mensaje de error para cargar claes SSL incorrectas: Couldn t create reeal object: 1 Para obtener más información sobre el proceso para recrear las claes SSL, consulte "Resolución de problemas - Captura" en la IBM Tealeaf: Guía de resolución de problemas. Nota: La actualización debe ejecutarse como raíz. Consulte Capítulo 10, Configuración del Hardware e instalación del sistema operatio, en la página 243. Puede utilizar un único mandato Linux para ejecutar la actualización si su instalación PCA cumple con los requisitos siguientes: Los alores de configuración PCA se almacenan en el directorio predeterminado: /usr/local/ctccap/etc. Si está actualizando desde Release 31xx y la autenticación de usuario esta en uso, consulte Actualización de PCA con autenticación de usuario en la página 49. De lo contrario, continúe con los pasos siguientes. Si la instalación cumple los requisitos ya mencionados, para actualizar 1. Realice una copia de seguridad de /usr/local/ctccap/etc: mkdir /root/tmp cp -r /usr/local/ctccap/etc /root/tmp 2. Una actualización básica se puede ejecutar utilizando el mandato siguiente: rpm -Uh tealeaf-pca-xxxx-1.rhel6.i686.rpm donde XXXX es igual al número de ersión de CX PCA. Por ejemplo, si está actualizando a CX PCA ersión 3620, ejecute rpm -Uh tealeaf-pca rhel6.i686.rpm. 48 IBM Tealeaf CX Passie Capture Application: Manual de PCA

59 Actualización de PCA con autenticación de usuario Si la PCA opera en un entorno Tealeaf donde la autenticación de usuario está habilitada, pueden necesitarse más pasos en el proceso de actualización. Antes de la ersión 3200 de la PCA, se implementaron grandes cambios en la forma en que se configura la autenticación de usuario. La actualización desde la PCA 31xx a un Build 32xx o 33xx es más compleja si la autenticación de usuario está habilitada. Los siguientes pasos son necesarios para la actualización: 1. Realice una copia de /usr/local/ctccap/etc: mkdir /root/tmp cp -r /usr/local/ctccap/etc /root/tmp 2. Elimine el paquete tealeaf-pca existente. Elimine los archios restantes en /usr/local/ctccap: rpm -e tealeaf-pca cd /usr/local/ctccap rm -rf * Nota: Verifique que está en el directorio correcto antes de ejecutar el mandato rm. 3. Instale el nueo paquete PCA: rpm -ih tealeaf-pca-3315.rpm 4. Copie los archios ctc-conf.xml, priacy.cfg originales y cualquier archio *.ptl a /usr/local/ctccap/etc. Si se le solicita, sobrescriba los archios actuales: cd /root/tmp/etc cp ctc-conf.xml priacy.cfg *.ptl /usr/local/ctccap/etc 5. Copie el archio httpd.users a /usr/local/ctccap/etc yatealeaf-web.users: cp httpd.users /usr/local/ctccap/etc cd /usr/local/ctccap/etc cp httpd.users tealeaf-web.users 6. Edite /usr/local/ctccap/etc/runtime.conf y añada las siguientes líneas al final del archio: httpd_userauth_enable="yes" httpd_userauth_realm="tealeaf PCA2" httpd_userauth_require="alid-user" httpd_userauth_type="basic" 7. Inicie httpd. tealeaf start all 8. Verifique que la consola web esté en ejecución y que la autenticación de usuario todaía esté habilitada. Verifique que la captura esté en ejecución. 9. La actualización ha finalizado. Configuración de nueos tipos de datos Si actualizó desde una compilación anterior a la compilación PCA 3324, debe reisar y configurar los tipos de datos capturados por el IBM Tealeaf CX Passie Capture Application para erificar que los tipos requeridos se están capturando. Antes de la compilación 3324, algunos de estos tipos no estaban disponibles para la captura o no estaban configurados para la captura de forma predeterminada. Nota: Si actualiza su PCA y está incluyendo una aplicación Rich Internet, debe configurar los tipos de eníos XML. Consulte Configuración del PCA para la captura de Rich Internet Applications en la página 41. Capítulo 3. Actualización del software de CX PCA 49

60 Para obtener más información acerca de la configuración de tipos de enío XML, consulte Valores de la interconexión en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

61 Capítulo 4. Configuración de CX PCA IBM Tealeaf CX Passie Capture Application puede configurarse a traés de una consola basada en la web o a traés de los archios de configuración almacenados en el seridor PCA. Esta sección proporciona una descripción general de cómo configurar PCA y pasos específicos para configurar mediante cualquiera de los mecanismos. Visión general de configuración de captura pasia La configuración del software de captura pasia se puede completar mediante la utilización de la consola web de la captura pasia o directamente al editar el archio de configuración (ctc-conf.xml) mediante la utilización del editor i. Nota: Para casi todas las actiidades, la configuración del PCA mediante la consola web es el método recomendado. Configure el PCA mediante la utilización de ctc-conf.xml solo si el parámetro requerido no está disponible a traés de la consola web. Configuración a traés de la consola web La consola web de PCA proporciona una interfaz gráfica práctica para superisar y configurar IBM Tealeaf CX Passie Capture Application y sus conexiones. Nota: Todos los alores de configuración que se necesitan para inicializar IBM Tealeaf CX Passie Capture Application están disponibles a traés de la consola web. Nota: La consola web de CX Passie Capture Application no da soporte a la entrada de caracteres de arios bytes en un campo. Si desea configurar un alor con caracteres de arios bytes, debe editar la configuración. Para obtener más información sobre cómo editar el archio de configuración, consulte Configuración a traés de ctc-conf.xml. Consulte Naegadores soportados para la consola web de PCA en la página 64. Configuración a traés de ctc-conf.xml Mientras que todas las opciones de configuración necesarias están disponibles a traés de la consola web, debe utilizarse i para er y editar el conjunto completo de campos de configuración, si así lo desea. Consulte Archio de configuración de captura pasia ctc-conf.xml en la página 178. Configuración a traés de runtime.conf Los alores de configuración que están relacionados con IBM Tealeaf CX Passie Capture Application están disponibles a traés de la consola web de PCA o, de ser necesario, ctc-conf.xml. Copyright IBM Corp. 1999,

62 Archios Los alores de configuración que se aplican a la forma en que el PCA interactúa con el sistema operatio se especifican en dos archios. Estos archios se encuentran en el siguiente directorio: /usr/local/ctccap/etc/ tealeaf.conf - Este archio contiene los alores predeterminados y alores para la configuración a niel de sistema operatio. Nota: tealeaf.conf debe tener asignados permisos de sólo lectura para todos los usuarios. Nunca debe editarse. runtime.conf - Este archio debe utilizarse para sustituir cualquiera de los alores listados en tealeaf.conf. Cómo guardar los cambios Descifrado SSL A. IU web: Para modificar un alor de tiempo de ejecución: 1. Copie la entrada de tealeaf.conf. 2. Péguela en runtime.conf y edite el alor. 3. Guarde runtime.conf y reinicie el PCA. Nota: Después de guardar los cambios en la pestaña Interfaz de la consola web, necesita reiniciar manualmente la PCA. Los cambios que se realizan en otras pestañas de la consola web no requieren reinicios manuales. Se necesita reiniciar después de realizar cambios a traés del archio ctc-conf.xml. Consulte Consola web de PCA - Pestaña Consola en la página 80. Si necesita el descifrado SSL de sus datos web, cárguelo al utilizar la interfaz de usuario Web o mediante la línea de mandatos. 1. Vaya a y pulse Claes SSL. 2. Pulse Cargadas en la parte superior de la página para er las claes SSL cargadas y añadir nueas claes SSL. 3. Pulse Guardar cuando haya terminado. Para obtener más información sobre la utilización de la consola web de software Captura pasia, Naegadores soportados para la consola web de PCA en la página 64. B. Línea de mandatos: 1. Edite el archio /usr/local/ctccap/etc/ctc-conf.xml. 2. Edite las CaptureKeys del nodo XML. 3. Modifique las opciones restantes utilizando la IU web o editando el archio /usr/local/ctccap/etc/ctc-conf.xml. 52 IBM Tealeaf CX Passie Capture Application: Manual de PCA

63 C. Reinicio de sericios: Si se realizan cambios utilizando la consola web, los sericios se reinician automáticamente para aplicar los cambios. Si ha editado el archio ctc-conf.xml, reinicie los sericios de captura manualmente utilizando los mandatos siguientes: tealeaf stop capture tealeaf start capture Si no está utilizando Tealeaf Cookie Injector para la sesionización, los parámetros de sesionización deben configurarse en el agente de sesión TLSessioning en el archio TealeafCaptureSocket.cfg del seridor IBM Tealeaf CX. Consulte "Sesionización de agente de sesión" en IBM Tealeaf CX Configuration Manual. Referencia de línea de mandato de Tealeaf PCA Esta sección contiene una referencia de mandatos, acciones y opciones que se pueden ejecutar mediante la utilización del mandato de script tealeaf. Este mandato se utiliza principalmente para tareas siguientes posteriores a la instalación: Algunas funciones de administración y mantenimiento Algunos accesos a las funciones de la consola web cuando no está disponible la interfaz Operaciones de depuración Mandato básico tealeaf [options] action [serice...] Consulte Opciones Acciones Sericios en la página 55 Opciones Opción Descripción -h Mostrar esta ayuda. -n Mostrar los mandatos sin ejecutarlos. - Mostrar más mensajes (modalidad erbosa). Las opciones se pasan junto al sericio excepto cuando se especifica el sericio all. Consulte Sericios en la página 55. Acciones Acción Descripción allselfsignedcerts Generar todos los certificados autofirmados si faltan. bwmon Ejecutar el programa de utilidad bwmon. capturekeys2ptl Conertir todos los archios PEM en el directorio capturar claes. Capítulo 4. Configuración de CX PCA 53

64 clearstats Borrar estadísticas de todas las instancias. configdiffs Mostrar las diferencias para los archios de configuración actuales y predeterminados. deletestats Suprimir estadísticas para todas las instancias. disable Eitar que se inicien uno o todos los sericios. enable Permitir que se inicien uno o todos los sericios. en Visualizar el "entorno tealeaf". genselfsignedcert Generar un certificado autofirmado. ifdetails Mostrar información detallada sobre el dispositio de red especificado. ifstat Mostrar estadísticas acerca del dispositio de red especificado. ifsummary Mostrar información de resumen acerca de los dispositios de red. ifup Iniciar todos los dispositios de red. ipconfig Configurar dispositios de red. maint Ejecutar script de mantenimiento. man Mostrar las páginas del manual proporcionadas. no Establecer una ariable de configuración de tiempo de ejecución a "no". openssl Ejecutar el OpenSSL proporcionado. pem2ptl Cifrar archios PEM en formato PTL. ps Mostrar los procesos de captura mediante la utilización de /bin/ps. restart Detener y reiniciar el sericio especificado. rolllog Retrotraer todos los archios de registro o el que se ha especificado. showstats Mostrar estadísticas de captura. showstatsxml Mostrar estadísticas de captura en XML. start Iniciar todos o el sericio especificado. stats Ejecutar programas de utilidad de estadísticas. status Mostrar estado de captura y HTTPd. stop Detener todos o el sericio especificado. tcpdump Ejecutar el tcpdump proporcionado. 54 IBM Tealeaf CX Passie Capture Application: Manual de PCA

65 testconn Ejecutar el programa de prueba de la conexión de sericio de transporte de TeaLeaf. top Mostrar los procesos de captura mediante la utilización de /usr/bin/top. tzconfig Configurar huso horario. Nota: Los alores de huso horario debe cumplir con los husos horarios admitidos por PHP. Para obtener una lista de husos horarios admitidos, consulte userauthpw Añadir o actualizar una contraseña de usuario de consola web. alidate Validar el usuario, propietario y los permisos de archios de PCA. yes Establecer una ariable de configuración de tiempo de ejecución en "YES". Sericios Para las acciones disable, enable, start, status, ystop, los siguientes sericios se pueden especificar: all capture - mediante captured httpd - mediante httpd Mandatos de ejemplo tealeaf ifdetails em0 tealeaf showstats tealeaf start El utilizar start como raíz hace que este script suba las interfaces de captura primarias y secundarias. tealeaf start all El utilizar start como raíz hace que este script suba las interfaces de captura primarias y secundarias. tealeaf stop tealeaf start capture tealeaf start capture -r Configuración inicial de PCA Nota: Esta sección proporciona un marco para realizar la configuración inicial de un componente del sistema IBM Tealeaf CX en un modelo de despliegue simplificado. Se pueden necesitar más configuraciones, según sea el despliegue de solución de Tealeaf. Si tiene alguna duda sobre la configuración, póngase en contacto con Después de completar la instalación del software de PCA, puede seguir estos pasos para configurar el PCA para capturar el tráfico de aplicación web y reeniar a uno o más seridores de proceso. Capítulo 4. Configuración de CX PCA 55

66 Requisitos preios Configuración de ejemplo Antes de empezar a configurar la PCA, erifique que se cumplan los siguientes requisitos y que ha adquirido la siguiente información: 1. El sistema operatio para el seridor de la PCA se ha instalado con los paquetes recomendados de Tealeaf. Consulte Capítulo 10, Configuración del Hardware e instalación del sistema operatio, en la página El sistema operatio está configurado adecuadamente. Consulte Capítulo 8, Configuración de la captura pasia en Red Hat Enterprise Linux (RHEL), en la página El software de la PCA se instala en un directorio en el hardware de la PCA. Consulte Capítulo 2, Instalación, en la página Para completar los pasos en esta configuración, debe adquirir la siguiente información: a. La dirección IP del hardware de la PCA b. Las Tarjetas de interfaz de red que están conectadas al dispositio de la PCA que están proporcionando la fuente de tráfico c. El nombre de host o dirección IP y el número de puerto del Seridor de procesamiento Si está utilizando Procesamiento basado en salud (HBR), necesita el nombre de host o la dirección IP y número de puerto para la máquina de HBR. Consulte "Agente de sesión de procesamiento basado en salud (HBR)" en el Manual de configuración de CX de IBM Tealeaf. Nota: El usuario ctccap se crea sin una contraseña asignada a él, por lo que no puede iniciar sesión con esa cuenta de manera predeterminada. Los riesgos de seguridad son mínimos; el usuario ctccap solo puede iniciar y poseer los procesos de Tealeaf. En función de los requisitos empresariales de seguridad, debe asignar una contraseña para el usuario ctccap desde el usuario root. La configuración del PCA depende del entorno de seridor en el que reside. En este apartado se proporciona un ejemplo de configuración para un sistema simple: 1 seridor PCA 1 instancia PCA 1 seridor de procesos Factores de complicación Para capturar aplicaciones web más complicadas, existen muchas arquitecturas de despliegue de PCA posibles. Pueden incluir el uso de arias PCA, arias instancias de PCA y distintos mecanismos de filtrado. A continuación, puede reisar escenarios de ejemplo en los que puede que necesite asistencia para la configuración del PCA. Nota: Si su entorno de aplicación web cumple con uno o más de los siguientes criterios, se recomienda que se ponga en contacto con o Tealeaf Professional Serices antes de comenzar la configuración. 1. Aplicaciones web de alto olumen. Si está transmitiendo más de 200 coincidencias sobre SSL o más de 400 coincidencias sobre HTTP de texto simple: Debe diidir el tráfico entre arias instancias de PCA. 56 IBM Tealeaf CX Passie Capture Application: Manual de PCA

67 Pasos de configuración Debe filtrar las direcciones IP de los seridores web desde los que desea capturar. Puede filtrar en el niel de PCA o en el niel de red. Tealeaf recomienda que se realice el filtrado en el niel de red, que reduce la sobrecarga de procesamiento en el PCA. Nota: El filtrado de IP sólo es posible si los IP no son NAT'd internamente. Para obtener más información, póngase en contacto con su administrador de red. 2. Captura de un rango de direcciones IP. Si está capturando un rango de 25 IP o más en el PCA: Debe crear filtros de IP para descartar contenido. Debe utilizar máscaras de red para limitar el número de entradas en la configuración. Debe diidir el tráfico entre arias instancias de PCA. Para obtener más información, póngase en contacto con support.tealeaf.com. La siguiente sección contiene pasos de configuración. Iniciar Apache Para comenzar la configuración, siga estos pasos: 1. Inicie la sesión como root. 2. Ejecute el script de Tealeaf para iniciar el proceso Apache: tealeaf start httpd Abrir la consola web de PCA 3. Para erificar que el proceso se ha iniciado de forma satisfactoria, utilice lo siguiente para deoler los procesos Apache que se están ejecutando actualmente. tealeaf ps tealeaf status La salida del mandato debe indicar que como mínimo un proceso está en ejecución. Si no se ha podido iniciar alguno de los procesos, reise /ar/log/tealeaf/ capture.log para obtener algún mensajes de error de inicio para determinar el problema. Si algún cambio de configuración impide que la consola web de la PCA (proceso HTTPd) se inicie, puede editar manualmente el archio /usr/local/ctccap ctc-conf.xml/etc/ para corregir la configuración. Consulte Archio de configuración de captura pasia ctc-conf.xml en la página 178. Después de que se inician los procesos Apache, puede abrir la consola web de PCA para reisar la configuración. Consulte Naegadores soportados para la consola web de PCA en la página Abra la consola web de PCA: a. HTTP segura: Capítulo 4. Configuración de CX PCA 57

68 b. HTTP: 2. Si no funcionan las URL anteriores, reise el nombre del seridor y el número de puerto con el administrador de red. Nota: La consola web de PCA puede requerir de autenticación. Configuración de la interfaz de CX PCA Cuando el software de PCA esté instalado e iniciado, todaía no está preparado para capturar tráfico bidireccional. Después de instalar el software de IBM Tealeaf CX PCA, deberá configurar la interfaz de red para capturar tráfico bidireccional. Si hay un equilibrador de carga desplegado entre CX PCA y el seridor web o si tiene arios seridores web operando bajo un único IP irtual (VIP), configure su interfaz de red de CX PCA para un equilibrio de carga transparente. Para obtener más información, consulte Configuración de la interfaz de CX PCA con el equilibrio de carga transparente. Si su despliegue de seridor web no utiliza un equilibrador de carga y no opera bajo un único IP irtual (VIP), puede configurar su interfaz de red de CX PCA sin el equilibrio de carga transparente. Para obtener más información, consulte Configuración de la interfaz de CX PCA sin el equilibrio de carga transparente en la página 59. Configuración de la interfaz de CX PCA con el equilibrio de carga transparente Puede configurar la interfaz de red de su CX Passie Capture Application con el equilibrio de carga transparente. Para obtener más información sobre los beneficios de habilitar el equilibrio de carga transparente, consulte Visión general del equilibrio de carga transparente de PCA en la página 10. Para configurar la interfaz de PCA con el equilibrio de carga transparente: 1. Abra la consola web de CX PCA. Consulte Configuración a traés de la consola web en la página Pulse la pestaña Interfaz. 3. Seleccione Habilitar equilibrio de carga transparente. 4. Introduzca el número de instancias Reassd que desea ejecutar. El aumento de las instancias Reassd aumenta el número de instancias de PCA que pueden procesar paquetes de TCP. Nota: Puede habilitar hasta N-1 paquetes, donde N es el número total de núcleos de procesador en su seridor. Por ejemplo, si tiene un total de 8 núcleos de procesador en su seridor, puede ejecutar hasta 7 instancias. 5. Si desea desechar la información de sesión de SSL desde memcache cuando se reinicia el sericio CX PCA, seleccione Reiniciar seridor Memcached en reinicio de captura. 6. Si desea inhabilitar la suma de comprobación de paquetes de TCP, seleccione Inhabilitar alidación de suma de comprobación de paquetes. Nota: Si su tarjeta de interfaz de red tiene habilitada la suma de comprobación de paquetes, se recomienda inhabilitarla. 7. No debe seleccionarse Captura de arias instancias a menos que desee oler a una modalidad de equilibrio de carga no transparente. 58 IBM Tealeaf CX Passie Capture Application: Manual de PCA

69 8. Si desea introducir una regla de filtro, localice a Reglas de filtro e introduzca la información para el filtro; a continuación, pulse Crear filtro. 9. Pulse Guardar cambios para guardar los cambios en la configuración de CX PCA. Si desea cancelar los cambios, pulse Reertir cambios. Configuración de la interfaz de CX PCA sin el equilibrio de carga transparente Para configurar la interfaz de CX PCA en un entorno sin equilibrio de carga: 1. Abra la consola web de CX PCA. Consulte Configuración a traés de la consola web en la página Pulse la pestaña Interfaz. 3. Si Habilitar equilibrio de carga transparente está seleccionado, deseleccione Habilitar equilibrio de carga transparente. Para obtener más información sobre los beneficios de habilitar el equilibrio de carga transparente, consulte Visión general del equilibrio de carga transparente de PCA en la página Añada una instancia de CX PCA pulsando Añadir instancia. Puede añadir instancias de CX PCA adicionales para capturar tráfico de red. Cada instancia de CX PCA requiere el uso de un núcleo de procesador adicional. Puede añadir hasta N-1 instancias, donde N es el número total de núcleos de procesador en su seridor CX PCA. Por ejemplo, si su sistema tiene ocho núcleos de procesador, puede habilitar siete instancias de CX PCA. 5. Puede utilizar números de puerto predeterminados para definir los números de puerto en las reglas de filtro pulsando Llenar puertos. Los números de puerto predeterminados son de 1024 a Si desea filtrar números de puerto diferentes para una instancia de CX PCA, puede añadir una regla de filtro o editar la instancia. 6. Si desea cambiar los alores de una instancia, localice la Lista de instancias y pulse la opción Editar que se encuentra junto a la instancia para comenzar a realizar los cambios. También puede suprimir una instancia pulsando Suprimir o eliminar las reglas de filtro para una instancia pulsando Borrar filtros. a. Si está instalando CX PCA por primera ez, edite los filtros para cada instancia de CX PCA. Consulte Edición de filtros en la página 96. b. Desde la lista desplegable Interfaz primaria, seleccione el dispositio de red en el que desea que escuche esta instancia. En la mayoría de los casos, no debe escuchar a un dispositio cuya dirección IP esté listada en la lista desplegable. Si e un mensaje de estado down para un dispositio, el sistema operatio no está configurado para actiarlo. Esto es inusual. Para una configuración simple, puede dejar al resto de las opciones de configuración con sus alores predeterminados. Para obtener más información sobre la especificación de instancias de PCA, consulte Consola Web de PCA - Pestaña Interfaz en la página 81. c. Pulse Actualizar para guardar los cambios. 7. Pulse Guardar cambios para aplicar los cambios en CX PCA. Si desea cancelar los cambios, pulse Reertir cambios. CX PCA ahora está configurado para capturar tráfico en la NIC seleccionada. Configuración de la entrega de coincidencias La siguiente sección explica cómo configurar la entrega de coincidencias. Capítulo 4. Configuración de CX PCA 59

70 Entrega de coincidencias a seridor de procesos Ahora, puede especificar el seridor de procesos o seridor HBR a donde el PCA a a entregar datos de coincidencias. El número de puerto de destino en el seridor de procesos receptor está definido para interconexiones de Windows indiiduales. Consulte "Editor de interconexiones de TMS" en IBM Tealeaf cximpact Administration Manual. 1. Pulse Consola Web de PCA - Pestaña de Entrega en la página Pulse Añadir. 3. Especifique el nombre de host o dirección IP del seridor de procesos. Si está utilizando HBR, puede especificar el nombre de host o dirección IP para la máquina HBR. Consulte "Agente de sesión de procesamiento basado en salud (HBR)" en el Manual de configuración de CX de IBM Tealeaf. 4. Escriba el número de puerto. De forma predeterminada, este alor es Pulse Aceptar. 6. Pulse Guardar cambios. 7. Para probar su conexión de entrega, pulse los enlaces Ping y Velocidad para su host recién añadido en la pestaña Entrega. Si las pruebas fallan o sus pruebas de elocidad dan como resultado un bajo rendimiento, reise la configuración de su red y de PCA. Nota: Si tiene más de un destinatario de destino de entrega, es importante que seleccione la modalidad de entrega correcta. Consulte Consola Web de PCA - Pestaña de Entrega en la página 101. La configuración está establecida para entregar tráfico al seridor de procesos referenciado. Consulte Consola Web de PCA - Pestaña de Entrega en la página 101. Fuente de tiempo de PCA De ser necesario, puede configurar IBM Tealeaf CX Passie Capture Application para que dependa de Tealeaf Transport Serice como la fuente de tiempo local. Cuando habilitada, la PCA consulta Transport Serice a interalos regulares para obtener la hora actual. Para resoler discrepancias, la PCA acelera o disminuye su incremento de tiempo para que "aya" hacia el alor de la fuente de hora local. Nota: A menos que esté sincronizando la hora a traés de otro mecanismo, debe configurar la PCA para que sincronice utilizando uno de los compañeros de entrega como la fuente. Para ello, siga estos pasos. 1. Pulse Consola Web de PCA - Pestaña de Entrega en la página En el panel Utilice Tealeaf Transport Serice como la Fuente de tiempo, especifique el nombre de Host o de Dirección y el número de puerto del Tealeaf Transport Serice que sea la fuente de tiempo maestra. Estos alores deben establecerse en uno de los compañeros de entrega preiamente configurados. Si no se proporciona, toma el alor de puerto predeterminado Consulte Consola Web de PCA - Pestaña de Entrega en la página 101. Entrega de coincidencias de estadísticas Opcionalmente, el PCA puede configurarse para entregar información estadística al seridor de procesos para la inserción en la base de datos TL_STATISTICS para la creación de informes a traés del portal. 60 IBM Tealeaf CX Passie Capture Application: Manual de PCA

71 Junto con las estadísticas del Recipiente y el agente de sesión Extended Decoupler, las coincidencias de estadísticas de PCA se informan en la página Estadísticas del sistema. Consulte "Estadísticas del sistema" en IBM Tealeaf cximpact Administration Manual. 1. Pulse Consola Web de PCA - Pestaña de Entrega en la página En el área Entrega de estadísticas e Tealeaf Transport Serice, configure las opciones siguientes: a. Para habilitar la entrega, pulse el recuadro de selección Habilitada. b. Especifique el nombre de host o dirección del igual de entrega que a a recibir las coincidencias de estadísticas. Nota: Generalmente, las coincidencias de estadísticas se enían al mismo igual de entrega que recibe las coincidencias capturadas, tal como se ha definido. c. Especifique un interalo en segundos en el que se an a eniar las coincidencias. d. Especifique un número de puerto en el que escucha el igual de entrega. De forma predeterminada, este alor es e. Para utilizar el transporte seguro, pulse el recuadro de selección Utilizar SSL. Consulte Consola Web de PCA - Pestaña de Entrega en la página 101. Configuración de interconexión de PCA En esta sección, puede conocer las opciones de configuración básica para la interconexión del procesamiento de IBM Tealeaf CX Passie Capture Application. La interconexión de PCA se configura a traés de la pestaña Interconexión de la consola web de PCA. Consulte Valores de la interconexión en la página 110. Nota: La interconexión de PCA tiene una configuración diferente de la configuración basada en agente de sesión para la interconexión de Windows. Para obtener más información sobre la configuración de interconexión de Windows, consulte "Configuración de interconexión inicial" en IBM Tealeaf CX Configuration Manual. Sesionamiento de datos Si se están insertando cookies en la solicitud para identificar exclusiamente a los isitantes, el PCA puede configurarse para sesionizar basándose en estas cookies. Tealeaf da soporte a arios mecanismos para el sesionamiento de sesiones de Tealeaf. El método preferido para sesionizar es utilizar Tealeaf Cookie Injector, un método del lado del seridor de lightweight para inyectar identificadores exclusios como cookies en los datos de solicitud. Consulte "Instalación y configuración de Tealeaf Cookie Injector" en IBM Tealeaf Cookie Injector Manual. Para obtener una descripción general de los métodos de sesionización soportados, consulte "Gestión de sesionización de datos en Tealeaf CX" en IBM Tealeaf CX Installation Manual. Consulte Valores de la interconexión en la página 110. Modalidad de captura IBM Tealeaf CX Passie Capture Application puede configurarse para capturar los tipos basados en texto recomendados de datos de solicitud y respuesta (modalidad de empresa), o puede configurar los tipos binarios y datos de modalidad de empresa, como las imágenes (modalidad BusinessIT). Capítulo 4. Configuración de CX PCA 61

72 La modalidad BusinessIT requiere más almacenamiento del sistema. Consulte Valores de la interconexión en la página 110. Métodos de captura de solicitud Puede especificar los métodos de solicitud que se capturan para que tengan cualquiera de la siguiente combinación: GET POST PUT Consulte Valores de la interconexión en la página 110. Calificación por tiempo Se pueden asignar calificaciones a los tiempos medidos por la PCA en base a la interpolación entre indicaciones de fecha y hora obseradas en los paquetes de red. Puede asignar alores de umbral y calificaciones para la Generación de página de seridor web, el Transito de red y el Tiempo de ida y uelta. Para obtener más información sobre la calificación por tiempo en general, consulte Capítulo 7, Medida de rendimiento, en la página 223. Para obtener más información sobre la creación de informes de calificaciones por tiempo, consulte "Análisis de rendimiento" en la Guía de creación de informes de IBM Tealeaf. Para obtener más información sobre la configuración de la calificación por tiempo, consulte Valores de la interconexión en la página 110. Procesamiento de coincidencias Debe reisar todas las opciones disponibles para la forma en que se procesan las coincidencias mediante el PCA antes de reeniarlos a la pareja de entrega. Estos alores pueden afectar los requisitos de almacenamiento y rendimiento de PCA. Consulte Valores de la interconexión en la página 110. Otras inclusiones y exclusiones de captura También puede configurar el PCA para capturar o eliminar de la captura los tipos de archios especificados, mimetypes y todos los tipos de POST. Consulte Valores de la interconexión en la página 110. Configuración de priacidad Nota: Antes de habilitar la captura, debe configurar reglas de priacidad para eitar la captura no deseada de información sensible, como por ejemplo números de tarjeta de crédito de clientes. Si se habilita la captura sin reglas de priacidad apropiadas, los datos de clientes sin filtrar pueden reeniarse a la interconexión de Windows y almacenarse en bases de datos de Tealeaf, donde pueden ser examinados por cualquier usuario de Tealeaf con los permisos apropiados. La priacidad de Tealeaf permite la manipulación, enmascaramiento o eliminación de información sensible en el tráfico de solicitud o respuesta. Basándose en las reglas de priacidad que configure, estos datos pueden ocultarse en el tráfico que se almacena en la base de datos de Tealeaf. 1. Cómo empezar con la Priacidad de Tealeaf: Consulte "Gestión de priacidad de datos en Tealeaf CX" en IBM Tealeaf CX Installation Manual. 2. Priacidad en el PCA: La priacidad puede desplegarse en el PCA a traés de la consola web de PCA. Consulte Descarga de la configuración de priacidad en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

73 Habilitar Captura Probar la configuración Nota: Los pasos siguientes habilitan el PCA para comenzar la captura de tráfico de red que se proporciona a traés de la NIC especificada y el reenío de datos capturados al seridor de procesos. Si el seridor de procesos aún no se ha configurado para capturar y procesar los datos eniados, entonces se pierden datos cuando el PCA no puede establecer una conexión. Sin embargo, puede utilizar estos pasos y los subsiguientes para erificar las operaciones de PCA. Cuando se habilita la captura, el seridor de proceso también debe capturar en orden para que se capturen las hits. 1. Pulse el Consola web de PCA - Pestaña Consola en la página Pulse Inicio. El PCA comienza la captura y el reenío al seridor de procesos especificado. Consulte Consola web de PCA - Pestaña Consola en la página 80. Tras completar la configuración inicial, puede realizar los siguientes pasos para erificar la configuración. La salida de la IBM Tealeaf CX Passie Capture Application no es fácil de reisar hasta estar configurado el resto del sistema IBM Tealeaf CX. Si solo configura la PCA, puede reisar los siguientes pasos para erificar que la PCA esté funcionando correctamente. 1. Si ya no lo ha hecho, habilite la captura a traés de la Consola Web de la PCA. Verifique que la captura esté actiada. Consulte Habilitar Captura. 2. Cuando la captura esté en ejecución, compruebe la sección Estado de la máquina de la pestaña Resumen para erificar que todos los procesos estén en ejecución. En la sección Iguales, debe tener listados los iguales de entrega. El alor de la columna de Estado debe ser connected. Si no configura un Tealeaf Processing Serer para recibir datos de la PCA, los errores se pueden informar aquí. En la sección Iguales, las estadísticas Hits Deliered deben tener un alor diferente a cero e irse incrementando, lo que indica que la PCA está entregando las coincidencias a los destinos especificados en la pestaña Entrega. Consulte Consola Web de PCA - Pestaña Resumen en la página Compruebe los archios de registro para er los errores. Consulte Consola web de PCA - Pestaña de copia de seguridad-registros en la página 166. En los archios de registro, puede notar errores donde la PCA no puede contactar un igual si no tiene configurado un Tealeaf Processing Serer para recibir datos de la PCA. Cuando todos los componentes de Tealeaf estén configurados, debe completar una prueba de punta a punta. Capítulo 4. Configuración de CX PCA 63

74 Naegadores soportados para la consola web de PCA Se soportan los siguientes naegadores para acceder a la consola web de PCA: Microsoft Internet Explorer 7, 8y9 Firefox 4 o posterior Nota: Los naegadores soportados para acceder a la consola web difieren de aquellos que están soportados para acceder al portal Tealeaf. El utilizar un naegador no soportado puede proocar comportamientos inesperados. Consulte "Inicio de sesión en el Portal de Tealeaf" en el Manual de usuario de IBM Tealeaf cximpact. Inicio de sesión de la Consola Web de PCA Para superisar y configurar el seridor de IBM Tealeaf CX Passie Capture Application, puede utilizar la Consola web, una herramienta de administración basada en la web. Para abrir la Consola web, especifique la siguiente dirección en el campo Dirección del naegador. HTTP segura: HTTP donde: <serername> corresponde al nombre de host del seridor de la PCA. <portnumber> corresponde al número de puerto utilizado para comunicarse con la Consola web. Para HTTP, el número de puerto predeterminado es Para HTTPS, el número de puerto predeterminado es Los puertos en los que escucha la consola web de la PCA se pueden configurar. Consulte Cambio de puertos de escucha de consola web en la página 67. Nota: Si habilita las características de Windows Enhanced Security, puede experimentar problemas al utilizar Internet Explorer para acceder a la Consola web de la PCA. Consulte "Resolución de problemas - Portal" en la IBM Tealeaf: Guía de resolución de problemas. Cierre de sesión de da Consola Web de la PCA Para cerrar la sesión de la PCA. cierre la entana del naegador. Nota: A partir de la PCA Build 3500, la consola web impone un alor de tiempo de espera excedido predeterminado de 30 minutos. Si la PCA hace que se supere el tiempo de espera de la sesión, debe iniciar la sesión, aunque la autenticación esté o no esté habilitada. Si supera el tiempo de espera de la sesión, uela a especificar sus credenciales de autenticación para oler a iniciar la sesión. Si la autenticación está inhabilitada, deje los recuadros de texto acíos y pulse Iniciar sesión. 64 IBM Tealeaf CX Passie Capture Application: Manual de PCA

75 Pestaña de consola web Para obtener más información sobre cómo configurar los alores de tiempo de espera excedido, consulte Consola web de PCA - Pestaña Consola en la página 80. En la parte superior de la consola web, puede reisar la información de estado. Incluye el número de compilación de Tealeaf, información de host y de puerto, y la ersión actual de Linux, así como la hora en la que la página se cargó por última ez. En la esquina superior derecha de la consola, puede acceder a la página SysInfo. Consulte Página SysInfo en la página 68. Cuando la página se carga, la consola web comprueba el espacio de disco disponible en la partición que contiene el software PCA. Si no hay suficiente espacio libre de disco, aparece un mensaje de estado en rojo, y será necesario tomar medidas inmediatamente para liberar espacio en la partición (/usr/local/ctccap de forma predeterminada). Las siguientes páginas de configuración están disponibles en la consola web: Etiqueta de la pestaña Se utiliza para... Consola Web de PCA - Pestaña Resumen en la página 69 Estado de los procesos de Captura en ejecución; isualización de coincidencias; coincidencias rechazadas, conexiones/paquetes/errores TCP; conexiones/reconocimientos SSL y bytes de escucha de leídos y escritos. Visualización de información de estado y configuración para la interfaz de red primaria y secundaria Consola web de PCA - Pestaña Consola en la página 80 Iniciar/detener captura de paquetes en directo desde la red, Habilitar/inhabilitar captura al iniciar Consola Web de PCA - Pestaña Interfaz en la página 81 Definición de interfaces de red (NIC), configuración de la Captura pasia para un dispositio de escucha de red o un puerto de conmutador distribuido, configuración de instancias de captura, definición de los seridores web a superisar y a ignorar, definición de filtros de tráfico y definición parámetros de ajuste de captura Consola Web de PCA - Pestaña de Entrega en la página 101 Especificación de seridores Tealeaf que reciban coincidencias empaquetadas de la Captura pasia, especificación de parámetros de entrega, sincronización de la hora Consola Web de PCA - Pestaña Claes SSL en la página 106 Cargar, editar y suprimir claes priadas para seridores web superisados; obtener más información sobre, ignorar o suprimir claes priadas faltantes Valores de la interconexión en la página 110 Editar parámetros de configuración que controlan el procesamiento de aciertos; calificación de tiempo, modalidad de captura, conersión a sesiones, incluir/excluir extensiones. Descarga de la configuración de priacidad en la página 126 Habilitación/inhabilitación de la priacidad, creación y edición de reglas de priacidad Capítulo 4. Configuración de CX PCA 65

76 Estadísticas por instancia en la página 144 Visualización de las métricas de la Captura pasia Consola web de PCA - Pestaña de copia de seguridad-registros en la página 166 Realización de copia de seguridad y carga del archio de configuración; isualización de arios archios de registro; habilitación/inhabilitación de archiado de paquetes. Consola Web de PCA - Pestaña de Migración tras error en la página 168 Gestión de los alores de la migración tras error Consola Web de PCA - Pestaña de Programas de utilidad en la página 170 Acceso a diersos programas de utilidades para los administradores de PCA Consola Web de PCA - Página de depuración en la página 175 Gestión de los olcados de núcleo de la PCA Configuración Las siguientes secciones contienen algunos pasos de configuración básicos para configurar la consola web de PCA. Habilitación de la autenticación de consola web Se puede restringir el acceso a la consola web de PCA. Consulte Capítulo 10, Configuración del Hardware e instalación del sistema operatio, en la página 243. Conmutación de acceso HTTP/HTTPS De manera predeterminada, la consola web de la PCA es accesible en modalidad HTTP en el puerto 8080 o en modalidad HTTPS en el puerto De manera opcional, puede configurar la PCA para que no sea accesible en una de estas modalidades. Pasos: Para conmutar el acceso, complete los siguientes pasos. 1. Edite el archio /usr/local/ctccap/etc/runtime.conf. 2. Añada o edite las siguientes líneas: httpd_port_enable="no" httpd_portssl_enable="yes" Modalidad Valores Sólo HTTP httpd_port_enable="yes" httpd_portssl_enable="no" Sólo HTTPS httpd_port_enable="no" httpd_portssl_enable="yes" both HTTP and HTTPS httpd_port_enable="yes" httpd_portssl_enable="yes" 3. Guarde el archio. 4. Reinicie el PCA. 66 IBM Tealeaf CX Passie Capture Application: Manual de PCA

77 Si fuera necesario, puede cambiar los puertos que escucha la consola web de la PCA. Consulte Cambio de puertos de escucha de consola web. Para obtener más información sobre el inicio de sesión, consulte Inicio de sesión de la Consola Web de PCA en la página 64. Despliegue de un certificado SSL para la consola web Puede desplegar un certificado SSL personalizado. Consulte Generación de un certificado autofirmado en la página 216. Cambio de puertos de escucha de consola web De forma predeterminada, la consola web PCA escucha los puertos listados en la parte superior de esta sección. Opcionalmente, puede cambiar los puertos de escucha añadiendo las líneas siguientes al archio runtime.conf. El archio runtime.conf se utiliza para sustituir los alores predeterminados almacenados en el archio tealeaf.conf. Nota: tealeaf.conf debe configurarse para ser de sólo lectura y nunca debe editarse. 1. Edite runtime.conf, que está almacenado en la siguiente ubicación: /usr/local/ctccap/etc/runtime.conf 2. Puerto HTTP (sin cifrar): Añada las líneas siguientes: httpd_listen="x" httpd_port="x" donde X es el número de puerto en el que la consola web debe escuchar tráfico sin cifrar. 3. Puerto HTTPS (cifrado): Añada las líneas siguientes: httpd_listenssl="x" httpd_portssl="x" donde X es el número de puerto en el que la consola web debe escuchar tráfico cifrado. 4. Guarde el archio. 5. Reinicie el PCA. Soporte IP6 en la consola web PCA Para nueas instalaciones de PCA Build 3600, la consola web se configura para aceptar las direcciones IP en formato IP6 de forma predeterminada. Antes de PCA Build 3502, las direcciones de IP6 no se pueden especificar a traés de la consola web de PCA. Si está actualizando desde una ersión anterior, deben insertar manualmente el siguiente atributo en la sección Conf en el archio de ctc-conf.xml: <IP6ConsoleEnabled>1</IP6ConsoleEnabled> El cambio anterior también se puede aplicar a PCA Build 3502 para configurar la consola web de PCA para aceptar las direcciones IP6 de forma predeterminada. Consulte Archio de configuración de captura pasia ctc-conf.xml en la página 178. Cuando se establece el alor en 1, la consola web de PCA alida la entrada de datos suponiendo que las direcciones IP se introducen en el formato IP6. Capítulo 4. Configuración de CX PCA 67

78 Este cambio afecta principalmente a las direcciones que puede especificar en la pestaña de interfaz. Consulte Consola Web de PCA - Pestaña Interfaz en la página 81. Página SysInfo Cuando pulse el enlace de sysinfo ubicado por encima de la barra de menús de Consola PCA, la página de SysInfo se isualizará. Esta página se genera mediante la ejecución de un conjunto de mandatos Linux en la línea de mandatos y isualizando los resultados en una sola página. Puede reisar los mandatos indiiduales que generan la página Sysinfo y ejemplos de salidas de cada mandato. Sistema Se puede utilizar el mandato siguiente tanto para la distribución SLES como para la RHEL, las cuales tienen diferentes nombres de archio. Mandato cat /etc/*-release Salida System release info : LSB_VERSION="1.3" Red Hat Enterprise Linux ES release 3 (Taroon Update 5) Mandato uname-a Salida kernel info : Linux enus.tealeaf.com EL #1 Fri \ > Apr 15 21:29:19 EDT 2005 i686 i686 i386 GNU/Linux Mandato cat /proc/cpuinfo Salida processor : 0 endor_id : GenuineIntel cpu family : 6 model : 8 model name : Pentium III (Coppermine) stepping : 3 cpu MHz : cache size : 256 KB fdi_bug : no hlt_bug : no f00f_bug : no coma_bug : no fpu : yes fpu_exception : yes cpuid leel : 2 wp : yes flags : fpu me de pse tsc msr pae mce cx8 sep \ > mtrr pge mca cmo pat pse36 mmx fxsr sse bogomips : Mandato cat /proc/meminfo 68 IBM Tealeaf CX Passie Capture Application: Manual de PCA

79 Salida total: used: free: shared: buffers: cached: Mem: Swap: MemTotal: kb MemFree: 8708 kb MemShared: 0 kb Buffers: kb Cached: kb SwapCached: 3060 kb Actie: kb ActieAnon: kb ActieCache: kb Inact_dirty: kb Inact_laundry: 7588 kb Inact_clean: 3436 kb Inact_target: kb HighTotal: 0 kb HighFree: 0 kb LowTotal: kb LowFree: 8708 kb SwapTotal: kb SwapFree: kb CommitLimit: kb Committed_AS: kb HugePages_Total: 0 HugePages_Free: 0 Hugepagesize: 4096 kb dmesg Mandato dmesg Salida dmesg deice eth2 entered promiscuous mode deice eth0 left promiscuous mode deice eth4 left promiscuous mode deice eth1 left promiscuous mode deice eth2 left promiscuous mode deice eth0 entered promiscuous mode eth4: Promiscuous mode enabled. deice eth4 entered promiscuous mode deice eth1 entered promiscuous mode eth2: Setting promiscuous mode. deice eth2 entered promiscuous mode Consola Web de PCA - Pestaña Resumen Cuando se conecte a la Consola web, isualizará la pestaña Resumen. La pestaña de Resumen proporciona una instantánea del estado del sistema. Las estadísticas que se muestran en esta página incluyen el estado del dispositio, conexiones, estadísticas de TCP y SSL actuales, conexiones HTTP y métricas de particiones. También se suministran estadísticas de compuesto para proporcionar una isión general fácil de entender del estado de la PCA. Consulte Estadísticas de compuesto de instancias en la página 70. Si la PCA genera un olcado del núcleo, se proporciona un enlace a la página de Depuración en la pestaña de Resumen. Consulte Consola Web de PCA - Página de depuración en la página 175. Capítulo 4. Configuración de CX PCA 69

80 Hay disponible información adicional del sistema operatio a traés de la pestaña Programas de utilidad. Consulte Consola Web de PCA - Pestaña de Programas de utilidad en la página 170. Estadísticas de compuesto de instancias Figura 3. Pestaña de resumen - Estadísticas de compuesto de instancias De forma predeterminada, la página Resumen se renuea automáticamente cada 20 segundos. Para inhabilitar la función de renoación automática, pulse Inhabilitar renoación automática en la esquina superior derecha de la página. Cuando está inhabilitada, la página no se renuea automáticamente hasta que el usuario deja la página y luego uele a ella o la renoación automática se habilita nueamente. Para renoar manualmente los datos, pulse Renoar. Cuando el PCA está experimentando problemas con la captura o el proceso de los datos de hits, se puede isualizar un mensaje en la pestaña Resumen con alguna información sobre el problema. Los elementos que se listan en rojo se deben atender inmediatamente. Para obtener más información acerca de la ealuación de estos mensajes, consulte Información adicional de depuración de la consola web de PCA en la página 79. El porcentaje de paquetes extraños El porcentaje de paquetes que se encuentran en la secuencia de captura que la PCA no puede asociar a una conexión existente. Cuando se inicia la captura por primera ez, se espera que este número sea un porcentaje alto. Pero a medida que la captura continúa la asociación y el proceso de aciertos, esta cifra debe bajar. 70 IBM Tealeaf CX Passie Capture Application: Manual de PCA

81 Análisis: Si esta métrica está marcada en rojo, la calidad de los datos eniados a las conexiones PCA o TCP debe mejorarse. Estos son algunos métodos sugeridos. 1. Aplique filtros de tráfico: si todaía no lo ha hecho, puede aplicar filtros para eliminar el tráfico no deseado que se esté reeniando a la PCA. Se pueden aplicar filtros de tráfico a los rangos de puerto o a las direcciones IP. Consulte Consola Web de PCA - Pestaña Interfaz en la página Modalidad de captura: si la PCA está configurada para estar en la modalidad BusinessIT, se capturan más datos que no pueden ser importantes. El recuento de paquetes extraños puede caer si cambia la PCA para capturar en modalidad Business. Consulte Valores de la interconexión en la página Después de realizar los cambios a lo anterior, debe reiniciar la PCA. Consulte Capítulo 2, Instalación, en la página Compruebe el hardware: el puerto SPAN utilizado para entregar las coincidencias a la PCA puede estar descartando algunos debido a la sobresuscripción. Verifique con el departamento de TI que el puerto SPAN no esté perdiendo los datos. Los recuentos altos de paquetes extraños y las páginas faltantes pueden estar asociados a un mal funcionamiento de una tarjeta NIC en la máquina que aloja a la PCA. También debe reisar y actualizar, si fuera necesario, el controlador de la tarjeta NIC. 5. Sumas de comprobación incorrectas: si hay un número significatio de sumas de comprobación incorrectas, debe erificar con el personal de TI que el origen del tráfico que se reenía a la PCA esté generando sumas de comprobación álidas. Para probar la alidez de las sumas de comprobación en los datos del paquete, puede habilitar la alidación de la suma de comprobación en la pestaña Interfaz. La alidación está habilitada de manera predeterminada. Consulte Consola Web de PCA - Pestaña Interfaz en la página Puede haber información adicional disponible en el registro de estadísticas, que puede descargarse de la consola web de la PCA. Consulte Consola web de PCA - Pestaña de copia de seguridad-registros en la página Puede habilitar el archiado en la PCA, que entrega paquetes red en bruto al archio designado y puede resultar útil para la depuración de problemas en los datos de sesión. Nota: La utilización de las características de archiado de la PCA debe realizarse bajo la dirección del personal de Tealeaf. Para obtener más información, póngase en contacto con Soporte al cliente de Tealeaf. Consulte Consola web de PCA - Pestaña de copia de seguridad-registros en la página 166. Si es true, reassd no puede mantener listend El proceso de escucha (listend) en la instancia PCA está eniando más hits para el proceso de reensamblaje (reassd) de lo que puede ealuar. Como resultado, se han eliminado hits. Para obtener más información sobre el flujo de proceso en el PCA, consultecapítulo 1, Descripción general de la captura pasia, en la página 1. Análisis: Si está métrica está marcada en rojo, debe configurar el PCA para eniar menos hits mediante la instancia indiidual del PCA. Algunas sugerencias: Capítulo 4. Configuración de CX PCA 71

82 1. Añadir instancias PCA: Añadir instancias del IBM Tealeaf CX Passie Capture Application al seridor de hosting puede aliiar el olumen de tráfico a procesos indiiduales. Para obtener más información sobre el número máximo de instancias en el seridor, consulte Capítulo 2, Instalación, en la página 17. Para obtener más información sobre añadir instancias, consulte Consola Web de PCA - Pestaña Interfaz en la página Escucha en más puertos: Añadir puertos de escucha al PCA puede reducir los cuellos de botellas en el proceso sobre cualquier puerto indiidual. Consulte Consola Web de PCA - Pestaña Interfaz en la página 81. El porcentaje de conexiones de paquete descartadas Esta métrica identifica conexiones completadas que la PCA sospecha de condiciones de paquetes descartados. Análisis: Este problema es causado por la conexión entre la PCA y el dispositio que la alimenta. Reise la configuración de escucha para la PCA, la configuración de salida para el dispositio de enío y la topología de la red entre ambas. Para obtener más información sobre la configuración de las interfaces de red en las que la PCA escucha, consulte Consola Web de PCA - Pestaña de Programas de utilidad en la página 170. El porcentaje se conierte en tráfico unidireccional Esta métrica indica el porcentaje de tráfico que se pasa a la PCA que se muee en una dirección. Para oler a ensamblar una coincidencia, la PCA hace coincidir las solicitudes (el tráfico que se muee entre el naegador del cliente y el seridor web) con las respuestas (los mensajes que se deuelen al naegador del cliente basados en las solicitudes). Para capturar la experiencia de un isitante, la PCA debe recibir todo el tráfico bidireccional. Análisis: Normalmente, este problema es un problema de configuración con el dispositio que se encarga del reenío de datos a la PCA. Consulte con el departamento de TI para erificar que el puerto o conmutador SPAN está reeniando tráfico bidireccional a traés de todos los puertos Tealeaf. Cuando la PCA detecta coincidencias unidireccionales, esas coincidencias pueden descartarse. Para las coincidencias de tipo solicitud, estas pueden resultar en una coincidencia de solicitud cancelada, sin una respuesta correspondiente presente en la secuencia de captura. La tasa a la que reassd uele a montar en la actualidad los aciertos no SSL Esta métrica indica la tasa de procesamiento principal de la PCA. Normalmente, una instancia de la PCA debe poder procesar entre 400 y 600 aciertos por segundo. Para el tráfico SSL, la tasa del proceso es normalmente entre 200 y 300 aciertos por segundo. Análisis: Si esta tasa baja demasiado, entonces el proceso reassd está sobrecargado. Se pueden inestigar los siguientes elementos para intentar mejorar las tasas de procesamiento: 72 IBM Tealeaf CX Passie Capture Application: Manual de PCA

83 Compruebe las reglas de priacidad: las reglas de priacidad que se aplican en la PCA pueden ser costosas en lo que concierne al procesamiento, especialmente si utiliza expresiones regulares para ealuar los datos. Siempre que sea posible, eítelo al utilizar expresiones regulares. Utilice reglas de priacidad para bloquear o cifrar solo los datos más confidenciales. Para obtener más información sobre las reglas de priacidad, consulte Descarga de la configuración de priacidad en la página 126. La ealuación de la priacidad se puede moer de la PCA a la interconexión de Windows, según sea necesario. Mientras que la aplicación de priacidad en la PCA asegura que los datos confidenciales nunca se isualicen en el sistema Tealeaf, el procesamiento de la priacidad no crítica se puede aplicar a traés de la interconexión de Windows, al utilizar la configuración de reglas idénticas. Consulte "Agente de sesión de priacidad" en el Manual de configuración de CX de IBM Tealeaf. Para obtener más información sobre cómo Tealeaf despliega la priacidad, consulte "Gestión de priacidad de datos en Tealeaf CX" en el Manual de instalación de IBM Tealeaf CX. Si es true, se ha encontrado Diffie Hellman SSL Si esta métrica se marca en rojo, el PCA ha encontrado el algoritmo criptográfico Diffie Hellman SSL, que el PCA. Análisis: El IBM Tealeaf CX Passie Capture Application no puede capturar el tráfico en presencia de Diffie Hellman. Se recomienda que uela a configurar sus seridores web para no utilizar este protocolo. Para obtener más información, consulte la documentación que se iene con el producto del seridor web. El porcentaje de conexiones enejecidas Este alor indica el porcentaje de conexiones TCP capturadas por la PCA que han excedido el tiempo de espera. Las conexiones enejecidas pueden resultar en sesiones finalizadas de forma anómala en los datos de Tealeaf. Análisis: Grandes porcentajes de conexiones enejecidas pueden indicar un problema de configuración de red. Sucede, como lo indica el tiempo de espera excedido de la conexión, que la PCA está esperando datos que nunca se entregan. De manera predeterminada, la PCA se configura con un alor de tiempo de espera excedido de 60 minutos. Los tiempos de espera excedidos de conexiones de la PCA pueden configurarse en el archio ctc-conf.xml. El alor es <AgedTcpConnectionsTimeout> en la sección de captura. Consulte Archio de configuración de captura pasia ctc-conf.xml en la página 178. Claes de SSL que faltan/seg Esta métrica indica el número de claes de SSL que faltan que se detectan en el tráfico cada segundo. Análisis: Cuando la métrica se marca en rojo, las claes de SSL se actualizan el seridor web, todaía no se ha proporcionado el PCA con las nueas claes. Capítulo 4. Configuración de CX PCA 73

84 Sin las claes de SSL correctas, el PCA no puede descifrar el tráfico basado en SSL y esos hits se eliminan. Debe adquirir las nueas claes de SSL del seridor web. Póngase en contacto con el equipo de TI responsable de los seridores web. Para obtener más información sobre la instalación de las claes de SSL para PCA, consulte Capítulo 6, Claes SSL, en la página 203. Si su entorno está utilizando un Hardware Security Module para gestionar claes, puede ser necesaria más configuración. Consulte Apéndice D, Apéndice - Integración de claes de SSL de Tealeaf con HSM, en la página 261. KBytes de tráfico filtrados/seg. Este alor indica los kilobytes por segundo del tráfico que el PCA está capturando después de que se aplica cualquier regla de filtros configurados. Análisis: Si el alor es demasiado bajo, entonces puede tener un problema con los filtros de datos que se aplican mediante el PCA. Debe reisar los filtros que ha aplicado. Consulte Consola Web de PCA - Pestaña Interfaz en la página 81. Para ealuar la calidad del filtrado, debe reisar la calidad de los datos que se capturan. A traés de la reproducción, puede identificar rápidamente si los hits significatios se están eliminando. Para obtener más información sobre cómo utilizar la reproducción a traés de Tealeaf Portal, consulte "Reproducción basada en el naegador CX" en el manual de usuario de IBM Tealeaf cximpact. Para obtener más información sobre cómo utilizar la aplicación de escritorio deibm Tealeaf CX RealiTea Viewer, consulte "Visor RealiTea - Vista de reproducción" en el manual de usuario de isor IBM Tealeaf RealiTea. Si es no cero, se están eliminando los hits debido a una sobrecarga de la interconexión. Cuando el alor es no cero, el número indicado de los paquetes TCP se ha eliminado del proceso interconectado debido a condiciones de sobrecarga. Análisis: Este alor no debe ser cero. Puede especificar el máximo de tamaño permitido para paquetes indiiduales de TCP mediante los parámetros de ajuste en la pestaña de interfaz. Consulte Consola Web de PCA - Pestaña Interfaz en la página 81. Si se están eliminando algunos hits, arias reglas de priacidad o demasiada complejidad en ellas pueden generar la condición de sobrecarga. Consulte Descarga de la configuración de priacidad en la página 126. En PCA Build 3403 o posterior, puede añadir más instancias del proceso interconectado, que ayuda a distribuir la carga del proceso. Consulte Valores de la interconexión en la página 110. Cuando esta estadística se suma en todas las instancias PCA, el resultado indica el número total de hits perdidos debido al exceso del tamaño especificado de paquete TCP. Para calcular el % del total, diida este alor entre la suma de las estadísticas 74 IBM Tealeaf CX Passie Capture Application: Manual de PCA

85 Captured before hit processing para todas las instancias PCA, que es el total de recuento de hits para entregar a la cola de interconexión. Consulte Estadísticas por instancia en la página 144. El aumentar el número de interconexiones bajo la pestaña de interconexión puede ayudar a aliiar este problema. Consulte Valores de la interconexión en la página 110. Si es distinto de cero, los paquetes se eliminar debido a que sobrepasan la límite de tamaño máximo. Siempre que se recibe un paquete con un tamaño mayor que el límite de tamaño de paquetes de captura de gran tamaño máximo, esta métrica se incrementa en uno. Nota: Si a a utilizar una o más tarjetas de interfaz de red de fibra de 10 gibabits y está experimentando problemas de calidad de tráfico de captura, esto lo pueden causar los problemas de la tarjeta de interfaz de fibra y del controlador. Si no está utilizando las tarjetas de interfaz de NIC de Intel basadas en chipset, Tealeaf altamente recomienda que cambie sus NIC mediante la utilización de chipsetesintel. En la pestaña de interfaz en la ista de parámetros de ajuste, el campo Max large capture packet size define el límite de tamaño del paquete de captura de gran tamaño máximo. De forma predeterminada, este alor se establece en 8 KB. Según sea necesario, este alor se puede aumentar para acomodar los sistemas que tienen características tales como descarga de recepción grande (LRO) habilitada. El aumento del Max large capture packet size debe detener el aumento de la métrica en la pestaña de resumen. Capítulo 4. Configuración de CX PCA 75

86 Figura 4. Tamaño de paquete de gran tamaño máximo Conexiones TCP Consulte Consola Web de PCA - Pestaña Interfaz en la página 81. Figura 5. Pestaña de Resumen - Conexiones TCP Nota: La tabla de Conexiones TCP se isualiza en PCA Build 3500 o posterior, en la que se puede detectar el tráfico IP6. La captura y el procesamiento de IP6 no cuenta con soporte a partir de la PCA Build En la tabla de Conexiones TCP, puede reisar los tipos de direcciones IP detectados por la IBM Tealeaf CX Passie Capture Application. Una entrada de TRUE indica que se detecta el tipo de conexión. 76 IBM Tealeaf CX Passie Capture Application: Manual de PCA

87 Estado de la máquina El panel Estado de la máquina indica las métricas actuales en los recuentos y el estado general de cada proceso que se está ejecutando en el seridor de PCA. Figura 6. Pestaña de resumen - Estado de la máquina Valor Descripción Name Nombre del proceso de interconexión de PCA Running Recuento de procesos que se ejecutan en el seridor de PCA KB Size High Tamaño máximo en kilobytes utilizado por todas las instancias de proceso desde el último reinicio PCA. CPU % High Consumo máximo de RAM como un porcentaje de la memoria disponible en la CPU desde el último reinicio de PAC. Estadísticas de montaje Puede reisar las estadísticas en los puntos de montaje configurados en el seridor de PCA. Valor Descripción Mount Point Vía de acceso desde la raíz del punto de montaje especificado Usage Porcentaje de RAM disponible utilizada por el punto de montaje Aailable RAM disponible utilizada por el punto de montaje Iguales El panel Iguales indica la conectiidad entre el seridor PCA y los seridores del Sericio de transporte, que procesan los datos capturados por la PCA. Capítulo 4. Configuración de CX PCA 77

88 Figura 7. Pestaña de Resumen - Iguales Valor Descripción Deliery Host or Address Nombre de host o dirección IP estática del igual Port El puerto utilizado para comunicarse con el igual de Sericio de Transporte Normalmente, se utiliza el puerto 1966 oel1967. Status Estado actual: disconnected o connected Hits Deliered Recuento de coincidencias que se enían desde entregado al igual desde que la PCA se reinició por última ez Hits Dropped Recuento de coincidencias desde el último reinicio de la PCA que no reconocidos por el igual y por lo tanto descartados. Estadísticas actuales por segundo Nota: Los alores distintos a cero se deben inestigar con los administradores del seridor del Transport Serice, ya que pueden ser indicaciones de problemas de conectiidad o problemas en el proceso de coincidencias en la interconexión de Windows. Para cada instancia del PCA, este panel indica el flujo de coincidencias a traés de cada proceso de la aplicación en una base por segundo. Esto se renuea cada 20 segundos de forma predeterminada Figura 8. Pestaña Resumen - Estadísticas actuales por segundo Valor Descripción ID Identificador de la instancia Listend Packets In Recuento de paquetes que ingresan al proceso listend. Esta métrica indica la tasa de paquetes recibidos por el PCA desde la red. 78 IBM Tealeaf CX Passie Capture Application: Manual de PCA

89 Listend Out Volumen de datos que deja el proceso listend por segundo. Reassd In Volumen de datos que se espera que ingrese al proceso reassd por segundo. Esta métrica debe coincidir con el olumen que deja el proceso listend. Las diferencias entre los alores de Listend Out y Reassd In pueden indicar problemas con las coincidencias del procesamiento de PCA lo suficientemente rápido para coincidir con el flujo actual de tráfico. TCP Connections Recuento de conexiones TCP entre el PCA y el conmutador o extensión que enía datos al mismo SSL Missing Keys Recuento de claes SSL faltantes por segundo. Nota: Este alor debe ser cero. Los alores distintos de cero pueden indicar problemas a inestigar. Consulte Consola Web de PCA - Pestaña Claes SSL en la página 106. SSL New Handshakes Recuento de reconocimientos SSL nueos detectados en la secuencia de captura por segundo. Generalmente, esta métrica indica el recuento de sesiones nueas. Nota: La presencia sistemática de alores anormales puede indicar que el seridor web está inicializando nueos reconocimientos SSL cuando no debe, lo que puede indicar un problema de configuración del lado del seridor. Reassd Hits Non-SSL Recuento de coincidencias no SSL que están ingresando al proceso reassd por segundo Reassd Hits SSL Recuento de coincidencias SSL que están ingresando al proceso reassd por segundo Reassd Out Recuento de coincidencias que están dejando el proceso reassd por segundo Información adicional de depuración de la consola web de PCA Obtenga tcpdumps del tráfico de red entregado a PCA. Estos datos pueden ser útiles al ealuar qué problemas se están produciendo dentro de PCA o en otro lado en la infraestructura de red de empresa. La información estadística puede descargarse en el registro Estadísticas. Consulte Estadísticas por instancia en la página 144. Si el PCA ha generado un olcado del núcleo debido a un error importante, puede descargar el olcado del núcleo y otros datos a traés de la página Depuración, a la que se puede acceder desde un enlace en la pestaña Resumen. Consulte Consola Web de PCA - Página de depuración en la página 175. Hay más información disponible en los registros de PCA. Consulte Consola web de PCA - Pestaña de copia de seguridad-registros en la página 166. Capítulo 4. Configuración de CX PCA 79

90 Consola web de PCA - Pestaña Consola La siguiente imagen muestra las funciones disponibles en la pestaña Consola, incluidos los alores predeterminados de las cuatro opciones de configuración: Figura 9. Pestaña de Consola Las opciones disponibles en la pestaña Consola incluyen las siguientes opciones. Valor Descripción Iniciar/detener captura Este botón controla si el dispositio de Captura pasia captura paquetes de la red. Al iniciarlo, captura paquetes. Al detenerlo, no captura paquetes. La Captura no se puede iniciar si está inhabilitada. Cuando selecciona Detener captura, se muestra el recuadro de selección Restablecer todas las estadísticas antes de iniciar captura. Nota: Si está habilitada la migración tras error de la máquina maestra/esclaa de PCA, no seleccione el recuadro de selección Restablecer todas las estadísticas antes de iniciar captura para borrar las estadísticas. El borrado o restablecimiento de estadísticas impide que la migración tras error funcione correctamente. Si necesita borrar estadísticas, primero detenga la migración tras error en la pestaña Migración tras error. El reinicio del PCA establece el estado de migración tras error de la máquina correctamente con las estadísticas borradas. Habilitar/inhabilitar la Captura Este botón controla el comportamiento de la aplicación de captura principal cuando se inicia el sericio en el tiempo de arranque, desde la línea de mandatos o desde la consola web. Cuando está habilitada, la aplicación de captura principal puede iniciarse. Cuando está inhabilitada, la aplicación de captura principal no puede iniciarse. Habilitar/inhabilitar agotar tiempo de espera de la consola web De forma predeterminada, se configura la consola web de la PCA para agotar el tiempo de espera de las sesiones si no se detecta actiidad en 30 minutos. Para inhabilitar el tiempo de espera excedido de la consola, pulse Inhabilitar. Si está inhabilitada la autenticación de usuario para la consola web, no es aplicable el tiempo de espera excedido para la consola. 80 IBM Tealeaf CX Passie Capture Application: Manual de PCA

91 Para habilitar un tiempo de espera excedido para la consola, pulse Habilitar. Especifique un alor que no sea cero para el número de minutos que debe establecer para el tiempo de espera excedido. A continuación, pulse Establecer. Las pestañas de la consola que se renuean automática, como por ejemplo la pestaña de Resumen y la pestaña de Consola, no restablecen el tiempo de espera excedido. Nota: El tiempo de espera excedido de la consola puede habilitarse o inhabilitarse en la PCA Build 3600 o posterior. - Puede configurar la duración del tiempo de espera de la consola en la PCA Build 3500 o posterior. Sin embargo, antes de la PCA Build 3600, el tiempo de espera de la consola no se puede inhabilitar. Consola Web de PCA - Pestaña Interfaz En la pestaña Interfaz, puede configurar el número de instancias de la IBM Tealeaf CX Passie Capture Application y las reglas de tráfico para eniar datos a cada instancia. Nota: Puede configurar la consola web PCA para aceptar direcciones IP6 de forma predeterminada. Consulte Naegadores soportados para la consola web de PCA en la página 64. Nota: Después de guardar los cambios en la pestaña Interfaz, es necesario un reinicio manual de PCA. Consulte Consola web de PCA - Pestaña Consola en la página 80. CX Passie Capture Application puede configurarse para dar soporte al equilibrio de carga transparente o puede inhabilitar el equilibrio de carga y utilizar el método de herencia de captura de tráfico de red. Para obtener más información sobre los beneficios del equilibrio de carga transparente, consulte Visión general del equilibrio de carga transparente de PCA en la página 10. Si desea configurar CX PCA para utilizar el equilibrio de carga transparente, consulte Configuración de la interfaz de PCA con el equilibrio de carga transparente en la página 82. Si no desea habilitar el equilibrio de carga transparente en CX PCA, consulte Configuración de la interfaz de PCA sin el equilibrio de carga transparente. Configuración de la interfaz de PCA sin el equilibrio de carga transparente Figura 10. Seleccionar ista Desde la parte superior de la página, puede seleccionar la ista de la página. Para configurar instancias indiiduales de la IBM Tealeaf CX Passie Capture Application, pulse Ver instancias. Consulte Ver instancias en la página 83. Para editar filtros de datos para cada instancia, pulse Editar filtros. Consulte Edición de filtros en la página 96. Para reisar y editar la interfaz que ajusta los parámetros, pulse Ajuste de parámetros. Consulte Parámetros de ajuste en la página 97. Capítulo 4. Configuración de CX PCA 81

92 Segmentación de tráfico: a traés de la pestaña Interfaz, puede segmentar el tráfico en arias instancias de IBM Tealeaf CX Passie Capture Application. Los dos métodos siguientes están disponibles para la segmentación del tráfico para distribuir la carga de tráfico: Seridor web host IP/Filtrado de direcciones de puerto en la página 84 Nota: Siempre que sea posible, la segmentación de la dirección IP es el método preferido antes que la segmentación de puerto. Filtrado de segmentación de puerto de cliente TCP en la página 85 Consulte Segmentación del tráfico en la página 84. Configuración de la interfaz de PCA con el equilibrio de carga transparente Puede configurar la interfaz de red de su CX Passie Capture Application con el equilibrio de carga transparente. Para obtener más información sobre los beneficios de habilitar el equilibrio de carga transparente, consulte Visión general del equilibrio de carga transparente de PCA en la página 10. Para configurar En la pestaña Interfaz, puede configurar el número de instancias de IBM Tealeaf CX Passie Capture Application y una regla de tráfico para eniar datos a cada instancia. Nota: Puede configurar la consola web PCA para aceptar direcciones IP6 de forma predeterminada. Consulte Naegadores soportados para la consola web de PCA en la página 64. Nota: Después de guardar los cambios en la pestaña Interfaz, es necesario un reinicio manual de PCA. Consulte Consola web de PCA - Pestaña Consola en la página 80. Figura 11. Seleccionar ista Desde la parte superior de la página, puede seleccionar la ista de la página. Para configurar instancias indiiduales de la IBM Tealeaf CX Passie Capture Application, pulse Ver instancias. Consulte Ver instancias en la página 83. Para editar filtros de datos para cada instancia, pulse Editar filtros. Consulte Edición de filtros en la página 96. Para reisar y editar la interfaz que ajusta los parámetros, pulse Ajuste de parámetros. Consulte Parámetros de ajuste en la página 97. Segmentación de tráfico: a traés de la pestaña Interfaz, puede segmentar el tráfico en arias instancias de IBM Tealeaf CX Passie Capture Application. Los dos métodos siguientes están disponibles para la segmentación del tráfico para distribuir la carga de tráfico: Seridor web host IP/Filtrado de direcciones de puerto en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

93 Nota: Siempre que sea posible, la segmentación de la dirección IP es el método preferido antes que la segmentación de puerto. Filtrado de segmentación de puerto de cliente TCP en la página 85 Consulte Segmentación del tráfico en la página 84. Ver instancias Las instancias de múltiple interfaz le permiten al PCA aproechar hardware de arios núcleos y de arios CPU al permitir arios procesos para capturar simultáneamente el tráfico de red para el reensamblado de coincidencias HTTP y el descifrado de SSL. Figura 12. Instancias Nota: El número de instancias PCA no debe exceder: (el número de núcleos disponibles) - 1 Consulte Capítulo 2, Instalación, en la página 17. Para habilitar la captura de arias instancias, pulse el recuadro de selección. Para inhabilitar la alidación de suma de comprobación de paquetes capturados, pulse el recuadro de selección. Consulte Inhabilitar alidación de suma de comprobación de paquete. Para añadir una instancia del PCA, pulse Añadir instancia. Se añade otra instancia a la lista de instancias. Consulte Lista de instancias en la página 93. Para llenar automáticamente números de puerto en todos instancias actuales del PCA, pulse Llenar puertos. Consulte Llenado de puertos en la página 86. Para eliminar todos los filtros actuales de todas las instancias, pulse Eliminar filtros. Inhabilitar alidación de suma de comprobación de paquete: De forma predeterminada, el PCA realiza una alidación de la suma de comprobación para cada paquete que se le reenía. En entornos con tarjetas de interfaz de red (NIC) que utilizan la opción grande de recibir (LRO) o la descarga de la suma de comprobación (rx-checksumming) o ambas, la alidación de la suma de comprobación de los paquetes de red capturados se gestionan en el hardware de la tarjeta. Dado que la alidación de la suma de comprobación se realiza en paquetes indiiduales en el hardware, no es razonable realizar otra suma de comprobación de los paquetes más grandes, agregados. Capítulo 4. Configuración de CX PCA 83

94 Cuando se habilita una o ambas de estas opciones, los paquetes resultantes que se reenían al PCA no contienen una suma de comprobación del paquete recalculado, que hace que la suma de comprobación falle y el paquete se deba descartar. Otros efectos: Los recuentos de páginas que faltan o parciales aparecen en los datos de la sesión. Las estadísticas de PCA deben mostrar un aumento significatio en Total checksum errors. Consulte Estadísticas por instancia en la página 144. Nota: Si el NIC utilizado por el IBM Tealeaf CX Passie Capture Application utiliza la opción grande de recibir y/o la descarga de la suma de comprobación, debe inhabilitar la alidación de la suma de comprobación en la consola web de PCA. Para inhabilitar, seleccione la casilla de comprobación Disable Packet checksum alidation en la pestaña de interfaz. Como una alternatia, puede habilitar la alidación de la suma de comprobación para el IBM Tealeaf CX Passie Capture Application si inhabilita la descarga de la suma de comprobación a traés del niel de controlador del sistema operatio. No obstante, esta opción añade un uso de procesos para el sistema operatio. El mandato para inhabilitar la descarga de suma de comprobación para el NIC deben colocarse en el script de configuración de modo de inicio. Segmentación del tráfico: Los paquetes capturados se trafican a instancias indiiduales de la PCA en base al Tráfico deseado especificado para cada instancia y a los alores globales del Tráfico ignorado. La Captura pasia examina cada paquete de red y determina cómo traficarlo en base a las reglas de filtro. Con la ayuda de las reglas de filtro, puede especificar dónde quiere que aya el tráfico requerido, ayudar a equilibrar la carga entre arias instancias de la PCA y definir los tipos de tráfico que puede ignorar la PCA. Nota: La PCA configura automáticamente sus filtros de escucha para permitir la captura de paquetes VLAN 802.1q. Consulte Filtros de VLAN en la página 101. Para eliminar todos los filtros de todas las instancias, seleccione Eliminar filtros en la sección Funciones generales. Cualquiera de los dos métodos siguientes puede configurarse en la pestaña Interfaz para que segmente cargas de tráfico a instancias múltiples de la PCA: Filtrado de las direcciones IP/Puerto del host del seridor web: el método típico y preferido para la segmentación de tráfico por la instancia de PCA es filtrar a las direcciones IP/Puerto del host del seridor web. Consulte Seridor web host IP/Filtrado de direcciones de puerto. Filtrado de la segmentación de puerto de cliente de TCP: el método alternatio, la segmentación de puerto de cliente de TCP, se utiliza cuando el tráfico de captura se presenta como una única dirección IP de web irtual (VIP). Consulte Filtrado de segmentación de puerto de cliente TCP en la página 85. Seridor web host IP/Filtrado de direcciones de puerto: Si al tráfico de captura presentado al PCA lo siren arios seridores web a traes de sus direcciones de IP de host/puerto, entonces cada instancia PCA puede filtrar para un subconjunto de esas direcciones IP de host. Este método proporciona los medios para distribuir cargas de tráfico a traés de arias instancias. Nota: Los filtros IP se listan en el orden en el cuál los escriba, y el orden no puede cambiarse de forma dinámica. Sin embargo, cuando los filtros se compilan en 84 IBM Tealeaf CX Passie Capture Application: Manual de PCA

95 formato binario, se pueden intercalar por dirección y la máscara de red para un proceso óptimo, aunque improbable. Periódicamente, la lista de filtros se debe reisar para comprobar que todos los filtros actios contienen tráfico. Filtros sin tráfico se deben eliminar de la lista. Figura 13. Reglas de filtro (PCA Build 35xx o posterior) Para cada instancia del PCA (área de control de páginas), las secciones Lista de instancia y Tráfico ignorado identifican los paquetes de la red para incluir e excluir. Si el paquete coincide con el tráfico requerido y coincide con el tráfico a ignorar, entonces captúelo para un proceso adicional. Consulte Reglas de filtro de tráfico ignorado en la página 91. En la sección reglas de filtro, puede especificar las direcciones IP/Puertos que se someten datos al PCA. Puede agregar y suprimir direcciones IP específicas o de un rango de direcciones IP. También puede especificar hosts específicos cuyo tráfico no desee que el dispositio capture. Para obtener más información sobre buenas prácticas en la gestión de las direcciones IP, consulte Prácticas recomendadas para reglas de filtro en la página 92. Para obtener más información sobre cómo crear reglas para la segmentación de tráfico de este método, consulte Reglas de filtro para un host en la página 88. Para obtener más información sobre cómo crear reglas para ignorar tráfico, consulte Reglas de filtro de tráfico ignorado en la página 91. Filtrado de segmentación de puerto de cliente TCP: Cuando el tráfico se sire desde una dirección IP de web irtual única (VIP), puede utilizar el método de segmentación de puerto de cliente TCP para segmentar el tráfico basado en rangos de puerto de cliente TCP. Nota: Siempre que sea posible, la segmentación de la dirección IP es el método preferido antes que la segmentación de puerto. Consulte Seridor web host IP/Filtrado de direcciones de puerto en la página 84. Ya que no existen arias direcciones IP de host de seridor web para distribuir, la segmentación se realiza mediante rangos de puerto de cliente TCP. Cada instancia PCA filtra en un rango de puertos TCP de cliente. El agregado de todos los rangos de puerto en todas las instancias de la PCA abarca el espectro entero de puertos TCP de cliente y por lo tanto, asegura la captura completa. Los siguientes son los requisitos para utilizar este método: El tráfico de la dirección IP irtual (VIP) debe contener sólo el tráfico de captura requerido. Se utiliza todo el tráfico en esta VIP. Capítulo 4. Configuración de CX PCA 85

96 Nota: Verifique que la VIP no tenga ningún tráfico no deseado. Sólo se puede especificar una VIP para este tipo de filtrado. Los números de puerto TCP de host de seridores web deben ser menores a Por ejemplo, los puertos de host 8443, 4443 y 1443 no son álidos. No se pueden utilizar las reglas de filtro ignoradas. Para obtener más información sobre cómo crear reglas de filtro para este método de segmentación de tráfico, consulte Reglas de filtro para un rango de puertos en la página 89. Para obtener más información sobre el soporte de filtros personalizados, póngase en contacto con Tealeaf Llenado de puertos: Nota: La utilización de rangos de puertos para segmentar el tráfico capturado se considera una función aanzada y debe especificarse solamente durante la configuración inicial de la IBM Tealeaf CX Passie Capture Application. Si tiene alguna pregunta, póngase en contacto con Tealeaf Para empezar, puede llenar automáticamente los rangos de puerto que se dirigen a cada instancia de la PCA. Todos los rangos de puerto desde 1024 y superiores, se diiden de forma equitatia entre las instancias de la PCA. Por ejemplo, si tiene tres instancias de la PCA, cada PCA recibe tráfico de una cantidad igual de puertos, lo que equiale a los siguientes puertos: (65, ) /3 = 21,504 ports/instance Nota: Los números álidos de puertos están comprendidos entre 1024 y Los números de puerto por debajo de 1024 están reserados. Para obtener más información, consulte Nota: El llenado de los puertos elimina todos los demás filtros de escucha de cada instancia de la PCA. 1. Para el llenado de los rangos de puerto, pulse Llenar puertos. 2. Los rangos de puerto se llenan en todas las instancias disponibles de la PCA. Guarde los cambios. 3. Es necesario reiniciar la PCA. Después de llenar los puertos, debe superisar la carga de tráfico que se enía a cada instancia. Por ejemplo, suponga que el seridor web entrega respuestas HTTP en el puerto A continuación, la instancia de la PCA que recibe este tráfico puede que esté ejecutándose en caliente, mientras que otras apenas sí se están utilizando. Las estadísticas de Coincidencias de Current por segundo se informan en el separador Resumen, con cada instancia de PCA notificada en un alor de ID diferente. El índice de coincidencias/seg SSL se informa en la columna SSL de coincidencias Reassd. El índice de coincidencias/seg no SSL se informa en la columna no SSL de coincidencias Reassd. Consulte Consola Web de PCA - Pestaña Resumen en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

97 Ajustes: Si nota desequilibrios, debe considerar la aplicación de más reglas de filtro. En seridores multinúcleo IBM Tealeaf CX Passie Capture Application, puede crear arias instancias de la PCA y distribuir la carga en rangos de puerto configurables. Consulte Equilibrio de carga entre instancias PCA mediante la utilización de rangos de puerto. Después del llenado automático de puertos, puede configurar una dirección IP irtual. Consulte Edición de reglas de filtro de rango de puertos existentes en la página 90. Equilibrio de carga entre instancias PCA mediante la utilización de rangos de puerto: Cuando se llenan los rangos de puertos en todas las instancias disponibles de PCA, el PCA asigna el mismo número de puertos a cada instancia disponible de PCA. Normalmente, sin embargo, la infraestructura de red de empresa no distribuye equitatiamente la carga de tráfico en toda la gama de puertos disponibles. Después de que ha llenado los rangos de puertos, puede descubrir que la carga de tráfico no está distribuida uniformemente entre las instancias. Por ejemplo, la instancia 0 de PCA puede estar procesando el 75% de los datos reeniados, mientras que la instancia 1 de PCA está procesando solo el 25%, aunque cada instancia está a la escucha en el mismo número de puertos. Al seguir estos pasos, puede ajustar los rangos de puertos asignados a cada instancia de PCA para equilibrar la carga entre las instancias disponibles. Este proceso puede requerir ajuste iteratio y debería producir periodos de tráfico máximo. 1. Cree una instancia del número requerido de instancias de PCA. Consulte Ver instancias en la página En la pestaña de interfaz, pulse Llenar puertos. 3. Guarde los cambios. 4. El paso anterior distribuye el tráfico de carta uniformemente en todos los puertos. Los siguientes pasos se deben repetir hasta que la carga de datos se distribuya uniformemente a todos los puertos disponibles para las instancias de PCA: a. Compruebe el número de hits SSL/seg procesados por cada instancia. El proceso de hits de SSL es la operación más intensia de CPU y un buen indicador para el equilibro de carga. Si los hits de SSL no son el olumen de tráfico principal, entonces utilice las tasas no hits de SSL/seg para medir la carga. Puede utilizar una combinación de los dos, si es necesario. Las estadísticas de Coincidencias de Current por segundo se informan en el separador Resumen, con cada instancia de PCA notificada en un alor de ID diferente. El índice de coincidencias/seg SSL se informa en la columna SSL de coincidencias Reassd. El índice de coincidencias/seg no SSL se informa en la columna no SSL de coincidencias Reassd. Consulte Consola Web de PCA - Pestaña Resumen en la página 69. b. Al utilizar las tasas específicas de hits por segundo en cada instancia de PCA, debe reisar y modificar ligeramente los rangos de puertos, expandiendo o modificando según sea necesario, para aproximarse más a la distribución de carga uniforme. c. Ajuste y, a continuación, reise los resultados en la pestaña resumen. Capítulo 4. Configuración de CX PCA 87

98 Nota: La consola web de PCA no alida los rangos de puertos especificados. Con cada ajuste, erifique que no se creen huecos o solapamientos en los rangos de puertos y que no se especifica la totalidad de rangos de puertos disponibles. d. Es improbable que cualquier conjunto de ajustes produzca una distribución equitatia. La obtención de tasas de hits/seg para cada rango hasta 25% de cada uno de los otros debe ser suficiente, ya que las tasas de carga pueden ariar en el tiempo. e. Guarde los cambios. El PCA se reinicia automáticamente y se aplican los cambios. f. Repita los pasos anteriores hasta que la carga se equilibre de acuerdo a su conformidad. 5. Cuando se completen sus ajustes, erifique que todo el rango de puertos disponibles ( ) esté cubierto por el conjunto de rangos de puertos. Las pausas y las superposiciones debe eliminarse. Reglas de filtro: Puede utilizar reglas de filtro para filtrar paquetes de datos entrantes y transportarlos a instancias específicas de PCA. Se pueden definir reglas para filtrar basadas en el nombre de host, la máscara de red y el rango de puerto del tráfico entrante. Nota: El panel Filtrar reglas es útil para añadir una regla de filtro única para aplicar a arios hosts en arias instancias de PCA. Para la creación y depuración inicial, la ista de editar filtros proporciona métodos más fáciles para erificar que todos os puertos están cubiertos por las reglas de filtro para todas las instancias.consulte Edición de filtros en la página 96. Reglas de filtro para un host: Las reglas de filtro basadas en host se pueden utilizar para el tráfico deseado o ignorado de acuerdo al host que está eniando el tráfico. Para especificar el tráfico basado en puertos, utilice un filtro de rango de puertos. Consulte Reglas de filtro para un rango de puertos en la página 89. Para especificar una regla de filtros para un host: Nota: No confunda las reglas de filtro con los dos métodos de segmentación de tráfico. Solo puede utilizar las reglas de filtro especificadas para el método seleccionado. 1. Entre la dirección de IP del host. Si este alor se deja en blanco, se capturan todos los IP de host al basarse en el número de puerto especificado. Sin embargo, el alor de tamaño de la máscara de red no se puede utilizar sin un alor de host álido. Para añadir un host, pulse el Añadir más. En PCA Build 34xx y anteriores, pulse el enlace Añadir un host. 2. Si el tráfico de host procede de una máscara de red específica, entre el alor aquí. 3. Si las casillas de comprobación del puerto 1yelpuerto 2 no se han especificado, todo el tráfico del host/máscara de red se filtra basado en una regla. Para una regla basada en host, no especifique los puertos especificados. 4. Desde añadir a desplegar, seleccione la instancia PCA a la que se aplica la regla. 5. A continuación, seleccione el tipo de regla de filtro: Desired - El tráfico especificado se dirige a la instancia seleccionada. 88 IBM Tealeaf CX Passie Capture Application: Manual de PCA

99 Ignored - El tráfico especificado se ignora y se elimina del proceso adicional. Consulte Reglas de filtro de tráfico ignorado en la página Pulse Añadir. 7. La regla de filtro se añade a la instancia especificada y se aplica inmediatamente al tráfico de entrada. Reglas de filtro para un rango de puertos: Una regla de filtro de rango de puertos se puede utilizar para dirigir el tráfico requerido en un conjunto de puertos específicos a una instancia de PCA. Están soportados los siguientes métodos para especificar los filtros de rango de puertos: Nota: Los números álidos de puertos están comprendidos entre 1024 y Nota: No confunda las reglas de filtro con los dos métodos de segmentación de tráfico. Solo puede utilizar las reglas de filtro especificadas para el método seleccionado. Automático: El método preferido para especificar los filtros de rango de puertos es llenar los puertos automáticamente. Crea la regla de filtro de rango de puertos correcta para cada instancia. El llenado de puertos presupone que todas las instancias requeridas ya se ha creado. Consulte Llenado de puertos en la página 86. Después del llenado automático de los rangos de puertos, puede editar si es necesario. Consulte Edición de reglas de filtro de rango de puertos existentes en la página 90. Manual: Si está especificando manualmente los rangos de puertos (no llenados automáticamente), solo se permite una entrada de dirección IP para el filtrado VIP (IP irtual). Se ignora cualquier dirección IP adicional a los rangos de puertos. La solución alternatia es utilizar una máscara de subred con una sola dirección IP. Los siguientes pasos habilitan la especificación manual de una regla de filtro de rango de puertos para la instancia especificada. Si debe editar las reglas existentes, pulse Editar filtros en la pestaña de interfaz. Las reglas de filtro de rango de puertos pueden filtrar en una dirección VIP requerida, que permite el filtrado de los otros tráficos no deseados con un tráfico de dirección VIP. Si el tráfico de captura solo contiene el tráfico requerido, entonces aquí no es necesaria la dirección IP. Adición manual o especificación de una regla de filtro para un rango de puertos: Capítulo 4. Configuración de CX PCA 89

100 Figura 14. Adición manual de reglas de filtro de rango de puertos (PCA Build 35xx o posterior) 1. Si es necesario, bajo las reglas de filtro, entre la dirección IP o el VIP en el campo Host. 2. Para el tipo de regla de filtro, seleccione Port Range, que enía el tráfico especificado a la instancia seleccionada. 3. Utilice la misma dirección IP para cada regla de filtro de rango de puertos. Si se necesitan arias direcciones IP y se agrupan en una subred, entonces se puede aplicar una máscara de subred a la dirección IP base. Por ejemplo, una entrada de /24 coincide con los primeros 24 bits de la dirección IP (los tres primeros octetos) y permite la coincidencia de comodines en cualquier alor en el cuarto octeto, que está especificado como 0. Cualquier rango de puertos que está especificado por este IP irtual coincide con todas las 254 direcciones IP del VIP. 4. Si el tráfico VIP iene de una máscara de red específica, entre aquí el alor de la máscara. 5. Entre el alor de puerto de inicio en el campo Start Port y el alor de puerto final en el campo End Port. 6. Desde la instancia desplegable, seleccione una instancia de PCA a la que aplicar la regla. 7. Pulse Crear filtro. En PCA 34xx y anteriores, pulse Añadir. 8. La regla de filtro se añade a la instancia especificada y se aplica inmediatamente al tráfico de entrada. Nota: Solo se debe añadir una regla de filtro de rango de puertos a cada instancia. Se ignora cualquier regla de rango de puertos adicional para la instancia. Nota: Después de guardar los cambios en el separador Interfaz, es necesario reiniciar PCA manualmente. Consulte Consola web de PCA - Pestaña Consola en la página 80. Edición de reglas de filtro de rango de puertos existentes: 90 IBM Tealeaf CX Passie Capture Application: Manual de PCA

101 Figura 15. Edición de reglas de filtro de rango de puertos existentes con una dirección VIP Nota: Esta modalidad se puede utilizar para añadir una dirección VIP si se ha realizado la opción auto llenar puertos (Botón llenar puertos). 1. Si es necesario, en la pantalla Editar filtros, pulse la casilla de comprobación Rango de puertos. 2. Entre la dirección de IP del VIP en el campo Address. 3. Utilice y aplique la misma dirección de IP para cada regla de filtro de rango de puertos. 4. Cambie cualquier campo de regla de filtros según sea necesario. 5. Para aplicar los cambios, pulse Guardar cambios. Nota: Después de guardar los cambios en la pestaña Interfaz, es necesario un reinicio manual de PCA. Consulte Consola web de PCA - Pestaña Consola en la página Los cambios de configuración se aplican a tráfico de entrada. Reglas de filtro de tráfico ignorado: Puede especificar las reglas de filtro para ignorar el tráfico. Estas reglas se aplican en todas las instancias del PCA. Figura 16. Especificación de una regla de filtro de tráfico ignorado 1. Especifique la regla en el recuadro de reglas de filtro. a. Especifique el host el tráfico desde los que desea ignorar. Para ignorar todo el tráfico de un alor de puerto específico, deje estos alores en blanco. Capítulo 4. Configuración de CX PCA 91

102 b. Especifique el puerto para ignorar, si es necesario. Para ignorar todos el tráfico de un host, deje acíos los alores de máscara de red y de puerto. Nota: No puede especificar rangos de puerto para reglas de tráfico ignorado. 2. Pulse el recuadro de selección Ignorado. 3. Pulse Crear filtro. En PCA 34xx y anteriores, pulse Añadir. 4. La regla se llena en el recuadro Tráfico ignorado (Global) en la parte inferior de la pantalla. Figura 17. Tráfico ignorado (Global) Todo el tráfico que se enía desde la dirección que está coincidiendo con las reglas de tráfico ignorado se eliminan del PCA. Prácticas recomendadas para reglas de filtro: Se recomienda limitar el número de reglas de filtro a no más de 20 para cada instancia del PCA. Nota: El rendimiento de los filtros de IP tiende a disminuir a medida que se añaden más entradas. Se recomienda eitar tener más de 20 entradas en una instancia. Para solucionar este problema, puede: Reducir el número de reglas de filtro utilizando máscaras de subred. Por ejemplo, si está utilizando reglas de filtro indiiduales para cada puerto en un rango de puertos, puede utilizar una máscara de subred para crear una única regla de filtro para todos los puertos del rango. Crear arias instancias de la aplicación PCA. Consulte Capítulo 2, Instalación, en la página 17. Mezclar filtros para direcciones IP específicas y rangos de puertos: Es posible utilizar combinaciones de direcciones IP específicas y rangos de puertos para filtrar tráfico. Nota: El método de configuración de filtros es solo para usuarios aanzados de PCA. No está soportado en la interfaz de la consola web de PCA y se puede implementar solo al editar manualmente el archio de configuración. Después de que se implementa este método, ya no podrá utilizar la consola web para editar sus filtros. Nota: Si se mezclan estos métodos, el probable que genere tráfico duplicado si implementa manualmente este cambio. 92 IBM Tealeaf CX Passie Capture Application: Manual de PCA

103 Para mezclar modalidades de filtrado en la misma configuración, puede insertar entradas similares a la siguiente en ctc-conf.xml: Nota: Las entradas editadas manualmente se puede perder si se utiliza la consola web de PCA y genera una reescritura de su configuración. <Instance> <ListenTos> <ListenTo> <Address> </Address> <PortRange> </PortRange> </ListenTo> </ListenTos> </Instance> Consulte Archio de configuración de captura pasia ctc-conf.xml en la página 178. Lista de instancias: Figura 18. Instancias En la lista de instancias, puede configurar, habilitar, inhabilitar y suprimir instancias del IBM Tealeaf CX Passie Capture Application en el seridor. Para suprimir una instancia creada, pulse el enlace suprimir junto al listado en la lista de instancias. La instancia principal no se puede suprimir. Para alternar el uso de una instancia secundaria, pulse el enlace Habilitado o Inhabilitado junto a su nombre Para eliminar todos los filtros para una instancia específica, pulse borrar filtros. Para editar una instancia, pulse el enlace editar junto a su lista. Consulte Interfaces de red de captura en la página 94. Capítulo 4. Configuración de CX PCA 93

104 Interfaces de red de captura: Figura 19. Interfaces de red de captura Las opciones que se muestran en la figura incluyen las siguientes descripciones. Nota: Si está utilizando arias instancias, todas las instancias deben establecerse dentro del listado de la instancia primaria. De lo contrario, el PCA no se inicia. Valor Descripción Primary Interface Esta lista desplegable designa una interfaz de red de hardware determinada como la interfaz primaria para la captura. El menú desplegable es una lista compilada dinámicamente de las interfaces importantes. Secondary Interface Esta lista desplegable designa una interfaz de red de hardware determinada como la interfaz secundaria para la captura. El menú desplegable es una lista compilada dinámicamente de las interfaces importantes. Listen Interfaces Seleccione las interfaces en las que escucha la instancia seleccionada: Both Interfaces - Ambas interfaces escuchan el tráfico. Primary Interface only - Sólo la interfaz primaria escucha el tráfico. Inherited from Primary - Las interfaces de escucha se heredan de la instancia primaria. Listen Direction Selecciona las direcciones en las que las interfaces seleccionadas escuchan el tráfico: Bidirectional - Las interfaces seleccionadas escuchan paquetes entrantes y salientes. Unidirectional - La interfaz primaria escucha paquetes entrantes, y la interfaz secundaria escucha paquetes salientes. Inherited from Primary - Las direcciones de escucha se heredan de la instancia primaria. Ejemplos: A continuación se muestran unos ejemplos de interfaces. 94 IBM Tealeaf CX Passie Capture Application: Manual de PCA

105 Interfaz principal sólo bidireccional Esta opción está a la escucha en la interfaz principal para ambos paquetes, de entrada y salida. Utilícela cuando esté conectado a un segmento de red único a traés de un conmutador con duplicación de puerto o un concentrador. Interfaz bidireccional principal y secundaria Esta opción escucha en ambas interfaces para paquetes de entrada y salida. Utilícela cuando esté conectado a dos segmentos de red independientes a traés de conmutadores con duplicación de puerto o concentrador. Interfaz unidireccional principal y secundaria Esta opción está a la escucha en la interfaz principal para paquetes de entrada y en la interfaz secundaria para paquetes de salida. Utilícela cuando está conectado a un solo segmento de red a traés de un tap. Tráfico a ignorar: Esta sección especifica tráfico que el dispositio debe ignorar explícitamente. Aún cuando un par host-puerto en esta lista cumpla con los criterios en la sección Tráfico deseado, el dispositio no lo captura. Para ignorar todo el tráfico para un host, especifique * o All como el puerto. Cuando especifica las combinaciones host y puerto a ignorar, añade restricciones que los paquetes coincidentes no deben ser una de las combinaciones de host y puerto. Por ejemplo, suponga que desea capturar todo el tráfico hacia y desde los hosts que se comunican en los puertos 1, 2y3excepto para las siguientes combinaciones de host y puerto: Host Puerto La descripción de ese tráfico es igual a ejecutar el siguiente mandato único: tcpdump -n -i eth0 "((port 1) or (port 2) or (port 3)) and not \ ((host and port 4) or (host and port 5))" En ctc-conf.xml, el ejemplo se traduce al siguiente XML: <Ignores> <Ignore> <Address> </Address> <Port>4</Port> </Ignore> <Ignore> <Address> </Address> <Port>5</Port> </Ignore> </Ignores> <ListenTos> <ListenTo> <Port>1</Port> </ListenTo> <ListenTo> <Port>2</Port> </ListenTo> <ListenTo> <Port>3</Port> </ListenTo> </ListenTos> Capítulo 4. Configuración de CX PCA 95

106 Edición de filtros En la ista Editar filtros, puede editar puertos y rangos de puertos para filtrar los datos eniados a cada instancia de PCA. Puede utilizar esta ista para erificar que todos los rangos de puertos requeridos se especifican correctamente en todas las instancias de IBM Tealeaf CX Passie Capture Application. También puede especificar filtros de datos en la ista instancias Ver. Consulte Reglas de filtro en la página 88. Figura 20. Edición de filtros De forma predeterminada, la ista Editar filtros habilita la especificación de hasta dos puertos indiiduales para el que se deben eniar los datos a un PCA indiidual. Para especificar un rango de puertos, pulse la casilla de comprobación Rango de puertos. Los datos que se isualizan en la casilla de comprobación se conierten en un rango de inicio y finalización para la captura y el reenío. Para agregar una fila, pulse el enlace Añadir fila. La nuea fila se inserta. Para eliminar una fila de filtro de datos, pulse el enlace Suprimir fila. Para especificar un filtro de datos: 1. De la instancia de columna, seleccione el identificador de instancia de PCA a la cual el filtro aplica. Todos los datos que se capturan desde el seridor y los puertos especificados se reenían a la instancia seleccionada. Consulte Lista de instancias en la página En la columna dirección, especifique la dirección IP del seridor que está proporcionando los datos. Nota: No se aceptan nombres de host. 3. En la columna Máscara de red, puede especificar una máscara de red, si es aplicable. 4. Especifique los puertos para capturar: Si no se selecciona el rango de puertos, puede especificar hasta dos puertos para capturar desde la dirección especificada. Si se selecciona el rango de puertos, puede especificar un puerto de inicio y un puerto de finalización en los dos cuadros de textos. Estas entradas indican un rango de puertos, inclusie, que se reenían a la instancia seleccionada de PCA para captura. 96 IBM Tealeaf CX Passie Capture Application: Manual de PCA

107 Formato CIDR: Para configurar un bloque de direcciones IP permitidas, utilice el formato CIDR. CIDR especifica un rango de direcciones IP por la combinación de una dirección IP y su máscara de red asociada. La notación CIDR utilice el siguiente formato: /18 El de este ejemplo es la dirección de red. El 18 indica que los primeros 18 bits son la parte de la red de la dirección, dejando a los últimos 14 bits para direcciones de host específicas. La tabla siguiente contiene más ejemplos: Formato CIDR Máscara de red equialente / / / Tráfico del puerto SPAN: Si está capturando una subred desde un puerto SPAN, debe determinar si el puerto SPAN le está eniando sólo esa subred u otro tráfico. Si recibe sólo esa subred, entonces seleccione Puertos específicos en todos los hosts para capturar puertos específicos. Por ejemplo, para capturar todo el tráfico del puerto 80 y del 443 en todos los hosts, seleccione Puertos específicos en todos los hosts y especifique el puerto 80 yel443. Si el puerto SPAN duplica tráfico adicional, seleccione Combinaciones host-puerto específicas. Para los hosts, utilice la sintaxis CIDR para que coincida con la subred. En el ejemplo de los puertos 80 y 443, si desea todo el tráfico de la red máscara de red , especifique las siguientes Combinaciones host-puerto específicas: Host Puerto / / Parámetros de ajuste La sección Parámetros de ajuste especifica las características de rendimiento del sistema. Capítulo 4. Configuración de CX PCA 97

108 Figura 21. Parámetros de ajuste (Valores de captura) Las opciones que se muestran en la figura anterior incluyen las siguientes opciones: Valor Descripción Max input buffer size Define el tamaño del búfer entre el rastreador de paquetes y el ensamblador de hits. Si el ensamblador de hits se uele muy lento, los paquetes se ponen en cola en este búfer para su procesamiento. Cuando el ensamblador de hits tiene recursos disponibles, comienza a extraer paquetes de la cola yaprocesarlos. Cuando se llena el búfer, el PCA comienza a descartar coincidencias. Mediante la imposición de un límite en el búfer, el sistema eitará un bloqueo. Sin embargo, los datos se descartan. Nota: Tealeaf recomienda que mantenga este alor en el alor predeterminado. Se utiliza para los problemas de depuración relacionados con condiciones de tráfico pico que estén sobrepasando el almacenamiento intermedio. No cambie este alor sin la ayuda de Tealeaf. Max memory consumption Define la cantidad máxima de memoria del sistema (en MB) asignada al proceso de captura. El alor predeterminado es 1300 (alrededor de 1.3 GB). La IBM Tealeaf CX Passie Capture Application es una aplicación de 32 bits, lo que significa que cada proceso PCA puede dirigir un máximo de 2 GB de RAM. Nota: Tealeaf recomienda que mantenga este alor en el alor predeterminado. Se utiliza para los problemas de depuración relacionados con olúmenes de tránsito incrementado que estén sobrepasando la PCA. No cambie este alor sin la ayuda de Tealeaf. 98 IBM Tealeaf CX Passie Capture Application: Manual de PCA

109 Max simultaneous connections Establece el número máximo de conexiones TCP a traés de las cuales el sistema puede capturar simultáneamente. Si hay más conexiones que este número de conexiones, el sistema de captura reemplaza las conexiones más antiguas por nueas. Después de que se cierra una antigua, el sistema comienza a capturar la siguiente conexión nuea. Al imponer este límite, el sistema impide que un pico en la cantidad de conexiones que sobrecargan los recursos del sistema prooque que se cuelgue el mismo. Nota: Este alor se aplica por instancia de la PCA. Como parte de una instalación o actualización inicial de la PCA, este alor debe ser reisado contra olumen de tráfico actual. Consulte Capítulo 2, Instalación, en la página 17. Max simultaneous connections in SYN State Establece el número máximo de conexiones TCP que pueden estar en el estado SYN a la ez. Si hay más que este número de conexiones en este estado, el sistema reemplaza las conexiones más antiguas con las nueas. Una ez que una antigua se cierra o transiciona de este estado, el sistema comienza a capturar la siguiente conexión nuea. Al imponer este límite, el sistema impide que los ataques de desbordamiento SYN prooquen que el mismo se cuelgue. Nota: Este alor se aplica por instancia de la PCA. Como parte de una instalación o actualización inicial de la PCA, este alor debe ser reisado contra olumen de tráfico actual. Consulte Capítulo 2, Instalación, en la página 17. Max SSL sessions to cache Establece el número máximo de sesiones SSL que el sistema puede almacenar en la memoria caché simultáneamente. Después de que el sistema alcanza este límite, éste descarta las entradas antiguas primero. Si una sesión correspondiente a una entrada descartada se reanuda, el sistema no la puede decodificar. Al imponer este límite, el sistema impide que un pico de sesiones terminadas incorrectamente cause que el mismo se cuelgue. Este alor puede elearse con algunas restricciones. Para obtener más información, consulte "Resolución de problemas de captura" en la Guía de resolución de problemas de IBM Tealeaf. Max wait time for hit responses Establece la duración del temporizador que se utiliza para detenido si un seridor está demorado en una solicitud HTTP. Después que el sistema recibe el último paquete para una solicitud, inicia este temporizador. Si el temporizador caduca antes de recibir el primer paquete de la respuesta, el sistema identifica la solicitud como detenida y la empaqueta como una coincidencia detenida. Si eentualmente llega la respuesta, el sistema la ignora. Al imponer este temporizador, el sistema impide que las solicitudes detenidas utilicen los recursos. Max wait time for hit transmissions Establece la duración del temporizador que se utiliza para determinar si una conexión TCP está congelada. Se inicia este temporizador después que el sistema recibe un paquete para una conexión. Si el temporizador caduca antes de recibir otro paquete, el sistema identifica la conexión como congelada y la descarta. Si la conexión corresponde a una solicitud HTTP, el sistema la ignora por completo. Si la conexión corresponde a una respuesta HTTP, el sistema empaqueta los datos de la respuesta parcial en Capítulo 4. Configuración de CX PCA 99

110 un acierto. Al imponer este temporizador, el sistema impide que las conexiones congeladas utilice recursos. Max large capture packet size Especifica el tamaño máximo de la captura de paquete TCP. El alor predeterminado es de 8 KB. Cambios manuales en la configuración de interfaz En la mayoría de los casos, puede especificar cualquier interfaz de configuración en la consola web de PCA. En casos excepcionales, debe realizar cambios manuales en la interfaz de configuración mediante el archio ctc-conf.xml. Valor Descripción All Traffic Esta opción captura todos los paquetes a y desde cualquier host en el segmento de red. Cuando selecciona para capturar todo el tráfico necesario, la descripción es una sentencia acía que coincide con todos los paquetes TCP/IP posibles. Es el mismo que está ejecutando el mandato: tcpdump -n -i eth0 En el archio ctc-conf.xml, la elección para capturar todo el tráfico se traduce en el siguiente XML: <ListenTos> <ListenTo>*</ListenTo> </ListenTos> Specific Ports on All Hosts Esta opción captura los paquetes a y desde cualquier host pero solo en puertos específicos. Cuando está seleccionado, debe especificar uno o más números de puertos TCP/IP. La descripción resultante coincide con cualquier paquete que está destinado o eniado al menos a uno de los puertos que especifica. Por ejemplo, suponga que ha especificado los puertos 99, 199 y 200. La descripción resultante de los paquetes a coincidir sería igual a ejecutar el siguiente mandato: tcpdump -n -i eth0 "((port 99) or (port 199) or (port 200))" En el archio ctc-conf.xml, el ejemplo anterior se traduciría en el siguiente XML: <ListenTos> <ListenTo> <Port>99</Port> </ListenTo> <ListenTo> <Port>199</Port> </ListenTo> <ListenTo> <Port>200</Port> </ListenTo> </ListenTos> Specific Host-Port Combinations Esta opción captura solo aquellos paquetes a y desde combinaciones de puerto de host específicas. Cuando está seleccionado, puede especificar el host y los puertos correspondientes para ese host que se deben capturar. La descripción resultante coincide con al menos una de las combinaciones donde el host de origen o destino coincide con el host que está especificado y el puerto de origen o destino coincide con el puerto especificado. 100 IBM Tealeaf CX Passie Capture Application: Manual de PCA

111 Suponga que ha especificado las siguientes combinaciones de host y de puerto. Host Puerto El siguiente mandato para registrar el mismo tráfico sería el siguiente mandato: tcpdump -n -i eth0 "((host and port 80) or \ (host and port 1) or (host and port 2))" En el archio ctc-conf.xml, el ejemplo anterior se traduciría en el siguiente XML: <ListenTos> <ListenTo> <Address> </Address> <Port>80</Port> </ListenTo> <ListenTo> <Address> </Address> <Port>1</Port> </ListenTo> <ListenTo> <Address> </Address> <Port>2</Port> </ListenTo> </ListenTos> Filtros de VLAN: El PCA automáticamente configura sus filtros de escucha para permitir que los paquetes 802.1q VLAN sean capturados sin la configuración explícita. Nota: Excepción: cuando utiliza filtros de rango de puerto, el tráfico VLAN no se captura. Si está utilizando tcpdump para realizar una análisis de tráfico, debe aplicar manualmente las etiquetas VLAN de filtro en la línea de mandatos para er paquetes VLAN. En la sección anterior, el mandato para comenzar tcpdump se debe aumentar para permitir la captura del paquete VLAN de la manera siguiente: Nota: Elimine las barras inclinadas al final de cada línea, lo que indica la continuación de la línea. tcpdump -n -i eth0 "((host and port 80) or \ (host and port 1) or (host and port 2) or \ (lan and host and port 80) or \ (lan and host and port 1) or (lan and host and \ port 2))" Consola Web de PCA - Pestaña de Entrega: La pestaña de Entrega le permite especificar los destinatarios de destino y los parámetros de ajuste. Las siguientes imágenes muestran las opciones de configuración disponibles a traés de la pestaña de Entrega de la consola web. Las Interfaces de red se mostrarán ahora en la pestaña Programas de utilidad. Consulte Consola Web de PCA - Pestaña de Programas de utilidad en la página 170. Capítulo 4. Configuración de CX PCA 101

112 Destinatarios de destino Esta lista especifica los seridores Tealeaf a los que el dispositio debe eniar los aciertos empaquetados. Al añadir un destinatario se inician una serie de pantallas para la configuración de la dirección y la seguridad de entrega. Figura 22. Destinatarios de destino Para cada igual, los enlaces en la columna Conexión (Ping y Velocidad) prueban la conexión al hacer ping en el igual o al probar la elocidad de conexión, respectiamente. Para eliminar un igual, pulse el icono X en la columna Suprimir. Figura 23. Añadir destinatario Valor Descripción Host Address Nombre de host o dirección IP del destinatario de destino. Host Port Número de puerto en el que escucha el destinatario de destino. Enable Secure Deliery Determina si se utiliza o no la entrega segura. 102 IBM Tealeaf CX Passie Capture Application: Manual de PCA

113 Cuando esta opción está habilitada, debe importar un certificado SSL para que lo utilice la PCA. Consulte Generación de un certificado autofirmado en la página 216. Número máximo de destinatarios: En función de la compilación de PCA, puede añadir hasta el siguiente número de destinatarios: PCA Build 34xx y anteriores: 20 PCA Build 35xx y anteriores: 40 Nota: Eite utilizar muchas conexiones de iguales, si es posible. El almacenamiento intermedio de cola de entrega para cada igual (Max Queue Length) es 50 MB. Basado en el alor predeterminado, para habilitar 20 iguales, es necesario 20 * 50 MB = 1 GB de memoria de proceso para almacenamientos intermedios de entrega. Si utiliza 40 iguales, es necesario 2 GB de memoria de proceso que supera el límite de memoria de proceso de 32 bits. Si desea utilizar arios iguales, entonces debe reducir la memoria de cola de entrega predeterminada a 25 MB y mantener el uso total de memoria de cola en 1 GB. Para obtener más información, consulte el alor Max Queue Length en Parámetros de ajuste. Ejemplo: Agregar Destinatario: Para añadir un destinatario, realice los pasos siguientes: 1. Pulse Añadir. Se inicia la página Añadir destinatario para entrega de hits 2. Escriba el dominio o dirección de IP del destinatario de destino en el campo Dirección de host. Nota: Si el sistema operatio en el seridor deibm Tealeaf CX Passie Capture Application se configura para conectarse a un seridor DNS, puede escribir el nombre de dominio. De lo contrario, especifique la dirección IP. Tealeaf recomienda utilizar una dirección IP estática para eliminar potenciales problemas de DNS en el futuro. 3. En el campo Puerto de host, escriba el puerto en el que el destinatario de destino escucha los hits empaquetados. 4. La opción Habilitar entrega segura determina si utilizar o no la entrega segura. 5. Para utilizar la entrega segura, seleccione la casilla de erificación seguro, a continuación pulse Aceptar. Se inicia la página Añadir certificado para entrega segura. Entre el certificado que debe utilizar para autenticar el destinatario de destino de entrega al pegar el certificado de destinatario de destino en el certificado para cuadro de texto de nueo destinatario en esta pantalla. Pulse Aceptar. 6. Si no se utiliza la entrega segura, deje deseleccionada la casilla de erificaciónseguro, a continuación pulse Aceptar. Parámetros de ajuste Con los Parámetros de ajuste puede establecer las características de entrega máxima. Capítulo 4. Configuración de CX PCA 103

114 Figura 24. Parámetros de ajuste (entrega) Valor Descripción Deliery Mode La característica de modalidad de entrega permite a la IBM Tealeaf CX Passie Capture Application entregar tráfico mediante diferentes métodos a los iguales de entrega (recuadros css). El tráfico se puede distribuir utilizando los siguientes métodos: Een Distribution - El tráfico se distribuye de forma uniforme entre los iguales. Por ejemplo, si se configuran cuatro iguales, entonces cada uno recibe aproximadamente el 25% del tráfico total. Nota: En PCA Build 3500 o posterior, cuando uno o más iguales de entrega pasan a estar disponibles, el tráfico se redistribuye automáticamente al resto de los iguales actios. Si un igual inactio pasa a estar disponible, el tráfico uele al igual y se reequilibra para asegurar la distribución equitatia. Este método garantiza al tráfico de entrega que siempre distribuya equitatiamente el 100% de su tráfico a todos los iguales de entrega actios. Failoer - Este método requiere dos iguales, uno primario y uno secundario. El primario recibe 100% del tráfico total mientras que el secundario entra en estado inactio. Si se pierde la conexión al igual primario o se descartan demasiadas coincidencias, la PCA cierra la conexión al igual primario y realiza la migración tras error al secundario. Si el igual secundario falla, la PCA intenta restablecer al igual primario. Si la PCA no puede establecer una conexión saludable tanto con el igual primario como con el secundario, conmuta entre los dos hasta poder establecerla. Nota: Es posible que esta modalidad de entrega caiga en desuso en un release futuro. Clone - Esta opción era el comportamiento predeterminado preio. Cada igual obtiene el 100% del tráfico total. None - Esta opción reemplaza la opción 'entregar a nulo'. Si se selecciona esta opción, el tráfico se descarta antes de eniarse a alguno de los iguales de entrega, que son útiles solo a efectos de depuración. Max Deliery Wait Establece la duración del temporizador que se utiliza para eniar 104 IBM Tealeaf CX Passie Capture Application: Manual de PCA

115 coincidencias empaquetadas. Cuando este temporizador caduca, el dispositio intenta eniar todos las coincidencias empaquetadas a los destinatarios seleccionados. Polling Interal Este alor no se utiliza actualmente. Watchdog Timer El tiempo máximo (en segundos) permitido para realizar una conexión al IBM Tealeaf CX Serer. Si el tiempo de espera se excede, la conexión se marca como desconectada. El alor predeterminado es 30 segundos. Max Queue Length Establece la longitud máxima de la cola de entrega. Si la cola llega a esta longitud, el sistema comienza a descartar coincidencias recién empaquetadas hasta que la cola se acorte. Al imponer este límite, el sistema impide que el retraso prooque que se cuelgue. Utilice el Tealeaf Transport Serice como Fuente de tiempo Puede aprender cómo configurar un host que ejecute el Sericio de transporte Tealeaf como fuente de tiempo en esta sección. Cuando está habilitado, se contacta al Sericio de transporte Tealeaf especificado cada 15 minutos para obtener la hora actual. El reloj del sistema se deria a la hora del Sericio de transporte. "Deriar" significa que la hora local del software de Captura pasia no se fuerza al tiempo remoto exacto de la máquina del Sericio de transporte. En su lugar, si la hora local está retrasada con respecto a la hora remota, el reloj del sistema se incremente en una pequeña cantidad. Si la hora local está adelantada con respecto a la hora remota, el reloj del sistema aanza más lentamente hasta que finalmente coincida con la hora remota. Figura 25. Utilice el Tealeaf Transport Serice como Fuente de tiempo Valor Descripción Host or Address Designa el nombre de dominio o dirección IP del host que ejecuta el Tealeaf Transport Serice que se utilizará como fuente de tiempo. Si no desea sincronizar con una fuente de tiempo, deje este campo en blanco. Port Designa el puerto en el que el host de la fuente de tiempo escucha las consultas de fuente de tiempo. Si no desea sincronizar con una fuente de tiempo, deje este campo en blanco. Entrega de estadísticas a Tealeaf Transport Serice Esta sección habilita la configuración de la coincidencia de estadísticas. Puede controlar los siguientes cinco alores para la coincidencia de estadísticas: Capítulo 4. Configuración de CX PCA 105

116 Figura 26. Entrega de estadísticas a Tealeaf Transport Serice Valor Descripción Enabled Si este recuadro de selección está seleccionado, las coincidencias de estadísticas se habilitan como una característica. Si no está seleccionado, la característica se inhabilita. Host or Address Este campo contiene el nombre de host o dirección IP de la máquina que ejecuta el Tealeaf Transport Serice que debe recibir coincidencias de estadísticas. Interal Este alor, un número positio, es el número mínimo de segundos a transcurrir entre intentos de eniar coincidencias de estadísticas. Si es cero, las coincidencias de estadísticas no se enían. Port Especifique el número de puerto TCP/IP a utilizar cuando se conecte al Tealeaf Transport Serice en el host. Use SSL Indica si la conexión al Tealeaf Transport Serice debe utilizar SSL. Consola Web de PCA - Pestaña Claes SSL Puede utilizar esta pestaña para reisar y editar la lista de Claes cargadas y la lista de Claes faltantes. Para alternar entre las listas, utilice el botón de selección adecuado: La ista Claes priadas cargadas le permite agregar, editar y suprimir claes priadas para los seridores seguros. La ista Claes priadas faltantes le permite er información sobre, ignorar o borrar claes priadas. También puede cargar certificados SSL en arios formatos. Consulte Capturar claes en la página 110. Claes cargadas En la pestaña SSL, puede reisar las claes priadas cargadas y las claes priadas que faltan. Las claes cargadas se puede isualizar en formato IP6. Consulte Cómo gestiona el PCA la captura de direcciones IP6? en la página 298. Para obtener más información sobre las istas de claes que faltan, consulte Claes que faltan en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

117 en la página 108. Figura 27. Pestaña de claes de SSL- Vista de claes cargadas Columna Descripción casilla de erificación Pulse la casilla de erificación para seleccionar un certificado. Etiqueta Visualice la etiqueta para el certificado. Para obtener más información sobre el cambio de etiqueta de isualización, consulte Edición de una clae priada en la página 108. Archio Vía de acceso y nombre de archio del archio.pem. Fecha Para obtener más información sobre cómo cambiar el nombre de archio de pantalla, consulte Edición de una clae priada en la página 108. Indicación de fecha y hora para la primera aparición cuando el PCA ha encontrado un paquete mediante la utilización de la clae. Para obtener más información sobre la carga de una clae priada, consulte Adición de una clae priada en la página 108. Para editar una clae cargada, pulse la casilla de erificación junto a esta. A continuación, pulse Editar. Consulte Edición de una clae priada en la página 108. Para suprimir una clae cargada, pulse la casilla de erificación junto a esta. A continuación, pulse Suprimir. Para guardar los cambios, pulse Guardar cambios. Capítulo 4. Configuración de CX PCA 107

118 Para reertir los cambios sin guardar para la ersión guardada, pulse Reertir a guardado. El conjunto de claes guardadas anteriormente se uele a cargar. Edición de una clae priada Puede editar una clae priada para cargar una clae, asignarle un nombre de etiqueta que tenga más sentido y entrar la ía de acceso plenamente cualificada al archio de claes. Para guardar cambios, pulse ACEPTAR. Adición de una clae priada Figura 28. Add Priate Key - Para añadir una clae priada, siga los siguientes pasos: Nota: Sólo se da soporte a las claes priadas (.pem y.pfx) conertidas a formatos.ptl. 1. Seleccione el botón de selección Loaded. 2. Introduzca el nombre de dominio o dirección IP del destinatario en el campo Etiqueta. El alor ingresado en este campo designa la etiqueta utilizada para identificar la clae a isualizar. 3. En el campo Archio, introduzca el nombre del archio que contiene la clae priada que debe intentar utilizar el dispositio para decodificar sesiones de SSL. Este campo debe contener un nombre de archio completo absoluto. 4. Pulse Añadir. 5. Pulse Guardar cambios en la parte inferior de la página. 6. A continuación, puede editar, er o suprimir la clae pulsando los botones correspondientes. Claes que faltan Para reisar y editar la lista de claes priadas que faltan, pulse el botón de selección Falto en la parte superior de la pestaña de claes de SSL. A partir de PCA Build 3500, las claes que faltan se pueden isualizar en formato IP6. Consulte Cómo gestiona el PCA la captura de direcciones IP6? en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

119 Figura 29. Pestaña claes de SSL - Vista de claes que faltan Columna Descripción casilla de erificación Pulse la casilla de erificación para seleccionar una clae. Host:Puerto Dirección IP host y número de puerto para el certificado de SSL. Fecha Indicación de fecha y hora para la primera aparición desde el último reinicio de PCA cuando se detectó un paquete de SSL para el cual falta una clae exclusia de SSL. Cada paquete de SSL subsiguiente para la misma clae que falta no actualiza el campo Fecha. Capítulo 4. Configuración de CX PCA 109

120 Para borrar la fecha, seleccione la casilla de erificación y pulseborrar seleccionado. Cuando falta la siguiente instancia de paquete, se detecta la clae de SSL borrada, se actualiza la indicación de fecha y hora. Para seleccionar una clae de SSL, pulse la casilla de erificación en el host y el puerto para el certificado. Para seleccionar todos los certificados que faltan, seleccione Seleccionar todo. Para ignorar los certificados seleccionados, seleccione Ignorar seleccionado. Para suprimir los certificados seleccionados, seleccione Borrar seleccionado. Para guardar los cambios, pulse Guardar cambios. Capturar claes A traés de la pestaña SSL, puede cargar certificados SSL en formato.pem de texto simple o formato.pfx protegido por contraseña para la conersión a.ptl para el uso de PCA. Valores de la interconexión Consulte Configuración de la clae cifrada SSL en la página 203. Si tiene acceso al software de PCA en el seridor Linux, puede soltar certificados SSL en un directorio especificado para la conersión automática a formato.ptl. Consulte Exportación de la clae priada SSL en la página 208. Consulte Exportación de la clae priada SSL en la página 208. La pestaña de Interconexión permite a los usuarios editar parámetros de configuración tales como captura, límites e ID de cookies. Si los campos se dejan en blanco, el dispositio intenta leer alores predeterminados en el archio ctc-conf-defaults.xml. Puede seleccionar cualquiera de las dos istas para isualizar los alores de interconexión: Valores de Interconexión - Defina sesionamiento de datos, calificación por tiempo, modalidad de captura y más. Consulte Valores de la interconexión. Editar lista de tipos - Especifique los tipos de datos y extensiones de archio a incluir o excluir de la captura. Consulte Listas de tipo de captura en la página 120. Nota: Los tipos de captura de la PCA se deben reisar durante cualquier instalación de la IBM Tealeaf CX Passie Capture Application o si la aplicación web superisada se actualiza. Consulte Listas de tipo de captura en la página 120. Para obtener más información sobre los alores de interconexión, consulte: Instancias de interconexión en la página 111 Sesionamiento de datos en la página 112 Reenío-X en la página 112 Muestreo de sesión en la página 114 Modalidad de captura en la página 114 Métodos de captura de solicitud en la página 115 Calificación por tiempo en la página 115 Procesamiento de coincidencias en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

121 Instancias de interconexión De forma predeterminada, la PCA está configurada para crear una instancia única del proceso de interconexión de la PCA para ser utilizada por todas las instancias de la aplicación PCA. Si es necesario, se pueden crear más instancias del proceso de interconexión para distribuir de manera más eficiente el trabajo entre los recursos disponibles. Nota: Hay disponible arias instancias de la interconexión de la PCA en la PCA Build 3403 o posterior. Cuando se crean arias instancias del proceso de interconexión, cada instancia de la aplicación de la PCA enía los paquetes de la PCA. Estos paquetes se ensamblan a la cola de la interconexión mediante su proceso reassd. Después esta cola distribuye los paquete para ser procesados a las instancias de interconexión configuradas en forma de un sistema circular. El proceso de interconexión de la PCA toma las coincidencias de HTTP indiiduales y realiza el procesamiento en ellas, como ser el descarte de coincidencias, la aplicación de priacidad, la compresión de datos y más. Consulte Capítulo 1, Descripción general de la captura pasia, en la página 1. La efectiidad de interconexiones múltiples depende del número de núcleos de CPU disponibles. La regla de uso común general es asignar un núcleo de CPU disponible para cada instancia de interconexión. Si cuatro núcleos de la CPU inactios están disponibles, debe configurar no más de cuatro instancias de interconexión si espera un carga de la CPU completa. Nota: Siempre debe dejar como mínimo un núcleo de CPU en la máquina para procesos basados en el sistema. El límite máximo teórico en el número de interconexiones es 128. No es probable que deba acercarse a este límite. Nota: Todos las interconexiones operan en el mismo conjunto de reglas de configuración. No debe haber diferencias entre las reglas de priacidad u otras opciones de configuración entre interconexiones múltiples. Valor Descripción Instances Número de instancias del proceso interconectado. Para crear un número de instancias diferente, especifique un alor en el recuadro de texto y pulse Guardar cambios. Nota: Sea conserador al crear instancias nueas de interconexión. Incremente las instancias de a una y después ealúe los resultados y el impacto sobre los recursos disponibles en el seridor de la PCA. Para recuperar estadísticas en una instancia de interconexión indiidual, ejecute los próximos mandatos. Estadísticas de la instancia #0: ctcstats instdata Estadísticas de la instancia #N ctcstats -I<#N> instdata donde Capítulo 4. Configuración de CX PCA 111

122 <#N> es el identificador de la instancia. Sesionamiento de datos El PCA puede configurarse para crear un ID de sesión para cada coincidencia que esté basada en cookies inyectadas en la solicitud. Cuando esté habilitado, puede configurar la información de campo y sección de solicitud que contenga el identificador de sesión. La cookie en la que se a a sesionar debe ser exclusia y debe persistir para cada coincidencia de una sesión. Cuando está habilitado el sesionamiento de datos, el id/cookie de sesión especificado por el alor Field Name se diide para crear el identificador de sesión de Tealeaf (TLTSID). Si Tealeaf Cookie Injector está en uso, crea este alor. Nota: Si está utilizando Tealeaf Cookie Injector, no habilite esta característica. Tealeaf Cookie Injector proporciona identificadores exclusios garantizados para los datos de sesión capturados por Tealeaf. Consulte "Instalación y configuración de Tealeaf Cookie Injector" en IBM Tealeaf Cookie Injector Manual. Si no hay ninguna cookie de sesión, puede que tenga permitido sesionizar otros datos de coincidencias desplegando el agente de sesión de sesionamiento en la interconexión de Windows en el seridor de procesamiento. Consulte "Sesionización de agente de sesión" en IBM Tealeaf CX Configuration Manual. Propiedad Descripción Field Name El nombre de la cookie en la que quiere sesionizar. Los alores aceptados incluyen a jsessionid y aspsessionid. Para sesionizar en arias cookies, puede insertar arios alores delimitados en este campo. Los delimitadores aceptados son la coma (,) o el punto y coma (;) Field Section Puede utilizar este campo para especificar la sección de la solicitud en la que se a a buscar el Field Name. Si este alor no se especifica, se busca el campo en toda la solicitud, y se utiliza la primera aparición. Field Offsets Para sesionizar en una parte específica de la cookie de sesión, tal como lo especifica el Field Name. Por ejemplo, si el alor de la cookie es de 32 caracteres, el establecimiento del alor en 015sesioniza en los primeros 16 caracteres. Esta característica es útil si la cookie de sesión se añade con una serie estática:. jsessionid=<unique keystuff here>mycookie; Reenío-X Un estándar común, reenío-x habilita el seguimiento de la dirección de IP de origen de un cliente que se está conectando a un seridor a traés de arios seridores, como seridores proxy o equilibradores de carga. Cuando se habilita, el campo HTTP_X_FORWARDING se puede llenar con las direcciones de IP de cada seridor que se reisa y ha eniado la solicitud. 112 IBM Tealeaf CX Passie Capture Application: Manual de PCA

123 Cuando el contenido se ha deuelto desde el seridor web de origen, se pasa a traés de cada seridor que está listado en el campo HTTP_X_FORWARDING. Cada seridor elimina la referencia a él en el campo y después lo pasa al siguiente seridor en la cadena. De esta manera, el contenido se puede pasar a traés de arios seridores entre el cliente de la solicitud y el seridor de origen de suministro. Utilice números de puerto en la dirección IP (por ejemplo, <ip_address>:xxxx) no está soportado. Nota: Esta característica está disponible en la compilación PCA 3501 o posterior. Si hay disponible una cabecera CLIENT_IP, puede ser preferible utilizarla para el origen Reenío-X, ya que normalmente contiene sólo una dirección IP. En función de cómo está configurada la aplicación web, puede definir a traés del PCA (área de control de páginas) el campo de cabecera que se utiliza para especificar el campo HTTP_X_FORWARDING. Este campo después apunta al campo que es el origen de la dirección IP, en formato IP4 o IP6. Nota: Aunque no es necesaria, la característica reenío-x se puede utilizar para gestionar el reenío para ambas direcciones IP4 y IP6. Empezando en PCA Compilación 3501, puede configurar el origen del alor de dirección REMOTE_ADDR que se inserta en el PCA. 1. Para habilitar el reenío-x, pulse la casilla de erificación Habilitar. 2. Especifique el alor del nombre de campo el nombre de la ariable de la cabecera de solicitud HTTP que contiene la dirección IP del reenío-x. Para compilaciones PCA 3501 y 3502, debe insertar el nombre real, formateado de la cabecera HTTP, que no está disponible fácilmente. Los alores que se insertan en la sección [en] de la solicitud no funcionan. Empezando en PCA Compilación 3600, puede utilizar guiones bajos, guiones, y el prefijo HTTP_ en la entrada de alor de campo, así también como entradas soportadas en las Compilaciones 3501 y Por ejemplo, para el alor de campo X-FORWARDED-FOR, se aceptan las siguientes ariantes: HTTP_X_FORWARDED_FOR X_FORWARDED_FOR X-FORWARDED-FOR Nota: El nombre de campo es sensible a las mayúsculas y minúsculas. Nota: Si el campo de origen reenío-x puede contener arias direcciones IP, cada dirección IP debe estar separada con una coma. No se soportan el punto y coma u otros delimitadores de campo; en una línea de arias entradas, la primera dirección se utiliza si está claramente demarcada. De lo contrario, se utiliza la línea entera y no se procesa correctamente. 3. Pulse Guardar cambios. Cuando se habilita el reenío-x a traés de la pestaña de conducto, el campo de cabecera especificado se explora para el nombre del campo en la solicitud para ser utilizado para REMOTE_ADDR. Este campo después se explora para que el alor se inserte en REMOTE_ADDR. La búsqueda es sensible a mayúsculas y minúsculas. El campo identificado se explora para el formateo correcto. Si no se encuentra ningún alor que coincida, no se toma ninguna acción, y REMOTE_ADDR se llena normalmente. Capítulo 4. Configuración de CX PCA 113

124 Nota: Antes de la compilación PCA 3501, la identificación HTTP_X_FORWARDING se gestionaba a traés de reglas de priacidad en el conducto PCA. Antes de desplegar este nueo método, que se procesa antes de que el contenido se pase a un conducto PCA, erifique que las reglas de priacidad PCA para gestionar HTTP_X_FORWARDING estén inhabilitadas. Consulte Descarga de la configuración de priacidad en la página 126. Si se encuentra una coincidencia, el alor que se inserta en REMOTE_ADDR, y el alor preio se inserta en la ariable de solicitud REMOTE_ADDR_ORIG. Ejemplo (IP4) REMOTE_ADDR= IPV6_REMOTE_ADDR=0000:0000:0000:0000:0000:FFFF:0A14:1E28 REMOTE_ADDR_ORIG= Ejemplo (IP6) REMOTE_ADDR=abcd::100:B200:CD10:10 IPV6_REMOTE_ADDR=ABCD:0000:0000:0000:0100:B200:CD10:0010 REMOTE_ADDR_ORIG= Empezando con la publicación 8.4, los alores que se detectan en REMOTE_ADDR después del enío-x se conierten en formato IP6 y se insertan en la ariable IPV6_REMOTE_ADDR. Estos alores son indexados para la búsqueda. Consulte Cómo gestiona el PCA la captura de direcciones IP6? en la página 298. Muestreo de sesión Si está habilitado, el muestreo de sesión especifica un porcentaje de para eniar al igual de entrega. El resto de las sesiones se suprimen de la captura. El muestreo de sesión permite la captura de olúmenes de datos estadísticamente significatios sin sobrecargar el sistema con olúmenes de producción. Nota: Esta característica elimina los datos de sesión de la secuencia de captura y está pensada como una característica de depuración. No se recomienda habilitarla. Modalidad de captura El alor Modalidad de captura especifica los tipos de datos que PCA captura y suelta desde la secuencia de captura. Están disponibles los alores siguientes: Modalidad de captura Descripción Empresa Configura el software de captura pasia para capturar sólo objetos de solicitud y respuesta HTTP(S) para solicitudes de página.business. (por ejemplo, HTML, ASP, JSP). Los objetos estáticos como las hojas de estilo, JaaScript y archios de imágenes no son capturados por el PCA. Los clientes de reproducción de Tealeaf pueden adquirir y cargar estos elementos en una base (según sea necesario) durante la reproducción. Nota: La modalidad de captura de empresa es el alor predeterminado. Tealeaf recomienda utilizar la modalidad de empresa. BusinessIT Configura la captura pasia para capturar solicitudes y respuestas HTTP(S), así como los objetos de archio asociados a cada coincidencia. 114 IBM Tealeaf CX Passie Capture Application: Manual de PCA

125 Estos objetos estáticos, como los archios de imágenes, son capturados por el PCA y pasados a la interconexión de Windows para continuar con la ealuación. Nota: En la modalidad BusinessIT, el cuerpo de carga útil de objeto de respuesta no se guarda. Sólo el archio de imagen y la solicitud se capturan y procesan. Nota: La modificación de la modalidad de captura desde Business a BusinessIT aumenta significatiamente el olumen de tráfico que Tealeaf captura, procesa y almacena. Antes de modificar, reise toda la solución de Tealeaf para erificar que tiene los recursos de sistema para gestionar el aumento de la carga útil. Para obtener más información, póngase en contacto con Tealeaf Professional Serices. Métodos de captura de solicitud Cuando esté isualizando los métodos de captura de solicitud en el editor de interconexión, puede seleccionar los métodos HTTP que desea capturar en la lista que se proporciona. Nota: Las solicitudes de tipo HEAD no están soportadas para la captura. Calificación por tiempo Si está habilitada, la Calificación por tiempo puede asignar una calificación a una coincidencia en una de las tres áreas siguientes: Área Descripción Web Serer Page Gen Cuánto demora el seridor web para serir la página. Network Transit Mide la elocidad de la red basado en cuánto tiempo pasó un paquete en la red. Round Trip La cantidad de tiempo que le toma a un paquete arbitrario ir desde el cliente al seridor Web. Basada en los tres criterios, la Calificación por tiempo asigna a la coincidencia una calificación numérica. Las descripciones de las calificaciones predeterminadas (Excelente, Normal, NormalAlta y Alta) pueden editarse, junto con sus correspondientes alores máximos. Procesamiento de coincidencias Valor Descripción Include Raw Request Determina si RawRequest está actiada. Rawrequest es una ayuda en la depuración. El alor predeterminado es False (inhabilitado). Si está habilitado (True), las cabeceras de solicitud de HTTP se añaden al hit. Nota: Tealeaf especialmente recomienda que el alor se puede establecer en False; de lo contrario, los datos se añaden a cada hit. Include Response Headers Determina si ResponseHeaders están actiados. ResponseHeaders son Capítulo 4. Configuración de CX PCA 115

126 ayudas en la depuración. El alor predeterminado es False (inhabilitado). Si está habilitado (True), las cabeceras de respuesta de HTTP (en formato Tealeaf, no necesariamente la representación exacta de HTTP) se añaden al hit. Nota: Tealeaf recomienda especialmente que este alor permanezca establecido en False; de lo contrario, los datos se añaden a cada hit. Decode URL fields Esta opción determina si se debe decodificar la URL de los urlfields. Cookie Parser Si se selecciona esta opción, se añade una sección de cookies a la solicitud. Enable UnReq Cancelled Si se habilita, esta opción comprueba los últimos 100 bytes del cuerpo de respuesta para </html cuando capturetype=1 y los marca como cancelado. Inflate compressed response Cuando se selecciona esta opción, las respuestas se inflan automáticamente en la canalización de PCA. Si una respuesta tiene una cabecera de codificación de contenido cuyo alor es deflate, gzip o x-gzip, entonces es un candidato para tener el cuerpo que se infla a partir de su estado comprimido. Si se selecciona esta opción, se realiza un intento de inflar la respuesta. Nota: Este alor debe establecerse en false. La habilitación de esta característica puede aumentar significatiamente el olumen de datos que se trasmiten entre el seridor de IBM Tealeaf CX Passie Capture Application y el sericio de transporte. Si el inflar falla, se registra un mensaje en el niel de registro notice. Si el inflar se realiza satisfactoriamente, el alor de la cabecera de codificación de contenido se sobrescribe con X; por ejemplo, codificación de contenido: XXXX. En PCA Build 3502 o posterior, los POST comprimidos se inflan automáticamente para los tipos de codificación de contenido, independientemente del tipo de contenido, para soportar la captura de datos desde los marcos de cliente de Tealeaf. En PCA Build 3501 o anterior, esta opción era Inflate compressed requests and responses. Presere responses when inflate fails Cuando una respuesta de hit se infla y el proceso de inflar falla, la respuesta se sustituye con HTML que informará que se ha producido un error de inflar. Seleccione esta opción para inhabilitar la sustitución HTML, lo que consera la respuesta original. Deflate hits sent to target recipients Selección de esta opción a las respuestas de hit que se desinflan antes de que se eníen al recipiente de destino. Las respuestas de hit se comprimen mediante la utilización del método de desinflar de HTTP. Habilite esta opción para reducir la cantidad de ancho de banda de red que se utiliza para entregar hits de Tealeaf al sericio de transporte de Tealeaf. Enable I18N Cuando esté seleccionado, se habilita el soporte de internacionalización en el PCA. Los urlfields de solicitud se codifican en UTF-8 y se realiza un 116 IBM Tealeaf CX Passie Capture Application: Manual de PCA

127 intento para detectar la codificación del cuerpo de respuesta. Consulte "Soporte de internacionalización" en el manual de instalación de IBM Tealeaf CX. Nota: Existe un problema en el que se cortan los caracteres especiales eniados en datos JSON desde un marco de cliente Tealeaf framework. Consulte Método alternatio para caracteres JSON alterados en la página 118. Nota: Este alor solo se puede habilitar en los PCA conectados a los sistemas IBM Tealeaf CX Release 7.0 o posteriores. Delete Images on PCA side Cuando está habilitada, esta opción suprime los hits de imagen en la secuencia de captura que cumple con los criterios especificados. Consulte Supresión de imágenes en el lado de PCA. Enable TLI Si despliega un seridor TLI en el entorno de Tealeaf, puede habilitar la captura del contenido de la imagen a fin de almacenarla en seridor en sentido descendente TLI. Consulte Habilitación de la captura de imagen para TLI en la página 119. Max Response Size El mayor tamaño aceptable de respuesta (en bytes). El alor predeterminado es (1.5 MB). Default Response Encoding Si el PCA no puede detectar el tipo de codificación de una respuesta, se utiliza este alor. Nota: La información siguiente solo es aplicable a IBM Tealeaf ersión 9.0A. CX PCA Build 3700 contiene selecciones adicionales para dar soporte a Enhanced International Character Support (EICS) aparte de lo que está disponible en CX PCA Build Default Request Encoding Si el PCA no puede detectar el tipo de codificación de una solicitud, se utiliza este alor. Nota: La información siguiente solo es aplicable a IBM Tealeaf ersión 9.0A. CX PCA Build 3700 contiene selecciones adicionales para dar soporte a Enhanced International Character Support (EICS) aparte de lo que está disponible en CX PCA Build Nota: Lo siguiente se aplica sólo a CX PCA Build Total dropped due to ICU encoding errors Esta estadística informa cada ez que un hit (de solicitud o respuesta) no puede ser codificado en UTF-8 lo que prooca que se elimine la coincidencia completa. Este escenario también genera un error (ERR) en el registro. Supresión de imágenes en el lado de PCA Antes de PCA Build 3502, el PCA utilizaba opciones de configuración y lógica incluida para gestionar el descarte automático de contenido de imagen desde Capítulo 4. Configuración de CX PCA 117

128 coincidencias capturadas, lo que reducía significatiamente el espacio necesario para almacenar sesiones. Cuando el PCA estaba configurado para estar en modalidad BusinessIT, algunos tipos de contenido de imagen podían capturarse y pasarse a la interconexión de Windows. En la interconexión, generalmente se descartaban utilizando el agente de sesión DelImages. Para obtener más información sobre la modalidad BusinessIT, consulte Modalidad de captura en la página 114. Para obtener más información sobre la característica DelImages para la interconexión de Windows, consulte "Agente de sesión de descarte de datos" en IBM Tealeaf CX Configuration Manual. A partir de PCA Build 3502, el PCA ahora proporciona la funcionalidad DelImages en la interconexión de PCA. Cuando se habilita DelImages en el PCA, el olumen de datos que se captura, procesa y transfiere al seridor Windows se reduce. Nota: Para garantizar la captura de contenido de imagen en el entorno de Tealeaf, este alor debe aplicarse de forma coherente en los separadores Interconexión en todas las instancias de PCA. Si una coincidencia cumple con los siguientes criterios, la coincidencia se identifica como una coincidencia de imagen y se descarta: Delete Images on PCA side está habilitado. Las extensiones de archio para la respuesta se listan en la lista Extensiones de archio excluidas. Consulte Extensiones de Archios Excluidos en la página 124. Se cumple con cualquiera de los criterios siguientes: 1. PCA CaptureType=3 y(statuscode = 200 o StatusCode = 304) El criterio anterior determina si el PCA está en modalidad BusinessIT (CaptureType=3) y se deuele una solicitud de imagen con un estado de "okay" o un estado No modificado (StatusCode =304). 2. HTTP_USER_AGENT contains "RealiTeaViewer" o HTTP_USER_AGENT contains "TeaLeafFileGetter" El criterio anterior determina si la solicitud está siendo realizada por una aplicación de escritorio de IBM Tealeaf CX RealiTea Viewer de Tealeaf para obtener contenido de imagen desde el seridor de origen durante la reproducción. Estas solicitudes no deben capturarse. Si se cumplen los criterios anteriores, se descarta la coincidencia de imagen. Cuando esta característica está habilitada, si CaptureType=1 y el tipo de contenido de respuesta aparecen listado en la lista Extensión de inclusión, se captura tanto la solicitud como la respuesta. En la pestaña Estadísticas, el recuento total de coincidencias de imágenes descartadas se muestra en la métrica Total dropped due to businessit mode and DelImages feature set. Consulte Estadísticas por instancia en la página 144. Método alternatio para caracteres JSON alterados En algunas situaciones, caracteres especiales que se someten en datos JSON (UTF-8) desde uno de los marcos del cliente Tealeaf pueden ser alterados durante el proceso por Tealeaf. A traés del PCA, puede configurar los alores para asegurarse que estos caracteres se consumen de manera correcta. Si ha habilitado la traducción I18N en la pestaña Interconexión, complete los siguientes pasos. 118 IBM Tealeaf CX Passie Capture Application: Manual de PCA

129 1. En la pestaña Interconexión de la consola web PCA, establezca Codificación de solicitud predeterminada en UTF-8. Los urlfields de la solicitud se definen como si estuieran codificados en UTF-8. El PCA (área de control de páginas) utiliza la codificación UTF-8 si no es capaz de detectar un tipo de codificación. Nota: El cambio anterior para distinguir la solicitud campos de URL como se codifican en UTF-8 puede traer problemas de traducción si los campos no están codificados en ISO 8859 o UTF Pulse Guardar cambios. En función de los cambios de configuración anteriores, los datos JSON eniados en UTF-8 no se traducen a una codificación distinta. Dado que la (JaaScript Object Notation) JSON se somete en la sección [RequestBody], que se incluye en la sección [urlfield], establecer la codificación predeterminada en UTF-8 resulta en la no traducción de los datos. Como resultado, está correctamente representado dentro Tealeaf. Habilitación de la captura de imagen para TLI En Tealeaf, un seridor TLI se puede desplegar para capturar contenido estático, incluidas las imágenes, los JaaScripts y las hojas de estilo para archios permanentes. Durante la reproducción, las solicitudes para este contenido estático hacen referencia a los archios estáticos, los cuales impiden que se produzcan solicitudes innecesarias y algunas eces prohibidas, al seridor de origen. Mediante un seridor de TLI, puede conserar una copia de contenido estático de cada sesión, tal como ha experimentado el isitante original, con propósitos de reproducción y auditoría. Para obtener más información sobre los seridores TLI, consulte "Managing Static Archies" (Gestión de archios estáticos) en el manual de administración de IBM Tealeaf cximpact. Cuando se habilita esta opción, el PCA captura los hits de imágenes con el siguiente tipo de contenido asociado a ellas: Content-Type=image Nota: Otro contenido estático, tal como las hojas de estilo y los JaaScripts, son formatos de texto que se capturan automáticamente mediante el IBM Tealeaf CX Passie Capture Application. Cuando se despliega un seridor TLI, estos objetos se reenían desde el PCA al conducto de Windows. En el conducto de Windows, el agente de sesión de TLI los reenía a seridor TLI para lograr un almacenamiento adecuado. Consulte "TLI Session Agent" (Agente de sesión de TLI) en el manual de configuración de IBM Tealeaf CX. Si se habilitan las opciones Enable TLI y Delete Images on PCA Side, entonces Enable TLI altera temporalmente y determinada el comportamiento de captura del PCA. Consulte Supresión de imágenes en el lado de PCA en la página 117. Para garantizar la captura de contenido de imagen en el entorno de Tealeaf, este alor debe aplicarse de forma coherente en los separadores Interconexión en todas las instancias de PCA. Cuando se recibe el hit mediante el seridor de Windows, este examina el alor TLIHit y, ya que se establece en True, reenía el hit al seridor TLI para el almacenamiento en el archio apropiado. Capítulo 4. Configuración de CX PCA 119

130 Listas de tipo de captura La información de indicación de fecha y hora se retiene con el hit. Habilita al seridor TLI a serir posteriormente la ersión de la imagen que ha experimentado y grabado el isitante para que coincida con la sesión del isitante. Los hits que se enían al seridor TLI no se almacenan en el recipiente. Los datos de sesión se alteran para hacer referencia al contenido de TLI basado en el seridor, desde el cual arias sesiones pueden consultar a una única entidad almacenada. Este método proporciona un importante ahorro en costes de almacenamiento. Esta característica se debe reisar con la lista de extensiones de archios de incluir y excluir. Si la característica está habilitada Y: Si la extensión de archio está en la lista de extensiones de archios incluidos, entonces el PCA trata al hit como un tipo de captura estándar aceptado por PCA. La aplicación captura la solicitud y la respuesta y marca el objeto de imagen con los siguientes alores para el seridor TLI: CaptureType=1 TLIHit=False Si la extensión de archio no está incluido en la lista de extensiones de archios incluidos, entonces el PCA captura solo el objeto de la imagen. PCA lo marca con las siguientes propiedades para el seridor TLI: CaptureType=3 TLIHit=True Si la extensión del archios está en la lista de extensiones de archios excluidos, entonces el PCA captura el objeto de imagen solamente y lo marca tal como se ha mencionado en la sección anterior. Nota: Cuando se habilita esta característica, los objetos de imagen siempre se capturan, independientemente de si el objeto está incluido o excluido en la lista de extensiones de archio. Si se isualiza la extensión de archio en la lista de extensiones de archios incluidos, el PCA normalmente trata al hit. Consulte Extensiones de archio incluido en la página 124. Consulte Extensiones de Archios Excluidos en la página 124. De forma predeterminada, el PCA está configurado para capturar los tipos de datos que sean interesantes para la mayoría de las aplicaciones web. Particularmente para aplicaciones de internet ricas, los tipos de datos personalizados y las extensiones de archio pueden estar presentes en la secuencia de captura. Adicionalmente, el PCA infla automáticamente POST con algunos tipos de codificación de contenido y pueden configurarse para inflar otros tipos. Consulte Capturar todos los tipos de Contenido-Codificación en la página 125. Nota: Cuando actualice el PCA, debe reisar las listas de todos los tipos de captura para erificar que todos los tipos de datos necesarios se estén capturando y procesando adecuadamente. Nota: Para todas las aplicaciones web, el conjunto de tipos de captura de PCA deben reisarse para que Tealeaf captura y procese todos los datos significatios. Los datos que no están definidos para ser capturados por IBM Tealeaf CX Passie Capture Application se descartan y dan como resultado coincidencias descartadas 120 IBM Tealeaf CX Passie Capture Application: Manual de PCA

131 que se muestran en datos de sesión. Figura 30. Listas de tipo de captura Capítulo 4. Configuración de CX PCA 121

132 En las secciones Listas de tipo de captura, puede configurar inclusiones y exclusiones que se aplican a solicitudes y respuestas. Por ejemplo, si elimina el tipo de contenido text/json del panel POST de XML, el tipo de contenido sigue siendo capturado como parte de los tipos de contenido capturados predeterminados internos, pero el contenido ya no se inserta en la sección [xml1]. Consulte Ejemplos JSON en la página 123. Nota: Después de añadir nueos tipos de contenido para la captura, también debe añadirlos a traés de TMS si desea indexar las respuestas HTTPS del tipo capturado. Consulte "Configuración de la indexación de CX" en IBM Tealeaf CX Configuration Manual. Cómo el PAC ealúa tipos de captura Cuando se identifican los hits en la pestaña Canalización, el PCA realiza la ealuación del hit en el siguiente orden para determinar si se debe capturar: 1. Solicitud: a. Comprueba la solicitud para el tipo de codificación de contenido. Si el tipo coincide con el conjunto especificado de tipos a inflar, la solicitud se infla para el proceso. Consulte Capturar todos los tipos de Contenido-Codificación en la página 125. b. Comprueba la solicitud para los tipos de contenido conocidos internamente. Consulte Tipos de contenido capturados predeterminados en la página 123. c. Establece el contenido de solicitudes y los tipos de cuerpo: 1) Comprueba la lista XML POST Type para los POST del tipo XML a capturare. Consulte Tipos de autoprueba de encendido XML en la página ) Comprueba la lista Binary POST Type de los POST del tipo binario a capturar. Consulte Tipos de POST binarios en la página 125. d. Comprueba los tipos de extensión de archios para tipos incluidos y excluidos: Consulte Extensiones de archio incluido en la página 124. Consulte Extensiones de Archios Excluidos en la página Respuesta: a. Compruebe las siguientes listas de contenidos de tipos para alores: Capturar todos los tipos POST en la página 124 Tipos de POST binarios en la página 125 Capturar todos los Mimetypes en la página 124 b. Si no se encuentran alores en las listas, el PCA comprueba la lista interna predeterminada para tipos de respuestas. Consulte Tipos de respuesta predeterminados internos en la página 123. c. Si hay alores en las listas, compruebe las siguientes listas en el orden que se menciona. 3. Cuerpo de respuesta: Si la solicitud y la respuesta pasan las pruebas anteriores que se incluirán, entonces se procesa el tipo de solicitud. a. Si el tipo de contenido de solicitud se define en una de los anteriores, entonces el PCA procesa el tipo en consecuencia. b. Si el tipo de contenido para el cuerpo de solicitud todaía no se conoce después de las comprobaciones anteriores, comprueba la lista de capturar todos los tipos de eníos. 122 IBM Tealeaf CX Passie Capture Application: Manual de PCA

133 1) Si el tipo de contenido se encuentra en la lista, entonces el PCA procesa el cuerpo como texto en la sección [RequestBody] de la solicitud generada. 2) Consulte Capturar todos los tipos POST en la página 124. Ejemplos JSON JSON es un estándar emergente en uso en muchas aplicaciones web. Algunos módulos Tealeaf, tales como las infraestructuras de registro de Tealeaf de IBM Tealeaf CX Mobile, utilizan los JSON POST para eniar los datos desde el cliente a Tealeaf para la captura. Los siguientes tipos de contenido de ejemplo se pueden isualizar en Tealeaf- o en los datos aplicación de origen. Tipo de solicitud Ealuación de tipo de contenido de PCA text/json Se considera que la solicitud se conoce como un tipo de contenido de texto. Cuando el proceso de cuerpo de solicitud se completa, es un tipo conocido de contenido y se procesa en consecuencia. application/json Si el tipo de contenido de solicitud es application/json y no está definido en la lista de tipos de Capturar All POST, entonces es un tipo desconocido para el PCA. No se realiza ningún proceso del cuerpo de solicitud y el hit se elimina. application/json Si el tipo de contenido de solicitud es application/json y está definido en la lista de tipos de Capturar All POST, entonces es un tipo conocido por el PCA. Si no está listado en las listas de tipos XML o binario, se considera que es un tipo de texto y se procesa como texto. Para obtener más información sobre el esquema Tealeaf JSON, que se utiliza para capturar contenido de las infraestructuras de cliente de Tealeaf, consulte "Consulta de esquema de objetos de Tealeaf JSON" en la guía de integración de datos de infraestructura de cliente de IBM Tealeaf. Tipos de contenido capturados predeterminados De forma predeterminada, PCA captura los siguientes tipos de contenido. Nota: Los tipos de contenido son alores predeterminados internos del PCA y no requieren ninguna configuración para capturar. Tipos de solicitud predeterminados internos application/x-www-form-urlencoded application/xml multipart/form-data text/* text/xml Tipos de respuesta predeterminados internos Nota: Esta lista se aplica a los tipos de contenido de respuesta. Los tipos de contenido de solicitud se ealúan como por el orden definido. Consulte Cómo el PAC ealúa tipos de captura en la página 122. text/* Capítulo 4. Configuración de CX PCA 123

134 application/text/* Extensiones de Archios Excluidos Especifica las extensiones de archios que se deben excluir del flujo de datos de captura. Este alor se puede utilizar para afinar el comportamiento especificado por CaptureMode. Nota: De forma predeterminada, el PCA no captura los archiosjaascript. Si su aplicación web está generando archios JaaScript dinámicos, estos archios se pueden añadir manualmente al conjunto de tipos capturados, si desea capturarlos. Extensiones de archio incluido Especifica las extensiones de archio que se capturan completamente. Los archios binarios como los PDF se pueden incluir en la captura. Nota: Si despliega un seridor TLI para capturar el contenido estático, debe insertar las extensiones de archio de los tipos de contenido estático en esta área para capturarlos para su inserción en el seridor TLI. Consulte "Gestión de archios estáticos" en el manual de administración de IBM Tealeaf cximpact. Capturar todos los Mimetypes Especifica los tipos de contenido de respuesta (tipos MIME) para los que se a a capturar una coincidencia completa. Capturar todos los tipos POST Especifica los tipos de contenido en los datos de solicitud que no son parte de los datos XML estándar o de formulario. Tipos de autoprueba de encendido XML En esta sección, puede especificar los tipos de puestos XML para añadir a la solicitud. Cuando un tipo de contenido XML especificado coincide, la sección [xml1] se añade al almacenamiento intermedio de solicitud, el contenido se inserta en el mismo. Nota: Instalaciones nueas de PCA desde la compilación 3324 están configuradas automáticamente para capturar los tipos de eníos XML que se listan. Estos tipos de eníos XML se añadieron en el PCA compilación Si está utilizando una compilación anterior o actualizada de una compilación anterior, debe configurar manualmente estos tipos de captura. De forma predeterminada, algunos tipos de contenido se comprueban y capturan automáticamente. No se deben añadir. Consulte Tipos de contenido capturados predeterminados en la página 123. Dependiendo del tipo de kit de herramientas JSON, los tipos de contenido siguientes se pueden isualizar en la corriente de captura. Si están presentes, estos tipos de deben añadir. application/x-jaascript text/jaascript text/x-jaascript text/x-json 124 IBM Tealeaf CX Passie Capture Application: Manual de PCA

135 Tipos de POST binarios El PCA puede configurarse para capturar tipos de POST binarios. Por ejemplo, las aplicaciones basadas en AMF enían solicitudes binarias al seridor web. Para capturar datos de solicitud basados en AMF, añada el tipo application/x-amf a esta lista. De forma predeterminada, el PCA no captura respuestas binarias. La decodificación de datos AMF debe estar habilitada en la interconexión de Windows. Consulte "Agente de sesión de inflado" en el Manual de configuración de CX de IBM Tealeaf. Cuando application/x-tlt-ld está habilitado para la captura, las solicitudes de todas las coincidencias capturadas de este tipo tienen la siguiente ariable de solicitud que se inserta en la sección [en]: PostRequestBodyEncoding=Base64 Para otras coincidencias, este alor está establecido en None. Nota: En el release 8.4 o posterior, la captura del tipo de post binario application/x-tlt-d puede estar en desuso. Consulte. Capturar todos los tipos de Contenido-Codificación En PCA Build 3502 y posteriores, puede especificar los tipos de codificación de contenido a traés de un cuadro de texto cuyas solicitudes se inflan durante el proceso de captura. Nota: En PCA Build 3502 y posteriores, los siguientes tipos de codificación de contenido se inflan automáticamente y no deben especificarse aquí: */deflate */gzip */x-gzip Cuando una solicitud recibida por el PCA coincide con uno de los tipos de codificación especificados, el PCA infla o extrae automáticamente la solicitud. La tabla siguiente describe los comportamientos: Tabla 5. Capturar todos los tipos de Contenido-Codificación En otras listas de tipo de captura para captura? En Capturar todos los tipos de Contenido- Codificación? Capturado? Inflado? Notas S S S S */deflate, */gzip, y */x-gzip se inflan automáticamente. N S N N descartado Capítulo 4. Configuración de CX PCA 125

136 Tabla 5. Capturar todos los tipos de Contenido-Codificación (continuación) En otras listas de tipo de captura para captura? En Capturar todos los tipos de Contenido- Codificación? Capturado? Inflado? Notas S N S N* capturado; no inflado (* a menos que sea uno de los tipos de codificación de contenido inflado de forma predeterminada) N N N N descartado Tipos de contenido e indexación Después de que PCA captura contenido, la solicitud y respuesta de cada coincidencia se reenía a un Recipiente para llear a cabo más procesamiento, incluida la indexación del contenido para la búsqueda. Solicitud: Las acciones específicas de la solicitud se indexan automáticamente para la búsqueda. Consulte "Configuración de la indexación de CX" en IBM Tealeaf CX Configuration Manual. Puede configurar reglas de priacidad para moer contenido de una sección de la solicitud a otra sección que se indexa automáticamente. Se recomienda que aplique estas reglas de priacidad al Recipiente. Consulte "Agente de sesión de priacidad" en el Manual de configuración de CX de IBM Tealeaf. Respuesta: Opcionalmente, puede añadir tipos de respuesta HTTP indiiduales para la indexación. Consulte "Configuración de la indexación de CX" en IBM Tealeaf CX Configuration Manual. Descarga de la configuración de priacidad Si es necesario, puede descargar el archio de configuración de priacidad priacy.cfg para modificaciones fuera de línea y archiado en la pestaña Copias de seguridad/registros. Nota: priacy.cfg debe tener un formato compatible con UTF-8. En la pestaña Copias de seguridad/registros, hay dos ubicaciones: Nota: La Consola web de la PCA retiene hasta cinco ersiones preias de priacy.cfg. Consulte Cambios en la priacidad en la página 143. En la sección Archio de configuración de priacidad, pulse Descargar selecciones. En la secciónregistros, pulse el enlace Archios de configuración. Consulte Consola web de PCA - Pestaña de copia de seguridad-registros en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

137 Manipulación de reglas Manipulación de prueba Mandato Descripción Insert Rule 1 Inserta una nuea regla que se aplica en primer lugar y carga la página Editar regla. Enable/Disable Conmuta la regla en esa fila ya sea a habilitada (actia) o inhabilitada. Delete Suprime la regla en esa fila de la sesión. Los cambios deben guardarse para que el archio priacy.cfg pueda cambiarse. Edit Carga la página Editar para esa regla. Insert Below Inserta una nuea regla debajo de esta fila y carga la página Editar Regla. arrows Muee la regla hacia arriba o hacia abajo, en función de la flecha pulsada. Las reglas se aplican por orden y se debe cambiar. Los cambios que se realizan al pulsar las flechas se realizan en la sesión. Para guardar los cambios, pulse Guardar cambios. Mandato Descripción Add Edit Carga la página Añadir prueba. Carga la página Editar para esa prueba. Manipulación de acciones Mandato Descripción Add Carga la página Acción Add. Delete/In Use Si la acción puede suprimirse, está disponible un enlace Suprimir en la comuna Acciones a llear a cabo. Edit Manipulación de claes Si la acción está marcada como en uso, una regla hace referencia a la acción y no puede suprimirse. Para suprimir una acción en uso, todas las referencias a la misma deben suprimirse de todas las reglas. Puede er qué acciones se están utilizando en la columna Acciones a llear a cabo en la tabla Reglas. Carga la página Editar para esa Acción. Mandato Descripción Add Carga la página Añadir clae. Delete Suprime la clae. Edit Carga la página Editar para esa clae. Capítulo 4. Configuración de CX PCA 127

138 Añadir/Editar reglas La adición de una clae es opcional y se puede utilizar para definir explícitamente las claes de priacidad junto con su alor (cifrado). Esto normalmente solo se utiliza cuando el filtro de priacidad se está ejecutando en una máquina distinta del seridor IBM Tealeaf CX (en un seridor Web, por ejemplo) donde las claes de priacidad definidas no son accesibles directamente. Las entradas en esta sección deben estar en el siguiente formato: keyid=keydata donde: keyid es el nombre (ID)de la clae keydata es la serie de alor de clae cifrada Figura 31. Página Añadir/Editar reglas Para definir una única condición (prueba), puede especificar ReqField, ReqOp, y ReqVal en una regla. Para obtener condiciones más complejas, utilice la opción Pruebas y defina las condiciones de prueba por separado. Valor Descripción 128 IBM Tealeaf CX Passie Capture Application: Manual de PCA

139 Name Nombre de la regla Description Descripción legible por el usuario de la regla, que también se isualiza en priacy.cfg. ReqField Esta opción especifica el nombre de un campo, el fragmento de nombre de un par nombre-alor, en el archio de solicitud. El alor de este campo se utiliza para la comparación. También puede aplicar uno de los siguientes nombres de campo especiales: TL_URLEXT - La parte de extensión de archio del URL TL_URLTAIL - La cola del URL, que incluye el último / en el URL y todo lo que le sigue TL_VIRTUALDIR - La parte de directorio irtual del URL ReqOp ReqOp define la operación de comparación realizada por esta regla entre ReqField y ReqVal. A continuación se muestran los alores álidos para esta opción: EQ o = - True si el alor de campo es igual a ReqVal. La comparación de serie no es sensible a mayúsculas y minúsculas NE o!= - True si el alor de campo no es igual a ReqVal. La comparación de serie no es sensible a mayúsculas y minúsculas GT o > - True si el alor de campo es mayor a ReqVal LT o < - True si el alor de campo es menor a ReqVal CONTAINS - True si ReqVal está contenido en el alor de campo PARTOF - True si el alor de campo es parte de (contenido en) ReqVal PARTOFLIST - True si el alor de campo coincide con uno de los alores de ReqVal. La lista de alores en ReqVal puede estar delimitada por signos de punto y coma u otro delimitador especificado por la propiedad ListDelimiter. ReqVal Valor literal o nombre de campo (establezca ReqValIsField=True para el nombre de campo). Cuando ReqOp=PARTOFLIST, este alor debe especificar una lista de alores que están separados por un punto y coma u otro delimitador (especificado utilizando ListDelimiter). Si ReqField está establecido en TL_URLEXT, este campo contiene las extensiones que incluyen puntos. TestOp Operador lógico a utilizar cuando se especifican arias pruebas. Los alores posibles son AND y OR. Si no se especifica ningún alor, AND se aplica como alor predeterminado. Cuando TestOp=AND, todas las pruebas deben deoler True para que se procesen las acciones. Si TestOp=OR, las acciones se procesan si cualquiera de las pruebas deuele True. List Delimiter El carácter utilizado para separar elementos de lista en ReqVal cuando se utiliza ReqOp=PARTOFLIST. El alor predeterminado es un punto y coma (;). Case Sensitie Valor True o False que indica si las búsquedas de nombres de campo Capítulo 4. Configuración de CX PCA 129

140 deben distinguir entre mayúsculas y minúsculas. El alor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. ReqValIsField True o False que indica si ReqVal contiene un nombre de campo. Not Valor True o False. SiesTrue, el resultado de la ealuación de prueba se inierte (NOT lógico). Stop Processing Valor True o False que indica si debe detener el proceso de más reglas si esta regla ealúa a True. Enabled Valor True o False que especifica si esta regla está actia. Actions Uno o más nombres de acción que corresponden a los nombres de secciones de acción para procesar si esta regla deuele True. Tests Añadir/Editar pruebas Uno o más nombres de prueba que corresponden a los nombres de secciones de prueba. Las pruebas especificadas se ealúan para determinar si las acciones se ejecutan para la regla. Si no se especifica ninguna prueba (y no se especifica ninguna prueba como se describe a continuación), las acciones se ejecutan para cada coincidencia. Figura 32. Página Añadir/Editar prueba Valor Descripción Name El nombre de la prueba. Description Descripción legible por el usuario de la prueba, que también aparece en priacy.cfg. ReqField Parte correspondiente al nombre de un par nombre-alor. Este también puede ser uno de los siguientes nombres reserados: TL_URLEXT 130 IBM Tealeaf CX Passie Capture Application: Manual de PCA

141 TL_URLTAIL TL_VIRTUALDIR ReqOp Operación a realizar - las opciones son: EQ or = NE o!=o<> GT o > LT o < CONTAINS PARTOF PARTOFLIST ReqVal Valor literal o nombre de campo (establezca ReqValIsField=True para el nombre de campo). Cuando ReqOp=PARTOFLIST, este alor debe especificar una lista de alores separados por un punto y coma u otro delimitador (especificado utilizando ListDelimiter). ListDelimiter El carácter utilizado para separar elementos de lista en ReqVal cuando se utiliza ReqOp=PARTOFLIST. El alor predeterminado es un punto y coma (;). ReqValIsField True o False que indica si ReqVal contiene un nombre de campo. CaseSensitie Valor True o False que indica si las búsquedas de nombres de campo deben ser sensibles a mayúsculas y minúsculas. El alor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. Not Valor True o False. SiesTrue, el resultado de la ealuación de prueba se inierte (NOT lógico). Capítulo 4. Configuración de CX PCA 131

142 Añadir/Editar acciones Figura 33. Página Añadir/Editar acción En la parte superior de la página Detalles de acción, puede reisar el nombre de la acción y las reglas en las que se hace referencia a la misma, así como las propiedades configuradas actualmente. Valor Descripción Name El nombre de la acción. Description Descripción legible por el usuario de la acción, que también se isualiza en priacy.cfg. Inert Action El alor True o False que indica si se debe inertir la acción (realizar la acción en todos los campos o nombres de alor EXCEPTO los especificados). Si se especifica Nombre de alor, se procesa todo excepto el nombre(s) especificado en Nombre de alor. Si Nombre de alor no se especifica, el nombre(s) especificado para Campo se excluye(n) de la acción. Nota: Esto sólo puede utilizarse con acciones Block, Encrypt y Replace. Start Pattern y Start Pattern RE no pueden utilizarse con una acción de inersión. 132 IBM Tealeaf CX Passie Capture Application: Manual de PCA

143 Action La acción a llear a cabo. Esta puede ser uno de los siguientes alores: Block - Bloquea los datos coincidentes utilizando el carácter de tachado especificado. Encrypt - Cifra los datos coincidentes y los enmascara con el carácter de tachado especificado. Replace - Sustituye los datos coincidentes con una serie de texto especificada. DropHit - Descarta la coincidencia actual (no se realiza ninguna acción adicional). DropResponse - Descarta la respuesta de la coincidencia actual. ReqSet - Establece o sustituye el alor por el par nombre-alor especificado en la solicitud. Crea el par nombre-alor si no existe. Además, crea la sección especificada si no existe. ReqAppend - Se añade al alor del par nombre-alor especificado en la solicitud. Crea el par nombre-alor si no existe. Además, crea la sección especificada si no existe. ReqDelete - Elimina el par nombre-alor especificado completamente de la solicitud. Esto no elimina la sección, incluso si está acía. Key ID de clae para utilizar para el cifrado si Action=Encrypt. Section El nombre de sección de los datos sobre los que se a a actuar. Si se establece en response, se procesa la respuesta. Este también puede ser uno de los siguientes nombres reserados: urlfield - Realiza la acción para los nombres de alor especificados (o todos si se omite Nombre de alor) para los alores en la sección urlfield, QUERY_STRING, serie de consulta en RawRequest (si está presente) y la serie de consulta en HTTP_REFERER y la cabecera de consulta Referenciador y cuerpo de consulta en RawRequest (si está presente). cookies - Realiza la acción para los nombres de alor especificados (o todos si se omite Nombre de alor) para los alores de la sección [cookies], pares nombre-alor HTTP_COOKIE y HTTP_SET_COOKIE, cabeceras Set-Cookies en la sección ResponseHeader (si está presente), cabeceras Set-Cookie en la respuesta y la cabecera [cookies] en la sección RawRequest (si está presente). Field Nota: Si no se especifica una Sección en una acción, se utiliza todo el almacenamiento intermedio de solicitud (REQ). Uno o arios nombres de campo opcionales (parte correspondiente al nombre del par nombre-alor). Si se omiten tanto Field como Value Name, se bloquea/cifra toda la sección. Este también puede ser uno de los siguientes nombres reserados: body -SiSection=response. especifica el cuerpo de la respuesta como el destino. Si Section=RawRequest. se procesa el cuerpo de la respuesta (si está presente). Value Name Uno o arios nombres de alores (en pares nombre-alor de arios alores, como HTTP_COOKIE) o los nombres de los elementos cuando Section=urlfield o Section=cookies. Capítulo 4. Configuración de CX PCA 133

144 Start Pattern El patrón de serie inicial a buscar dentro de los datos especificados. Se procesan los datos que siguen inmediatamente al patrón coincidente. Si se utiliza Start Pattern, también debe especificar End Pattern o Strike Length, a menos que establezca Inclusie=True. Si está establecido, Start Pattern yelend Pattern opcional se bloquean/cifran también. Esto es útil para bloquear o cifrar una serie de datos constante. Start Pattern RE Versión de expresión regular de Start Pattern. Esto puede utilizarse para especificar una expresión regular estándar para definir el patrón inicial a buscar. Puede utilizar Start Pattern o Start Pattern RE, pero no ambos. End Pattern El patrón de serie que indica el final de los datos que se corresponden con un Start Pattern. Se procesan los datos hasta, pero sin incluir, End Pattern (a menos que Inclusie=True). End Pattern RE Versión de expresión regular de End Pattern. Esto puede utilizarse para especificar una expresión regular estándar para definir el patrón final a buscar. Puede utilizar End Pattern o End Pattern RE, pero no ambos. Strike Character El carácter que se utiliza para sustituir los datos originales que están bloqueados o cifrados. Este puede ser cualquier carácter alfanumérico o símbolo que no esté incluido en la siguiente lista:. (punto), (coma) / (barra inclinada) \ (barra inclinada inertida) [(corchete de apertura) ] (corchete de cierre) (barra ertical) ' (comillas simples) " (comillas dobles) Strike Length Longitud opcional (en bytes) de datos de tachado. Este es el número de caracteres de tachado que se utilizan para sustituir los datos originales (si Action=Block o Action=Encrypt). Si Strike Length es mayor a la longitud de datos original, se añaden más caracteres de tachado. Si Strike Length es menor que la longitud de datos original, los caracteres de Strike Length se sustituyen con Strike Character y se eliminan los datos restantes. Si Strike Length es un número negatio, el número de caracteres representado por el alor absoluto de Strike Length se deja tal como está. Por ejemplo, para dejar a los últimos cuatro caracteres oaunalor intactos, establezca Strike Length=-4. (consulte Máscara de bloqueo para er opciones de bloqueo más flexibles.) Inclusie Valor True o False que indica si Start Pattern (o Start Pattern RE) y (opcional) End Pattern (o End Pattern RE) están bloqueados o cifrados. El alor predeterminado es False. 134 IBM Tealeaf CX Passie Capture Application: Manual de PCA

145 Repeat Count Esto puede utilizarse para acciones que tengan un Start Pattern o Start Pattern RE para especificar cuántas instancias de datos que coincidan con el patrón se procesan. Blocking Mask Una expresión regular opcional que especifica los caracteres de los datos encontrados que se sustituyen con el carácter de tachado (no se aplica a la acción Sustituir). Todos los caracteres dentro de un grupo (definidos por paréntesis) en la expresión regular se sustituyen con el carácter de tachado. Los caracteres que coinciden con parte del patrón fuera de un grupo no se sustituyen. Por ejemplo, la máscara siguiente bloquearía sólo los números en un Número de seguridad social, dejando a los guiones isibles: BlockingMask=([0-9]{3})-([0-9]{2})-([0-9]{4}) Este ejemplo dejaría a los primeros cuatro dígitos de un número de tarjeta de crédito isibles: BlockingMask=[0-9]{4}([0-9]*) La máscara de bloqueo se utiliza en lugar de Strike Length. Puede utilizar uno u otro, pero no ambos. Nota: Tenga cuidado cuando utilice Blocking Mask. Si los datos no coinciden con la expresión regular especificada para Blocking Mask, los datos no se bloquean ni se cifran. Replace String La serie que se utiliza para sustituir los datos originales cuando Action=Replace. Length (bytes) Utilizado en lugar de End Pattern o End Pattern RE, este alor especifica la longitud de los datos (en bytes) a procesar siguiendo un Start Pattern coincidente (o Start Pattern RE). Case Sensitie Valor True o False que indica si las búsquedas de nombres de campo y/o patrones deben ser sensibles a mayúsculas y minúsculas. El alor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. Ignore Special Valor True o False que indica si se debe ignorar el manejo especial cuando está especificado urlfield o cookies para la Sección. Establecer en True permite que se utilice Start Pattern o Start Pattern RE en las secciones urlfield o cookies. El alor predeterminado es False. ReqSetSection Especifica la sección para el par nombre-alor para una acción ReqSet, ReqAppend, oreqdelete. ReqSetSection es necesario para estas tres acciones. ReqSetField Especifica el nombre de un par nombre-alor para una acción ReqSet, ReqAppend, oreqdelete. ReqSetField es necesario para estas tres acciones. ReqSetResult Esta opción se utiliza con Start Pattern RE para producir un alor formateado para una acción ReqSet o ReqAppend. La expresión Start Pattern RE debe contener uno o más "grupos", definidos por paréntesis Capítulo 4. Configuración de CX PCA 135

146 dentro de la expresión regular. ReqSetResult es una serie que contiene texto literal y marcadores para los datos capturados por Start Pattern RE. Por ejemplo: StartPatternRE=name="(.*?)" alue="(.*?)" ReqSetResult=Field {g1} alue: {g2} El código puede producir el siguiente resultado: Field name alue: Bob El primer marcador, {g1}, se sustituye con el alor del primer grupo en la expresión regular. {g2} obtiene el segundo alor, etc. La serie resultante se utiliza como el alor para la acción ReqSet o ReqAppend. Añadir/Editar claes Pueden generarse claes de priacidad dentro de Tealeaf para su uso en el cifrado y descifrado de datos sensibles, según sea necesario en el sistema. El cifrado y descifrado son gestionados por el filtro de priacidad, que está disponible en el PCA y en la interconexión de Windows. Para obtener más información sobre la priacidad de interconexión, consulte "Agente de sesión de priacidad ampliado" en IBM Tealeaf CX Configuration Manual. Para obtener más información sobre la creación de reglas de interconexión, consulte "Agente de sesión de priacidad" en IBM Tealeaf CX Configuration Manual. Para er una descripción general de cómo Tealeaf gestiona la priacidad, consulte "Gestión de priacidad de datos en Tealeaf CX" en IBM Tealeaf CX Installation Manual. Las claes de priacidad que se utilizan para el cifrado y descifrado de datos sensibles para el uso en Tealeaf deben añadirse a la consola web de PCA. Nota: Cualquier clae de cifrado que sea utilizada por el PCA para cifrar y por el seridor de búsqueda para descifrar debe definirse en la configuración del seridor de búsqueda y proporcionarse al PCA. Para obtener más información sobre la definición de estas claes, consulte "Configuración del seridor de búsqueda" en IBM Tealeaf CX Configuration Manual. Puede añadir claes de priacidad para el PCA para utilizar durante operaciones de cifrado realizadas por el filtro de priacidad en el PCA. Para hacer que una clae de priacidad esté disponible para el uso de PCA, introduzca el nombre de la clae y la clae generada en esta sección. Puede copiar un alor de clae generado desde la configuración del seridor de búsqueda y pegarlo en los campos Detalles de clae listados. Valor Descripción Name Nombre de la clae. Key La propia clae. 136 IBM Tealeaf CX Passie Capture Application: Manual de PCA

147 Referencia Priacy.cfg Reglas En esta sección se proporciona una isión general de referencia del archio priacidad.cfg, que se utiliza para configurar las reglas de priacidad que se aplican a la secuencia de captura en la IBM Tealeaf CX Passie Capture Application. Nota: Eite realizar cambios directos en este archio de configuración. Se recomienda cambiar la configuración de priacidad en la pestaña Reglas de la consola web, que proporciona una interfaz de usuario en este archio de configuración. Para obtener más información, consulte Naegadores soportados para la consola web de PCA en la página 64. La priacidad permite la eliminación o el cifrado de información confidencial en la secuencia de captura. La priacidad puede aplicarse en los siguientes momentos durante la captura y procesamiento de datos de sesión. 1. Captura de interfaz de usuario 2. PCA 3. Interconexión de Windows consulte "Gestión de priacidad de datos en Tealeaf CX" en el Manual de instalación de CX de IBM Tealeaf. Puede utilizar el programa de utilidad de probador de priacidad basado en Windows para desarrollar y probar las reglas de priacidad. Las reglas probadas se pueden pegar nueamente en este archio de configuración para ser aplicadas en la PCA. Consulte "Programa de utilidad de probador de priacidad" en el Manual de configuración de IBM Tealeaf CX. Se proporciona documentación adicional en las notas del archio de configuración Priacy.cfg. Este archio se encuentra en el directorio /usr/local/ctccap/etc. Se puede editar con el editor i. Propiedad Descripción Enabled Valor True o False que especifica si esta regla está actia. Tests Uno o más nombres de prueba que corresponden a los nombres de secciones de prueba. Las pruebas especificadas se ealúan para determinar si las acciones se ejecutan para la regla. Si no se especifica ninguna prueba (y no se especifica ninguna prueba como se describe a continuación), las acciones se ejecutan para cada coincidencia. TestOp Operador lógico a utilizar cuando se especifican arias pruebas. Los alores posibles son AND y OR. Not Si TestOp=AND, entonces todas las pruebas deben deoler True para las acciones a procesar. Si TestOp=OR, entonces las acciones se procesan si alguna de las pruebas deuele True. Valor True o False. Si es True, el resultado de la ealuación de prueba se inierte (NOT lógico). Capítulo 4. Configuración de CX PCA 137

148 Pruebas StopProcessing Valor True o False que indica si debe detener el proceso de más reglas si esta regla ealúa a True. Actions Uno o más nombres de acción que corresponden a los nombres de secciones de acción para procesar si esta regla deuele True. ReqField Parte del nombre de un par nombre-alor. Este también puede ser uno de los siguientes nombres reserados: TL_URLEXT TL_URLTAIL TL_VIRTUALDIR ReqOp Operación a realizar - las opciones son: EQ o = NE o!=o<> GT o > LT o < CONTAINS PARTOF PARTOFLIST ReqVal Valor literal o nombre de campo (establezca ReqValIsField=True para el nombre de campo). Cuando tenga ReqOp=PARTOFLIST, este alor debe especificar una lista de alores separados ya sea por un punto y coma o por otro delimitador (especificado al utilizar ListDelimiter). ReqValIsField True o False indican si ReqVal contiene un nombre de campo. ListDelimiter El carácter que se utiliza para separar los elementos de lista en ReqVal al utilizar ReqOp = PARTOFLIST. El alor predeterminado es un punto y coma, ;. CaseSensitie Valor True o False indican si las búsquedas de nombres de campo deben realizarse en mayúsculas o minúsculas. El alor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. Propiedad Descripción ReqField Parte del nombre de un par nombre-alor. Este también puede ser uno de los siguientes nombres reserados: TL_URLEXT TL_URLTAIL TL_VIRTUALDIR ReqOp Operación a realizar - las opciones son: EQ o = NE o!=o<> 138 IBM Tealeaf CX Passie Capture Application: Manual de PCA

149 Acciones GT o > LT o < CONTAINS PARTOF PARTOFLIST ReqVal Valor literal o nombre de campo (establezca ReqValIsField=True para el nombre de campo). Si es ReqOp=PARTOFLIST, este alor debe especificar una lista de alores separados por un punto y coma o por algún otro delimitador (especificado al utilizar ListDelimiter). ReqValIsField True o False que indica si ReqVal contiene un nombre de campo. ListDelimiter El carácter que se utiliza para separar elementos de lista en ReqVal cuando ReqOp=PARTOFLIST. El alor predeterminado es un punto y coma, ;. CaseSensitie Valor True o False que indica si las búsquedas de nombres de campo deben distinguir entre mayúsculas y minúsculas. El alor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. Not Valor True o False. Si se establece en True, entonces el resultado de la ealuación de la prueba es inertido (NOT lógico). Propiedad Descripción Action La acción a llear a cabo. A continuación se muestran los alores: Key Group Block - Bloquea los datos coincidentes utilizando el carácter de tachado especificado. Encrypt - Cifra los datos coincidentes y los enmascara con el carácter de tachado especificado. Replace - Sustituye los datos coincidentes con una serie de texto especificada. DropHit - Descarta la coincidencia actual (no se realiza ninguna acción adicional). Cualquier regla puede tener una acción de descarte de coincidencia. DropResponse - Descarta la respuesta de la coincidencia actual. ReqSet - Establece o sustituye el alor por el par nombre-alor especificado en la solicitud. Crea el par nombre-alor si no existe. Además, crea la sección especificada si no existe. ReqAppend - Se añade al alor del par nombre-alor especificado en la solicitud. Crea el par nombre-alor si no existe. Además, crea la sección especificada si no existe. ReqDelete - Elimina el par nombre-alor especificado completamente de la solicitud. Esto no elimina la sección, incluso si está acía. ID de clae para utilizar para el cifrado si Action=Encrypt. Nombre de grupo (en el formato dominio\nombregrupo) para utilizar para el cifrado si Action=Encrypt. Capítulo 4. Configuración de CX PCA 139

150 Nota: Utilice Key o Group para especificar la clae de cifrado, pero no ambos. Section El nombre de sección de los datos sobre los que se a a actuar. Si este alor se establece en response, se procesa la respuesta. Este también puede ser uno de los siguientes nombres reserados: urlfield - Realiza la acción para el ValueName especificado (o todos si se omite ValueName) para los alores en la sección urlfield, QUERY_STRING, serie de consulta en RawRequest (si está presente) y la serie de consulta en HTTP_REFERER y la cabecera de consulta Referenciador y cuerpo de consulta en RawRequest (si está presente). cookies - Realiza la acción para el ValueName especificado (o todos si se omite ValueName) para los alores de la sección [cookies], pares nombre-alor HTTP_COOKIE y HTTP_SET_COOKIE, cabeceras Set-Cookies en la sección ResponseHeader (si está presente), cabeceras Set-Cookie en la respuesta y la cabecera [cookies] en la sección RawRequest (si está presente). Nota: Si no se especifica una Sección en una acción, se utiliza todo el almacenamiento intermedio de solicitud (REQ). IgnoreSpecial Valor True o False que indica si se debe ignorar el manejo especial cuando está especificado urlfield o cookies para la Sección. Establecer esto en True permite que se utilice StartPattern o StartPatternRE en las secciones urlfield o cookies. El alor predeterminado es False. Field Uno o arios nombres de campo opcionales (parte correspondiente al nombre del par nombre-alor). Si se omiten tanto Field como ValueName, se bloquea/cifra toda la sección. Este también puede ser uno de los siguientes nombres reserados: body -SiSection=response, este alor especifica el cuerpo de la respuesta como el destino. Si Section=RawRequest, se procesa el cuerpo de la solicitud (si está presente). ValueName Uno o arios nombres de alores (en pares nombre-alor de arios alores, como HTTP_COOKIE) o los nombres de los elementos cuando Section=urlfield o Section=cookies. Inert El alor True o False que indica si se debe inertir la acción (realizar en todos los campos o ValueNames EXCEPTO los especificados). Si se especifica ValueName, se procesa todo excepto el nombre(s) especificado en ValueName. Si ValueName no se especifica, el nombre(s) especificado para Field se excluye(n) de la acción. Nota: Esto sólo puede utilizarse con acciones Block, Encrypt y Replace. StartPattern y StartPatternRE no pueden utilizarse con una acción de inersión. StartPattern El patrón de serie inicial a buscar dentro de los datos especificados. Se procesan los datos que siguen inmediatamente al patrón coincidente. Si se utiliza StartPattern, también debe especificar EndPattern o Length, a menos que establezca a Inclusie en True. Cuando Inclusie=True, 140 IBM Tealeaf CX Passie Capture Application: Manual de PCA

151 StartPattern (y el EndPattern opcional) también se bloquean/cifran. Esto es útil para bloquear o cifrar una serie de datos constante. StartPatternRE Versión de expresión regular de StartPattern. Esto puede utilizarse para especificar una expresión regular estándar para definir el patrón inicial a buscar. Puede utilizar StartPattern o StartPatternRE, pero no ambos. EndPattern El patrón de serie que indica el final de los datos que se corresponden con un StartPattern. Se procesan los datos hasta, pero sin incluir, EndPattern (a menos que Inclusie=True). EndPatternRE Versión de expresión regular de EndPattern. Esto puede utilizarse para especificar una expresión regular estándar para definir el patrón final a buscar. Puede utilizar EndPattern o EndPatternRE, pero no ambos. Length Utilizado en lugar de EndPattern o EndPatternRE, este alor especifica la longitud de los datos (en bytes) a procesar siguiendo un StartPattern coincidente (o StartPatternRE). Inclusie Valor True o False que indica si StartPattern (o StartPatternRE) y (opcional) EndPattern (o EndPatternRE) están bloqueados o cifrados. El alor predeterminado es False. RepeatCount Esto puede utilizarse para acciones que tengan un StartPattern o StartPatternRE para especificar cuántas instancias de datos que coincidan con el patrón se procesan. ReplaceString La serie que se utiliza para sustituir los datos originales cuando Action=Replace. CaseSensitie Valor True o False que indica si las búsquedas de nombres de campo y/o patrones deben ser sensibles a mayúsculas y minúsculas. El alor predeterminado es False. Al establecer esto en True se aceleran las búsquedas. StrikeChar El carácter que se utiliza para sustituir los datos originales que están bloqueados o cifrados. Este puede ser cualquier carácter alfanumérico o símbolo que no esté incluido en la siguiente lista:. (punto), (coma) / (barra inclinada) \ (barra inclinada inertida) [(corchete de apertura) ] (corchete de cierre) (barra ertical) '(comillas simples) " (comillas dobles) Capítulo 4. Configuración de CX PCA 141

152 StrikeLen Longitud opcional (en bytes) de datos de tachado. Este es el número de caracteres StrikeChar que se utilizan para sustituir los datos originales (si Action=Block o Action=Encrypt). Si StrikeLen es mayor a la longitud de datos original, se añaden más caracteres de tachado. Si StrikeLen es menor que la longitud de datos original, los caracteres de StrikeLen se sustituyen con StrikeChar y se eliminan los datos restantes. Si StrikeLen es un número negatio, el número de caracteres representado por el alor absoluto de StrikeLen se deja tal como está. Por ejemplo, para dejar a los últimos cuatro caracteres oaunalor intactos, establezca StrikeLen=-4. Para er opciones más flexibles, consulte BlockingMask. BlockingMask Una expresión regular opcional que especifica los caracteres de los datos encontrados que se sustituyen con el carácter de tachado (no se aplica a la acción Sustituir). Todos los caracteres dentro de un grupo (definidos por paréntesis) en la expresión regular se sustituyen con el carácter de tachado. Los caracteres que coinciden con parte del patrón fuera de un grupo no se sustituyen. Ejemplos: La máscara siguiente bloquearía sólo los números en un Número de seguridad social, dejando a los guiones isibles: BlockingMask=([0-9]{3})-([0-9]{2})-([0-9]{4}) Este ejemplo dejaría a los primeros cuatro dígitos de un número de tarjeta de crédito isibles: BlockingMask=[0-9]{4}([0-9]*) BlockingMask se utiliza en lugar de StrikeLen. Puede utilizar uno u otro, pero no ambos. Nota: Tenga cuidado cuando utilice BlockingMask. Si los datos no coinciden con la expresión regular especificada para BlockingMask, los datos no se bloquean ni se cifran. ReqSetSection Especifica la sección para el par nombre-alor para una acción ReqSet, ReqAppend, oreqdelete. ReqSetSection es necesario para estas tres acciones. ReqSetField Especifica el nombre de un par nombre-alor para una acción ReqSet, ReqAppend, oreqdelete. ReqSetField es necesario para estas tres acciones. ReqSetResult Esta opción se utiliza junto con StartPatternRE para producir un alor formateado para una acción ReqSet o ReqAppend. La expresión StartPatternRE debe contener uno o más "grupos", definidos por paréntesis dentro de la expresión regular. ReqSetResult es una serie que contiene texto literal y marcadores para los datos capturados por StartPatternRE. Ejemplos: StartPatternRE=name="(.*?)" alue="(.*?)" ReqSetResult=Field {g1} alue: {g2} 142 IBM Tealeaf CX Passie Capture Application: Manual de PCA

153 Cambios de registro El resultado sería un alor como: Field name alue: Bob El primer marcador, {g1}, se sustituye con el alor del primer grupo en la expresión regular. {g2} obtiene el segundo alor, etc. La serie resultante se utiliza como el alor para la acción ReqSet o ReqAppend. Notas de acción Para ReqSet y ReqAppend, el alor a establecer o añadir puede especificarse de un par de maneras diferentes. Puede utilizar una serie literal estableciendo ReplaceString en el texto necesario, o puede obtener datos desde la solicitud o respuesta utilizando Section, Field, ValueName, StartPattern, StartPatternRE, EndPattern y/o EndPatternRE. Cuando utilice StartPattern o StartPatternRE con una de estas acciones, RepeatCount siempre se establece en 1 (siempre se utiliza la primera coincidencia). IgnoreSpecial siempre es True para estas acciones cuando se especifica Section. No hay un manejo especial para las secciones urlfield o cookies con estas acciones. El alor para un campo (par nombre-alor) puede eliminarse sin eliminar el campo completo utilizando ReplaceString sin ningún alor: ReplaceString= Todos los retornos de carro y aances de línea en la serie de alor se sustituyen con \r y \n. Los cambios de priacidad se ponen en cola y se aplican una ez completadas todas las acciones. Esto significa que las acciones generalmente en los datos originales. ReqSet, ReqAppend y ReqDelete hacen un seguimiento de las adiciones, cambios y supresiones de campos, por lo que arios cambios en un único campo (como añadir un campo y concatenar datos de adición al alor) pueden realizarse de forma segura. Puesto que la acción Sustituir puede afectar a fragmentos de datos arbitrarios en la solicitud o respuesta, no se incluye en este rastreo de cambios. Los cambios que se realizan en los alores de campos se realizan de mejor forma utilizando ReqSet y ReqAppend. Cuando utiliza Field o ValueName con ReqSet o ReqAppend, debe especificar un único campo o nombre de alor. Si hay arios nombres, se utiliza el alor para el último elemento encontrado. De forma similar a la nota anterior, debe eitar especificar sólo una sección para recuperar el alor para ReqSet o ReqAppend. Esto da como resultado el alor del último campo (par nombre-alor) en la sección que se utiliza para ReqSet o ReqAppend. La siguiente sección contiene información sobre registro de cambios. Cambios en la priacidad Cuando se realizan cambios en la pestaña Reglas que aplican a priacidad.cfg, se guarda una ersión de copia de seguridad del archio anterior en el siguiente formato: priacidad.cfg.x, donde X es un número de ersión. De forma predeterminada, se retiene un máximo de cinco ersiones en cualquier momento. Capítulo 4. Configuración de CX PCA 143

154 Registro de diferencias Además del registro de cambios de priacidad, las diferencias en todos los cambios de la consola web se registran en el archio conf_changelog.cfg. Referencia Para obtener información general sobre la priacidad Tealeaf, consulte "Gestión de la priacidad de datos en Tealeaf CX" en el Manual de instalación de IBM Tealeaf CX. Para obtener más información sobre la configuración de la priacidad, consulte "Agente de sesión de priacidad" en el Manual de configuración de CX de IBM Tealeaf. Tealeaf proporciona un número de filtros de priacidad preconfigurados, que se pueden habilitar y modificar para satisfacer los requisitos de la aplicación web. Consulte "Filtros preconfigurados" en el Manual de configuración de IBM Tealeaf CX. Para obtener más información acerca de la ersión mejorada del agente de sesión de Windows, consulte "Agente de sesión de priacidad ampliado" en el Manual de configuración de IBM Tealeaf CX. Para obtener más información sobre el programa de utilidad de probador de priacidad, consulte "Programa de utilidad de probador de priacidad"en el Manual de configuración de IBM Tealeaf CX. Estadísticas por instancia Cuando selecciona una ista que muestra estadísticas en múltiples instancias, los datos para cada instancia se isualiza en un columna distinta: ID#0, ID#1, etcétera. El número de las columnas que se isualizan indica el número de instancias configuradas de la IBM Tealeaf CX Passie Capture Application y el número de instancias adicionales configuradas del proceso interconectado. Ejemplo Si tiene tres instancias de la PCA y cinco instancia de interconexión, se isualizan cinco columnas de datos, que es el mayor de los dos conjuntos de instancias. Las tres primeras instancias contienen toda la información específica para ambas instancias de la PCA y de interconexión. Las últimas dos instancias solo contienen información específica a las otras dos instancias de interconexión. Ejemplo: Si tiene seis instancias de la PCA y tres instancias de interconexión, se muestran seis columnas de datos, de las cuales sólo las tres primeras instancias contienen información específica a la interconexión, ya que sólo hay tres interconexiones. Nota: Se pueden configurar arias instancias del proceso de interconexión de la PCA en PCA Build 3403 o posterior. Para obtener las mediciones sobre el rendimiento de interconexiones indiiduales, consulte Sección de coincidencias en la página 156. Para obtener más información sobre la configuración de instancias adicionales, consulte Consola Web de PCA - Pestaña Interfaz en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

155 Comprobación de la salud del sistema a traés de stats.xml Puede utilizar la salida de stats.xml para superisar si el tráfico es recibido por PCA y entregado a los destinatarios de destino. Tabla 6. Tráfico: Valor <CaptureCurrentFilteredKbytesPerSec> <SslTotalDhCipherConnections> Descripción y alor esperado Este alor indica el número de kilobytes por segundo de datos filtrados capturados por el PCA. Si la captura funciona, este alor debe ser positio. Este alor indica el número total de conexiones SSL de Diffie-Hellman en uso. Nota: IBM Tealeaf CX Passie Capture Application no da soporte al uso del cifrado Diffie-Hellman. Este alor debe ser cero (0). Tabla 7. Entrega: Valor <StateText> <TotalHitsQueued> Descripción y alor esperado Este alor indica el estado de la conexión entre el PCA y el seridor Windows de destino. Este alor debe ser connected. Recuento total de coincidencias en cola para la entrega al seridor IBM Tealeaf CX. Este alor debe ser igual a <TotalHitsDeliered>. Para obtener más información sobre las opciones disponibles para ctcstats en la línea de mandatos, ejecute lo siguiente como el usuario ctccap:./ctcstats -h Procesos de software de captura Para obtener más información sobre los procesos del PCA, consulte Capítulo 1, Descripción general de la captura pasia, en la página 1. Estadísticas de captura pasia Las siguientes secciones describen las definiciones de estadísticas de captura pasia. Leyenda XML - Nodo XML en stats.xml Pantalla de consola - Valor de isualización que se muestra en la pestaña de estadísticas de la consola web de PCA En esta columna, un alor de not aailable indica que no se informa la estadística de forma predeterminada en la consola web de PCA. Descripción - Una descripción de texto de la estadística. Capítulo 4. Configuración de CX PCA 145

156 Sección General Tabla 8. Sección General XML Pantalla de consola Descripción <CaptureVersion> Capture ersion El número de ersión de compilación de software captura pasia. <CapturedPctCpu> Captured CPU usage percent (high) El uso de CPU actual para el proceso. <CoreDumpCount> Number of coredumps Número de olcado de núcleo que se han producido desde cualquiera de los procesos de captura pasia. Este es un recuento de los archios de olcado de núcleo en el subdirectorio /usr/local/ctccap. <CpuLoadPct> CPU load percentage El total de porcentaje de carga de CPU informado por el sistema. <InstanceCount> Number of instances Número de instancias que se están ejecutando (parejas listend y reassd). <PeerCount> Number of deliery peers Número de conexiones de socket entregadas a los seridores de proceso de Tealeaf. <ProcessCount> Number of processes Número total de procesos que conforman el software de captura pasia, los procesos de seridor Apache, y así sucesiamente. <ProcessClassCount Number of process classes Número total de procesos específicos de Tealeaf que se agrupan en clases. <ReassdPctCpu> Reassd CPU usage percent (high) El más alto uso de porcentaje de CPU que informa el sistema en todo los procesos Reassd. Puede haber arios procesos Reassd, pero normalmente sólo uno. Sección hora Tabla 9. Sección hora XML Pantalla de consola Descripción <LastReset> Last time statistics were reset La hora y fecha cuando se borraron las estadísticas. <LastResetSecondsUtc> <LastResetUtc> Last time statistics were reset in UTC seconds Last time statistics were reset in UTC Los segundos UTC desde que las estadísticas se borraron por última ez. La hora y fecha de cuando se borraron las estadísticas en Tiempo Uniersal Coordinado. 146 IBM Tealeaf CX Passie Capture Application: Manual de PCA

157 Tabla 9. Sección hora (continuación) XML Pantalla de consola Descripción <LastRestart> Last time capture entered main loop La hora y fecha de cuando Capturado reinició sus procesos hijo. <LastRestartSecondsUtc> <LastRestartUtc> Last time capture entered main loop in UTC seconds Last time capture entered main loop in UTC Los segundos UTC desde que Capturado reinicio sus procesos hijo. La hora y fecha de cuando Capturado reinició sus procesos hijo en UTC. <LocalTime> Local time La hora local del sistema. <LocalTimeSecondsUtc> Local time in UTC seconds La hora local del sistema en segundos UTC. <LocalTimeUtc> Local time in UTC La hora local del sistema en Tiempo Uniersal Coordinado. <NumSystemRestarts> Number of times capture entered main loop Número total de eces que Capturado reinició su proceso hijo desde que se inició el software de Captura pasia. <TimeCpuUptime> <TimeCpuUptimeSeconds> Time since last OS reboot (days, hours, minutes, seconds) Seconds since last OS reboot El tiempo transcurrido desde que se reinició el SO del sistema. Número de segundos transcurridos desde que se reinició el SO del sistema. Sección de memoria Las siguientes estadísticas de memoria están todas interrelacionadas y realizan seguimiento entre sí. Tabla 10. Sección de memoria XML Pantalla de consola Descripción <MemoryListendSize> Listend size La ocupación de memoria actual de proceso como notifica el SO, en bytes. Normalmente este alor debe estar debajo de 20 MB. <MemoryListendMaxSize> Listend max size El tamaño máximo de la ocupación de memoria de proceso según se notifica el SO, en bytes. Este alor fluctúa en función de diersos requisitos internos. Normalmente, hace el seguimiento del tamaño actual con poca desiación y es el indicador de marca de límite superior para el mismo. Capítulo 4. Configuración de CX PCA 147

158 Tabla 10. Sección de memoria (continuación) XML Pantalla de consola Descripción <MemoryListendMemoryIn_use> Listend memory in use Tamaño de uso de la memoria actual de proceso, en bytes, basado en los requisitos de memoria asignada dinámicamente. Este alor crece, en función de sus necesidades, a un máximo de 100 MB para almacenamientos intermedios de paquetes internos. <MemoryListendMaxMemoryIn_use> Listend max memory in use El indicador de marca de límite superior para el alor anterior en uso. <MemoryReassdSize> Reassd size El tamaño de ocupación de memoria actual de proceso, en bytes, según informa el SO. Este alor es la memoria actual que se asigna a este, incluida su ocupación. Normalmente puede ariar de algunos megabytes a1gbomás. <MemoryReassdMaxSize> Reassd max size La marca de límite superior para el tamaño de memoria actual anterior. <MemoryReassdMemoryIn_use> Reassd memory in use El tamaño de uso de la memoria actual que se basa en las demandas de memoria asignada dinámicamente a partir de esta. Este alor también puede ariar de algunos megabytes hasta más de 1 GB de acuerdo a los requisitos de proceso para la actiidad de tráfico de red actual. No hay ningún alor típico, pero suele ser menos de 500 MB. <MemoryReassdMaxMemoryIn_use> Reassd max memory in use La marca de límite superior para el tamaño de memoria actual anterior. 148 IBM Tealeaf CX Passie Capture Application: Manual de PCA

159 Tabla 10. Sección de memoria (continuación) XML Pantalla de consola Descripción <MemoryListendOutputBuffers> Listend output buffers Memoria actual utilizada en el almacenamiento intermedio de salida, en bytes, para el tráfico de paquetes filtrados de proceso listend. Este almacenamiento intermedio se utiliza para almacenar en búfer el tráfico que fluye del listend al reassd a traés de su conducto. El proceso reassd extrae paquetes de tráfico tal como puede procesarlos. El tamaño predeterminado de este almacenamiento intermedio es 100 MB. <MemoryListendOutputBuffersMax> Listend output buffers max La marca de límite superior para el alor de tamaño de los almacenamientos intermedios anteriores. <MemoryDelieryQueue> Deliery queue Tamaño de almacenamiento intermedio de entrega de hitactual que se utiliza, en bytes, para eniar hits a traés del socket al seridor IBM Tealeaf CX. <MemoryDelieryQueueMax> Deliery queue max La marca de niel superior para el alor anterior de tamaño de cola. <MemorySslSessionCacheEntries> SSL session cache entries El número actual de entradas de sesión de SSL que se almacenan en la tabla de antememoria. El alor de configuración conf determina cuál es el límite máximo de entradas que se pueden almacenar en un momento. El alor predeterminado más común es de 10,000 entradas. Para obtener más información sobre el ajuste del alor límite máximo, consulte la estadística Total session cache misses de SSL siguiente. <CpuUsagePctHigh> no disponible Porcentaje de uso de CPU (alto) Capítulo 4. Configuración de CX PCA 149

160 Tabla 10. Sección de memoria (continuación) XML Pantalla de consola Descripción <CpuUsagePctTotal> no disponible Porcentaje de uso de CPU (total) <Id> no disponible ID de proceso en el contexto de los procesos de PCA <MemUsagePctHigh> no disponible Porcentaje de uso de memoria (alto) <MemUsagePctTotal> no disponible Porcentaje de uso de memoria (total) <Name> no disponible nombre del proceso <ProcessCount> no disponible ProcessCount <VirtualMemorySizeKbytesHigh> no disponible Tamaño de la memoria irtual (kbytes) alto <VirtualMemorySizeKbytesTotal> no disponible Tamaño de la memoria irtual (kbytes) total Sección TCP Tabla 11. Sección TCP XML Pantalla de consola Descripción <TcpTotalPacketsRcd> Total packets rcd El recuento de paquetes TCP recibidos por el reensamblador. <TcpTotalPacketsRcdPerSec> Total packets rcd per second Índice de paquetes TCP recibidos por segundo <TcpTotalConnections> Total connections El recuento de conexiones TCP nueas formadas por el reensamblador del TCP. <TcpTotalConnectionsPerSec> Total connections per second Índice de conexiones TCP nueas que se forman por segundo <TcpTotalClosedConnections> Total closed connections El recuento de conexiones TCP cerradas por el reensamblador del TCP <TcpTotalRstConnections> Total reset connections El recuento de conexiones TCP que se restablecen. Un gran número de conexiones restablecidas puede estar indicando un problema de conexión. <TcpSyn_waitConnections> SYN/WAIT connections Recuento actual de conexiones TCP que solo recibieron el primer paquete de reconocimiento de SYN. Este número debe realizar el seguimiento con el alor "Conexiones "actuales", por debajo del 50 por ciento, dependiendo de la actiidad del tráfico de red. Si el alor lo excede constantemente por un gran margen, puede haber un problema con el tráfico del puerto span. <TcpSyn_waitConnectionsMax> SYN/WAIT connections max La marca de límite superior para lo anterior. <TcpTotalSyn_waitConnectionsAged> Total SYN/WAIT connections aged Muestra cuantas conexiones SYN/WAIT se suprimen debido al enejecimiento. <TcpTotalSyn_waitConnectionsDestroyed> Total SYN/WAIT connections destroyed Recuento de conexiones SYN/WAIT destruidas debido a que se está alcanzando el límite máximo. Esto sucede para dejar espacio para que se creen nueas conexiones. Si este recuento aumenta rápidamente en un periodo corto (5 minutos), puede estar indicando que los límites máximos predeterminados se establecieron demasiado bajos para el olumen de tráfico de red capturado. Ajuste el límite máximo en un alor más alto para minimizar la pérdida. Un aumento rápido del recuento también puede indicar un problema con la infraestructura de red que no proporciona tráfico de red relatiamente completo. 150 IBM Tealeaf CX Passie Capture Application: Manual de PCA

161 Tabla 11. Sección TCP (continuación) XML Pantalla de consola Descripción <TcpTotalOutsyncSyn_waitConnections> Total out-of-sync SYN/WAIT connections Recuento total de conexiones donde los paquetes de reconocimiento SYN, SYN1 y SYN2, están inertidos. Recibió el paquete SYN del seridor al cliente antes que el paquete SYN del cliente al seridor. <TcpCurrentConnections> Current connections Recuento actual de conexiones de reconocimiento SYN completadas (conexiones establecidas). <TcpCurrentConnectionsMax> Current connections max La marca de límite superior para lo anterior. <TcpTotalCurrentConnectionsAged> Total Current connections aged Muestra cuántas conexiones actuales se suprimen debido al enejecimiento. <TcpTotalCurrentConnectionsDestroyed> Total Current connections destroyed Recuento de conexiones destruidas debido a que se ha alcanzado el límite máximo. Esto sucede para dejar espacio para que se creen nueas conexiones. Si este recuento aumenta rápidamente en un periodo corto (5 minutos), puede estar indicando que los límites máximos predeterminados se establecieron demasiado bajos para el olumen de tráfico de red capturado. Ajuste el límite máximo en un alor más alto para minimizar la pérdida. Un aumento rápido del recuento también puede indicar un problema con la infraestructura de red que no proporciona tráfico de red relatiamente completo. <TcpTotalConnectionsReaped> Total Connections reaped Conexiones por segundo que no pueden ser descifradas porque falta una clae <TcpTime_waitConnections> TIME_WAIT connections Recuento actual de conexiones en un estado cerrado/en espera pero no cerrado, recibieron los paquetes FIN. <TcpTime_waitConnectionsMax> TIME_WAIT connections max La marca de límite superior para lo anterior. <TcpTotalOooConnectionsDeleted> Total out-of-order connections deleted Indica cuantas supresiones de conexiones dañadas se han producido. El alor de cuenta de esta estadística se restablece automáticamente cuando supera los <TcpTotalOooConnections> Total out-of-order connections Indica cuántas conexiones de paquetes dañados totales están sucediendo. Si este número es alto o está por alcanzar el número de "Conexiones totales", entonces la infraestructura de red que proporciona el tráfico a los puertos de Captura no se puede limpiar, y algunas coincidencias no se pueden reensamblar apropiadamente debido a que se necesita una reordenación de paquetes excesia. Esto puede resultar en un uso intensio de la CPU para el proceso de Captura. <TcpTotalRolloerConnections> Total rolloer connections Conexiones totales donde el número de secuencia TCP se renuea a 0 <TcpTotalMissingPktConnections> Total missing packet connections Conexiones totales donde se detecta una condición de paquete faltante <TcpCurrentStreamingConnections> Current streaming connections Sin implementar o utilizar <TcpTotalStreamingConnections> Total streaming connections Sin implementar o utilizar <TcpTotalAckedButUnseenPackets> Total ACKed but unseen packets Un recuento de paquetes de reconocimiento TCP que se recibieron pero que no tenían un paquete de datos TCP correspondiente que se reconoció para la conexión TCP. <TcpTotalAckRollbacks> Total ACK rollbacks Un recuento de números de secuencia de paquete de reconocimiento que son menos que el número de secuencia de paquete de reconocimiento en el reensamlador TCP. <TcpAlienPacketsRcd> Alien packets rcd Un recuento de cualquier paquete TCP donde no se pudo encontrar una conexión TCP correspondiente en la tabla de reensamblador TCP de conexiones TCP actualmente conocidas. El recuento de paquetes extraños debe medirse con respecto al alor Total packets captured. Espere er este recuento por debajo del 10 por ciento. Capítulo 4. Configuración de CX PCA 151

162 Tabla 11. Sección TCP (continuación) XML Pantalla de consola Descripción <TcpTotalChecksumErrors> Total checksum errors Recuento de errores de suma de comprobación de paquete TCP erróneo. Si está obteniendo recuentos de error para este alor, entonces la infraestructura de la red está distribuyendo tráfico a la máquina host de Captura pasia con alores de suma de comprobación de paquete erróneo. Nota: Si está encontrando un gran número de errores de suma de comprobación, el problema puede ser proocado por diferentes factores. Incluye la descarga de la suma de comprobación que se realiza en el NIC. Para erificar, debe ponerse en contacto con el departamento de TI de la red para identificar si está habilitada esta característica y de ser así, inhabilitarla y después oler a comprobar el alor de esta estadística. <TcpErrors> Errors Sin implementar o utilizar. <TcpErrorsperSec> TCP Errors per Second Sin implementar o utilizar. <TcpTotalDuplicatePackets> Total back-to-back duplicate packets Indica cuántos paquetes duplicados consecutios se producen en el tráfico de captura filtrado. Un número eleado indica que los puertos span del conmutador de red no están configurados correctamente y que están proporcionando tráfico duplicado. En este caso, la estadística se aproxima a la mitad del alor especificado en el alor Total packets rcd. Mientras que los procesos de Captura pueden manejar paquetes de tráfico duplicado, es una utilización innecesaria que puede afectar el rendimiento cuando el sistema ya está cerca de su niel máximo. Esto también es un problema cuando el ancho de banda disponible para los NIC de Captura es desperdiciado innecesariamente. Consulte Cómo maneja el PCA paquetes TCP duplicados? en la página 291. Sección SSL Tabla 12. Sección SSL XML Pantalla de consola Descripción <SslTotalTIs11Sessions> Total TLS1.1 sessions Este es un recuento total de sesiones SSL que utilizan el protocolo TLS1.1. <SslTotalTIs11SessionsDecrypted> Total TLS1.1 sessions decrypted Este es un recuento total de sesiones SSL que utilizan el protocolo TLS1.1 y que se han descifrado correctamente. SslTotalTls12Sessions Total TLS1.2 sessions Este es un recuento total de sesiones SSL que utilizan el protocolo TLS1.2. SslTotalTls12SessionsDecrypted Total TLS1.2 sessions decrypted Este es un recuento total de sesiones SSL que utilizan el protocolo TLS2.1 y que se han descifrado correctamente. <SslTotalNewHandshakes> Total new handshakes Este es un recuento de la nuea sesión de reconocimiento SSL que se ha producido. Nueo indica que la sesión de SSL no se encontró en la tabla de la memoria caché de la sesión de SSL. 152 IBM Tealeaf CX Passie Capture Application: Manual de PCA

163 Tabla 12. Sección SSL (continuación) XML Pantalla de consola Descripción <SslTotalResumedHandshakes> Total resumed handshakes Proporciona un total acumulado de los reconocimientos reanudados de SSL que se han producido. Esta estadística muestra que tan bien aproechan los sitios web el rendimiento SSL mediante su utilización. Si el recuento es cero, esto indica que se está realizando la transacción de los nueos reconocimientos de SSL de sobrecarga alta en sitios que pueden tener problemas de rendimiento. <SslRecordsRcd> Records rcd Este es un recuento de registros de SSL capturados que podrían abarcar arios paquetes. <SslTotalHandshakes> Total handshakes Un recuento de sesiones de reconocimiento SSL negociadas correctamente. Este recuento refleja el descifrado satisfactorio del tráfico SSL. <SslHangingConnections> Hanging connections Sin implementar o utilizar. <SslCurrentConnections> Current connections Sin implementar o utilizar. <SslHitCount> Recuento de aciertos Sin implementar o utilizar. <SslCurrentHitsPerSec> Current hits per second Esta estadística es un indicador importante del rendimiento y la disponibilidad del sistema. Muestra el número actual de la tasa de aciertos por segundo de SSL generados por los Procesos de captura. El número esperado de nueos aciertos de SSL de reconocimiento es aproximadamente de 150, sin la aceleración de hardware de SSL. El descifrado SSL es una operación intensia de CPU que utiliza mucha capacidad del sistema de Captura. Estas estadísticas se actualizan cada 5 segundos. <SslMaxHitsPerSec> Maximum hits per second Muestra el número máximo de la tasa de aciertos por segundo de SSL generados por los procesos de Captura. <SslAgHitsPerSec> Aerage hits per second Proporciona un promedio dinámico del número de aciertos por segundo de SSL en proceso. Esta estadística proporciona un indicador general de operaciones SSL durante un largo período de ejecución en ez de solo un índice instantáneo. <SslNewHandshakesPerSec> New handshake hits per second Proporciona una instantánea de la tasa de los reconocimientos nueos SSL que se están produciendo. <SslNewHandshakesPerSecMax> Maximum new handshake hits per second Tasa máxima de reconocimientos SSL nueos por segundo <SslResumedHandshakesPerSec> <SslResumedHandshakesPerSecMax> Resumed handshake hits per second Maximum resumed handshake hits per second Tasa máxima de reconocimientos SSL reanudados por segundo Tasa máxima de reconocimientos SSL reanudados por segundo Capítulo 4. Configuración de CX PCA 153

164 Tabla 12. Sección SSL (continuación) XML Pantalla de consola Descripción <SslConnectionDataLen> Connection data length La longitud de datos promedio en bytes de una conexión SSL durante un período de 5 segundos (muestreo). Esta estadística se utiliza para calcular el promedio de longitud de una coincidencia SSL. <SslHitDataLen> Hit data length El alor calculado del promedio de la longitud de datos de coincidencia de SSL en bytes. <SslTotalNewSessionTicketSessions> Total new SessionTicket sessions Este alor proporciona un recuento de las sesiones SSL nueas utilizando la extensión SessionTicket de TLS. Tanto el cliente como el seridor deben soportar la extensión para que el recuento sea álido. Por ejemplo, si un cliente solicita utilizar la extensión SessionTicket y el seridor la rechaza debido a que no cuenta con soporte, la sesión no se cuenta. <SslTotalResumedSessionTicketSessions> <SslTotalDecryptedSessionTicketSessions> <SslTotalSessionTicketSessionCacheMisses> <SslTotalEphemeralRsaConnections> Total resumed SessionTicket sessions Total decrypted SessionTicket sessions Total SessionTicket session cache misses Total ephemeral RSA connections Este alor es el recuento del número de sesiones SessionTicket de TLS que se reanudaron después de ser detenidas. Este alor es el recuento de sesiones SSL nueas y reanudadas descifradas por la PCA. Este alor es el recuento de las sesiones SSL reanudadas que la PCA no puedo descifrar, generalmente debido a que no se pudo er la sesión SSL nuea inicial. Muestra el número de conexiones SSL que utilizó cifrado "transitorio", como el cifrado RSA lee de 40 bits. Estos normalmente son utilizados por los naegadores a niel internacional que no tienen permitido utilizar naegadores de cifrado fuerte de 128 bits. Nota: El cifrado feromonal no puede ser descifrado posteriormente. También se genera un mensaje de registro cronológico de errores para proporcionar información IP de cliente. 154 IBM Tealeaf CX Passie Capture Application: Manual de PCA

165 Tabla 12. Sección SSL (continuación) XML Pantalla de consola Descripción <SslTotalDhCipherConnections> Total Diffie-Hellman cipher connections Cuenta el número de conexiones SSL al utilizar el cifrado Diffie-Hellman. Este cifrado efímero no puede descifrarse posteriormente. Solo puede ser iniciado por el seridor Web, no por el naegador del cliente. Un recuento de un alor distinto a cero indica que uno o más seridores Web han configurado las preferencias de la suite de cifrado SSL para utilizar este cifrado en concreto. Para permitir el descifrado, el seridor Web necesita cambiar las preferencias de cifrado SSL para eliminar este cifrado y reemplazarlo con otro, como el cifrado RSA AES de 256 bits. <SslTotalNullCipherConnections> Total Null Cipher Connections Recuento de conexiones SSL que no contienen un cifrado. <SslTotalHsmKeysLoaded> Total HSM keys loaded Notifica el número de claes SSL cargadas desde el almacén de claes HSM Sun por la PCA al inicio de cada instancia PCA. <SslMissingKeys> Missing keys Recuento de claes SSL utilizadas que no cuentan con un archio pem de clae SSL correspondiente. <SslMissingKeysPerSec> Missing keys per second Conexiones por segundo que no pueden ser descifradas porque falta una clae <SslTotalBadHandshakeSeqErrors> Total Bad Handshake Sequence Sin implementar o utilizar. Errors <SslTotalUnknownCipherErrors> Total Unknown Cipher Errors Sin implementar o utilizar. <SslErrors> Errors Sin implementar o utilizar. <SslTotalSessionCacheMisses> Total session cache misses Cuando un registro de sesión SSL llega para ser descifrado, se comprueba para er si la información de cifrado descifrado para esa sesión se encuentra en la memoria caché. Si no, se cuenta como una falta de memoria caché. Dado que se trata de un Registro, se asume que ocurrió el reconocimiento SSL y que la información de cifrado descifrado se encuentra en la memoria caché. Esto puede suceder si se reinició la Captura pasia y comenzó a capturar sesiones SSL en curso o excedió el alor predeterminado de entradas de memoria caché de sesión SSL simultáneas y las entradas de LRU se suprimieron. <SslSessionCacheMissesPerSec> Session cache misses per second Índice de desaciertos de la memoria caché de sesión por segundo. Capítulo 4. Configuración de CX PCA 155

166 Tabla 12. Sección SSL (continuación) XML Pantalla de consola Descripción <SslOldestSessionCacheEntry> Oldest session cache entry Proporciona la entrada de memoria caché SSL residente más antigua en minutos a partir de la hora actual. Esta estadística es útil para detectar si hay suficientes entradas de la memoria caché al dimensionar su tabla para que pueda manejar un sitio de gran olumen con el mínimo de impacto en el rendimiento. SslHitCount> SSL hit count Recuento de coincidencias SSL. <SslTotalCaptureType1> SSL Total Capture Type 1 Recuento captura tipo 1 de aciertos ssl (páginas). <SslPageViewPct> Percent of ssl page iews to page iews El porcentaje de istas de página sobre SSL. Sección de coincidencias Tabla 13. Sección de coincidencias XML Pantalla de consola Descripción <HitsCaptured> Captured Recuento de hits donde el analizador HTTP pudo realizar un hit completo de solicitud y respuesta. <HitsCapturedPerSec> Captured before hit processing per second Proporcionar índice actual de hits capturados (superior). Esta estadística proporciona un indicador del número de hits antes del proceso de hits, rechazo, etc. <HitsRejectedResponse> Rejected response Sin implementar o utilizar. <HitsRejectedResponseBody> Rejected response body Sin implementar o utilizar. <HitsRejectedHits> Rejected hits En modalidad de captura de Tealeaf tipo BusinessIT, el recuento de hits que tenía sus respuestas rechazadas donde la extensión de URL coincide con la lista de exclusión de extensión. El hit está aún formado y entregado pero falta la respuesta, es decir, solo el registro de solicitud. Por ejemplo, extensiones URL excluidas, GIF, BMP, CSS, JS, etc. <HitsUndelieredHitsWhilePassie> <HitsCurrentNonSslHitsPerSec> Undeliered hits while passie Current non-ssl hits per second Muestra los hits descartados mientras la captura pasia en nodo pasio. Proporcione índices actuales de hits no SSL que se procesan por segundo. Esta estadística proporciona un indicador de la cantidad de hits procesados que no son SSL descifrados mediante la captura pasia. Algunos sitios pueden tener todos los tráficos SSL terminados antes de que los reciba la captura pasia. 156 IBM Tealeaf CX Passie Capture Application: Manual de PCA

167 Tabla 13. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsMaxNonSslHitsPerSec> Maximum non-ssl hits per second Proporcione los índices máximos de hits no SSL que se procesan por segundo. Esta estadística proporciona un indicador de la cantidad de hits procesados que no son SSL descifrados mediante la captura pasia. Algunos sitios pueden tener todos los tráficos SSL terminados antes de que los reciba la captura pasia. <HitsAgNonSslHitsPerSec> <HitsCurrentToDelieryHitspersec> <HitsMaxToDelieryHitspersec> <HitsTotalCaptureType1> <HitsTotalCaptureType2> <HitsTotalCaptureType3> <HitsTotalCaptureTypeOther> <HitsTotalLargeHits> <HitsTotalStreamingHits> <HitsTotalNonHttpTypeErrors> Aerage non-ssl hits per second Current to deliery hits per second Maximum to deliery hits per second Total Capture Type 1 Hits Total Capture Type 2 Hits Total Capture Type 3 Hits Total Capture Type Other Hits Total Hits Identified as Too Large Total Streaming Hits Total non-http type errors Proporciona tipos medios de hits no SSL que se procesan por segundo. Esta estadística proporciona un indicador de la cantidad de hits procesados que no son SSL descifrados mediante la captura pasia. Algunos sitios pueden tener todos los tráficos SSL terminados antes de que los reciba la captura pasia. Proporcione las tasas actuales de hits eniados al sistema de entrega de la captura pasia. El sistema de entrega puede saturarse debido a arios problemas de socket de red, tal como la saturación de la banda ancha de NIC, que puede producir que se descarten aciertos. Proporcione las tasas máximas de hits eniados al sistema de entrega de la captura pasia. El sistema de entrega puede saturarse debido a arios problemas de socket de red, tal como la saturación de la banda ancha de NIC, que puede producir que se descarten aciertos. Recuentos de hits de captura tipo 1 que se han capturado. Recuentos de hits de captura tipo 2 que se han capturado. Recuentos de hits de captura tipo 3 que se han capturado. Recuentos de hits de tipo de captura no identificada que se han capturado. Recuentos de hits que se han identificado como demasiado grandes para capturar. Recuentos de hits totales de modalidad continua que se han capturado. Cuenta el número de hits que no tienen la serie de protocolo "HTTP" en su cabecera. El hit se descarta cuando esto se produce. Capítulo 4. Configuración de CX PCA 157

168 Tabla 13. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsTotalBogusHttpErrors> Total inalid HTTP errors Recuento de hits que no siguen los requisitos de formato de protocolo HTTP específicos para las cabeceras, tales como la pérdida de caracteres, caracteres CR o LF extraños, etc. El hit se descarta cuando sucede esto. <HitsTotalClientSpeaksFirstErrors> <HitsTotalMoreRespThanReqErrors> <HitsTotalUnansweredReqErrors> <HitsTotalUnfinishedReqErrors> <HitsTotalUnfinishedRespErrors> <HitsTotalRespTimerExpiredErrors> <HitsTotalXmitTimerExpiredErrors> Total responses before requests errors Total more responses than requests errors Total unanswered requests errors Total unfinished request errors Total unfinished response errors Total response timer expired errors Total packet transmission timer expired errors Indica que un hit HTTP se ha uelto a ensamblar con una respuesta antes de una solicitud. Indica en una conexión TCP donde se han formado arios hits que habían más respuestas que solicitudes. Esto significa que no había suficientes solicitudes que coincidieran con las respuestas. Después de que se detecta esta condición en una conexión TCP, se descartan los siguientes hits. Indica en una conexión TCP que faltaban respuestas para un número de solicitudes presentes para arios hits. Recuento total de solicitudes HTTP que han finalizado antes del tamaño notificado indicado. Estos errores se pueden producir si la cabecera de solicitud para la longitud de contenido se ha calculado incorrectamente para los datos de cuerpo de solicitud actual. Por ejemplo, la longitud establecida es mayor que los datos reales. Nota: Esta estadística está disponible en PCA Build 3500 o posterior. Recuento total de respuestas HTTP que han finalizado antes del tamaño notificado indicado. Estos errores se pueden producir si la cabecera de respuesta para la longitud de contenido se ha calculado incorrectamente para los datos de respuestas reales. Por ejemplo, la longitud establecida es mayor que los datos reales. Indica en una conexión TCP que una respuesta no se ha producido después de una solicitud en este alor de configuración del tiempo de espera de trasmisión de TCP. El alor predeterminado es 120 segundos. Indica en una conexión TCP que los paquetes se deben producir en este alor de configuración de tiempo de espera de trasmisión de TCP. El alor predeterminado es 120 segundos. 158 IBM Tealeaf CX Passie Capture Application: Manual de PCA

169 Tabla 13. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsTotalTlapiReparseRespNullErrors> Total TLAPI inalid response errors Cuenta hits en TLapi donde no está presente ninguna respuesta. <HitsTotalTlapiReqStartExtraBytes> <HitsTotalTlapiInalidReqErrors> <HitsTotalTlapiReqCorruptErrors> <HitsTotalTlapiReparseRespCorruptErrors> <HitsTotalInflateRequestCandidates> <HitsTotalInflateRequestsCompleted> <HitsTotalInflateRequestsFailed> <HitsTotalInflateResponseCandidates> <HitsTotalInflateResponsesCompleted> <HitsTotalInflateResponsesFailed> <HitsTotalDeflateResponseCandidates <HitsTotalDeflateResponsesCompleted> Total TLAPI request start extra bytes Total TLAPI inalid request errors Total TLAPI request corrupt errors Total TLAPI response corrupt errors Total candidates for inflate request Total requests inflated Total failed attempts to inflate the request Total candidates for inflate response Total responses inflated Total failed attempts to inflate the response Total candidates for deflate response Total responses deflated Marca hits en TLapi que tienen caracteres extraños CR, LF, o null al inicio de la solicitud. Esto es solo un recuento de condición de aiso. Aunque no conforme, los caracteres adicionales se ignoran y la comprobación continúa si el resto de la solicitud es álida. Cuenta los hits en TLapi donde no está presente la solicitud. El hit se descarta cuando esto se produce. Cuenta los hits en TLapi si la solicitud finaliza de forma impreista. Normalmente, puede haber algunos caracteres extraños que se quitan sin dejar nada para una solicitud. O si después de un método de solicitud, GET, POST, etc., nada sigue en la línea. El hit se descarta cuando esto se produce. Cuenta hits en TLapi que se han encontrado sin que haya una respuesta. Esto se puede producir cuando una conexión TCP se cierra de forma inesperada antes de que se capture una respuesta de hit. El hit incompleto todaía se enía a TLapi para confirmar si existe o no un hit completo. Número total de hits con un cuerpo de solicitud comprimido (datos POST) donde se intenta la descompresión. Número total de hits donde un cuerpo de solicitud comprimido se descomprime satisfactoriamente. Número total de hits donde falla la descompresión de un cuerpo de solicitud comprimido. Número total de hits con una respuesta comprimida donde se intenta una descompresión. Número total de hits donde una respuesta comprimida se descomprime satisfactoriamente. Número tota de hits donde falla la descompresión de una respuesta comprimida. Total de candidatos para aplanar respuesta Total de respuestas aplanadas Capítulo 4. Configuración de CX PCA 159

170 Tabla 13. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsTotalDeflateResponsesFailed> Total failed attempts to deflate the response Total de intentos fallidos para aplanar la respuesta <HitsTotalDroppedBusinessModeExtension> <HitsTotalDroppedBusinessModeResponse> <HitsTotalDroppedByDelimagesFeature> <HitsTotalDroppedInalidMethod> <HitsTotalDroppedByParseRequest> <HitsTotalDroppedByParseResponse> <HitsTotalDroppedByPriacy> <HitsTotalDroppedBySampling> Total dropped due to business mode and extension Total dropped due to business mode and response Total dropped due to businessit mode and DelImages feature set Total dropped due to inalid HTTP method Total dropped due to HTTP request parsing errors Total dropped due to HTTP response parsing errors Total dropped by priacy rules Total dropped by sampling Total descartado debido a la modalidad y extensión del negocio Total descartado debido a modalidad y respuesta de negocio Total de hits de imagen que cumplen los criterios especificados descartados debido a que DelImages se ha habilitado en PCA Consulte Valores de la interconexión en la página 110. Total de hits descartados debido a un método http no álido Total de hits descartados por la función parserequest Total de hits descartados por la función de respuesta de análisis Total de coincidencias descartadas por priacidad Total de coincidencias descartadas por muestreo 160 IBM Tealeaf CX Passie Capture Application: Manual de PCA

171 Tabla 13. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsTotalDroppedHitArriedTooLate> Total dropped because hit arried too late Total descartado porque la coincidencia llegó demasiado tarde Si la diferencia entre la indicación de fecha y hora del primer paquete de solicitud y la indicación de fecha y hora de llegada cuando la totalidad de la coincidencia se enía al conducto PCA, es más de una hora, entonces la coincidencia se marca como "demasiado tarde" para el proceso normal. El PCA descarta estas coincidencias del proceso posterior. El límite de una hora está codificado y no se puede modificar. Todas las coincidencias que entran al conducto PCA tienen una indicación de fecha y hora de llegada (TLapiArrialTimeEx) inserta en el registro de solicitud en la sección [timestamp]. Los retrasos en la llegada de la coincidencia completa en el conducto de PCA los pueden originar diferentes problemas, la mayoría de los cuales se originan fuera del PCA. <HitsTotalDroppedMaxDataSize> <HitsTotalDroppedReqHeaderExceedsMaxReqSize> <HitsTotalDroppedTcldHitError> <HitsAssembledHitsProcessedPerSecAg> <HitsAssembledHitsProcessedPerSecCurrent> <HitsAssembledHitsProcessedPerSecMax> <HitsAssembledHitQueueBlocksUsedAg> <HitsAssembledHitQueueBlocksUsedCurrent> Total dropped because hit exceeds max data size Total dropped due to HTTP request hdr too large Total dropped tcld hits error Aerage assembled hits processed per second Current assembled hits processed per second Maximum assembled hits processed per second Aerage assembled-hit queue blocks used Current assembled-hit queue blocks used Total de coincidencias descartados debido a que la coincidencia excede el tamaño máximo Total de coincidencias descartadas debido a que la cabecera de solicitud excede el tamaño máximo Total de coincidencias descartadas por el proceso tcld debido a alguna condición de error Nota: Este elemento está disponible en PAC Build 3403 o posterior. Número promedio de coincidencias procesadas por segundo Número de Current de coincidencias procesadas por segundo Número máximo de coincidencias procesadas por segundo Promedio de bloques de cola de coincidencias de ensamblado utilizadas Bloques de colas de coincidencias de ensamblado de Current utilizados Capítulo 4. Configuración de CX PCA 161

172 Tabla 13. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsAssembledHitQueueBlocksUsedMax> Maximum assembled-hit queue blocks used Máximo de bloques de cola de coincidencias de ensamblado utilizados <HitsAssembledHitQueueCurrentBlocksUsedPct> <HitsAssembledHitQueueCurrentEntriesUsedPct> <HitsAssembledHitQueueEntriesUsedAg> <HitsAssembledHitQueueEntriesUsedCurrent> <HitsAssembledHitQueueEntriesUsedMax> <HitsAssembledHitQueueTotalAllocation Failures> <HitsAssembledHitQueueTotalMisses> <HitsAssembledHitQueueTotalPushFailures> <HitsAssembledHitQueue2TotalAllocationFailures> Current assembled-hit queue blocks used percent Current assembled-hit queue entries used percent Aerage assembled-hit queue entries used Current assembled-hit queue entries used Maximum assembled-hit queue entries used Total assembled-hit queue allocation failures Total assembled-hit queue misses Total assembled-hit queue push failures Total assembled-hit queue2 allocation failures Porcentaje de bloques de cola de coincidencias de ensamblado de Current utilizados Porcentaje de entradas de colas de coincidencias de ensamblado de Current utilizadas Promedio de entradas de cola de coincidencias de ensamblado utilizadas Entradas de colas de coincidencias de ensamblado de Current utilizadas Máximo de entradas de cola de coincidencias de ensamblado utilizadas Total de fallas de asignaciones de cola de coincidencias de ensamblado Esta estadística se isualiza como el alor If non-zero, hits are being lost due to pipelined being oerloaded en el separador Resumen. Consulte Consola Web de PCA - Pestaña Resumen en la página 69. Total de faltas de colas de coincidencias de ensamblado Total de fallas de eníos de colas de coincidencias de ensamblado Recuento total de coincidencias a las que no se pudo asignar espacio en la cola entre el o los conductos y el proceso tcld. Los alores normales son cero o un recuento de no incremento. Puede utilizar la métrica para determinar si el proceso tcld se ha sobrecargado. Disponible en PCA Build 3403 o posterior. Esta estadística se isualiza como el alor If non-zero, hits are being lost due to pipelined being oerloaded en el separador Resumen. Consulte Consola Web de PCA - Pestaña Resumen en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

173 Tabla 13. Sección de coincidencias (continuación) XML Pantalla de consola Descripción <HitsAssembledHitQueue2TotalPushFailures> Total assembled-hit queue 2 push failures Recuento total de coincidencias que no han podido hacer cola en la cola entre el o los conductos y el proceso tcld. Los alores normales son cero o un recuento de no incremento. Puede utilizar esta métrica para determinar si el proceso tcld se ha sobrecargado. Nota: Este elemento está disponible en PAC Build 3403 o posterior. <AeragePageSize> Aerage page size Tamaño promedio de página (captura tipo 1) en bytes. <TotalPageSize> Total page size Se utiliza para calcular istas de páginas por segundo <PageViewsPerSecMax> <PageViewsPerSecCur> <PageViewsPerSecAg> <PageViewPct> <HitsTotalTlapiReqNullErrors> <HitsTotalTlapiRespCorruptErrors> <HitsTotalTlapiRespNullErrors> Max page iews per second Current page iews per second Aerage page iews per second Page iew percentage of hits Total TLAPI request null errors Total TLAPI response corrupt errors Total TLAPI response null errors Máximo de istas de páginas por segundo. Vistas de páginas de Current por segundo. Promedio de istas de página por segundo. El porcentaje de coincidencias que forman parte de las istas de páginas. Total de errores null de solicitudes de TLAPI Total de errores corrompidos de respuestas de TLAPI Total de errores null de respuestas de TLAPI Sección Capturar Tabla 14. Sección Capturar XML Pantalla de consola Descripción <CaptureBytesWrittenByListener> Bytes written by listener Número total de bytes de paquete grabados en el programa de sincronización reassd's mediante listend. <CaptureBytesWrittenByListenerPerSec> <CaptureBytesReadFromListener> <CaptureBytesReadFromListenerPerSec> <CaptureFilteredKbytesFromPrimaryInterface> <CaptureFilteredKbytesFromPrimaryInterfacePerSec> <CaptureFilteredKbytesFromPrimaryInterfacePerSecMax> <CaptureFilteredKbytesFromSecondaryInterface> Bytes written by listener per second Bytes read from listener Bytes read from listener per second Current filtered KB from primary interface Current filtered KB/sec from primary interface Maximum filtered KB/sec from primary interface Current filtered KB from secondary interface Tasa de bytes de paquete grabados en el programa de sincronización reassd's mediante listend por segundo. Número total de bytes de paquete leídos por reassd desde el programa de sincronización reassd's. Este número debe coincidir con lo escrito más arriba por el alor de escucha, que indica que listend y reassd están sincronizados y que mantienen la tasa de tráfico entrante. Tasa de bytes de paquete leídos por reassd desde el programa de sincronización reassd's por segundo. Total de kbytes filtrados desde la interfaz primaria Kbytes/sec filtrados actuales desde interfaz primaria Máximo de kbytes/sec filtrados desde la interfaz primaria Total de kbytes filtrados desde la interfaz secundaria Capítulo 4. Configuración de CX PCA 163

174 Tabla 14. Sección Capturar (continuación) XML Pantalla de consola Descripción <CaptureFilteredKbytesFromSecondaryInterfacePerSec> Current filtered KB/sec from secondary interface Kbytes/sec filtrados actuales desde interfaz secundaria <CaptureFilteredKbytesFromSecondaryInterfacePerSecMax> Maximum filtered KB/sec from secondary interface Máximo de kbytes/sec filtrados desde la interfaz secundaria <CaptureTotalPacketsRcd> Total packets rcd Recuento de paquete total recibido por pcap como lo notifican sus estadísticas. <CapturePacketsDroppedByPcap> <CapturePacketsDroppedInOutput> <CaptureTotalPacketsCaptured> <CaptureTotalPacketsCapturedPerSec> <CaptureTotalIpChecksumErrors> <CaptureTotalLargePacketsExceeded> <CaptureCurrentFilteredKbytesPerSec> <CaptureMaxFilteredKbytesPerSec> Total packets dropped by pcap Packets dropped in output Total packets captured Total packets captured per second Total IP checksum errors Total large packets exceeded Current filtered kbytes per second Maximum filtered kbytes per second Recuento de paquetes totales descartados por pcap como lo notifican sus estadísticas. Este alor debe ser cero, que indica que el SO mantiene el tráfico de red de recepción de interfaz NIC. Total de paquetes descartados por listend debido a que su almacenamiento intermedio de salida está lleno. Este alor debe ser cero, que indica que listend mantiene el tráfico de red filtrado y que reassd puede extraer paquetes desde el almacenamiento intermedio de salida listend sin desbordarlo. Recuento de paquetes totales en paquetes filtrados recibidos desde pcap a listend. Tasa de paquetes filtrados recibidos desde pcap por listend por segundo. Recuento de errores totales de errores de suma de comprobación de cabecera de IP. Número total de paquetes TCP cuyo tamaño ha superado el límite configurado. El límite de tamaño de paquete TCP se configura en la sección Parámetros de ajuste de la pestaña Interfaz. Consulte Consola Web de PCA - Pestaña Interfaz en la página 81. Muestra la tasa de tráfico de kilobytes por segundo actual basada en el tráfico de captura filtrado desde los puertos de extensión. Esta estadística proporciona una indicación de cualquier tráfico después de que está presente el filtrado y de cuánto tráfico está siendo procesado por los procesos de captura. Si el alor de NIC del puerto de extensión es 100 mbits por segundo, la tasa máxima de tráfico que puede filtrarse es de aproximadamente KB por segundo. Estas estadísticas se actualizan cada 5 segundos. Muestra la tasa de tráfico de kilobytes por segundo máxima basada en el tráfico de captura filtrado desde los puertos de extensión. Esta estadística proporciona una indicación de cualquier tráfico después de que está presente el filtrado y de cuánto tráfico está siendo procesado por los procesos de captura. Si el alor de NIC del puerto de extensión es 100 mbits por segundo, la tasa máxima de tráfico que puede filtrarse es de aproximadamente KB por segundo. Estas estadísticas se actualizan cada 5 segundos. <DelieryMode> Deliery Mode Modalidad de entrega actual <CoreDumps Count="0" /?> no disponible Número de olcados del núcleo Sección destinatarios de destino Tabla 15. Sección destinatarios de destino XML Pantalla de consola Descripción <TotalHitsQueued> Total hits queued Recuento total de coincidencias en cola para la entrega al seridor IBM Tealeaf CX. 164 IBM Tealeaf CX Passie Capture Application: Manual de PCA

175 Tabla 15. Sección destinatarios de destino (continuación) XML Pantalla de consola Descripción <TotalHitsDeliered> Total hits deliered Recuento total de coincidencias entregadas al seridor de IBM Tealeaf CX. Este número debería coincidir con la cantidad de aciertos en cola, para indicar que la entrega de aciertos marcha al mismo ritmo. <TotalBytesDeliered> Total bytes deliered El número total de bytes eniados correctamente al Sericio de transporte Tealeaf destinatario. <TotalHitsDropped> Total hits dropped El número total de coincidencias descartadas al estar llena la cola de entrega por destinatario, lo cual se produce cuando la Captura pasia no puede entregar coincidencias al Tealeaf Transport Serice destinatario. Estas anomalías puede deberse a errores de red (como, por ejemplo, la configuración de red en la Captura pasia o en la máquina del destinatario) u otras condiciones relacionadas con el software, como cuando el Sericio de transporte Tealeaf no está en ejecución durante un periodo largo. Las coincidencias contadas por este alor no se eniaron al Tealeaf Transport Serice. <UseSslText> Use SSL El estado de conexión de entrega ya sea SSL o no. Yes - la conexión de entrega está utilizando una conexión SSL No - la conexión de entrega no es SSL Sección de migración tras error Tabla 16. Sección de migración tras error XML Pantalla de consola Descripción <FailoerNodeRole> Node role Maestro o esclao. <FailoerNodeState> Node state El estado del nodo está actualmente en. Actie - Tiene control y está capturando hits y eniándolos en sentido descendente. Ready - Capturando pero no eniando hits. Está listo para asumir el control cuando sea necesario. Down - No puede asumir el control. Capítulo 4. Configuración de CX PCA 165

176 Tabla 16. Sección de migración tras error (continuación) XML Pantalla de consola Descripción <FailoerCaptureState> Capture state Identifica si los sericios de captura se están ejecutando en el nodo. Running - Indica que los sericios de captura se están ejecutando. Stopped - Los sericios de captura no están ejecutando cuando se detiene el estado. Restarting - Indica que los sericios de captura están en proceso de reinicio. <FailoerActie> Failoer actie Indica que ha tenido lugar una migración tras error y el nodo esclao actualmente tiene el control. Consola web de PCA - Pestaña de copia de seguridad-registros A traés de la pestaña Copias de seguridad/registros, puede llear a cabo modificaciones de configuración, gestionar registros y habilitar el archiado de datos de paquetes en bruto capturados por el PCA. Cuando guarda cambios en un archio de configuración, se graba una copia del anterior en un archio de copia de seguridad. Se muestra un mensaje de error en el caso de que la copia no se haya completado correctamente. Archio de configuración de captura La sección Archio de configuración de captura proporciona una forma de editar el archio de configuración (ctc-conf.xml) a traés de la interfaz web en lugar de utilizando un editor de texto. Los usuarios pueden restaurar, descargar el archio actual o cargar un archio de configuración nueo pulsando los botones correspondientes en la sección Archio de configuración de captura de la página. 166 IBM Tealeaf CX Passie Capture Application: Manual de PCA

177 Archio de configuración de priacidad Esta sección habilita la edición directa del archio priacy.cfg, que se utiliza para especificar las reglas, pruebas y acciones para conertir a los datos sensibles en priados antes de que sean procesados por Tealeaf. Puede reisar ersiones anteriores del archio, así como cargar ersiones nueas para que el PCA las utilice. Esta ersión del archio priacy.cfg es una copia de la ersión utilizada por el agente de sesión de interconexión de Windows. Para obtener más información sobre su contenido y formato, consulte "Agente de sesión de priacidad" en IBM Tealeaf CX Configuration Manual. Para obtener más información sobre la forma en que Tealeaf gestiona la priacidad, consulte "Gestión de priacidad de datos" en IBM Tealeaf CX Configuration Manual. Registros Puede acceder a los siguientes registros de PCA a traés de la pestaña Copia de seguridad/registros: Registro de capturas Registro de accesos Registro de solicitudes SSL Registro de errores Registro de cambios de configuración Registros de mantenimiento En la parte inferior de la sección Registros, también puede acceder y descargar los siguientes tipos de archios: Archios de registro de captura Archios de configuración Archios de registro de la consola Capítulo 4. Configuración de CX PCA 167

178 Registro de archiados En la sección Registro de archiados, puede habilitar el registro de archiados, que suministra paquetes capturados en bruto que se han reeniado a PCA Serer en el directorio especificado. Tabla 17. Configuración de archiado Nota: Esta característica está pensada para fines de depuración. Habilítela sólo si detecta problemas con la funcionalidad de captura básica. Valor Directory Max archie size Descripción Si este campo se deja en blanco, toma el alor predeterminado de /usr/local/ctccap/archie. Las etiquetas <RecordingDirectory> y </RecordingDirectory> se eliminan de ctc-conf.xml. Especifica el tamaño máximo acumulatio de los archios de archiado tcpdump. El alor predeterminado es de 500 MB. Cuando el uso de disco alcanza este alor, se eliminan los archios de archiado anteriores para dejar espacio para los nueos. Para habilitar el registro de archiados, pulse Archiado. Consola Web de PCA - Pestaña de Migración tras error En la pestaña de Migración tras error, puede habilitar y configurar la migración tras error entre arios seridores de IBM Tealeaf CX Passie Capture Application. Cuando está habilitada, la migración por error de la PCA se gestiona mediante el proceso de migración tras error en la IBM Tealeaf CX Passie Capture Application. Para obtener más información sobre la resolución de problemas de migración tras error de la PCA, consulte "Resolución de problemas - Captura" en la IBM Tealeaf: Guía de resolución de problemas. 168 IBM Tealeaf CX Passie Capture Application: Manual de PCA

179 Pulsación Figura 34. Pulsación de migración tras error Valores automáticos El subordinado comprueba el estado del maestro al eniar pulsaciones al maestro. Técnicamente estas controles sanitarios son solicitudes al maestro por su estado actual. La pulsación es una solicitud que se enía a traés de un socket UDP. Cuando el Maestro e la pulsación, responde al emisor con su estado actual. El maestro también enía pulsaciones a la máquina de host de captura pasia para realizar un seguimiento de su estado para determinar si puede realizar una migración tras error al subordinado. Valor Descripción Interalo de pulsaciones Cuánto tiempo se debe esperar entre pulsaciones Tiempo de espera de pulsaciones La cantidad de captura pasia de tiempo espera una respuesta de una pulsación antes de llamar a un tiempo de espera excedido Límite de tiempo de espera excedido El número de tiempo de espera excedido de pulsaciones consecutias que está permitido antes de que se deba realizar una migración tras error Valor Descripción Auto Failback Esta opción pasa el control (estado actio) desde la máquina de host Slae Passie Capture (Captura pasia esclaa) a la máquina de host Master Passie Capture (Captura pasia maestra) una ez que la máquina maestra indica que está pronta para oler a tomar el control. Failoer on SVC Restart Esta opción determina si se desencadena una migración tras error cuando se reinician los sericios de captura en el seridor PCA actio. Failback Delay El número mínimo de segundos a esperar antes de realizar la migración tras error automática Capítulo 4. Configuración de CX PCA 169

180 Superisores remotos En la configuración del Superisor remoto, puede especificar una lista de seridores autorizados con permiso de acceso a la PCA para superisar información de estado de migración tras error, controlar la modalidad de migración tras error control o ambas. Figura 35. Superisores remotos Interfaces de red Un Superisor remoto es un sistema Linux que se identifica por nombre de host o dirección IP al que se permite recibir información de estado de migración tras error y/o controlar una máquina host Captura pasia configurada para la migración tras error. Nota: Esta estación de trabajo remota no debe ser un seridor PCA. Un Superisor remoto también puede opcionalmente tener permiso para controlar la migración tras error en una máquina host de Captura pasia, incluyendo forzar la migración tras error y el restablecimiento. Una IBM Tealeaf CX Passie Capture Application configurada para migración tras error responde a pulsaciones o solicitudes de control de una máquina que esté correctamente configurada como un Superisor remoto. Después de que un host reciba autorización, el programa de utilidad failstat instalado en el host puede utilizarse para ayudar a depurar problemas de migración tras error. Consola Web de PCA - Pestaña de Programas de utilidad La pestaña Programas de utilidad proporciona acceso a la información de diagnóstico del sistema operatio, lo cual resulta útil si no tiene acceso a PUTTY. Cuando se pulsa un botón de mandato, se genera la salida y se isualiza en la pantalla. Cuando se habilita la modalidad detallada, se puede incluir información adicional en la salida generada. La sección de interfaces de red de la pestaña de programas de utilidad muestra las interfaces de red, distintios, estado y direcciones IP. 170 IBM Tealeaf CX Passie Capture Application: Manual de PCA

181 Figura 36. Consola web - Pestaña programas de utilidad - Interfaces de red Esta sección lista todas las interfaces de red importantes que se incluyen en la interfaz primaria y secundaria y en la interfaz LAN que se utiliza para conectarse al sericio de transporte de Tealeaf en el seridor de IBM Tealeaf CX. En compilaciones anteriores, esta sección se mostraba en la pestaña Resumen o en la pestaña Entrega. Esta sección también isualiza información sobre los NIC, tales como soportes admitidos y estadística de paquete. Para reelar estas estadísticas, pulse (detalles junto al nombre de interfaz. Consulte Página de detalles. Valor Descripción Interfaz Identificador de interfaz Distintios Aquí se listan todas las cuestiones específicas. up indica el que la interfaz está funcionando correctamente. Estado Estado como informado desde la interfaz. Dirección IP Dirección IP para la interfaz Página de detalles En la página Detalles, puede ejecutar mandatos de Tealeaf y línea de mandatos de Linux en interfaces indiiduales para recuperar información de diagnóstico. Nota: En función de la interfaz y de su carga de tráfico, estos mandatos pueden necesitar algún tiempo para ejecutarse. Capítulo 4. Configuración de CX PCA 171

182 Figura 37. Pestaña Utilidades - página de detalles En la imagen anterior, puede er los resultados de un mandato Ifconfig. Para ejecutar uno de los mandatos disponibles de Linux, pulse el botón apropiado. Para generar una salida más detallada, seleccione el recuadro de selección. Los siguientes botones ejecutan mandatos Linux en la interfaz seleccionada: Ethtool Ifconfig Tcpdump Para obtener más información sobre los mandatos, utilice man en la línea de mandatos de Linux para mostrar la documentación disponible. También puede buscar la ayuda en línea de Tealeaf para er otros usos documentados de estos mandatos con respecto a IBM Tealeaf CX Passie Capture Application. bwmon Proporcionada por Tealeaf, la herramienta bwmon genera un conjunto de estadísticas de superisión para la interfaz seleccionada. Este mandato consulta la instancia durante un periodo de 10 segundos y deuele resultados para interalos de 1 segundo desde la interfaz. Esta herramienta puede utilizarse con actiidades que inicia en la aplicación web superisada para el diagnóstico de problemas de conexión y transferencia. Por ejemplo, puede llear a cabo acciones en la aplicación web y, a continuación, erificar si la acción ha dado como resultado actiidades a traés de la interfaz apropiada. La casilla de erificación Habilitar salida detallada genera el mismo conjunto de estadísticas. Se muestra una salida de ejemplo. Cada fila corresponde a un interalo de 1 segundo durante el periodo de consulta de 10 segundos. Si no hay tráfico pasando a la instancia, la salida contiene sólo la lista de nombres de campo. 172 IBM Tealeaf CX Passie Capture Application: Manual de PCA

183 Figura 38. Salida de bwmon de ejemplo Campo Descripción Time Indicación de fecha y hora para el interalo de 1 segundo seleccionado De El dispositio consultado Mbs La tasa de transferencia de megabits por segundo entre el dispositio y IBM Tealeaf CX Passie Capture Application. Un alor de 0 puede indicar un dispositio inactio o un problema de configuración. rxbytes Bytes transferidos desde el dispositio al PCA rxpkts Paquetes transferidos desde el dispositio al PCA rxerrs Número de errores en la transferencia desde el dispositio al PCA rxdrop Número de paquetes descartados del dispositio Programas de utilidad del sistema Los programas de utilidad del sistema que se proporcionan en la parte inferior de la pestaña Programas de utilidad habilitan la generación de información de diagnóstico importante sobre la PCA, el sistema operatio que la aloja y las estadísticas generadas por la PCA. Capítulo 4. Configuración de CX PCA 173

184 Figura 39. Consola Web - Pestaña de Programas de utilidad - Programas de utilidad del sistema Programa de utilidad Descripción Miscelánea Bootlog Reise el bootlog de Linux del sistema que aloja a la PCA. Diferencias de configuración Reise las diferencias entre el archio de configuración predeterminado (ctc-conf-defaults.xml) y la configuración actual en uso (ctc-conf.xml). Dmesg Ejectue el mandato dmesg de Linux, que muestra la información de almacenamiento intermedio en anillo del kernel. Ifconfig Ejecute el mandato Ifconfig en cada una de las interfaces de red. Tealeafen El mandato Tealeafen genera información específica a la instalación de la PCA de Tealeaf. Procesos Estos mandatos generar información estadística sobre los procesos Linux en uso. Todos Reise todos los procesos del sistema para todos los usuarios. Capturar Reise todos los procesos en uso por parte del usuario de IBM Tealeaf CX Passie Capture Application (normalmente ctccap). Top Ejecute el programa top de Linux. top proporciona una ista en tiempo real de la información de resumen del sistema y una lista de tareas actualmente gestionadas por el kernel de Linux. Estadísticas Estos mandatos generan estadísticas sobre la IBM Tealeaf CX Passie Capture Application. Formato en bruto Vea las estadísticas en formato en bruto. Resumen Reise las estadísticas en instancias indiiduales de la PCA. 174 IBM Tealeaf CX Passie Capture Application: Manual de PCA

185 Formato XML Ve las estadísticas de la PCA como XML generado. Para obtener más información sobre estas estadísticas, consulte Estadísticas por instancia en la página 144. Consola Web de PCA - Página de depuración Puede gestionar los archios principales de olcado al utilizar la página de Depuración en la Consola web de la PCA. A traés de esta página, puede descargar, suprimir o depurar olcados del núcleo que se producen durante las operaciones de la PCA. Acceso a página de depuración Página Visión general A traés de la página de Depuración, también puede descargar archios comprimidos para eniarlos al Soporte al cliente de Tealeaf. Consulte Cómo proporcionar el ZIP de la PCA a soporte en la página 177. Nota: A efectos de seguridad, para descargar cualquiera de los archios, debe estar conectado a la consola web a traés de ssl, y debe estar habilitada la autenticación de usuarios. Cuando se crean olcados del núcleo, se muestra un mensaje y un enlace en la pestaña Resumen. Para abrir la página Depuración, pulse el enlace Ver. Consulte Consola Web de PCA - Pestaña Resumen en la página 69. Para acceder a la página Depuración de la consola web de PCA directamente: donde: <host_name> es el host de PCA. Figura 40. Consola web de PCA - página de depuración Nota: Si no está conectado a traés de SSL y utilizando autenticación, algunas de las acciones siguientes están inhabilitadas. Campo Descripción Capítulo 4. Configuración de CX PCA 175

186 file date Nombre del archio principal de olcado Fecha en que se creó el olcado del núcleo (y cuándo se ha producido el bloqueo) process El proceso que se bloqueó, creación del olcado del núcleo core+process zip Un enlace para descargar el núcleo y el proceso en un único archio comprimido delete Pulse este enlace para suprimir el archio principal. debug Nota: Este mandato es útil si la partición de la unidad de disco duro que está conteniendo el PCA está llena. Realizar una depuración simple del olcado. Consulte Salida de depuración. Salida de depuración La siguiente es una salida de ejemplo del mandato de depuración: 176 IBM Tealeaf CX Passie Capture Application: Manual de PCA

187 Figura 41. Salida de mandato de depuración Cómo proporcionar el ZIP de la PCA a soporte Cuando trabaje con Soporte al cliente e Ingeniería de Tealeaf para resoler problemas en un sitio del cliente, proporcione el archio support.zip en el sitio debug.php para ayudar en la resolución del problema. Nota: Cuando proporcione uelcos de núcleo, suministre el tipo y ersión de Linux en el que está instalada la PCA. Contenidos de los archios ZIP 1. Archio principal de olcado 2. Archio binario que creó el uelco Capítulo 4. Configuración de CX PCA 177

188 3. ctc-conf.xml 4. priacy.cfg 5. Registro de mantenimiento y estadísticas del día actual y de los preios. Archio de configuración de captura pasia ctc-conf.xml Si no puede iniciar sesión en la consola web, puede editar ctc-conf.xml para configurar IBM Tealeaf CX Passie Capture Application Nota: Eite realizar cambios directos en este archio de configuración. Se recomienda realizar cambios a su configuración de PCA mediante la consola web, la cual proporciona una interfaz de usuario en este archio de configuración. Para obtener más información, consulte Naegadores soportados para la consola web de PCA en la página 64. Este archio se encuentra en el directorio /usr/local/ctccap/etc. Se puede editar con el editor i. Nota: Algunos de los alores no se muestran en el archio de configuración predeterminado. Estos alores se pueden insertar en función de los cambios de configuración realizados mediante la consola web. Todos los alores de configuración necesarios para uso general del PCA están disponibles en el archio predeterminado. Nota: SSH se ejecuta sobre el puerto estándar 22. Nota: Haga siempre una copia de seguridad del archio de configuración antes de realizar modificaciones en el mismo. Nota: No edite este archio de configuración o cualquier archio de configuración de PCA mediante la utilización de un editor en una máquina Windows. Los caracteres de Windows al final de línea (EOL) son diferentes de los UNIX EOL utilizado por Linux. Por lo tanto, se pueden producir errores de configuración cuando se aplica de nueo el archio en el entorno de Linux PCA. Las tablas siguientes explican cada opción de configuración en el archio de configuración predeterminado. <Conf> Tabla 18. Valores de configuración Opción de configuración <IP6ConsoleEnabled> Descripción Comenzando en PCA Build 3600, puede configurar la consola web PCA para aceptar direcciones IP6 de forma predeterminada. Para habilitarlo, establezca este alor en 1. Nota: Para sistemas que se han actualizado, debe insertar esta configuración y su alor manualmente en el archio de configuración. Este cambio de configuración también puede aplicarse a PCA Build IBM Tealeaf CX Passie Capture Application: Manual de PCA

189 Tabla 18. Valores de configuración (continuación) Opción de configuración <Timeout> Descripción Comenzando en PCA Build 3600, puede configurar este alor en un alor distinto de cero para habilitar tiempos de espera de sesiones de la consola web PCA. El alor especificado define el número de minutos que se permite que una sesión de consola web esté desocupada antes de que sobrepase el tiempo de espera automáticamente. En función de su compilación, este alor puede estar presente en esta ubicación. Busque el archio. Si el alor no está presente en su archio, insértelo. Para obtener más información, consulte Consola web de PCA - Pestaña Consola en la página 80. <Archiado> Esta sección especifica las opciones de configuración para la habilitación y gestión del archiado de paquetes TCP/IP local. Para obtener más información, consulte Consola web de PCA - Pestaña de copia de seguridad-registros en la página 166. Tabla 19. Valor de archiado Opción de configuración <RecordingEnabled> <MaxSize> </Archie> Descripción Habilita el archiado de paquetes TCP/IP local. Cuando está habilitado, los archios de archiado se guardan en el directorio de registro de archiado (ubicación predeterminada: /usr/local/ctccap/archie) enun archiado acumulado. Los archiados se diiden en particiones de archios de 50 MB. Este alor está inhabilitado de forma predeterminada. Especifica el tamaño máximo de los archiados de paquetes TCP/IP. De forma predeterminada, MaxSize está establecido en 500 MB. El tamaño de directorio predeterminado asignado a los archiados es de 18 GB. <Captura> Utilice los alores de configuración de captura para configurar la captura de datos desde un puerto de conmutador distribuido o conexión de red. Tabla 20. Valores de captura Opción de configuración <HangingResponseTimeout> Descripción Especifica el alor de tiempo de espera (en segundos) entre el último paquete de la solicitud y el primer paquete de la respuesta. Si el tiempo de espera se excede, la conexión se marca como cancelada por el cliente. El alor predeterminado es de 120 segundos. Capítulo 4. Configuración de CX PCA 179

190 Tabla 20. Valores de captura (continuación) Opción de configuración <HangingTransmissionTimeout> <Ignores/> <ListenFullDuplex> <ListenOnBothInterfaces> <ListenTo> Descripción <Especifica el alor de tiempo de espera (en segundos) que define cuánto espera la captura pasia entre paquetes. Si el tiempo de espera se excede, la conexión se marca como una solicitud cancelada por el cliente. El alor predeterminado es de 120 segundos. Define si la captura pasia recibe datos bidireccionales desde una conexión de red o unidireccionales desde un puerto SPAN en un conmutador de red o equilibrador de carga. Si la máquina host de captura pasia recibe datos desde una conexión de red, establezca ListenFullDuplex=False. Si la máquina host recibe datos desde un puerto distribuido, establezca ListenFullDuplex=True. Indica si la captura pasia está a la escucha en una o ambas de sus interfaces de Ethernet. Puede utilizarse para capturar dos puertos SPAN. Si la captura pasia recibe datos desde una conexión de red, establezca ListenOnBothInterfaces=True. Si recibe datos desde un puerto distribuido, establezca ListenOnBothInterfaces=False. Anidada dentro de la sección <Capture>, esta subsección especifica el conjunto de seridores web que a a superisar la captura pasia. Los atributos <Address> y <Port> deben configurarse para cada seridor web que se está superisando. La captura pasia también da soporte a máscaras de red. En el caso de que se utilice un alor de máscara de red, debe añadirse un nodo <NetmaskSize> al archio de configuración bajo el nodo <Address> y antes del nodo <Port>. Por ejemplo, si el rango de IP para seridores web que se están superisando es de a y los seridores web están a la escucha en ambos puertos, 80 y 443, la configuración de ListenTo aparecería de la siguiente manera: <ListenTo> <Address> </Address> <NetmaskSize>24</NetmaskSize> <Port>80</Port> <Port2>443</Port2> </ListenTo> <ListenTos> <Address> <Port> Para obtener más información sobre los métodos recomendados en la gestión de las direcciones IP, consulte Naegadores soportados para la consola web de PCA en la página 64. Especifica la dirección IP del seridor web que se está superisando. Especifica el número de puerto en el que está a la escucha el seridor web. 180 IBM Tealeaf CX Passie Capture Application: Manual de PCA

191 Tabla 20. Valores de captura (continuación) Opción de configuración <Port2> <NetMaskSize> </ListenTo> </ListenTos> <MaxSimultaneousConnections> <MaxConnectionsInSynState> <PrimaryInterface> <SecondaryInterface> <MaxSessionCacheSize> <MaxInputBufferSize> Descripción Especifica un número de puerto extra asociado al atributo Address. Está optimizado para la superisión típica de dos puertos. Especifica el rango de direcciones IP que se an a superisar, a traés del tamaño de máscara de red en bits. Define el número máximo de conexiones TCP simultáneas para las que el software de captura pasia está configurado para manejar. El alor predeterminado es Define el número máximo de conexiones TCP simultáneas donde están establecidas conexiones TCP parciales. El alor predeterminado es Especifica el nombre de la interfaz de Ethernet primaria. El alor predeterminado es eth0. Especifica el nombre de la interfaz de Ethernet secundaria. Define el número máximo de conexiones SSL simultáneas que pueden procesarse. El alor predeterminado es Nota: No modifique este alor sin ponerse en contacto con el soporte técnico primero. Este alor se utiliza para los problemas de depuración relacionados con condiciones de tráfico pico que estén sobrepasando el almacenamiento intermedio.define el tamaño máximo (en bytes) de la cola de manejo de paquetes TCP. El alor predeterminado es (aproximadamente 100 MB). <MaxMemoryConsumption> Cuando se llena el búfer, el PCA comienza a descartar coincidencias. Mediante la imposición de un límite en el búfer, el sistema eitará un bloqueo. Sin embargo, los datos se descartan. Nota: No modifique este alor sin ponerse en contacto con el soporte técnico primero. Este alor se utiliza para los problemas de depuración relacionados con condiciones de tráfico pico que estén sobrepasando el almacenamiento intermedio.define la cantidad máxima de memoria del sistema (en MB) asignada al proceso de captura. El alor predeterminado es 1300 MB (1.3 GB). IBM Tealeaf Passie Capture Application es una aplicación de 32 bits, lo que significa que cada proceso de CX PCA puede dirigir un máximo de 2 GB de RAM. Capítulo 4. Configuración de CX PCA 181

192 Tabla 20. Valores de captura (continuación) Opción de configuración <TransparentLoadBalancingEnabled> Descripción Habilita o inhabilita la característica de equilibrio de carga transparente (TLB). Para habilitar el equilibrio de carga, establezca TransparentLoadBalancingEnabled en True. Para inhabilitar el equilibrio de carga, establezca TransparentLoadBalancingEnabled en False. <ReassInstances> <SslSessionInfoOnMemcachedSerer> <MaxConnectionsRoutingInfo> <MaxInputRouterdBufferSize> <DeleteTcpLargeConnDisabled> El alor predeterminado es True para habilitar el equilibrio de carga. Para obtener más información, consulte Visión general del equilibrio de carga transparente de PCA en la página 10. Configura el número de instancias reassd que se a a crear. El alor predeterminado es 1. Si está habilitado el equilibrio de carga transparente y SslSessionInfoOnMemcachedSerer está establecido en True, PCA utiliza memcache para almacenar los datos SSL en memoria caché. El alor predeterminado para SslSessionInfoOnMemcachedSerer está establecido en True. Define cuánta información de direccionamiento de conexión TCP puede almacenarse en la tabla hash routerd local. Una ez que se alcanza el límite, los datos más antiguos se eliminan de la tabla para que se pueda grabar un alor nueo en la misma. El alor predeterminado es Define el tamaño de búfer, en MB, para el sericio routered. El alor predeterminado es 50 MB. Este alor es un distintio booleano, establecido en True o False. Si no se especifica, se toma como si estuiese establecido en False. Si se establece en True, este alor impide que se cierren conexiones TCP que tengan tamaños excedidos de solicitudes o respuestas indiiduales. En casos especiales como, por ejemplo, archios pdf grandes o conexiones de tráfico de modalidad continua, puede que se tenga que inhabilitar esta característica para mantener la conexión. El tamaño máximo de solicitudes o respuestas indiiduales está definido por el parámetro MaxTcpConnSize. 182 IBM Tealeaf CX Passie Capture Application: Manual de PCA

193 Tabla 20. Valores de captura (continuación) Opción de configuración <MaxTcpConnSize> Descripción Tamaño máximo permitido de una solicitud o respuesta indiidual en una conexión TCP. Una única conexión TCP puede tener arias solicitudes o respuestas, y cada una se comprueba con respecto a este límite. El alor predeterminado es <CaptureKeys/> <CaptureKey> <Certificate> <Label> <PriateKey> </CaptureKey> </CaptureKeys/> <InstancesEnabled> <Instances> <Instance> <InstanceDisabled> Si se excede este límite, la conexión TCP se cierra automáticamente cuando el alor DeleteTcpLargeConnDisabled está establecido en False. Esta sección opcional se utiliza para definir las claes SSL necesarias para dar soporte a la captura de tráfico HTTPS desde seridores web. Para cada clae priada, debe definirse una sección CaptureKey que incluya a los nodos <CertificateFile> (opcional), <Label> y <PriateKeyFile>. Las entradas <CertificateFile> y <PriateKeyFile> son los nombres de dominio completos de los archios que contienen el certificado y las claes priadas. La clae priada debe estar en el formato.ptl conertido por Tealeaf para que pueda utilizarse. Especifica la ubicación en la que se a a pegar la clae pública. Especifica el nombre de texto de la clae priada. Define la ubicación donde se a a pegar la clae priada. Este alor proporciona un alor global para habilitar/inhabilitar arias instancias. Este alor es un distintio booleano, establecido en True o False. Si no se especifica, se toma como si estuiese establecido en False. Si se establece en True, se utilizan las siguientes <Instances> anidadas para la instanciación de arias instancias. De lo contrario, sólo se crea una única instancia. Nodo de niel superior para definiciones de arias instancias anidadas. Nodo de instancia para la definición de los atributos de una instancia. Este alor es un distintio booleano, establecido en True o False. Si no se especifica, se toma como si estuiese establecido en False. Si se establece en True, se inhabilita el nodo de instancia local. Mediante la inhabilitación del nodo de instancia, puede inhabilitar instancias indiiduales para la depuración o prueba. Capítulo 4. Configuración de CX PCA 183

194 Tabla 20. Valores de captura (continuación) Opción de configuración <ListenFullDuplex> Descripción Si se define dentro del nodo de instancia, tiene el mismo significado que la instancia primaria anterior, pero este alor se aplica a esta instancia específica. Si no se define, la instancia hereda el alor de la instancia primaria. <ListenOnBothInterfaces> Establezca <ListenFullDuplex> en True o False. Si se define dentro del nodo de instancia, tiene el mismo significado que la instancia primaria anterior, pero este alor se aplica a esta instancia específica. Si no se define, la instancia hereda el alor de la instancia primaria. <TcpChecksumDisabled> <PipelineInstances> Establezca <ListenOnBothInterfaces> en True o False. De forma predeterminada, CX PCA ejecuta una alidación de suma de comprobación de los paquetes TCP que se enían a la misma. En los entornos donde está habilitada una opción de recepción grande (LRO) o descarga de suma de comprobación, falla la alidación de suma de comprobación de PCA. Establezca el alor en True para inhabilitarlo. Si este alor no está en el XML predeterminado, CX PCA asume que se desea la alidación de suma de comprobación y que está habilitada. Este alor aparece en el XML después de inhabilitada la alidación de suma de comprobación de paquetes a traés de la pestaña Interfaz de consola web PCA seleccionando el recuadro de selección de alidación Inhabilitar suma de comprobación de paquetes. Para obtener más información, consulte Consola Web de PCA - Pestaña Interfaz en la página 81. Indica el número de procesos de interconexión (interconectados) para crear un sistema capaz de contener arias interconexiones. Puede añadir un proceso interconectado extra para cada núcleo de procesador adicional que esté desocupado. De forma predeterminada, este alor está establecido en 1. <SslHwCheckDisabled> <MaxPipelineSHMQueueSize> Para obtener más información sobre la creación de arias interconexiones, consulte Valores de la interconexión en la página 110. Cuando está establecido en true, CX PCA inhabilita la exploración y el uso de tarjetas de acelerador de hardware de SSL. El alor predeterminado es False. Define el tamaño en megabytes de la cola que proporciona coincidencias a las instancias de la interconexión. De forma predeterminada, este alor está establecido en 100 MB. El alor máximo permitido es de 200 MB. 184 IBM Tealeaf CX Passie Capture Application: Manual de PCA

195 Tabla 20. Valores de captura (continuación) Opción de configuración <MaxPipelineSHMQueue2Size> Descripción Define el tamaño en megabytes de la cola que proporciona coincidencias desde las instancias de la interconexión al módulo de motor Tcl. De forma predeterminada, este alor está establecido en 100 MB. El alor máximo permitido es de 200 MB. </Capture> Para obtener más información sobre la creación de arias interconexiones, consulte Valores de la interconexión en la página 110. <Entrega> Esta sección incluye los atributos para la configuración del transporte de datos en tiempo real desde la máquina host de captura pasia al entorno de IBM Tealeaf CX Serer. Tabla 21. Valor de entrega Opción de configuración <DelieryMode> <BatchInteral> <MaxQueueDepth> <MyCertificate> <MyPriateKey> <StatisticsHitEnabled> <StatisticsHitHost> <StatisticsHitInteralSeconds> Descripción Configura la modalidad de entrega para la entrega de PCA a sus iguales. Para obtener más información, consulte Consola Web de PCA - Pestaña de Entrega en la página 101. <DelieryMode>2</DelieryMode> Este alor no se utiliza. Define el tamaño máximo (en bytes) de la cola para el enío de datos a IBM Tealeaf CX Serer. El alor predeterminado es 0, que establece la profundidad de cola en 50MB. Este alor no se utiliza. Este alor no se utiliza. Este alor es un distintio booleano, establecido en True o False. Si se establece en True, las coincidencias de estadísticas se habilitan como una característica. Si se establece en False, se inhabilita la característica. Si no se establece ningún alor, se toma como False. Este alor es el nombre de host o dirección IP de la máquina que ejecuta al sericio de transporte de Tealeaf que recibe coincidencias de estadísticas. Este alor, un número positio, es el número mínimo de segundos a transcurrir entre intentos de eniar coincidencias de estadísticas. Si se establece en 0 (cero), no se enían coincidencias de estadísticas. Capítulo 4. Configuración de CX PCA 185

196 Tabla 21. Valor de entrega (continuación) Opción de configuración <StatisticsHitPort> <StatisticsHitSecure> <TimeSourceHost> <TimeSourcePort> <Peers> <Peer> <Host> <Port> </Peers> <PollingInteral> <WatchdogTimer> </Deliery> Descripción Este alor, un número de puerto positio, es el número de puerto TCP/IP que se utiliza al conectarse al sericio de transporte de Tealeaf en el host. Este alor, un distintio booleano, indica si la conexión al sericio de transporte de Tealeaf está habilitada para SSL. Puede establecerse en True o False. Si no se especifica, se toma como si estuiese establecido en False. Designa el nombre de dominio o dirección IP del host que ejecuta el sericio de transporte de Tealeaf que se utilizará como fuente de tiempo. Si no desea sincronizar con una fuente de tiempo, deje este campo en blanco. Designa el puerto en el que el host de la fuente de tiempo escucha las consultas de fuente de tiempo. Si no desea sincronizar con una fuente de tiempo, deje este campo en blanco. Define la dirección IP o puerto del entorno de IBM Tealeaf CX Serer de recepción. Debe definirse una sección <Peer> para cada máquina de IBM TealeafCX Serer de recepción. Especifica la dirección IP o nombre de host de los datos de recepción de IBM TealeafCX Serer de la máquina host de captura pasia. Especifica el número de puerto IP en el IBM TealeafCX Serer al que se están eniando los datos. El alor predeterminado es Este alor no se utiliza actualmente. Especifica el tiempo máximo (en segundos) permitido para establecer una conexión con IBM Tealeaf CX Serer. Si el tiempo de espera se excede, la conexión se marca como desconectada. El alor predeterminado es de 30 segundos. 186 IBM Tealeaf CX Passie Capture Application: Manual de PCA

197 Tabla 21. Valor de entrega (continuación) Opción de configuración <ConfigurationChangeTime> Descripción Especifica el tiempo de UNIX (segundos desde el 1 de enero de 1970, Hora Uniersal Coordinada) transcurrido desde la última actualización realizada en el archio de configuración a traés de la consola web. Nota: No modifique este alor. Este alor se modifica automáticamente cuando se realiza una actualización a traés de la consola web. <Extensión/> El alor <Extensión/> no se utiliza. <Análisis> Los siguientes alores de configuración se utilizan para definir los parámetros de sesionización para el inyector de cookies de Tealeaf. Para obtener más información, consulte Valores de la interconexión en la página 110. Tabla 22. Valores de análisis Opción de configuración <UserIDName> <SessionIDName> <HitIDName> <TealeafCookies> <CaptureMode> Descripción (Opcional) Especifica el alor de cabecera HTTP(S) establecido por el inyector de cookies de Tealeaf como el atributo de ID de usuario. El alor predeterminado es TLTUID. Especifica el alor de cabecera HTTP(S) establecido por el inyector de cookies de Tealeaf como el atributo de ID de sesión. El alor predeterminado es TLTUID. Especifica el alor de cabecera HTTP(S) establecido por el inyector de cookies de Tealeaf como el atributo de ID de hit. El alor predeterminado es TLTUID. Especifica si se está utilizando el inyector de cookies de Tealeaf. El alor predeterminado es True. Especifica la modalidad de captura que se está utilizando. Existen dos posibles alores: Business y BusinessIT. Si CaptureMode=Business, el software captura sólo objetos de solicitud y respuesta HTTP(S) para solicitudes de página 'business' (por ejemplo, HTML, ASP, JSP). Los objetos asociados que no sean texto no se capturan (por ejemplo, GIF, JPEG) en esa página. Si CaptureMode=BusinessIT, el software también captura objetos de solicitud y respuesta HTTP(S) para objetos de archio que estén asociados con la página 'business' (por ejemplo, GIF, JPEG). El alor predeterminado es Business. Capítulo 4. Configuración de CX PCA 187

198 Tabla 22. Valores de análisis (continuación) Opción de configuración <ExcludeExtensions> <IncludeExtensions> <CaptureAllTypes> <IncludeMethods> <RawRequest> <ResponseHeaders> <MaxResponseSize> <MaxDataSizeBytes> <MaxRequestSizeBytes> Descripción Especifica las extensiones de archios que se deben excluir del flujo de datos de captura. Este alor se puede utilizar para afinar el comportamiento especificado por CaptureMode. Especifica las extensiones de archio que se capturan completamente. Los archios binarios como los PDF ahora se pueden incluir en la captura. Especifica tipos de contenido (tipos MIME) para los que se a a capturar una coincidencia completa (incluida la respuesta). Especifica los métodos HTTP a incluir. Los alores predeterminados son Get, Post y Put. Determina si RawRequest está actiada. Rawrequest es una ayuda en la depuración. El alor predeterminado es False (inhabilitado). Si está establecido en True, las cabeceras de solicitud HTTP se añaden a la coincidencia. Nota: Se recomienda establecer el alor en False para impedir que se añadan datos extra a cada coincidencia. Determina si ResponseHeaders están actiados. ResponseHeaders son ayudas en la depuración. El alor predeterminado es False (inhabilitado). Si está habilitado (True), las cabeceras de respuesta HTTP se añaden a la coincidencia. Nota: Se recomienda establecer el alor en False para impedir que se añadan datos extra a cada coincidencia. Especifica el mayor tamaño aceptable de respuesta (en bytes). El alor predeterminado es (1.5 MB). El número máximo de bytes permitido para la comunicación entre la captura pasia y la representación de coincidencia binaria que se utiliza para comunicarse con el sericio de transporte de Tealeaf. El alor predeterminado es de 2 MB ( ). El número máximo de bytes permitido para solicitudes HTTP. Si se excede este alor se descarta el cuerpo de solicitud o toda la solicitud. El alor predeterminado es de 2 MB ( ). 188 IBM Tealeaf CX Passie Capture Application: Manual de PCA

199 Tabla 22. Valores de análisis (continuación) Opción de configuración <ShrinkToFit> <InflateEnabled> <MoeXMLToREQ> <UnReqCancelled> <CookieParsingEnabled> <URLDecodingEnabled> <DelImagesEnabled> Descripción Si se establece en True, el código de procesamiento de coincidencias no asigna espacio extra cuando redimensiona búfers. El espacio extra minimiza reasignaciones futuras, lo que aumenta el rendimiento. Establezca este alor en True sólo si desea emplear el código de procesamiento de coincidencias de forma más agresia y mantener el uso de su memoria a un mínimo. El alor predeterminado y recomendado es False. Si una respuesta tiene una cabecera de codificación de contenido cuyo alor es deflate, gzip o x-gzip, entonces es un candidato para tener el cuerpo inflado (ampliado a partir de su estado comprimido). Si se establece en True, se realiza un intento de inflar la respuesta. Si el inflado falla, se registra un mensaje en el niel de registro de aiso. Si el inflado se realiza satisfactoriamente, el alor de la cabecera de codificación de contenido se sobrescribe con el carácter X. Por ejemplo, la cabecera de codificación de contenido tendría el alor de XXXX. El alor predeterminado es False. Reubica el XML de la respuesta en una sección de XML en la solicitud. Nota: Esta característica está inhabilitada. Independientemente del alor que se defina, el PCA se comporta como si este atributo estuiese establecido en False. Si se habilita, esta opción comprueba los últimos 100 bytes del cuerpo de respuesta para cuando capturetype=1 y los marca como cancelados. Si se selecciona esta opción, se añade una sección de cookies a la solicitud. Esta opción determina si se debe decodificar la URL de los urlfields. Cuando se selecciona, esta opción habilita la característica DelImages en el PCA, que suprime automáticamente coincidencias de imagen que cumplan con criterios específicos. Para obtener más información, consulte Valores de la interconexión en la página 110. Capítulo 4. Configuración de CX PCA 189

200 Tabla 22. Valores de análisis (continuación) Opción de configuración <TLISupportEnabled> <SessioningEnabled> <SessField> <SessSection> Descripción Esta opción habilita la captura de contenido estático a traés de PCA con el fin de almacenarlo en un seridor TLI que se despliega entre sus seridores de Tealeaf basados en Windows. Un seridor TLI habilita la captura de contenido estático como, por ejemplo, imágenes, JaaScripts y hojas de estilo, en un archiado permanente para una reproducción de máxima fidelidad y por requisitos de auditoría. Para obtener más información, consulte Manual de administración de IBM Tealeaf cximpact. Cuando está habilitada, esta opción sustituye la característica DelImages en el PCA. Para obtener más información, consulte Valores de la interconexión en la página 110. Si se establece esta opción, las coincidencias se agrupan en sesiones que se basan en <SessField/>. El campo primario en el que se a a sesionizar. Debe definirse si está habilitada la sesionización. Este alor puede ser cualquier campo en el búfer de solicitud, par nombre-alor [urlfield], o REMOTE_ADDR en la sección [en]. Puede especificar el campo de sesionización primario y alternatias como una lista delimitada por comas de nombres de campos. Los nombres de campo en secciones independientes pueden ir precedidos con el nombre de la sección como, por ejemplo, cookies:field1, urlfield:field2. Campo opcional que indica en qué sección del búfer de solicitud se encuentra SessField. Utilice este campo sólo si no se hace referencia a una sección explícita en el alor o alores SessField. Si no se especifica, se busca en toda la solicitud y se utiliza la primera coincidencia. 190 IBM Tealeaf CX Passie Capture Application: Manual de PCA

201 Tabla 22. Valores de análisis (continuación) Opción de configuración <SessFieldMaskOff> <SessCaseInsensitie> <TimeGradesEnabled> <WSGenBreaks> <NetworkTransitBreaks> <RoundTripBreaks> Descripción Especifica una subserie del campo de solicitud SessField para utilizar para la sesionización. Este alor puede ser dos desplazamientos basados en cero o un desplazamiento inicial y la palabra end para utilizar todo a partir de la posición inicial hasta el final del alor. Por ejemplo: PrimarySessFieldMaskOff=0 end utiliza toda la serie PrimarySessFieldMaskOff=0 19 utiliza los primeros 20 caracteres PrimarySessFieldMaskOff=14 end-4 utiliza el carácter número 15 hasta el número 4 desde el final PrimarySessFieldMaskOff=end-9 end-2 utiliza el noeno desde el final hasta el segundo desde el final Cuando se establece en True, SessField y SessSection (si están especificados) pueden tener alores con mayúsculas y minúsculas. Nota: Esta opción debe eitarse, ya que la coincidencia que no distingue entre mayúsculas y minúsculas utiliza más recursos del sistema que la coincidencia que sí lo hace. Este alor sólo se aplica al nombre del parámetro y no al alor del parámetro. Si está habilitada, la Calificación por tiempo puede asignar una calificación a una coincidencia en una de las tres áreas siguientes: Web Serer Page Gen: Cuánto demora el seridor web para serir la página. Network Transit: Mide la elocidad de la red basado en cuánto tiempo pasó un paquete en la red. Round Trip: La cantidad de tiempo que le toma a un paquete arbitrario ir desde el cliente al seridor web. Cuánto demora el seridor web para serir la página. Pares nombre-alor delimitados por coma (name:alue, name:alue). Mide la elocidad de la red basado en cuánto tiempo pasó un paquete en la red. Pares nombre-alor delimitados por coma (name:alue, name:alue)). La cantidad de tiempo que le toma a un paquete arbitrario ir desde el cliente al seridor web. Pares nombre-alor delimitados por coma (name:alue, name:alue). Capítulo 4. Configuración de CX PCA 191

202 Tabla 22. Valores de análisis (continuación) Opción de configuración <SamplingEnabled> <SamplePercentage> <PriacyEnabled> <InflatePresereResponseOnErr> Descripción El muestreo de sesión, si está habilitado, especifica un porcentaje de sesiones a suprimir de la captura. El porcentaje de tráfico a guardar, si está habilitado el muestreo. Determina si está habilitada la priacidad. La selección de esta opción actia la característica de inflado. Si una respuesta tiene una cabecera de codificación de contenido cuyo alor es deflate, gzip o x-gzip, entonces es un candidato para tener el cuerpo inflado y ampliado a partir de su estado comprimido. Si el inflado falla, se registra un mensaje en el niel de registro de aiso. <XforwardingEnable> <XforwardingField> </Parse> <LastWSDescription> <LastNTDescription> <LastRTDescription> Si el inflado se realiza satisfactoriamente, el alor de la cabecera de codificación de contenido se sobrescribe con el carácter X. Por ejemplo, el alor de codificación de contenido podría ser XXXX. Cuando se establece en True, el PCA se configura para analizar un campo HTTP-X-FORWARDING especificado. Nota: Esta entrada no se crea hasta que se habilite el reenío-x. Para obtener más información, consulte Valores de la interconexión en la página 110. Cuando XforwardingEnable se establece en True, este campo identifica el campo HTTP-X-FORWARDING. Esta entrada no se crea hasta que se habilite el reenío-x. Para obtener más información, consulte Valores de la interconexión en la página 110. Cuando TimeGrades está habilitado, la descripción para utilizar para la cantidad de eces de WSGen que superan a la última ez definida por WSGenBreaks. Cuando TimeGrades está habilitado, la descripción para utilizar para la cantidad de eces de transito de red que superan a la última ez definida por NetworkTransitBreaks. Cuando TimeGrades está habilitado, la descripción para utilizar para la cantidad de idas y ueltas que superan a la última ez definida por RoundTripBreaks. 192 IBM Tealeaf CX Passie Capture Application: Manual de PCA

203 Tabla 22. Valores de análisis (continuación) Opción de configuración <DeflateEnabled> <HitArchieEnabled> <HitArchieDirectory> <HitArchieRollSizeMBytes> Descripción Si se establece en True, se comprime la respuesta de cada coincidencia (si no se ha hecho aún) antes de eniarla al igual de entrega. El alor predeterminado es False. Si se establece en True, todas las coincidencias capturadas también se graban en un archio de archiado (TLA) en la unidad local. Esto se realiza principalmente para la resolución de problemas y no para circunstancias normales de uso. El alor predeterminado es False. Directorio donde se graban archiados de coincidencias cuando HitArchieEnabled=True. Especifica el tamaño de archio de retrotracción en megabytes, el alor predeterminado es 100 MB. <Migración tras error> Puede configurar los alores de migración tras error a traés de Consola Web de PCA - Pestaña de Migración tras error en la página 168. Tabla 23. Valores de migración tras error Opción de configuración <Enabled> <MasterAddress> <MasterPort> <SlaeAddress> <SlaePort> <HeartbeatInteral> <HeartbeatTimeout> <TimeoutLimit> Descripción Si está habilitada la migración tras error, una máquina host de captura pasia de copia de seguridad (subordinada) toma el control si falla la principal (Maestra). Dirección de la máquina de migración tras error maestra. Puerto de la máquina de migración tras error maestra. Dirección de la máquina de migración tras error subordinada. Puerto de la máquina de migración tras error subordinada. Cuánto tiempo se debe esperar entre pulsaciones. La cantidad de tiempo que espera la captura pasia para obtener una respuesta de una pulsación antes de que se exceda el tiempo de espera. El número de tiempos de espera excedidos de pulsaciones consecutias que está permitido antes de que se deba realizar una migración tras error. Capítulo 4. Configuración de CX PCA 193

204 Tabla 23. Valores de migración tras error (continuación) Opción de configuración Descripción <AutoFailback> Pasa el control (estado actio) desde la máquina host de captura pasia subordinada a la máquina host de captura pasia maestra una ez que la máquina maestra indica que está pronta para oler a tomar el control. <FailbackDelay> El número mínimo de segundos a esperar antes de realizar una migración tras error automática. <FailoerOnScRestart> Esta opción determina si se desencadena una migración tras error cuando se reinician los sericios de captura en el seridor IBM Tealeaf Passie Capture Application actio. <RemoteMonitors> <RemoteMonitor> Un superisor remoto es un sistema (representado por un nombre de host o dirección IP) al que se le permite recibir información de estado de migración tras error eniando pulsaciones a una máquina host de captura pasia configurada para la migración tras error. <Host> Nombre de host del superisor remoto. <CanControl> Si esta opción está habilitada, el superisor remoto puede forzar una migración tras error o restablecimiento. </RemoteMonitor/> </Failoer> </Conf> <Pool> Puede configurar los alores de agrupación SSL mediante la pestaña SSL de la consola web de PCA. Tabla 24. Valores de agrupación SSL Opción de configuración <PoolPeer> <IP6> <Address> <Port> Descripción Contiene los alores de configuración de agrupación SSL para el seridor de PCA local. El alor predeterminado es. Define si la dirección IP utiliza IP6. El alor predeterminado es false. Dirección IP para el seridor de PCA El alor predeterminado es Número de puerto para el seridor de PCA El alor predeterminado es IBM Tealeaf CX Passie Capture Application: Manual de PCA

205 Tabla 24. Valores de agrupación SSL (continuación) Opción de configuración <CacheSize> Descripción Define el tamaño en MB de la memoria caché que contiene la información de sesión de SSL. El alor predeterminado es 256. <Secure> Habilita o inhabilita la comunicación segura entre seridores de PCA en la agrupación SSL. El alor predeterminado es false. Configuración de arios pares Listend Routerd Configure arios pares Listend Routerd (MLRP) para utilizar arias NIC para capturar el tráfico de red en un entorno que genera un gran olumen de tráfico de red. Para configurar MLRP en el seridor de CX PCA: 1. Inicie la sesión en la consola web de PCA. 2. Vaya a la pestaña Interfaz. MLRP solamente está soportado cuando la característica de equilibrio de carga transparente (TLB) está habilitada. Para obtener más información sobre TLB, consulte Visión general del equilibrio de carga transparente de PCA en la página Seleccione Habilitar equilibrio de carga transparente. 4. Seleccione Captura de arias instancias para habilitar MLRP. 5. Seleccione Añadir instancia para configurar cuántos pares desea habilitar. 6. Vaya a Lista de instancias y configure los alores de la interfaz para cada instancia. 7. Vaya a Reglas de filtro y aplique las reglas de filtro a cada instancia. Para obtener más información sobre las reglas de filtro, consulte Consola Web de PCA - Pestaña Interfaz en la página 81. Puede er la instancia de reassd y las estadísticas de cada par MLRP si selecciona Estadísticas, selecciona una instancia y después selecciona Captura. Configuración de agrupaciones SSL Puede crear agrupaciones SSL para agrupar un conjunto de seridores de PCA de modo que dichos seridores puedan compartir la información de sesión SSL. Si configura un grupo de seridores de PCA de modo que formen parte de una agrupación SSL, una sesión SSL que se haya iniciado en un seridor de PCA se puede reanudar en otro seridor de PCA de la agrupación. Esta capacidad le ofrece la posibilidad de configurar arios seridores de PCA en el entorno de Tealeaf. Además, las agrupaciones SSL pueden utilizarse para impedir la puesta en cola y la pérdida potencial de datos si un seridor de PCA de origen no puede continuar procesando la sesión SSL. Utilice el procedimiento siguiente para añadir un seridor de PCA a una agrupación SSL. Capítulo 4. Configuración de CX PCA 195

206 Nota: Cada seridor de PCA de la agrupación SSL debe contener una configuración de agrupación SSL idéntica. 1. Vaya a la consola web de PCA. 2. Seleccione la pestaña SSL y desplácese hacia abajo hasta Configuración de agrupación SSL. El seridor de PCA en el que ha iniciado sesión aparece automáticamente en la lista de la configuración de la agrupación. 3. Seleccione Añadir para especificar la información de red de más seridores de PCA en la agrupación SSL. 4. Escriba la dirección IP del seridor de PCA adicional en el campo Dirección de host. 5. Escriba el número de puerto del seridor de PCA adicional en el campo Puerto de host. 6. Seleccione Aceptar para continuar. 7. Cuando el seridor de PCA se haya añadido a la configuración de la agrupación, se mostrará un mensaje de confirmación. Seleccione Aceptar para regresar a Configuración de agrupación SSL. 8. Si tiene un seridor de PCA adicional para añadir a la configuración de la agrupación, repita el paso En el campo Parámetros de ajuste para host local, especifique el tamaño de la memoria caché. La memoria caché contiene la información de sesión SSL para el seridor local. El alor predeterminado es 256 MB. 10. Pulse Guardar cambios de la agrupación para guardar y aplicar la configuración de la agrupación SSL. La configuración de agrupación correspondiente a cada seridor de PCA de la agrupación SSL debe añadirse a cada seridor de PCA. Inicie la sesión en la consola web de cada seridor de PCA que pertenece a la agrupación SSL y repita este procedimiento. Para obtener información sobre la eliminación de un seridor de PCA de la agrupación SSL, consulte Eliminación de un seridor de PCA de una agrupación SSL. Para obtener información acerca de los programas de utilidad de resolución de problemas de las agrupaciones SSL, consulte Resolución de problemas de la agrupación SSL en la página 283. Eliminación de un seridor de PCA de una agrupación SSL Siga estos pasos para eliminar un seridor de PCA de una agrupación SSL. 1. Vaya a la consola web de PCA. 2. Seleccione la pestaña SSL y desplácese hacia abajo hasta Configuración de agrupación SSL. 3. Localice el seridor de PCA que desea eliminar de la agrupación SSL. 4. Seleccione X en la columna Suprimir para eliminar el seridor de PCA de la configuración de la agrupación. 5. Pulse Guardar cambios de la agrupación para guardar y aplicar la configuración de la agrupación SSL. Para obtener información sobre la adición de un seridor de PCA de la agrupación SSL, consulte Configuración de agrupaciones SSL en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

207 Para obtener información acerca de los programas de utilidad de resolución de problemas de las agrupaciones SSL, consulte Resolución de problemas de la agrupación SSL en la página 283. Capítulo 4. Configuración de CX PCA 197

208 198 IBM Tealeaf CX Passie Capture Application: Manual de PCA

209 Capítulo 5. Configuración de Packet Forwarder IBM Tealeaf Packet Forwarder puede configurarse a traés de los archios de configuración que se han almacenado en el directorio de instalación. El escenario típico de un sitio web en la nube incluiría un equilibrador de carga elástico (ELB) para distribuir el tráfico web a un niel de seridor web suministrado dinámicamente que consta de arias instancias de seridor web. Cada instancia de seridor web podría tener instalada una Packet Forwarder para reeniar el tráfico web capturado a una CX PCA centralizada. La CX PCA se ejecuta en una instancia de máquina irtual y procesa el tráfico web. Después de configurar correctamente la instancia de seridor web, se crea una instancia de de máquina Amazon (AMI) para la instancia. La AMI se suministra dinámicamente para proporcionar tantas instancias como sea necesario. Nota: En el momento de esta publicación, es necesario que el número máximo de instancias de seridor web sea conocido. El número de instancias de seridor web se utiliza en la configuración del reeniador de paquetes para determinar el número máximo de conexiones TCP actias que pueden conectarse al receptor de sockets de PCA de destino. Configuración del Packet Forwarder para comunicarse con la CX PCA Para procesar tráfico web en un entorno basado en nube, debe configurarse un reeniador de paquetes para transmitir datos a una CX PCA central que funcione en una máquina irtual. Deben completarse los siguientes requisitos preios antes de configurar el software del reeniador de paquetes. Todas las operaciones de instalación y configuración deben completarse utilizando la cuenta de usuario root. La utilización del mandato sudo puede que no proporcione permisos suficientes para permitir realizar modificaciones de parámetros del sistema y podría hacer que la instalación fuera incompleta o incorrecta. Instale el software del reeniador de paquetes. Para obtener más información, consulte Instalación del reeniador de paquetes en la página 28. Siga los pasos siguientes para configurar el reeniador de paquetes y CX PCA para la comunicación en el entorno basado en nube. 1. Localice /usr/local/ctccap/etc/fwdr-conf.xml en el seridor proxy inerso o en el seridor web irtual que está alojando el transmisor del reeniador de paquetes. 2. Haga una copia del archio de configuración existente copiando /usr/local/ctccap/etc/fwdr-conf.xml en un directorio de copia de seguridad. Si el archio de configuración está dañado o no es álido, puede restaurarlo a partir de la copia de seguridad o crear un nueo archio de configuración a partir de fwdr-conf-defaults.xml. fwdr-conf-defaults.xml contiene los alores de configuración predeterminados para el reeniador de paquetes. 3. Edite el archio /usr/local/ctccap/etc/fwdr-conf.xml. Puede utilizar el editor i u otro editor de texto para editar el archio de configuración. Copyright IBM Corp. 1999,

210 4. Localice la etiqueta <PrimaryInterface> y edite el nombre de dispositio NIC irtual para el reeniador de paquetes. El reeniador de paquetes captura el tráfico del seridor web. Para la mayoría de las instalaciones, eth0 se utiliza como nombre de dispositio. 5. Edite los números de puerto de modo que refleje los puertos de tráfico que se utilizan para el seridor. La regla de filtro de tráfico de captura predeterminada está definida para estar a la escucha de tráfico en el puerto 80 y 443. Valores de puerto de ejemplo: <ListenTos> <ListenTo> <Port>80</Port> <Port>443</Port> </ListenTo> </ListenTos> 6. Localice la etiqueta Deliery y edite la conexión de red de entrega para el reeniador de paquetes. Esto conecta el reeniador de paquetes a la instancia de la máquina irtual de la CX PCA centralizada. Valores de conexión de red de entrega de ejemplo: <Peers> <Peer> <Address> </Address&gt> <Port>1888</Port> </Peer> </Peers> 7. Localice y edite la etiqueta <Address> y <Port> de modo que coincida con el puerto y la dirección IP internos asignados de la CX PCA que está instalada en la máquina irtual. Valor de ejemplo para la dirección IP interna de máquina irtual de la CX PCA: Nota: La etiqueta <Port> define el número de puerto de la conexión de red base. Este es un número de puerto base donde define el bloque de números de puerto que pueden utilizarse para el número de instancias de seridor web que pueden suministrarse. Por ejemplo, si sabe que habrá un máximo de cinco instancias de seridor web que pueden suministrarse dinámicamente, el bloque de puertos que se utilizan empiezan por En este ejemplo, se utilizarán los números de puerto 1888 a 1892 basándose en el máximo de cinco instancias. <Peers> <Peer> <Address> </Address> <Port>1888</Port> </Peer> </Peers> 8. Localice y edite la etiqueta <MaxRotatePeers> para definir el número máximo de instancias del seridor web que pueden suministrarse dinámicamente. El alor predeterminado se establece en 1 para una instancia de seridor web donde no se utiliza ninguna otra instancia del reeniador de paquetes en el niel del seridor web. Nota: Si está asignando estáticamente un número fijo de instancias de seridor web con reeniadores de paquetes asociados, <MaxRotatePeers> permanecerá establecido en el alor predeterminado de 1. Cada reeniador de paquetes tiene que configurarse con un número de puerto exclusio para identificar una conexión de red exclusia con la instancia de máquina irtual 200 IBM Tealeaf CX Passie Capture Application: Manual de PCA

211 de la CX PCA centralizada. Los números de puerto deben asignarse en orden secuencial. Esto es necesario para el receptor de sockets para la CX PCA cuando se configura para las conexiones de red del reeniador de paquetes. Si decide empezar con el número de puerto 1888 para el primer reeniador de paquetes, cuando los defina será de 1888 a Guarde los cambios en el archio de configuración. 10. Debe configurar una instancia de receptor del reeniador de paquetes para cada instancia de transmisor del Packet Forwarder que ha desplegado. Para obtener más información, consulte Configuración de un receptor del Packet Forwarder y la CX PCA para recibir paquetes reeniados. Una ez que el reeniador de paquetes está en ejecución, también puede realizar las siguientes acciones: Compruebe el estado de un reeniador de paquetes, ejecutando serice pktfwdr status. Detenga un reeniador de paquetes, ejecutando serice pktfwdr stop. Vea las estadísticas para un reeniador de paquetes, ejecutando ctcstats -p. Configuración de un receptor del Packet Forwarder y la CX PCA para recibir paquetes reeniados Para procesar el tráfico de la web en un entorno basado en nube, las instancias del receptor del Packet Forwarder deben desplegarse en la CX PCA basada en nube central que esté funcionando en una máquina irtual. Para cada instancia de transmisor del reeniador de paquetes que se despliega, también debe desplegar una instancia de receptor del Packet Forwarder en el seridor de la CX PCA. Para obtener más información sobre la instalación del reeniador de paquetes, consulte Instalación del reeniador de paquetes en la página 28. Complete los siguientes pasos para configurar los alores para un receptor de paquetes. 1. Inicie la sesión en la consola web de la CX PCA. Para obtener más información, consulte Inicio de sesión de la Consola Web de PCA en la página Cambie el número de instancias interconectadas en la pestaña Interconexión. En función de si se han aplicado las reglas de priacidad de CX PCA, el número predeterminado de procesos CX PCA pipelined se establece en uno. Esto podría ser insuficiente y se puede aumentar para manejar la carga de proceso. Esto da por supuesto que la instancia de VM tiene suficientes recursos, como por ejemplo, suficientes núcleos de procesador para dar soporte al aumento. 3. Guarde los cambios en la CX PCA pero no reinicie la CX PCA en este momento. 4. Edite el archio de configuración de CX PCA ctc-conf.xml. Para obtener más información, consulte Archio de configuración de captura pasia ctc-conf.xml en la página Localice la sección con la etiqueta Capture en el archio de configuración y cambie el contenido de esta sección por: <ListenerSocketEnabled>true</ListenerSocketEnabled> <TransparentLoadBalancingEnabled>false</TransparentLoadBalancingEnabled> <SslSessionInfoOnMemcachedSerer>false</SslSessionInfoOnMemcachedSerer> Capítulo 5. Configuración de Packet Forwarder 201

212 Nota: Si la CX PCA está configurada para descifrar tráfico SSL que procede del reeniador de paquetes, establezca <SslSessionInfoOnMemcachedSerer> en true. 6. Localice los alores de receptor de sockets y edite los alores para el entorno de red. El siguiente ejemplo muestra los alores de receptor de sockets predeterminados: <Listener> <Module>pktr</Module> <Logfile>/ar/log/tealeaf/listener.log</Logfile> <BasePort>1888</BasePort> <Instances>1</Instances> <Options> <Option> <Value>-p</Value> </Option></Options> </Listener> La etiqueta BasePort define el número de puerto base que utilizan los reeniadores de paquetes. Este debe ser el mismo número de puerto para CX PCA para capturar correctamente tráfico procedente del reeniador de paquetes o de los reeniadores de paquetes. El alor predeterminado es utilizar un puerto base de 1888 y solo recibir de un único reeniador de paquetes. La etiqueta Instances define el número máximo de reeniadores de paquetes con los que CX PCA se conectará. Establezca este alor según el número total o el número máximo tal como lo determina el número de reeniadores de paquetes desplegados. 7. Guarde los cambios en ctc-conf.xml. 8. Inicie CX PCA. Para obtener más información, consulte Iniciar PCA en la página Después de que CX PCA se haya reiniciado, puede iniciar el niel del seridor web y cualquier reeniador de paquetes. Ejecute serice pktfwdr start para iniciar el daemon del reeniador de paquetes. Una ez que el receptor de reeniador de paquetes está en ejecución, también puede realizar las siguientes acciones: Compruebe el estado de un reeniador de paquetes, ejecutando serice pktfwdr status. Detenga un reeniador de paquetes, ejecutando serice pktfwdr stop. Vea las estadísticas para un reeniador de paquetes, ejecutando ctcstats -p. 202 IBM Tealeaf CX Passie Capture Application: Manual de PCA

213 Capítulo 6. Claes SSL Para descifrar las transmisiones mediante protocolo SSL, IBM Tealeaf CX Passie Capture Application debe proporcionar las claes SSL en uso en la corriente de transacción. Reise y complete las instrucciones en esta sección para generar y exportar la clae priada para el uso deibm Tealeaf CX Passie Capture Application. 1. Configuración de la clae cifrada SSL 2. Exportación de la clae priada SSL en la página Generación de un certificado autofirmado en la página 216 Configuración de la clae cifrada SSL Descripción general Para descifrar las conexiones SSL, los clientes deben proporcionar un software de captura de pasio con sus claes de SSL álidas. Nota: Normalmente, claes priadas SSL se proporcionan en formato PEM y se conierten para su uso en el PCA. Antes de empezar, erifique que cualquier archio PEM que planea conertir contiene la clae priada RSA y nada más. Por ejemplo, no debe contener el certificado y la información de atributo erróneo. Los archios PEM que contienen datos adicionales aún pueden conertirse y añadirse al PCA. Sin embargo, el tráfico de claes SSL no puede ser correctamente descifrado por el PCA utilizando estas claes y la aplicación no emite errores ni adertencias. Esta sección describe cómo preparar sus claes álidas de SSL para utilizarlas y cargarlas en el PCA. Auto conertir: Puede permitir que el PCA conierta de manera automática archios PEM de texto simple a claes PTL cifradas en el seridor PCA. Estas claes se cargan automáticamente en el PCA para su uso. Existen algunas limitaciones en la configuración de este proceso, consulte Conersión automática de claes SSL en la página 204. Conersión manual: si desea controlar cada paso del proceso de conersión, puede seguir los pasos de conersión manual. Consulte Pasos para conertir manualmente las claes SSL en la página 204. El software no carga directamente la clae SSL. En su lugar, carga un archio cifrado que contiene la clae SSL y un ID hash específico de máquina. El cifrado protege el contenido de la clae SSL frente a accesos no autorizados. El archio se cifra utilizando el algoritmo 3DES. El hash específico de máquina impide que el archio cifrado se utilice con otra instalación de captura pasia. Nota: Como parte del proceso de generación de la clae PTL cifrada, algunos datos exclusios de la tarjeta de interfaz de red instalada en la máquina host PCA están incorporados en la clae. Si añade, elimina NIC o muee el PCA a un nueo equipo con diferentes tarjetas, debe oler a generar las claes de PTL mediante la clae maestra de archios PEM y las instrucciones que se proporcionan. Copyright IBM Corp. 1999,

214 Este archio se almacena en el seridor de captura pasia en el formato PTL de propiedad. Después de que el archio se carga y se configura, el archio de claes SSL original se puede suprimir. Conersión automática de claes SSL Nota: La conersión automática requiere que las claes SSL se almacenen en el directorio capturekeys en el seridor PCA. Si desea almacenarlas en un directorio diferente o realizar otros cambios de configuración al proceso, les debe conertir manualmente. Consulte Pasos para conertir manualmente las claes SSL. Autoconertir PEM a PTL en un seridor PCA Después de que tenga un archio PEM, PCA puede generar el PTL. Nota: Este proceso sólo funciona para archios PEM sin protección de contraseña. 1. Copie el archio PEM al siguiente directorio: /usr/local/ctccap/etc/capturekeys Nota: Este proceso elimina el archio PEM en este directorio. Asegúrese de retener una copia en otra ubicación. 2. Reinicie el IBM Tealeaf CX Passie Capture Application software. 3. En el inicio, el PCA autoconierte el PEM a una clae PTL. Por ejemplo, si el archio mypriatekey.pem genera una clae PTL denominada mypriatekey.ptl. El archio PEM (mypriatekey.pem) se elimina del directorio. 4. Para erificar que la clae PTL se cargó correctamente, reise el archio de regristro de capturas (ar/log/tealeaf/capture.log). Si el PTL se cargó correctamente, un mensaje similar al siguiente debe aparece en el registro: reassd[4681]: Autoloaded key file: /usr/local/ctccap/etc/capturekeys/mypriatekey.ptl Nota: Después de erificar una conersión satisfactoria, elimine los archios PEM desde el directorio capturekeys. Siempre que se inicia o reinicia el PCA, este directorio se sondea para archios, y los archios se reconierten. Conersión de la clae priada PFX SSL a PTL Si posee una clae priada PFX de un origen desconocido, puede utilizar los siguientes mandatos para hacer de él una clae PTL para utilizarlo con Tealeaf: 1. Descifre el archio y uela a nombrarlo como un archio PEM al ejecutar el siguiente mandato en la máquina Host de captura pasia: openssl pkcs12 -nodes -nocerts -in key1.pfx -out key1.pem 2. Cuando se le solicite la contraseña de importación, escriba la contraseña que se utilizó cuando se exporte el certificado a un archio PFX. Debe recibir el siguiente mensaje: MAC erified OK. 3. Para alidar el archio resultante del mandato pkcs12: openssl rsa -check -noout -in <priate_key_filename> Pasos para conertir manualmente las claes SSL En las siguientes secciones se describe cómo realizar pasos manuales para conertir certificados en claes que el PCA puede utilizar. 204 IBM Tealeaf CX Passie Capture Application: Manual de PCA

215 Carga de PCA con claes SSL Puede aprender a cargar PCA con claes SSL en esta sección. Cargando PCA con archios de claes SSL Para cargar captura pasia con una o más claes SSL: 1. Adquiera un archio PEM para cada clae SSL. Suele ejecutar este paso en el seridor web que contiene las claes SSL. El software de captura pasia necesita la clae SSL para estar en formato PEM y que el nombre del archio finalice con una extensión.pem. El archio PEM es un archio de texto ASCII que contiene la clae SSL en un formato codificado. Este es un ejemplo se una clae SSL en formato PEM: -----BEGIN RSA PRIVATE KEY----- MII... (many lines of encoding here) END RSA PRIVATE KEY----- Si el seridor web no almacena sus claes priadas en formato PEM, deberá exportar las claes y posiblemente conertirlas al formato PEM. Por procedimientos de exportación, consulte la sección Exportación de la clae priada SSL en la página Transfiera los archios PEM al directorio /usr/local/ctccap/etc en la máquina de host de captura pasia. 3. Inicie sesión en la máquina de host de captura pasia como usuario root y aya al directorio /usr/local/ctccap/etc. 4. Cifrar los archios PEM para producir un archio PTL. a. Utilice el mandato tealeaf pem2ptl para generar los archios PTL para uno o más archios PEM. Por ejemplo, si tiene dos archios PEM denominadosserer1.pem y serer2.pem, puede generar archios PTL para ambos utilizando el siguiente mandato: tealeaf pem2ptl serer1.pem serer2.pem El mandato anterior crea archios denominados serer1.ptl y serer2.ptl en el mismo directorio que los archios PEM. El mandato tealeaf pem2ptl no crea archios PTL si ya existen. El mandato establece la propiedad y permisos de los archios PTL resultantes para permitir solamente al usuario ctccap acceder a los archios. b. Si posee una publicación anterior del paquete Tealeaf-pca que no proporciona el mandato tealeaf pem2ptl, utilice los siguientes mandatos para cada archio PEM que desee cifrar, sustituyendo serer1.pem con el nombre de su archio PEM: /usr/local/ctccap/bin/tltenc -in serer1.pem chmod u=rw,go= serer1.ptl chown ctccap serer1.ptl Para conertir arios archios PEM, utilice los mandatos ls y xargs para cifrarlos. a siguiente línea de mandatos debe escribirse en una línea. Utiliza el mandato ls para generar una lista de nombres de archios. La barra ertical permite que el mandato xargs utilice esta lista y ejecute el programa de utilidad tltenc mediante el uso de cada nombre de archio en la lista. ls -1 serer1.pem serer2.pem serer3.pem xargs -L 1 -t \ /usr/local/ctccap/bin/tltenc -in Después de ejecutar el mandato anterior, utilice los siguientes mandatos para establecer la propiedad y los permisos de todos los archios PTL. Resulta seguro utilizar comodines porque la propiedad y los permisos son los que necesita el PCA para acceder a cualquier archio PTL. Capítulo 6. Claes SSL 205

216 chmod u=rw,go= *.ptl chown ctccap *.ptl 5. Elimine los archios PEM de la máquina host de captura pasia. Espere hasta confirmar que la captura pasia decodificó correctamente conexiones SSL antes de suprimir los archios PEM. Después de que las claes SSL están cargadas en una máquina host de captura pasia y cifradas en archios PTL, configure captura pasia para utilizar los archios PTL. Cuando debe configurar algunos archios PTL, utilice el separador Claes SSL en la consola web. Cuando configura archios PTL, le puede resultar más fácil utilizar un editor de texto como nano o i para editar el archio de configuración directamente. Carga de PCA con consola web Para utilizar el separador de consola web Claes SSL: 1. Inicie sesión en la consola web de captura pasia con un explorador web. 2. Pulse el separador Claes SSL. 3. Pulse Cargados en la parte superior de la página para isualizar las claes SSL cargadas. 4. Escriba una clae de etiqueta de HTTPS descriptia en el campo Etiqueta. 5. Escriba el nombre completo de ía de acceso para el archio PTL en el campo de nombre de archio Archio de claes. Por ejemplo: /usr/local/ctccap/etc/ serer1.ptl. 6. Pulse Añadir. La entrada recién añadida para el archio PTL se isualiza en la página actualizada. 7. Repita los pasos 4a6para cada archio PTL que desee utilizar por la captura pasia. 8. Pulse Guardar cambios para guardar los archios PTL añadidos al archio de configuración. Los programas de captura se reinician y utilizan los nueos archios PTL que agregó. 9. Si la captura no se puede iniciar, isualice capture.log para determinar el motio. Adición de archios PTL Para editar el archio de configuración para añadir archios PTL: 1. Inicie sesión en la máquina host de la captura pasia como usuario root y aya al directorio /usr/local/ctccap/etc. 2. Edite el archio de configuración de captura pasia ctc-conf.xml. 3. Busque la línea siguiente: <CaptureKeys></CaptureKeys> 4. Si ya se ha configurado la captura pasia con archios PTL, los etiquetas <CaptureKeys> y </CaptureKeys> están en líneas separadas. 5. Añada una entrada <CaptureKey> para cada archio PTL entre <CaptureKeys> y </CaptureKeys>. Cada entrada requiere una etiqueta y el nombre completo de ía de acceso del archio PTL. Por ejemplo, la entrada <CaptureKey> para un archio PTL hipotético denominado /usr/local/ctccap/etc/web1.ptl se parecería a la siguiente: <CaptureKey> <Label>Web1 Key </Label> <PriateKeyFile>/usr/local/ctccap/etc/web1.ptl</PriateKeyFile> </CaptureKey> A continuación, se muestra un ejemplo de dos entradas <CaptureKey> configuradas en una máquina host de captura pasia: 206 IBM Tealeaf CX Passie Capture Application: Manual de PCA

217 <CaptureKeys> <CaptureKey> <Label>Web1 Key </Label> <PriateKeyFile>/usr/local/ctccap/etc/web1.ptl</PriateKeyFile> </CaptureKey> <CaptureKey> <Label>Web2 Key </Label> <PriateKeyFile>/usr/local/ctccap/etc/web2.ptl</PriateKeyFile> </CaptureKey> </CaptureKeys> 6. Guarde los cambios en el archio de configuración y salga del editor. 7. Reinicie los programas de captura utilizando los mandatos siguientes: Tealeaf stop capture Tealeaf start capture 8. Si la captura no se puede iniciar, isualice capture.log para determinar el motio. 9. Inicie sesión en la consola web de la captura pasia con un naegador web y pulse el separador Claes SSL para er los archios PTL que ha configurado. Archios PTL cargados de forma automática A traés de la consola web, puede cargar automáticamente certificados SSL en un texto legible.pem o en un formato protegido con contraseña.pfx. Nota: Por razones de seguridad, esta funcionalidad sólo está accesible a traés de SSL con un usuario autenticado. Si no accede a esta página a traés de https, sólo podrá isualizar las claes de PTL existentes. 1. Abra la consola web. 2. Pulse el separador Claes SSL. 3. Pulse el enlace Claes de captura en la parte superior de la página. 4. Se isualiza la siguiente página: Figura 42. Carga de claes 5. Para seleccionar un archio, pulse Examinar Si la clae.pem es un archio protegido con una clae.pfx, escriba la clae en el campo Contraseña. Si el archio es un texto legible.pem, deje el campo Contraseña en blanco. 7. Para conertir el certificado con una clae, pulse Cargar. Capítulo 6. Claes SSL 207

218 General Las claes conertidas están almacenadas en /usr/local/ctccap/etc/ capturekeys. Los archios pem o pfx cargados que son claes álidas se conierten a ptl. Los archios comprimidos cargados que contienen archios pem álidos tienen su contenido que se conierte a ptl. Sobre la terminación de una conersión, todos los archios que no son ptl se eliminan de/usr/local/ctccap/etc/capturekeys. Después de que se cargan los archios necesarios, el PCA debe reiniciarse en el separador Consola. pfx Las claes protegidas con contraseñas (pfx) se conierten solamente si se proporciona la contraseña correcta. Las claes protegidas por contraseñas se conierten directamente en archios ptl. pem Los archios comprimidos deben ser planos (sin directorios). Los archios comprimidos solamente pueden contener archios pem. Exportación de la clae priada SSL IIS5y6deMicrosoft En casos donde el tráfico de aplicación web se transmite a traés de HTTPS, el software de captura pasia se debe configurar para descifrar la conexión SSL. Esta configuración requiere la exportación de una copia de la clae priada desde un seridor web existente para el software de captura pasia. Nota: Estas instrucciones se proporcionan para exportar claes priadas desde sistemas de terceros de la que Tealeaf no es un componente. Esta información se proporciona con fines de referencia solamente y no es admitido por Tealeaf. Tealeaf no asume ninguna responsabilidad por estas instrucciones. Consulte la documentación que se proporciona con el seridor web del producto. Para obtener más información sobre la conersión de claes SSL para utilizarlas en el PCA, consulte Configuración de la clae cifrada SSL en la página 203. Las siguientes instrucciones proporcionan los pasos para exportar la clae priada desde IIS en un formato PKCS #12 (*.PFX), utilizando el certificado de asistente de exportación IIS de Microsoft. Para obtener más información sobre cómo conertir un PFX desde un origen distinto a IIS, consulte Configuración de la clae cifrada SSL en la página Inicie el gestor de Internet Information Serice. 2. En el panel izquierdo, bajo el nombre de la máquina local, pulse en la carpeta sitios web. 3. En el panel del lado derecho, pulse con el botón derecho del ratón Sitio web predeterminado y seleccione Propiedades. 4. Pulse la pestaña Seguridad de directorio. 5. Pulse Visualizar certificado para isualizar el certificado. 6. Pulse en la pestaña Detalles. 7. Pulse Copiar en archio... Se inicia el asistente de exportación de certificados. 208 IBM Tealeaf CX Passie Capture Application: Manual de PCA

219 IIS 3.0 y 4.0 de Microsoft 8. Pulse Siguiente. Aparece la entana de Exportar clae priada. 9. Seleccione el botón de selección Si, exportar la clae priada y después pulse Siguiente. Aparece la entana de archio de exportación de formato. 10. Seleccione el botón de selección Intercambio de información personal - PKCS #12 (.PFX). Seleccione Habilitar protección segura e Incluir todos los certificados en la ía de acceso del certificado si es posible. Pulse Siguiente. Aparece la entana de contraseña. 11. Si es necesario, ingrese la contraseña. Esta contraseña proporciona acceso protegido al archio si el sistema se configura para solicitar una contraseña. 12. Pulse Siguiente. Aparece la entana para exportar el archio. 13. Especifique o examine en busca del nombre de archio, y a continuación, pulse el botón Siguiente. Aparece la entana Completar el certificado de asistente de exportación. 14. Pulse el botón Finalizar. El certificado se exporta al archio y se muestra un mensaje que lo indica. 15. Copie el archio a la máquina de host de captura pasia de Tealeaf. Asegúrese de que se lo nombre de manera descriptia para el seridor web del que se exportó. 16. Descifre el archio y uela a nombrarlo como un archio PEM al ejecutar el siguiente mandato en la máquina host de captura pasia: openssl pkcs12 -nodes -nocerts -in key1.pfx -out key1.pem 17. Cuando se le solicite la contraseña de importación, escriba la contraseña que se utilizó al exportar el certificado a un archio PFX. Debe recibir el siguiente mensaje: MAC erified OK. 18. Para alidar el archio resultante del mandato pkcs12: openssl rsa -check -noout -in <priate_key_filename> Las siguientes instrucciones proporcionan los pasos para exportar la clae priada desde IIS 3.0 y 4.0 de Microsoft. 1. Exportar un archio de copia de seguridad de los certificados del gestor de claes. 2. Desde el menú de claes en el gestor de claes, seleccione Exportar clae y después seleccione Archio de copia de seguridad. 3. Después de leer el aiso sobre cómo bajarse información confidencial en el disco duro, pulse aceptar. 4. Escriba el nombre de clae en el recuadro Nombre de archio, y pulse Guardar. Al archio se le dará una extensión *.KEY y se guarda en un disco de 3 1/2 pulgadas en la unidad A: o en la unidad de disco duro. 5. Transfiera los archios de clae al directorio/usr/local/ctccap/etc en la máquina host de captura pasia. 6. Inicie sesión en la máquina de host de captura pasia como un usuario root. 7. Ejecute los siguientes mandatos para generar un archio PEM desde el archio de claes IIS. Es posible que se le solicite una contraseña si la clae priada está protegida con contraseña. Los siguientes mandatos utilizan arios nombres de archios como ejemplos: cd /usr/local/ctccap/etc./sbin/iis-extract-net-key.pl iis.key > iis-net.key./bin/openssl rsa -inform NET -in iis-net.key -out iis.pem Capítulo 6. Claes SSL 209

220 SunOne (iplanet) 6.0 iis.key: El archio de claes IIS que se exporta desde el seridor web IIS y se transfiere a la máquina host de captura pasia iis-net.key: La parte de iis.key en el formato NET iis.pem: La clae resultante en formato PEM 8. Valide el archio utilizando OpenSSL:../bin/openssl rsa -check -noout -in iis.pem 9. Valide el resultado: Si el resultado es RSA key OK, entonces la clae se conirtió correctamente. Si el resultado es Enter pass phrase for iis.pem, entonces la clae está cifrada. Si el resultado es otro mensaje o un mensaje de error, entonces el archio está ya sea en el formato equiocado, o no es una clae. 10. Con un archio PEM álido, ahora puede suprimir los archios de claes IIS. Las siguientes instrucciones proporcionan los pasos para exportar las claes priadas desde SunOne 6.0: Nota: Este procedimiento requiere que se instale OpenSSL en el seridor web del que se está extrayendo la clae. 1. Recopile el decibelio del certificado y el decibelio de la clae para la instancia de la que extrae la clae. Normalmente, está disponible en SERVER_ROOT/alias. 2. Añada lo siguiente a la ariable PATH: SERVER_ROOT/bin/https/admin/bin 3. Añada lo siguiente a la ariable LD_LIBRARY_PATH: SERVER_ROOT/bin/https/lib:$\{LD_LIBRARY_PATH\} 4. Exporte PATH; LD_LIBRARY_PATH 5. Este programa de utilidad pk12util se utiliza para exportar el certificado desde la base de datos hacia el formato de clae. Al exportar la clae, se le solicitará que especifique la contraseña de clae. Ejecute pk12util con la siguiente opción: pk12util -o <export filename> -n <cert filename> -d <certdir> -P <db \ filename prefix for Sun DS> Nota: -o - El nombre del archio al que se exporta el certificado. -d - Opción que se utiliza par especificar la ubicación del directorio de certificados (Vía de acceso a cert8.db/key3.db) -P - Opción que se utiliza para especificar el nombre del prefijo decibelio (opcional) Ejemplos: pk12util -o mycert.pk12 -n webserer.cert -d /sun/alias pk12util -o mycert.pk12 -n webserer.cert -d /sun/alias -P "https-hostname-" 6. Al utilizar Open SSL, conierta este archio al formato PEM requerido mediante el uso de la siguiente opción: openssl pkcs12 -nodes -nocerts -in {Certname} -out https-{webinstance}.pem Nota: 210 IBM Tealeaf CX Passie Capture Application: Manual de PCA

221 -in - Opción que se utiliza para especificar el archio de entrada binario y es el archio que especificó como el archio con el -d en el paso 4. -out - Opción que se utiliza para especificar el archio de salida ASCII. Resolución de problemas de iplanet 6.0 Si encuentra el siguiente error de DLL que establece pk12util: find cert by nickname failed: Failure to load dynamic library, entonces realice los siguientes pasos: 1. Ejecute el mandato siguiente: wib@<serername>$ ldd pk12util 2. Copie los siguientes archios al directorio /usr/lib: Archio Ubicación de origen libssl3.so /opt/netsite/sunone6.1/bin/https/lib/libssl3.so libsmime3.so /opt/netsite/sunone6.1/bin/https/lib/libsmime3.so libnss3.so /opt/netsite/sunone6.1/bin/https/lib/libnss3.so libplc4.so /opt/netsite/sunone6.1/bin/https/lib/libplc4.so libplds4.so /opt/netsite/sunone6.1/bin/https/lib/libplds4.so libnspr4.so /opt/netsite/sunone6.1/bin/https/lib/libnspr4.so libthread.so.1 /usr/lib/libthread.so.1 libnsl.so.1 /usr/lib/libnsl.so.1 libsocket.so.1 /usr/lib/libsocket.so.1 librt.so.1 /usr/lib/librt.so.1 libdl.so.1 /usr/lib/libdl.so.1 libc.so.1 /usr/lib/libc.so.1 libpthread.so.1 /usr/lib/libpthread.so.1 libmp.so.2 /usr/lib/libmp.so.2 libaio.so.1 /usr/lib/libaio.so.1 Capítulo 6. Claes SSL 211

222 Sun iplanet 4.x libnspr_flt4.so /opt/netsite/sunone6.1/bin/https/lib/cpu/sparc8plus/ libnspr_flt4.so libc_psr.so.1 /usr/platform/sunw,sun-fire-480r/lib/libc_psr.so.1 3. Copie el cert y la clae dbs a cualquier directorio. A continuación, haga lo siguiente en ese directorio para erificar su nombre: ls -la /opt/netsite/sunone6.1/alias A continuación aparece la salida: drwxr-xr-x 3 wib webmaster 1024 Feb 15 11:26. drwxr-xr-x 15 wib webmaster 1024 No 26 23:25.. drwxr-xr-x 7 wib webmaster 1024 Dec 7 12:53 certs -rwxr-xr-x 1 wib webmaster 2481 Feb 15 07:40 gte.pem -rwxr-xr-x 1 wib webmaster Feb 15 12:52 https-< -rwxr-xr-x 1 wib webmaster Feb 15 12:52 https-< -rwxr-xr-x 1 wib webmaster Feb 15 07:40 secmod.db 4. Ejecute el mandato pk12util. Incluya el nombre de certificado completo en la opción -P, incluyendo el nombre de seridor y el guión (-) en el nombre del archio (nada antes de cert8 o key3): pk12util -o https-sunone.<url> -n Serer-Cert \ -d /opt/netsite/sunone6.1/alias -P https-< 5. Se crea un nueo archio en el directorio que se especifica en la opción -d que tiene el nombre de dominio sin ninguna extensión. Las siguientes instrucciones proporcionan los pasos para exportar la clae priada desde la ersión 4 de Sun iplanet. 1. Inicie sesión en el seridor web como root. 2. Copie el certificado y clae de iplanet. a. Los archio de instancia de iplanet se encuentran en /apps/netscape/ serer4/alias/. b. Copie la instancia iplanet del archio https-name**key3.db hacia /.netscape/key3.db. c. Copie la instancia iplanet del archio https-name-*cert7.db hacia /.netscape/cert7.db. 3. Copie la instancia iplanet secmod.db hacia /.netscape/secmodule.db. 4. Configure X-display hacia el escritorio. 5. Inicie el naegador Netscape desde el seridor web (/opt/netscape/netscape). 6. Pulse el icono de bloqueo Seguridad. 7. En el diálogo, pulse Certificados, y luego pulse Suyo (como se muestra en la siguiente figura). 212 IBM Tealeaf CX Passie Capture Application: Manual de PCA

223 Figura Sus certificados Apache 1.3.x, 2.0.x 8. Pulse sus certificados y, a continuación, pulse Exportar. El nombre predeterminado es Serer-Cert. 9. Escriba la contraseña para el archio de clae priada DB. 10. Escriba una contraseña para proteger el archio a exportar. 11. Guarde el archio exportado en /.netscape/xxxxx.p12, donde el nombre del archio es xxxxx. 12. Cerrar el naegador Netscape. Las siguientes instrucciones proporcionan los pasos para exportar la clae priada de Apache ersiones 1.3.x y 2.0.x. Nota: Este procedimiento requiere que se instale OpenSSL en el seridor web del que se está extrayendo la clae. 1. Si la clae se cifra, coniértalos en una tecla sin cifrar. El mandato básico sería: openssl rsa -in <old_priate_key_filename> -out <new_priate_key_filename> Nota: Necesita la contraseña para realizar esta conersión. 2. Extraiga la clae desde el directorio /etc/httpd/conf/ssl.key. 3. Cambie el nombre del archio para tener una extensión.pem. Capítulo 6. Claes SSL 213

224 Seridor HTTP de IBM 4. Valide el archio utilizando OpenSSL: openssl rsa -check -noout -in <priate_key_filename> 5. Valide el resultado: Si el resultado es clae RSA aceptar, entonces la clae se exportó correctamente. Si el resultado es Escribir la frase de contraseña para <priate_key_filename>, entonces es una clae, pero cifrada. Si el resultado es otro mensaje o un mensaje de error, entonces está ya sea en el formato equiocado, o no es una clae. Las siguientes instrucciones proporcionan los pasos para exportar la clae priada desde el seridor HTTP de IBM. 1. Seleccione el certificado en ikeyman, y después seleccione Archio > Exportar. 2. Guarde el archio con la extensión PFX, establezca una contraseña y seleccione cifrado débil. 3. Transfiera el archio (en modalidad binario) a la máquina host de captura pasia. 4. Inicie sesión en la máquina de host de captura pasia como usuario de raíz. Ejecute el mandato siguiente: openssl pkcs12 -nodes -nocerts -in x.pfx -out x.pem 5. Escriba la contraseña establecida cuando exportó el archio. 6. Valide el archio utilizando OpenSSL: openssl rsa -check -noout -in key1.pem 7. Valide el resultado: Si el resultado es clae RSA aceptar, entonces la clae se exportó correctamente. Si el resultado es Escribir la frase de contraseña para <priate_key_filename>, entonces es una clae, pero cifrada. Si el resultado es otro mensaje o un mensaje de error, entonces está ya sea en el formato equiocado, o no es una clae. Exportación desde un almacén de claes (JKS) Jaa El almacén de claes Jaa es la implementación predeterminada para certificados y gestión de claes en aplicaciones Jaa. Por motios de seguridad, no se proporciona un método simple para extraer la clae priada del almacén de claes. Un ejemplo común de exportación es utilizar la clae en un seridor web Apache utilizando el estándar PEM. Si el almacén de claes está configurado para utilizar OpenSSL para crear su certificado digital, entonces la clae priada está disponible de forma transparente. Sin embargo, si está utilizando ikeyman (IHS) o la herramienta de claes basada en Jaa, las funciones de exportación de claes priadas no se proporcionan por razones de seguridad. Hay un método alternatio para la exportación desde la herramienta de claes. Consulte Solución temporal de la herramienta de claes Jaa en la página 215. La clae priada es necesaria para conertir un certificado firmado con formato DER que se recibe desde una entidad emisora de certificados a un formato PKC12, 214 IBM Tealeaf CX Passie Capture Application: Manual de PCA

225 que puede ser utilizado por Tealeaf. Utilización de ikeyman para generar el certificado original, puede recibir el certificado firmado de una entidad emisora de certificados. ikeyman puede recibir un certificado en DER binario o en formato codificado en base 64. ikeyman puede importar desde formatos CMS, JKS, JCEKS o PKCS12. Nota: La extracción desde entornos de seridor HTTP de IBM requieren un paso adicional para guardar la base de datos CMS como JKS a traés de ikeyman. Después de la conersión, la extracción funciona como si la base de datos estuiera en un formato JKS natio. Las claes PEM se pueden exportar a continuación a un formato DER, que puede ser consumido por Apache. Para exportar la clae priada desde JKS, debe encontrar y compilar soluciones de origen Jaa. Por ejemplo, isitehttp://se9.blogspot.com/2008/10/extracting-priate-keyfrom-jaa.html. Otros métodos se describen en detalle en internet. Para reisar una clae PEM en un formato DER, utilice los siguientes mandatos: Para un certificado recibido de una entidad emisora de certificados: openssl x509 -noout -text -in CRT.der Para una clae priada RSA: openssl rsa -noout -text -in rsa.key Solución temporal de la herramienta de claes Jaa De forma predeterminada, la herramienta de claes dejaa no proporciona medios directos para exportar la clae priada. Sin embargo, si la ersión del programa de utilidad admite la exportación de un tipo de almacén de claes JKS hacia un formato diferente de almacén de claes, entonces es capaz de aplicar el siguiente método alternatio. Si la herramienta de claes no admite esta exportación de almacén de claes, los métodos en la sección anterior se pueden aplicar. Para exportar mediante el uso de la herramienta de claes de Jaa: En el siguiente ejemplo, el almacén de claes JKS se exporta a pkcs12, que se puede consumir por Tealeaf. 1. Exporte el almacén de claes hacia uno diferente. En el siguiente ejemplo, el almacén de claes se exporta a un tipo pkcs12 con un solo mandato: keytool -importkeystore -srckeystore test-app.keystore -destkeystore mystore.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass test-app-pwd -deststorepass test-app-pwd -srcalias test-app -destalias test-app -srckeypass test-app-pwd -destkeypass test-app-pwd -noprompt donde: test-app.keystore = ía de acceso al almacén de claes de aplicación mystore.p12 = ía de acceso al almacén de claes con destino pkcs12 JKS = tipo de almacén de claes de origen. Se debe establecer en JKS. PKCS12 = tipo de almacén de claes de destino. Se deben establecer en PKCS12 cuando se exporta a pkcs12. Capítulo 6. Claes SSL 215

226 test-app-pwd = la contraseña al almacén de claes se puede utilizar para almacén de claes de origen y contraseñas de claes y lo mismo para las de destino. test-app = el alias para el almacén de claes puede ser el mismo para el origen y el destino. 2. Cuando el almacén de claes se exporta a PKCS12, puede utilizar openssl para exportar la clae priada desde un archio de claes pkcs12 formateado: openssl pkcs12 -in mystore.p12 -out mystore.pem \ -passin pass:test-app-pwd -passout pass:test-app-pwd 3. La clae priada protegida por una contraseña ahora está contenida en mystore.pem. 4. Esta clae priada se puede consumir por Tealeaf. Para obtener más información sobre alidar claes PEM, consulte Generación de un certificado autofirmado. Para obtener más información sobre la importación de la clae, consulte Configuración de la clae cifrada SSL en la página 203. Generación de un certificado autofirmado Para generar un certificado autofirmado, debe utilizar el programa de utilidad OpenSSL para generar una clae priada y un certificado autofirmado para esa clae. El paquete Tealeaf-pca proporciona la utilidad openssl en el directorio /usr/local/ctccap/bin. Los siguientes pasos suponen que inició sesión en la máquina host de captura pasia como un usuario root. Para generar un certificado autofirmado: 1. Genere una clae priada. En el ejemplo siguiente se genera un archio de clae RSA de 2048 bits denominado ejemplo.clae: /usr/local/ctccap/bin/openssl genrsa -out example.key Genere un certificado autofirmado.en el siguiente ejemplo se genera un archio de certificado autofirmado denominado example.crt mediante el uso del archio de clae priada example.key que se generó en el paso 1. Con la opción -days 365, el certificado es álido durante los siguientes 365 días (un año): /usr/local/ctccap/bin/openssl req -x509 -days 365 -newkey rsa:2048 -key \ example.key -out example.crt El mandato openssl req solicita de manera interactia arios alores. La siguiente tabla muestra las solicitudes y las respuestas de ejemplo: Solicitud Respuesta de ejemplo Nombre de país (código de 2 letras) Estados Unidos Estado o proincia (nombre completo) California Nombre de la localidad (por ejemplo, ciudad) San Francisco Nombre de la organización (por ejemplo, la compañía) Tealeaf, una compañía de IBM Nombre de la unidad organizatia (por ejemplo, sección) Ingeniería de release 216 IBM Tealeaf CX Passie Capture Application: Manual de PCA

227 Nombre común (por ejemplo, su nombre) pca.tealeaf.com Dirección de correo electrónico El nombre común debe ser el nombre DNS totalmente calificado de la máquina host de captura pasia. Si la máquina host no tiene un nombre DNS asignado, a continuación, utilice la dirección IP de la máquina. 3. Ahora, establezca la propiedad y los permisos de archio adecuados: a. Todos los archios de clae priada debe ser legibles sólo para los que la cuenta de usuario necesita acceso de lectura al archio. Los siguientes mandatoschmod y chown establecen la propiedad y los permisos de modo que solamente los procesos de captura ejecutándose como ctccap pueden acceder al archio example.key: chmod go= example.key chown ctccap example.key b. Coloque los archios en un directorio accesible para la cuenta de usuario. Para certificados y archios de claes que se utilizan mediante el software de captura pasia, ubique los archios en el directorio /usr/local/ctccap/ etc. Utilización del algoritmo SHA-2 para generar el certificado autofirmado De forma predeterminada, el mandato openssl utiliza el algoritmo SHA-1 para generar el certificado autofirmado en el PCA. De manera opcional, puede utilizar SHA-2 para la firma digital hash mediante la adición de la opción -sha256, como en el siguiente mandato: Nota: El siguiente mandado está admitido in PCA Build 3500 o posterior. /usr/local/ctccap/bin/openssl req -x509 -sha256 -days 365 -newkey rsa:2048 \ -key example.key -out example.crt Si no es PCA Build 3500 o posterior, puede generar la clae SHA-2 en otro sistemalinux. Para determinar si es posible, ejecute el siguiente mandato en un entorno que no sea de PCA: openssl dgst?h La siguiente línea se puede isualizar en la salida generada: -sha256 to use the sha256 message digest algorithm Si se isualiza el mandato anterior, entonces la instalación de Linux acepta la opción SHA-2. Puede ejecutar el siguiente mandato sin proporcionar la ía de acceso específica de PCA: openssl req -x509 -sha256 -days 365 -newkey rsa:2048 -key example.key -out \ example.crt Generación de una solicitud de certificado firmado para uso interno de CA Si desea utilizar su propia autoridad de certificación interna (CA) para generar un certificado firmado, realice los siguientes pasos. Estos pasos utilizan el programa de utilidad openssl como la utilidad de ejemplo, aunque se pueden utilizar otros programas de utilidad. Capítulo 6. Claes SSL 217

228 1. Adquiera una clae priada RSA de 2048 bits. Esta clae se puede auto generar como en el siguiente ejemplo, que utiliza la ía de acceso de instalación de PCA predeterminada para acceder al openssl de PCA cmd: /usr/local/ctccap/bin/openssl genrsa -out example.key Utilice la clae priada RSA para crear la petición del certificado firmado (CSR). Si el archio de claes es example.key, entonces el siguiente cmd genera un archio CSR cert_req.csr: /usr/local/ctccap/bin/openssl req -new -key example.key -out cert_req.csr Si el mandato anterior genera un mensaje de error que hace referencia a openssl.cnf, entonces se debe configurar la ía de acceso de instalación de PCA para ubicar de manera correcta el archio openssl.cnf. En este caso, puede aplicar la opción -config para definir la nuea, no predeterminada ía de instalación. En el siguiente ejemplo, esta ía de acceso es /opt/tealeaf. /opt/tealeaf/bin/openssl req -new -config /opt/tealeaf/ssl/openssl.cnf -key \ example.key -out cert_req.csr 3. Durante la generación de la CSR utilizando uno de los mandatos anteriores, se le solicitarán alores de certificado público. Para obtener más información acerca de los alores de inserción, consulte Generación de un certificado autofirmado en la página Cuando el archio CSR se generó de forma satisfactoria, se puede utilizar por parte del CA interno para completar el proceso para crear el certificado firmado. 5. El archio de certificado firmado se puede aplicar ahora de la misma forma que un certificado autofirmado para el uso de PCA. Consulte Capítulo 2, Instalación, en la página 17. Scripts de programa de utilidad El paquete Tealeaf-pca proporciona un script simplificar los pasos para crear certificados autofirmados. La ía de acceso completa para el archio de script es /usr/local/ctccap/sbin/gen-self-signed-cert.sh. Especifique los nombres de la nuea clae priada y los archios de certificados como argumentos paragen-self-signed-cert.sh. El script crea un archio de claes RSA de 2048 bits y un certificado autofirmado que es álido durante 10 años (3.650 días). Los archios resultantes son propiedad del usuario ctccap y la clae priada es legible sólo para ese usuario. A continuación se muestra una inocación de ejemplo de este script: /usr/local/ctccap/sbin/gen-self-signed-cert.sh example.key example.crt El paquete Tealeaf-pca crea arios certificados autofirmados según sea necesario cuando instala el paquete. Si cambia el nombre de host de la máquina host de captura pasia, puede oler a generar estos certificados. Utilice el siguiente mandato para oler a generar todos estos certificados: en FORCE=YES /usr/local/ctccap/sbin/all-self-signed-certs.sh El mandato anterior suprime y uele a crear los siguientes archios: /usr/local/ctccap/etc/tealeaf-pca.crt /usr/local/ctccap/etc/tealeaf-pca.key /usr/local/ctccap/etc/tealeaf-tts.crt /usr/local/ctccap/etc/tealeaf-tts.key /usr/local/ctccap/etc/tealeaf-tts.pem /usr/local/ctccap/etc/tealeaf-web.crt /usr/local/ctccap/etc/tealeaf-web.key 218 IBM Tealeaf CX Passie Capture Application: Manual de PCA

229 Despliegue de certificados SSL para que las utilice la consola web PCA Según sea necesario, puede desplegar certificados SSL personalizados para utilizar con la consola web PCA para asegurar el acceso seguro a la consola. Nota: La fortaleza de cifrado y otras características del certificado deben ser definidas para satisfacer sus requisitos empresariales. 1. Adquiera o genere el certificado SSL. El PCA utiliza el certificado autofirmado predeterminado y clae proporcionado. Para obtener más información acerca de la creación de un certificado autofirmado, consulte Generación de un certificado autofirmado en la página 216. Tealeaf proporciona un script de utilidad que simplifica el proceso de creación de un certificado autofirmado. Este script genera un certificado utilizando un conjunto reducido de opciones de configuración. Consulte Scripts de programa de utilidad en la página El certificado generado y el archio clae se deben añadir al archio de configuración Apache. Este archio se almacena en la siguiente ubicación: /usr/local/ctccap/etc/httpd.conf 3. En el siguiente ejemplo, el nombre del certificado es tealeaf-web.crt, yel nombre del archio de claes es tealeaf-web.key: Define SSLCERTFILE ${SYSCONFDIR}/tealeaf-web.crt Define SSLKEYFILE ${SYSCONFDIR}/tealeaf-web.key 4. Guarde el archio. 5. Reinicie el PCA. 6. Todos los usuarios de la consola web ahora deben conectarse utilizando SSL. Para obtener más información sobre cómo conectarse mediante SSL, consulte Naegadores soportados para la consola web de PCA en la página 64. Para obtener más información acerca del cambio de los puertos en los que escucha la consola web PCA, consulte Naegadores soportados para la consola web de PCA en la página 64. Configuración del Sericio de transporte Tealeaf para cifrado SSL Para cifrar la comunicación entre la máquina host de captura pasia y el sericio de transporte de Tealeaf, debe obtener un certificado SSL. A continuación, configure el software de captura pasia y el sericio de transporte de Tealeaf para utilizarlo. El certificado debe ser una clae priada de 2048 bits. El certificado se instala en el PCA y en la máquina de sericio de transporte de Tealeaf. El PCA necesita el certificado para el inicio, y el sericio de transporte de Tealeaf utiliza el certificado para gestionar conexiones seguras con el PCA. Nota: La transmisión a traés de SSL entre el PCA y el sericio de transporte Tealeaf necesitan más procesamiento y pueden afectar el rendimiento general. 1. Adquiera el certificado SSL. Si crea su propio certificado autofirmado, debe crear una clae priada de 2048 bits. Consulte Generación de un certificado autofirmado en la página 216. Capítulo 6. Claes SSL 219

230 a. El paquete Tealeaf-pca crea un certificado autofirmado para que lo utilice cuando configure el cifrado de SSL de la comunicación de red entre la máquina de host de captura pasia y el sericio de transporte Tealeaf. Este certificado autofirmado contiene el nombre de host de la máquina host en el momento de la instalación del paquete. b. Los siguientes certificados y archios de claes se crean mediante el paquete Tealeaf-pca: /usr/local/ctccap/etc/tealeaf-tts.crt (archio de certificado) /usr/local/ctccap/etc/tealeaf-tts.key (archio de claes) /usr/local/ctccap/etc/tealeaf-tts.pem (archio de claes y certificados combinados en DOS EOL) 2. Puede elegir utilizar el archio PEM anterior o crear el suyo propio. a. Después de generar el certificado y los archios de clae priada, utilice elscript /usr/local/ctccap/bin/crlf.sh para generar un único archio ASCII DOS-EOL que necesita el sericio de transporte Tealeaf. : Por ejemplo, si su clae priada se encuentra en el archio example.key ysu certificado se encuentra en el archio example.crt, utilice el siguiente mandato para generar un único archio DOS EOL denominado example.pem /usr/local/ctccap/bin/crlf.sh example.key example.crt > example.pem b. El archio resultante contiene una clae priada, por lo que debe restringir su propiedad y los permisos utilizando los mandatos chmod y chown. 3. Transfiera el único archio PEM DOS EOL a la máquina que está ejecutando el sericio de transporte Tealeaf. De forma ideal, debe restringir su acceso sólo al sericio de transporte de Tealeaf. El certificado se debe instalar en el directorio de instalación de raíz de Tealeaf. 4. Si es necesario, puede utilizar el lector de archios de Tealeaf para erificar que el certificado es álido y se puede utilizar. Consulte Prueba del certificado SSL utilizado por el sericio de transporte en la página En el seridor de sericio de transporte de Tealeaf, edite el archiotealeafcapturesocket.cfg. También puede realizar cambios de configuración a traés del editor de interconexión en TMS, que proporciona mantenimiento de ersiones centralizadas y asignaciones de los archios de configuración de Tealeaf. Edite el archio de configuración del sericio de transporte en bruto e inserte los alores en la sección [Globales]. Consulte"Separador TMS WorldView" en el manual de administración Tealeaf cximpact deibm. a. Añada o edite las siguientes directias en la sección [Globales] al nombre de ía de acceso o el archio PEM. Si los archios no están en el directorio de instalación Tealeaf, a continuación, especifique la ía de acceso completa a los archios. CertificateFile=css-cert.pem PriateKeyFile=css-cert.pem b. Utilizando nuestro ejemplo example.pem, modificaría css-cert.pem para producir los siguientes resultados: CertificateFile=example.pem PriateKeyFile=example.pem c. En la sección [Globales], ingrese el número de puerto en el que el sericio de transporte de Tealeaf escucha el tráfico de SSL. Ingrese el siguiente código: SSLPort=1967:DataDrop 220 IBM Tealeaf CX Passie Capture Application: Manual de PCA

231 1967 es el número de puerto al que el sericio de transporte de Tealeaf escucha para el tráfico de SSL. Este alor es el alor predeterminado. Puede cambiarlo, según sea necesario. Nota: Este número de puerto no debe ser utilizado por ninguna otra interconexión o componente de Tealeaf para escuchar el tráfico. DataDrop es el primer agente de sesión en la interconexión que se configura para procesar el tráfico de SSL recibido. 6. Inicie sesión en la configuración web de captura pasia de UI y pulse el separador Entrega. Consulte Consola Web de PCA - Pestaña de Entrega en la página 101. a. En la sección destinatarios de destino, pulse Añadir. b. Se muestra la página Añadir destinatario para entrega por coincidencia. Ingrese la dirección del host y del puerto en los campos correspondientes, seleccione el recuadro de selección Asegurar, y después pulse Aceptar. Nota: El puerto especificado debe coincidir con el puerto de escucha de SSL en el sericio de transporte. El alor predeterminado para el transporte SSL es Se isualiza la página Añadir certificado para entrega segura. Pegarlo en el certificado y luego pulse Aceptar para guardar los cambios. El certificado es el fragmento de texto ASCII que empieza con la siguiente línea: -----BEGIN CERTIFICATE----- y se amplía hasta e incluyendo la siguiente línea: -----END CERTIFICATE Copie y pegue todo desde (e incluyendo) la línea EMPEZAR hasta (e incluyendo) la línea FINAL. 9. Reinicie el PCA. 10. Reinicie el sericio de transporte. Prueba del certificado SSL utilizado por el sericio de transporte Antes de desplegar el certificado SSL a la máquina que aloja el sericio de transporte Tealeaf, erifique que el certificado sea álido y utilizable utilizando el lector de archios Tealeaf. 1. Deje el certificado SSL instalado en el PCA. 2. En el archio ArchieReader.cfg en el directorio de instalación de Tealeaf en la máquina que contiene el sericio de transporte de Tealeaf, ubique la sección [Socket]. 3. Para configurar el socket para utilizar SSL, especifique o establezca el siguiente código: USESSL=True 4. Establezca el seridor para que sea localhost. 5. Configure los siguientes alores para el nombre de archio del certificado que está instalado en el directorio de instalación de raíz de Tealeaf. Elimine la marca (#) antes de que la línea de configuración lo habilite. CertificateFile=css-cert.pem PriateKeyFile=css-cert.pem 6. Guarde el archio. 7. Utilice ArchieReader para eniar coincidencias al sericio de transporte. Capítulo 6. Claes SSL 221

232 Consulte "Lector de archios Tealeaf - Ejecutar sesiones archiadas" en el Manual de configuración CX de Tealeaf de IBM. 8. En el separador de estado de interconexión de TMS, erifique que se están capturando y procesando coincidencias mediante las interconexiones adecuadas. Consulte "Separador de estado de interconexión de TMS" en el Manual de administración cximpact de Tealeaf de IBM. 9. Si se están capturando y procesando coincidencias, el certificado SSL está trabajando de manera correcta. 10. Ahora puede aplicar los cambios de configuración a la sección [Globals] del TealeafCaptureSocket.cfg. Consulte Configuración del Sericio de transporte Tealeaf para cifrado SSL en la página 219. Habilitación de estados PCA en el estado Tealeaf Para habilitar que se isualice información sobre estadísticas de PCA en el informe de estado de Tealeaf, debe crear una referencia en el seridor Capture Application en la página Gestión de portal. En el menú Portal, seleccionetealeaf > Gestión de portal. Elimine o isualice el certificado Validación de claes PEM Consulte "Gestión de seridores de Tealeaf" en el Manual de administración de cximpact de IBM Tealeaf. Si desea eliminar o er el certificado, utilice el siguiente procedimiento: 1. Inicie Internet Explorer en la estación de trabajo que ejecuta PortalStatus. 2. Seleccione Herramientas > Opciones de Internet. 3. Pulse el separador Contenido. 4. Pulse Certificados. 5. Se muestra la entana Certificados. Pulse la pestaña Autoridades de certificación de confianza de raíces. 6. Ahora puede seleccionar el certificado para extraerlo o isualizarlo. Para alidar el archio mediante OpenSSL, utilice el siguiente mandato: /usr/local/ctccap/bin/openssl rsa -check -noout -in <filename> A continuación se muestra el formato esperado: -----BEGIN RSA PRIVATE KEY (many lines of encoding here) END RSA PRIVATE KEY IBM Tealeaf CX Passie Capture Application: Manual de PCA

233 Capítulo 7. Medida de rendimiento La medida de rendimiento proporciona detalles sobre el rendimiento del software de captura pasia y las medidas de indicación de fecha y hora. Las indicaciones de fecha y hora no forman parte del flujo de datos HTTP, por lo que PCA debe insertar las indicaciones de fecha y hora como parte de su proceso de captura. Descripción general de la indicación de fecha y hora La captura pasia proporciona un amplio conjunto de alores de tiempo disponibles para el análisis. Nota: Esta información de indicación de fecha y hora solo es releante para los datos capturados con la captura pasia. No refleja ninguna indicación de fecha y hora o proceso que otro software de Tealeaf realiza. Supuestos Se aplican los supuestos siguientes: El software de captura pasia crea todas las indicaciones de fecha y hora en el punto de captura. Cuando el software e los datos en su punto de captura, asigna una indicación de fecha y hora. La máquina host de la captura pasia está a una distancia corta, insignificante del origen de generación de HTTP. Sin embargo, este factor no debe repercutir sobre la indicación de fecha y hora, ya que los datos generalmente fluyen sin obstáculos del seridor web al cliente. Los datos se enían tan rápido como la ía de acceso de red integral permite. Hay posibles problemas que pueden afectar la precisión de la indicación de fecha y hora del tráfico que está llegando a la PCA. Si el punto de captura es un puerto de distribución de conmutadores, los almacenamientos intermedios internos que se utilizan para agregar el tráfico de distribución pueden cambiar su llegada de datos en tiempo real. Los almacenamientos intermedios pueden retener y separar el puerto de tráfico de distribución en cualquier momento que repercuta sobre la precisión. Otros dispositios de red también pueden cambiar las horas de llegada de los datos si forman parte de la ía de acceso de tráfico de captura, pero no en la ía de acceso de tráfico en directo. Todas las indicaciones de fecha y hora se especifican en GMT con granularidad de microsegundo. Un microsegundo es una millonésima de segundo. Nota: Las indicaciones de fecha y hora registradas por Tealeaf CX Passie Capture Application constituyen las mejores estimaciones. En la instalación predeterminada de Tealeaf cximpact, estas indicaciones de fecha y hora no incluyen información de representación del naegador del cliente. Cuando se instala y habilita la captura de interfaz de usuario de Tealeaf en la aplicación web, esa información se captura y notifica mediante el portal. Para obtener más información sobre informes del lado de cliente, consulte "Análisis de rendimiento" en la Guía de informes de IBM Tealeaf. Tealeaf CX UI Capture for AJAX es un componente con licencia separada de la plataforma Tealeaf CX. Copyright IBM Corp. 1999,

234 Consulte "Guía de captura de interfaz de usuario para Ajax" en la Guía de captura de interfaz de usuario para Ajax de IBM Tealeaf. Indicaciones de fecha y hora de ejemplo en la solicitud Los alores de ejemplo siguientes se isualizan en la solicitud después de que la PCA genera sus indicaciones de fecha y hora. RequestTimeEx= T15:33: Z RequestEndTimeEx= T15:33: Z ResponseStartTimeEx= T15:33: Z ResponseTimeEx= T15:33: Z ResponseAckTimeEx= T15:33: Z TLapiArrialTimeEx= T15:33: Z ReqTTLB=144 RspTTFB=5092 RspTTLB= RspTTLA= ConnSpeed= ConnType=DSL WS_Generation=5092 WS_Grade=ExcellentWS WS_GradeEx=0 NT_Total= NT_Grade=ExcellentNT NT_GradeEx=0 RT_Total= RT_Grade=ExcellentRT RT_GradeEx=0 Elementos Uso* RequestEndTimeEx= T15:33:58. ResponseStartTimeEx= T15:33:58. ResponseAckTimeEx= T15:33:58. WS_Generation=5092 NT_Total= RT_Total= Se utiliza en el cálculo de indicaciones de fecha y hora y comportamiento de red Valores de indicación de fecha y hora que se utilizan para cálculos posteriores Valores y definiciones de indicación de fecha y hora en la solicitud La tabla siguiente proporciona una explicación de cada uno de los alores en la sección [timestamp] de la solicitud: Valor Descripción RequestTimeEx Inicio de la solicitud. La indicación de fecha y hora cuando la PCA io el primer paquete de la solicitud. 224 IBM Tealeaf CX Passie Capture Application: Manual de PCA

235 RequestEndTimeEx Fin de la solicitud. La indicación de fecha y hora cuando la PCA io el último paquete de la solicitud. ResponseStartTimeEx Inicio de la respuesta. La indicación de fecha y hora cuando la PCA io el primer paquete de la respuesta. Si no se ha isto ningún paquete de respuesta, se utilizará el alor RequestEndTimeEx. ResponseTimeEx Fin de la respuesta. La indicación de fecha y hora cuando la PCA io el último paquete de la respuesta. Si no se ha isto ningún paquete de respuesta, se utilizará el alor RequestEndTimeEx. ResponseAckTimeEx La indicación de fecha y hora cuando la PCA io que el cliente/naegador reconoció el último paquete TCP de la respuesta. Si no se ha isto ningún paquete de respuesta, se utilizará el alor RequestEndTimeEx. TLapiArrialTimeEx Esta indicación de fecha y hora indica cuándo la coincidencia llega dentro del proceso interconectado de la PCA. El tiempo completo de aciertos reensamblados puede suceder más adelante si un acierto incompleto se ha reensamblado o se ha atrasado debido a un último paquete de datos muy tardío. En un caso normal, esta indicación de fecha y hora debería ser aproximadamente la misma que ResponseTimeEx. Una gran diferencia podría indicar un problema de red. ReqTTLB Tiempo en microsegundos desde el primer paquete de la solicitud hasta el último (RequestEndTimeEx menos RequestTimeEx). Este alor no incluye el tiempo de red. RspTTFB Tiempo (en microsegundos) desde el inicio de la solicitud hasta la primera de la página de respuesta (ResponseTimeStartEx menos RequestTimeEx). Este alor suele ser una aproximación precisa del tiempo que el seridor web ha necesitado para generar la página de respuesta. En particular, si la página completa se almacena en el almacenamiento intermedio (el alor predeterminado para ASP.NET y muchos entornos J2EE), entonces esta medida es un predictor exacto de cuánto demoro la infraestructura del lado del seridor en responder. Es posible que este alor no sea preciso si el seridor web ha serido los datos en trozos. RspTTLB Tiempo en microsegundos desde el primer paquete de la respuesta hasta el último (ResponseTimeEx menos ResponseStartTimeEx). Este alor no incluye el tiempo de red. RspTTLA Tiempo de reconocimiento de cliente/naegador del último paquete de datos (ResponseACKTimeEx menos ResponseTimeEx). Este alor es una indicación del recorrido completo de red. Para calcular el tiempo unidireccional, diida este alor por 2. ConnSpeed Velocidad de conexión, especificada en bits por segundo (bps). Este alor se calcula diidiendo el tamaño promedio de la respuesta por el tiempo promedio que tardó en entregarse. Capítulo 7. Medida de rendimiento 225

236 Cuando se determina la elocidad de conexión, se ignoran los eentos de interfaz de usuario de cliente detectados. ConnType En función del alor ConnSpeed, este alor se establece en Dialup, ISDN, DSL o T1. WS_Generation Tiempo en microsegundos para que el seridor web genere la respuesta. Este alor se calcula como: ResponseStartTimeEx - RequestEndTimeEx Consulte Tiempo de generación de páginas en la página 229. WS_Grade El grado asignado al tiempo de generación de la página del seridor web (WS_Generation). Los alores posibles son los siguientes: ExcellentWS, Very GoodWS, GoodWS, FairWS, PoorWS o IncompleteWS. Este alor se indexa de forma predeterminada. WS_GradeEx Un número que representa la agrupación de rango de tiempo TimeGrades entre 0 y 4 para el tiempo de generación de la página del seridor web. Consulte Valores de la interconexión en la página 110. NT_Total Tiempo en microsegundos para el tiempo de iaje de red. Consulte Tiempo de red en la página 229. NT_Grade El grado asignado al tiempo de iaje de red (NT_Total). Los alores posibles son los siguientes: ExcellentNT, Very GoodNT, GoodNT, FairNT, PoorNT o IncompleteNT. Este alor se indexa de forma predeterminada. NT_GradeEx Un número que representa la agrupación de rango de tiempo TimeGrades entre 0 y 4 para el tiempo de iaje de red. Consulte Valores de la interconexión en la página 110. RT_Total El tiempo total de iaje de recorrido completo en microsegundos. RT_Grade El grado general para el rendimiento de red. Los alores posibles son los siguientes: ExcellentRT, Very GoodRT, GoodRT, FairRT, PoorRT o IncompleteRT. Este alor se indexa de forma predeterminada. RT_GradeEx Un número que representa la agrupación de rango de tiempo TimeGrades entre 0 y 4 para el tiempo de iaje de recorrido completo. Consulte Valores de la interconexión en la página 110. Cálculo de horas de la indicación de fecha y hora Para la determinación del rendimiento, se muestran a continuación las tres indicaciones de fecha y hora más importantes de la solicitud: RequestTimeEx ResponseStartTimeEx ResponseAckTimeEx 226 IBM Tealeaf CX Passie Capture Application: Manual de PCA

237 1. El primer alor de tiempo en microsegundos es la diferencia entre que la PCA e el final de la petición y el inicio de la respuesta: RspTTFB = ResponseStartTimeEx - RequestTimeEx 2. El segundo alor de tiempo en microsegundos es la diferencia entre que la PCA e el inicio de la solicitud al final de la respuesta: RspTTLB = ResponseTimeEx - ResponseStartTimeEx 3. El tercer alor de tiempo en microsegundos es la hora en la que la última respuesta debe iajar de la PCA al isitante. El tiempo que se necesita para que la solicitud inicial aya del usuario a la PCA, que es una medida de tiempo de recorrido completo de red: RspTTLA = ResponseACKTimeEx minus ResponseTimeEx Factores que afectan los alores de indicación de fecha y hora Para ealuar las indicaciones de fecha y hora, se deben tener en cuenta los siguientes factores: En un entorno de red de arios nieles, normalmente no hay almacenamientos en la red. Sin embargo, las granjas de seridores grandes y sofisticadas pueden emplear un equilibrador de carga (por ejemplo, F5), por lo que algunos almacenamientos de datos de la solicitud HTTP pueden afectar los alores de indicación de fecha y hora. Dado que estos dispositios dedicados son altamente personalizados para la elocidad, esta repercusión apenas se percibe. Los dispositios de almacenamiento en memoria caché de contenidos en el entorno pueden distorsionar los alores de tiempo. Cuando el contenido se almacena en memoria caché, se reducen los alores de tiempo. Para tamaños de páginas en promedio mayores, es más eficaz comprimir los datos para una transferencia más rápida. Si la opción de estado actio de HTTP/1.1 está habilitada, puede afectar la elocidad a la que pueden realizarse arias solicitudes HTTP. Los alores de entrega de aplicaciones repercuten en la medida de rendimiento. Está encendido el almacenamiento intermedio? Es decir, la aplicación comienza a transmitir cuando el primer byte está listo o espera a que toda la página esté lista primero? La fragmentación afecta a los alores de indicación de fecha y hora. La respuesta se puede entregar en un trozo o fragmentarse y entregarse a petición, como por ejemplo, un archio PDF con seridor de bytes. Los alores de naegador del lado de cliente pueden afectar al rendimiento y a los alores de tiempo. Por ejemplo, si el almacenamiento en memoria caché está habilitado, se reducen los tiempos de transferencia de páginas que contienen contenido almacenado en memoria caché. El tamaño de la memoria caché es un factor. Indicación de fecha y hora en las coincidencias de ReqCancelled Cuando el isitante o el seridor cancelan una solicitud, puede que las indicaciones de fecha y hora no se inserten como siempre según la hora de cancelación. Tealeaf inserta indicaciones de fecha y hora de acuerdo con la tabla siguiente. Capítulo 7. Medida de rendimiento 227

238 Tabla 25. Indicación de fecha y hora en las coincidencias de ReqCancelled Acción actual en el momento de la cancelación Indicación de fecha y hora de la solicitud Indicación de fecha y hora de la respuesta Solicitud eniada, respuesta no iniciada (tamaño de la respuesta =0) indicación de fecha y hora de la solicitud Utilice el alor RequestEndTimeEx Solicitud eniada, respuesta iniciada (tamaño de la respuesta >0) indicación de fecha y hora de la solicitud indicación de fecha y hora de la respuesta La razón para que una respuesta no inicie puede incluir cualquiera de las siguientes: 1. Cancelación del isitante 2. Cancelación del seridor 3. Problema de red 4. El seridor ha tardado demasiado en responder y se ha excedido el tiempo de espera de PCA 5. PCA no ha podido hacer coincidir la solicitud con la respuesta Nota: Cuando crea informes utilizando el eento Req Cancelled Count, puede tabular los recuentos de todas las apariciones especificando el tipo de datos para que el eento sea una [Sum], en lugar de un [Count]. Consulte "Compilador de informes de Tealeaf" en la Guía de informes de IBM Tealeaf. Coincidencias sin indicaciones de fecha y hora Si se recibe una coincidencia con información de indicación de fecha y hora incompleta o con un formato inadecuado, la PCA no genera estas indicaciones de fecha y hora asociadas. Cuando la coincidencia se pasa al seridor de procesos para su ealuación, este aplica un alor de indicación de fecha y hora de 01/01/1970 a la coincidencia. La coincidencia después se graba en un archio de sesión con la misma indicación de fecha y hora. Cada hora, el seridor de procesos suprime los archios de archiado de sesión que sean más antiguos que el número de días de los datos que se han configurado para ser retenidos en el seridor de procesos. Así, la coincidencia se suprime automáticamente cada hora. El número de días de datos que el seridor de procesos retiene está definido en el separador Sericios de recipiente de la configuración de recipiente en el sistema de gestión de Tealeaf. Consulte "Configuración del recipiente de CX" en el Manual de configuración de IBM Tealeaf CX. 228 IBM Tealeaf CX Passie Capture Application: Manual de PCA

239 Además de las indicaciones de fecha y hora faltantes o con un formato erróneo, los siguientes tipos de coincidencias no pueden tener indicaciones de fecha y hora: 1. El agente de sesión del direccionador de sesión no puede filtrar de la corriente de captura del recipiente las coincidencias de estadísticas del sistema Tealeaf que arios componentes de Tealeaf enían para informar sobre su estado. Para obtener más información acerca de estas coincidencias, consulte "Estadísticas del sistema" en el Manual de administración de IBM Tealeaf cximpact. Consulte "Agente de sesión del direccionador de sesión" en el Manual de configuración de IBM Tealeaf CX. 2. Si se despliega la base de datos de búsqueda de IBM Tealeaf cxreeal, pueden haber referencias a estas coincidencias en los datos que se insertan en la base de datos. Cuando se ejecuta una búsqueda de IBM Tealeaf cxreeal, las coincidencias ya pueden estar depuradas. Aunque la base de datos indica que las coincidencias existen, estas no existen en los datos de recipiente. Para obtener más información acerca de este problema, consulte "Resolución de problemas: cxreeal" en la Guía de resolución de problemas de IBM Tealeaf. Nota: La base de datos de búsqueda de IBM Tealeaf cxreeal requiere una instalación y configuración independientes. Consulte "Configuración de la búsqueda de atributos de sesión" en el Manual de administración de IBM Tealeaf cxreeal. Informes de indicaciones de fecha y hora en portal y RTV El portal y RTV muestran alores generados por la indicación de fecha y hora: tiempo de generación de páginas, tiempo de recorrido de red & tiempo de recorrido completo. Tiempo de generación de páginas El tiempo de generación de páginas es el tiempo necesario, después de que se recibe la solicitud, para que la infraestructura web (WS/AS/DB) procese la respuesta y comience a transmitirla al naegador del cliente. Este alor de tiempo en microsegundos es el tiempo entre que la PCA io el último paquete de la solicitud hasta el momento en que la PCA recibe el primer paquete de la respuesta. Este alor se calcula e inserta en la solicitud como WS_Generation : WS_Generation = ResponseStartTimeEx - RequestEndTimeEx En la solicitud de ejemplo que se isualiza arriba, el alor de tiempo WS_Generation es = 5092 microsegundos Tiempo de red El tiempo de red es la diferencia de tiempo entre que el seridor web comienza a eniar la respuesta y la PCA recibe el acuse de recibo del isitante. Este alor se calcula e inserta en la solicitud como NT_Total: NT_Total =ResponseAckTimeEx - ResponseStartTimeEx En la solicitud de ejemplo que se isualiza, el alor de tiempo NT_Total es = microsegundos Tiempo de recorrido completo El tiempo de recorrido completo es la diferencia de tiempo entre que la PCA recibe el último paquete de la solicitud y recibe el acuse de recibo del isitante de que Capítulo 7. Medida de rendimiento 229

240 llega toda la respuesta. Este alor se calcula e inserta en la solicitud como RT_Total: RT_Total = ResponseAckTimeEx - RequestEndTimeEx En la solicitud de ejemplo que se isualiza arriba, el alor de tiempo RT_Total es: = microsegundos Reisión de las dos secciones anteriores: RT_Total = WS_Generation + NT_Total Tiempo de representación La captura de interfaz de usuario de Tealeaf se puede desplegar para capturar eentos de interfaz de usuario en el naegador del cliente y para superisar medidas del lado de cliente, como por ejemplo, el tiempo necesario para representar la página en el naegador. Si la captura de interfaz de usuario se ha desplegado, el tiempo de representación se notifica a Tealeaf en milisegundos. Para obtener más información sobre la captura de interfaz de usuario, consulte "FAQ de captura de interfaz de usuario" en FAQ de captura de interfaz de usuario para AJAX de IBM Tealeaf. Para obtener más información sobre la captura de interfaz de usuario, consulte "Guía de captura de interfaz de usuario para Ajax" en la Guía de captura de interfaz de usuario para Ajax de IBM Tealeaf. Para obtener más información sobre datos de rendimiento entregados mediante la captura de interfaz de usuario, consulte "Análisis de rendimiento" en la Guía de informes de IBM Tealeaf. Prueba del rendimiento del proceso de Tealeaf Puede utilizar la siguiente prueba para comprobar qué tan rápido Tealeaf procesa las coincidencias. En un sistema ideal, la longitud de tiempo entre que la PCA captura una coincidencia y esta aparece en el recipiente a corto plazo es de unos pocos segundos. Nota: Si el recipiente a corto plazo pone las coincidencias en cola en el disco, el proceso se retarda aún más y esta prueba no es un indicador fiable del rendimiento normal del sistema. Consulte "Estado del sistema" en el Manual de administración de IBM Tealeaf cximpact. 1. Inicie sesión en el portal Tealeaf. 2. Para isualizar las sesiones actias actualmente, seleccione Actio > Portal. Clasifique el orden de isualización por hora. Nota: Estas operaciones pueden tomar hasta cinco segundos en completarse y pueden presentar un factor de retraso en la medida de rendimiento. 3. Abra una herramienta de reloj en el sistema, que muestre el segundero. 4. Registre la hora de inicio de una nuea sesión. Continúe renoando la página Sesiones actias hasta que comience una nuea sesión. Inicie una nuea sesión desplazándose hacia la aplicación web mediante una entana de naegador nuea. 5. Tan pronto como aparezca una nuea sesión, anote el alor actual del segundero. 230 IBM Tealeaf CX Passie Capture Application: Manual de PCA

241 6. Abra la misma sesión en la aplicación de Reali-Tea Viewer o en la Reproducción basada en naegador. Consulte "Manual de usuario de RealiTea Viewer (RTV)" en el Manual de usuario de IBM Tealeaf RealiTea Viewer. Consulte "Reproducción basada en naegador de CX" en el Manual de usuario de IBM Tealeaf cximpact. 7. En la primera coincidencia de la sesión, abra la solicitud. 8. En la sección [timestamp], reise el alor de ResponseTimeEx. 9. La diferencia en segundos entre el alor anterior y la hora en la que la sesión comenzó proporciona una aproximación más precisa del tiempo que Tealeaf requiere actualmente para procesar una nuea coincidencia en el recipiente a corto plazo. Informes Los informes que se basan en información de indicación de fecha y hora que Tealeaf captura y calcula se pueden configurar y reisar mediante el portal Tealeaf. Para obtener más información sobre cómo calificar por tiempo en general, consulte Medida de rendimiento. Si despliega la biblioteca de IBM Tealeaf CX UI Capture for AJAX, hay más información de temporización del lado de cliente en informes basados en el portal. Consulte "Análisis de rendimiento" en la Guía de informes de IBM Tealeaf. Referencias Para obtener más información sobre la creación de informes de calificaciones por tiempo, consulte "Análisis de rendimiento" en la Guía de creación de informes de IBM Tealeaf. Para obtener más información sobre cómo configurar la calificación por tiempo, consulte Valores de la interconexión en la página 110. Capítulo 7. Medida de rendimiento 231

242 232 IBM Tealeaf CX Passie Capture Application: Manual de PCA

243 Capítulo 8. Configuración de la captura pasia en Red Hat Enterprise Linux (RHEL) Las secciones siguientes contienen información importante para la configuración de la Captura pasia en un entorno de Red Hat Enterprise Linux: Captura pasia en RHEL - Configuración de DNS Captura pasia en RHEL - Configuración de interfaces de red en la página 234 Captura pasia en RHEL - Configuración NTP en la página 236 Captura pasia en RHEL - Configuración del acceso de Puerto serie en la página 238 Captura pasia en RHEL - Configuración de DNS /etc/nsswitch.conf Esta sección proporciona una bree descripción de los archios de configuración de (DNS) Sericio de nombre de dominio, el sericio que se utiliza para realizar conersiones entre nombres del sistema principal y direcciones IP. El archio /etc/nsswitch.conf controla la utilización de arios archios de base de datos de sistemas y nombres de sericio. Cuando el archio nsswitch.conf habilita el DNS, el archio /etc/resol.conf controla cómo se realizan las búsquedas. Los cambios que se realizan a estos archios de sistema toman efecto después de que guarda los cambios en los archios. También puede utilizar el programa de utilidad gráfico redhat-config-network para configurar el DNS. Está disponible cuando se instala el paquete redhat-config-network. El paquete y los mandatos que proporciona no están disponibles con una mínima instalación RHEL. Las secciones siguientes describen sobre la inhabilitación y habilitación DNS. Inhabilitar DNS Para inhabilitar búsquedas DNS: 1. Editar archio /etc/nsswitch.conf. 2. Coloque un signo de almohadilla (#) al principio de la línea que lee hosts: archios dns. 3. Después de editar, la línea se debe parecer al código siguiente: #hosts: archios dns Habilitar DNS Para habilitar búsquedas DNS: 1. Edite /etc/nsswitch.conf. 2. Elimine signos de almohadilla (#) al principio de la línea que lee hosts: archios dns. Después de editar, la línea que se parece a: hosts: archios dns Copyright IBM Corp. 1999,

244 /etc/resol.conf Para especificar el dominio DNS y los seridores: 1. Edite el archio /etc/resol.conf. 2. Cuando DHCP está habilitado para una interfaz de red, el archio /etc/resol.conf se genera automáticamente gracias al programa cliente DHCP con los seridores DNS especificados por el seridor DHCP. Normalmente se edita /etc/resol.conf sólo cuando se utilizan direcciones de IP fijas (estáticas). 3. El archio /etc/resol.conf debería especificar el sufijo del nombre del dominio para utilizar cuando el nombre de host no está totalmente calificado. 4. También debe especificar el nombre de al menos un seridor DNS para utilizar para el nombre de host y la resolución IP. El siguiente es un ejemplo de /etc/resol.conf para las máquinas de dominio Tealeaf.com con dos seridores DNS: search machines.tealeaf.com nameserer nameserer Captura pasia en RHEL - Configuración de interfaces de red Ejemplo DHCP Los archios de configuración de red en el directorio /etc/sysconfig se leen y se procesan durante la inicialización del sistema. Para aplicar cambios, inicie la máquina utilizando el mandato shutdown -r ahora. En lugar de reiniciar la máquina, también puede traer la máquina en modo de usuario único mediante el uso del mandato shutdown now. En el indicador de mandatos, escriba el mandato exit para dejar el modo de usuario único y uela a escribir el modo de usuario múltiple, el cuál habilita la conexión de red e inicia las interfaces de red. Este ejemplo configura una máquina denominada capture.my.domain que recupera la información de red, a traés de DHCP en la interfaz eth0. El archio /etc/hosts contiene la línea siguiente para asegurar una correlación de nombre de host/dirección IP para la máquina: capture.my.domain capture localhost.localdomain localhost El archio /etc/sysconfig/network contiene la línea siguiente: HOSTNAME=capture.my.domain Ejemplo ETHTOOL_OPTS El archio /etc/sysconfig/network-scripts/ifcfg-eth0 contiene sólo las líneas siguientes: BOOTPROTO=dhcp DEVICE=eth0 ONBOOT=yes Todas las interfaces de red que se utilizan con la captura pasia se deben configurar para la modalidad dúplex. La modalidad dúplex asegura el uso máximo de las interfaces de red para capturar paquetes y entregarle coincidencias Tealeaf al sericio de transporte Tealeaf. 234 IBM Tealeaf CX Passie Capture Application: Manual de PCA

245 Puede añadir una ariable denominada ETHTOOL_OPTS al archio ifcfg para una interfaz de red para forzar su modalidad dúplex. Usualmente debe hacerlo si el dispositio se auto-negocia a sí mismo en medio dúplex. A continuación erá la línea de muestra que establece la ariable ETHTOOL_OPTS para forzar la interfaz de red en dúplex en 1 gigabit. ETHTOOL_OPTS="autoneg off duplex full speed 1000" Debe especificar el dúplex y la elocidad en conjunto y en el orden que se enumeran. La auto-negociación de debe inhabilitar primero, y luego el dúplex y la elocidad se pueden establecer. El dúplex y elocidad se deben establecer en conjunto para asegurar que el controlador de dispositio de interfaz de red no restablezca el tiempo de dúplex o la elocidad cuando se modifica. Con la ariable ETHTOOL_OPTS definida en el archio ifcfg para una interfaz de red, el mandato ifup ejecuta el programa de utilidad y pasa las opciones que están definidas por la ariable. Por ejemplo, si editó ifcfg-eth0 con el ejemplo anterior, entonces ifup ejecuta el mandato: ethtool -s eth0 ${ETHTOOL_OPTS} El mandato proporciona la salida siguiente: ethtool -s eth0 autoneg off duplex full speed 1000 Los cambios que realice en el archio ifcfg para una interfaz de red entran en igor sólo cuando el script ifup se ejecuta, lo que sucede usualmente cuando la máquina rearranca. Puede ejecutar el mandato ethtool de manera manual para que entre en igor inmediatamente. Por ejemplo: ethtool -s eth0 autoneg off duplex full speed 1000 Ejemplo de escucha de la interfaz Este ejemplo configura la interfaz de red eth2 para capturar paquetes desde un conmutador o un dispositio de escucha. Ejemplo de IP estática Cuando se capturan desde un conmutador, sólo se necesita una interfaz de red ya que está recibiendo tráfico bidireccional. Un dispositio de escucha enía tráfico unidireccional (de entrada y salida) utilizando dos cables de red. Por lo tanto, para un dispositio de escucha debe configurar dos interfaces de red, una para cada cable. En ambos casos, configure la interfaz de red de la misma manera. Una interfaz a la escucha no necesita una dirección IP ya que solo recibe paquetes de un conmutador o de un dispositio de escucha. Nunca se utiliza para eniar paquetes en la conexión. El archio /etc/sysconfig/network-scripts/ifcfg-eth2 contiene sólo las siguientes líneas: DEVICE=eth2 ONBOOT=yes Este ejemplo configura una máquina denominada capture.my.domain con la siguiente información de red. Valor Valor DNS my.domain Nombre de host captura Capítulo 8. Configuración de la captura pasia en Red Hat Enterprise Linux (RHEL) 235

246 Lectura adicional Dirección IP Máscara de red Pasarela El archio /etc/hosts contiene las líneas siguientes: localhost.localdomain localhost capture.my.domain capture El archio /etc/sysconfig/network contiene la línea siguiente: HOSTNAME=capture.my.domain El archio /etc/sysconfig/network-scripts/ifcfg-eth0 contiene sólo el líneas siguientes: BOOTPROTO=static IPADDR= NETMASK= GATEWAY= DEVICE=eth0 ONBOOT=yes Para obtener más información, consulte el directorio Red Hat Enterprise Linux Guía de referencia: El directorio sysconfig: Red Hat Enterprise Linux Guía de referencia: Interfaces de red: Captura pasia en RHEL - Configuración NTP Instale el paquete NTP Seleccione seridores NTP Puede aprender a cómo configurar un daemon NTP para sincronizar la hora de la máquina con uno o más seridores NTP. Primero, instale el paquete NTP, que no está incluido con una mínima instalación. Después de instalar el paquete NTP, seleccione los seridores NTP, cree archios de configuración, y después habilite e inicie el sericio. Si todaía no lo ha hecho, instale el paquete NTP desde su distribución Linux. Para sincronizar la hora de la estación de trabajo, el daemon NTP en sus contactos de estación de trabajo en uno o más seridores NTP especificado en el archio de configuración /etc/ntp.conf. Si un seridor NTP no está disponible en la red local, siga uno de los pasos siguientes: 236 IBM Tealeaf CX Passie Capture Application: Manual de PCA

247 Seleccione un seridor NTP público (isite y pulse Listas de seridor de horas). Si selecciona un seridor NTP público, lea las Reglas de Compromiso (pulse Reglas de Compromiso en la página principal en el sitio NTP). Utilice la agrupación del seridor de horas NTP (isite y pulse How do I use pool.ntp.org). Como usuario root en la estación de trabajo, erifique que la máquina pueda contactar los seridores NTP seleccionados. Utilice el mandato ntpdate con la consulta opción -q. Por ejemplo, para consultar un seridor NTP cuya dirección IP es , utilice el mandato siguiente: ntpdate -q La salida se debe er de la siguiente manera, que muestra el seridor contactado y la diferencia de tiempo entre la estación de trabajo local y el seridor. serer , stratum 2, offset , delay No 10:27:09 ntpdate[21597]: step time serer offset sec Si la consulta falla, la salida probablemente sea la siguiente: serer , stratum 0, offset , delay No 10:29:04 ntpdate[21599]: no serer suitable for synchronization found Creación de Archios de configuración Habilitar e iniciar el sericio Siga los pasos siguientes como usuario root en la máquina: 1. Creación del archio /etc/ntp/step-tickers. Puede hacer una copia de seguridad de cualquier ersión existente del archio. El archio contiene los nombres de hosts o de direcciones IP de los seridores NTP para ponerse en contacto durante el inicio para inicialmente establecer el tiempo. Si utiliza el grupo de seridores NTP, debe utilizar los nombres de host, lo que requiere DNS. Por ejemplo, si los dos seridores NTP que se an a utilizar son y , entonces utilice los siguientes mandatos para crear el archio: echo > /etc/ntp/step-tickers echo >> /etc/ntp/step-tickers 2. Crear archio /etc/ntp.conf con los mandatos siguientes. Puede hacer una copia de seguridad de cualquier ersión existente del archio. echo restrict default ignore > /etc/ntp.conf echo restrict >> /etc/ntp.conf echo driftfile /ar/lib/ntp/drift >> /etc/ntp.conf 3. Añada entradas utilizando las palabras claes restringir y seridor para cada seridor NTP. El ejemplo siguiente añade entradas para los seridores NTP hipotéticos and Las opciones la máscara, nomodify, notrap, y noquery eitan que el seridor modifique el sericio NTP en la máquina host captura pasia. nullecho restrict mask nomodify notrap noquery >> /etc/ntp.con echo serer >> /etc/ntp.conf echo restrict mask nomodify notrap noquery >> \ /etc/ntp.con echo serer >> /etc/ntp.conf Siga los pasos siguientes como usuario root en la máquina: Capítulo 8. Configuración de la captura pasia en Red Hat Enterprise Linux (RHEL) 237

248 1. Configurar el sericio para que se inicie durante el arranque utilizando el mandato siguiente: chkconfig ntpd on 2. Inicie el sericio inmediatamente utilizando el mandato siguiente: serice ntpd start 3. Verifique que el sericio haya iniciado y contactado un seridor utilizando el mandato siguiente: ntpq -np 4. Ver mensajes de registro para el daemon NTP en el archio /ar/log/messages. Captura pasia en RHEL - Configuración del acceso de Puerto serie Esta sección documenta el procedimiento para utilizar un puerto serie en la máquina del seridor de Captura para acceso de la consola y de la terminal. 238 IBM Tealeaf CX Passie Capture Application: Manual de PCA

249 Capítulo 9. Superisión de captura pasia Esta sección proporciona información sobre cómo superisar la IBM Tealeaf CX Passie Capture Application. Lista de comprobación para el diagnóstico de problemas de PCA La consola web de PCA proporciona información detallada acerca de cómo diagnosticar problemas con la IBM Tealeaf CX Passie Capture Application. Puede utilizar la lista de comprobación siguiente para erificar las operaciones de PCA mediante los separadores de la consola web de PCA. Lista de comprobación principal 1. Consola web de PCA - Pestaña Consola en la página 80 - Habilitar/inhabilitar la captura pasia. a. Verifique que la captura pasia esté habilitada. 2. Consola Web de PCA - Pestaña Resumen en la página 69 - Contiene medidas e información de estado sobre procesos de PCA indiiduales, pares e interfaces de red. Los mensajes de aiso y error se isualizan aquí. Verifique que: a. Todos los procesos de captura están en funcionamiento. b. Los pares de entrega están definidos y conectados y están entregando coincidencias c. Las interfaces de red están actias. Para obtener estadísticas de una interfaz de red, pulse (detalles). Para obtener más diagnósticos, pulse el enlace Programas de utilidad. Para obtener más información sobre los mensajes que se isualizan en el separador Resumen, consulte Consola Web de PCA - Pestaña Resumen en la página Consola Web de PCA - Pestaña Interfaz en la página 81 - Configuración de arias instancias de PCA, interfaces de red, segmentación de datos y filtros de datos. Contiene parámetros de ajuste de rendimiento. Verifique que: a. La interfaz primaria está en funcionamiento y escuchando ambas direcciones de tráfico. b. Las direcciones de cada interfaz se han configurado correctamente. Consulte Consola Web de PCA - Pestaña Interfaz en la página 81. c. Los números de puerto de tráfico necesarios se han establecido correctamente. d. Los filtros de tráfico ignorados no están filtrando datos deseados. e. Si utiliza arias instancias de PCA, erifique que las configuraciones de segmentación de datos dirijan el tráfico a la instancia adecuada. f. Las reglas de filtro definidas incluyen o excluyen correctamente el tráfico de puerto. g. Los alores de parámetro de ajuste no están repercutiendo en el rendimiento del sistema. 4. Consola Web de PCA - Pestaña de Entrega en la página Definir y probar las conexiones con destinatarios de datos de PCA. Habilitar y configurar la entrega de estadísticas de PCA a la interconexión de Windows. Verifique que: Copyright IBM Corp. 1999,

250 a. Los nombres de host y números de puerto de destino se han especificado correctamente b. Para diagnosticar problemas, entregar coincidencias de estadísticas de PCA a la interconexión de Windows permite un mejor rastreo de rendimiento del sistema. Para obtener más información sobre la coincidencia de estadísticas, consulte Estadísticas por instancia en la página 144. Lista de comprobación de configuración de PCA adicional Para los siguientes problemas específicos, realice las comprobaciones listadas: 1. Problemas de SSL: si la PCA no captura adecuadamente el tráfico HTTPS, reise la configuración de las claes SSL. Verifique que no falte ninguna clae priada. Verifique en el seridor web que la clae SSL actual se exporte y proporcione a la PCA. Consulte Consola Web de PCA - Pestaña Claes SSL en la página 106. PCA requiere que la clae priada del seridor web se exporte, conierta y después importe en la PCA. Consulte Capítulo 6, Claes SSL, en la página Datos sensibles: si los datos sensibles se pasan mediante la PCA a la interconexión de Windows y a las bases de datos, puede configurar las reglas de priacidad para bloquear o enmascarar estos datos tan pronto como lleguen a la PCA. Verifique que las reglas de priacidad se configuren correctamente. Reise el uso de expresiones regulares en las reglas de priacidad, que pueden afectar significatiamente el rendimiento de la PCA. Consulte Descarga de la configuración de priacidad en la página Problemas de migración tras error: la PCA se puede configurar para que realice la migración tras error desde la instancia de PCA primaria a una secundaria según sea necesario. Consulte Consola Web de PCA - Pestaña de Migración tras error en la página 168. Sugerencias adicionales para el diagnóstico de problemas Si la lista de comprobación anterior no ayudó a diagnosticar el problema, puede reisar los elementos siguientes para erificar el rendimiento del seridor de IBM Tealeaf CX Passie Capture Application. En algunos casos, los problemas que aparecen en la IBM Tealeaf CX Passie Capture Application se originan en el sistema operatio o a niel de red. Las siguientes sugerencias son pasos de alidación útiles antes de ponerse en contacto con el soporte de consumidor de Tealeaf. Compruebe el espacio de disco en el olumen donde la PCA está alojada Compruebe los procesos del sistema operatio Verifique el historial reciente de las modificaciones de la consola web de la PCA, que están registradas en el siguiente archio: /ar/log/tealeaf/confxxx.log Verifique el estado de los NIC utilizando herramientas externas como ifconfig y ethtool Verifique las conexiones físicas entre el seridor, los NIC y la red 240 IBM Tealeaf CX Passie Capture Application: Manual de PCA

251 Superisión de la captura pasia mediante el estado de Tealeaf El informe de estado de Tealeaf, introducido en el release 8.0, sondea cada seridor de Tealeaf actio que esté configurado en la página Gestión del portal por información de estado y genera un informe de resumen dentro del portal. Proporciona una ista del panel de control en el estado del sistema. Consulte "Informe de estado de Tealeaf" en el Manual de administración de IBM Tealeaf cximpact. Para incluir informes de la PCA en el informe de estado de Tealeaf, realice los siguientes pasos para habilitar la aplicación de portal. Se comunica con el seridor o seridores que alojan la PCA. 1. Inicie sesión en el portal como administrador Tealeaf. 2. En el menú Portal, seleccione Tealeaf > Gestión del portal. 3. En la página Gestión del portal, pulse el enlace Gestionar seridores. 4. Reise la lista de seridores. Verifique que la lista contenga una referencia por cada seridor de PCA del que desee recibir información de estado de Tealeaf. 5. Si un seridor no figura en la lista, cree una entrada para el mismo: a. Pulse Nueo. En el menú desplegable, seleccione Seridor de aplicaciones de capturas. b. En la parte inferior de la página, especifique las propiedades que habilitan que la aplicación de portal se conecte con el seridor de PCA. c. Verifique que la casilla de erificación esté seleccionada. d. Para guardar la entrada, pulse Guardar. e. La entrada debe isualizarse en la lista de seridores. f. Seleccione la entrada. En la parte superior de la lista de seridores, pulse la herramienta ping para probar la conexión entre la aplicación de portal y el seridor. Consulte "Gestión de seridores de Tealeaf" en el Manual de administración de cximpact de IBM Tealeaf. 6. Repita los pasos anteriores para crear entradas para otros seridores de PCA en el entorno. 7. Cuando haya terminado de crear las entradas para todos los seridores de PCA, genere un informe de estado de Tealeaf: a. En la página Gestión de portal, pulse el enlace Registros en el panel de naegación izquierdo. b. Pulse el enlace Ver estado de Tealeaf. c. Se isualiza el informe de estado de Tealeaf. d. Busque en el informe PCA. Consulte "Informe de estado de Tealeaf" en el Manual de administración de IBM Tealeaf cximpact. Registro para la aplicación de captura pasia La IBM Tealeaf CX Passie Capture Application utiliza los registros siguientes. Nota: A partir de Red Hat 6, el mecanismo de registro para el sistema operatio se cambia para utilizar RSYSLOG. Las ersiones de la IBM Tealeaf CX Passie Capture Application que no están soportadas en RHEL 6 desconocen este cambio y no actualizan los archios de configuración del sistema adecuados. Como Capítulo 9. Superisión de captura pasia 241

252 resultado, algunos registros de PCA, como capture.log, están acíos. No instale compilaciones de PCA en ersiones de sistema operatio que no las soporten. Registros de PCA Almacenamiento /ar/log/tealeaf/ Nombre de archio de registro Descripción capture.log Registro de mensajes de software de núcleo de PCA, incluidos mensajes de error y arranque Este registro se retrotrae regularmente, según el tamaño de su archio. syslog se utiliza para la generación de mensajes. Otros registros utilizan métodos de generación natia. conf_changelog.log Registro de cambio de configuración de PCA. Cambios al archio de configuración ctc-conf.xml. statistics_yyyymmdd.log Instantánea de minuto a minuto de estadísticas de PCA Este registro se retrotrae a diario. maintenance_yyyymmdd.log Superisión de estado y mensajes de sincronización de hora de PCA Este registro se retrotrae a diario. priacy_changelog.log Cambia la configuración de priacidad del inicio de sesión que se aplica mediante la PCA. Registros de seridor de Apache El seridor de Apache sire a la consola web de PCA. Nombre de archio de registro Descripción access_log Mensajes de URL de solicitud no SSL de Apache error_log Mensajes de error de operación de Apache ssl_engine_log Mensajes de operación SSL de Apache ssl_request_log URL de solicitud SSL de Apache 242 IBM Tealeaf CX Passie Capture Application: Manual de PCA

253 Capítulo 10. Configuración del Hardware e instalación del sistema operatio Configuración del hardware Este capítulo cubre la instalación y la configuración de configuraciones de hardware recomendadas con una instalación mínima de Red Hat Enterprise Linux para la captura pasia de software Tealeaf. El IBM Tealeaf CX Passie Capture Application (PCA) se considera un software de conexión de red, como un conmutador de red, que se puede instalar en una plataforma Linux soportada. El software está diseñado para ejecutarse en un entorno dedicado a capturar y procesar un alto olumen de paquetes de red. Como tal, es el único software de aplicación que debe poseer el seridor Linux. No esta pensado para ser compartido con otras aplicaciones generales. La siguiente es la configuración de hardware recomendada. Procesadores duales: Intel Xeon procesador de 2.8 GHz o mejor 2-GB RAM o superior 60 GB o unidad de disco duro SCSI (non-raid) 3-Gigabit NICs: Dual a bordo 3-GB NIC (incluido en la placa del sistema PowerEdge) y una 3-GB NIC más desde los siguientes modelos soportados: - Intel PRO/1000 MT Gigabit NIC - Intel PRO/1000 MF Gigabit NIC (para clientes con fibra) Unidad de CD-ROM Unidad de disquetes de 1.44 MB Para redes de fibra Una consideración importante al seleccionar un Gigabit NIC con una interfaz de fibra es elegir un tipo de conector que es apropiado para el entorno. Los siguientes son dos ejemplos de opciones NIC que se basan en el tipo de conector que la red de fibra necesita: Conector SC: Intel PRO/1000 XF Gigabit NIC Conector LC: Intel PRO/1000 MF Gigabit NIC Pasos anteriores a la instalación Antes de empezar con el proceso de instalación, siga los pasos siguientes: 1. Enchufe un cable de red en directo desde su LAN en el puerto de red LAN. No enchufe ningún otro cable de red en los otros puertos de red. 2. Inserte el disco 1 del CD-ROM de Instalación de Red Hat Enterprise Linux arrancable en la unidad de CD-ROM. 3. Encienda la alimentación de la máquina. 4. Especifique la configuración del BIOS y establezca el reloj CMOS en la hora media de Greenwich (GMT). 5. Salga del BIOS. La máquina arranca y se isualiza la pantalla inicial de instalación de Red Hat Enterprise Linux. Copyright IBM Corp. 1999,

254 Configuración general 6. Pulse SPACEBAR para impedir el arranque automático. 7. Continúe a la sección Instalación de Red Hat Enterprise Linux. Nota: El huso horario de Captura pasia normalmente se configura con el huso horario local. El Paso 4 permite configurar y modificar el huso horario de la Captura pasia sin tener que cambiar el reloj CMOS. La sección siguiente contiene información general de la configuración. Inhabilitar iptables En el seridor Linux que está alojando las IBM Tealeaf CX Passie Capture Application, inhabilite el uso de iptables. Nota: Si las iptables están habilitadas y no se pueden inhabilitar, puede inhabilitar el cortafuegos a traés de Linux para acceder a la consola web de PCA. Para obtener más información, reise la documentación que ino con la publicación de Linux. Pasos: Para inhabilitar iptables, ejecute los mandatos siguientes en el orden listado. Nota: Para obtener más información acerca de iptables, reise la documentación que ino con su publicación de Linux. 1. Mandatos: serice iptables sae serice iptables stop chkconfig iptables off 2. Reinicie el PCA. Hyperthreading Nota: Si PCA está alojado en un seridor que soporta hyperthreading, no lo inhabilite. Está habilitado en la mayoría de los seridores que lo soportan y debe estar habilitado para el IBM Tealeaf CX Passie Capture Application. Consulte Capítulo 2, Instalación, en la página 17. Instalación de Red Hat Enterprise Linux Nota: Cuando realiza cambios de configuración en la instalación de Linux aplique los cambios al archio runtime.conf, el cual reemplaza el archio predeterminado tealeaf.conf. Este último archio se puede utilizar para reertir cambios en los alores por omisión si es necesario, y debe configurarse para ser un archio sólo de lectura. Inhabilitar SELinux Las características de la mejora de seguridad de Red Hat Linux no son compatibles con el IBM Tealeaf CX Passie Capture Application. No se permiten arios alores del sistema en modo SELinux, y el sistema syslog no está disponible, lo que preiene que el PCA capture.log funcione. Si SELinux está habilitado y el script tealeaf se utiliza para iniciar captura, se imprime un aiso. 244 IBM Tealeaf CX Passie Capture Application: Manual de PCA

255 También se isualiza un mensaje de aiso en la consola web PCA cuando SElinux está habilitado. Antes de instalar el IBM Tealeaf CX Passie Capture Application, SELinux de debe inhabilitar a traés del sistema operatio. Para obtener más información, consulte la documentación Linux. RHEL5 Siga las instrucciones para RHEL3, obserando los dos grandes diferencias para la instalación de RHEL5: Seguridad de la consola web Configuración de disco: para reisar y modificar las particiones del disco, debe seleccionar el recuadro de selección denominado Reisar y modifique el diseño de partición en el paso 8. Selección de paquete: la pantalla de selección de paquetes en RHEL5 es diferente a RHEL3 y 4. Está diida en seis secciones: Entorno de escritorio, Aplicaciones, Desarrollo, Seridores, Idiomas, Sistema base. Para realizar una instalación mínima, desmarque todas las casilla de erificación excepto la secciónherramientas de administración y Artículos base en el Sistema Base. También puede instalar opcionalmente el artículo Editores en la sección Aplicaciones. La sección siguiente información sobre la seguridad de la consola web. Inhabilitación del seridor web para la consola web Para inhabilitar el seridor para la consola web: 1. Ejecute el mandato siguiente. tealeaf disable httpd 2. Si la consola web se está ejecutando, deténgala utilizando el mandato siguiente. tealeaf stop httpd Si el mandato anterior no detiene el proceso HTTPd, erifique que ningún usuario tenga la consola web abierta en una entana del naegador. Si ejecuta el mandato anterior sin éxito, puede utilizar el mandato siguiente para detener los procesos HTTPd huérfanos: a. Inicie sesión como usuario raíz. b. Ejecute el mandato siguiente: killall httpd 3. PortalStatus necesita que el seridor web recupere información de estado. Si inhabilita el seridor web, PortalStatus ya no es capaz de recuperar la información de estado para el PCA (área de control de páginas). Inhabilitación de la consola web mediante el puerto 8080 Para desactiar el acceso a la consola web mediante el puerto 8080: 1. Edite el archio /usr/local/ctccap/etc/runtime.conf. 2. Busque la línea siguiente: httpd_port_enable= 3. Si la línea no existe, añádala. 4. Establezca el alor después del signo de equialencia en "NO". Por ejemplo: httpd_port_enable="no" Capítulo 10. Configuración del Hardware e instalación del sistema operatio 245

256 5. Guarde el archio. 6. El archio de configuración actualizado entra en igor la próxima ez que se inicie el Seridor web. Habilitación del acceso a la consola web mediante una dirección IP única Para permitir el acceso a la consola web desde una dirección IP: 1. Edite el archio /usr/local/ctccap/etc/runtime.conf. 2. Busque la línea siguiente: httpd_console_allow_from= 3. Si la línea no existe, añádala. 4. Establezca el alor después del signo de equialencia por la dirección IP desde donde accedería a la consola web. Por ejemplo: httpd_console_allow_from= El archio de configuración actualizado entra en igor la próxima ez que se inicie el Seridor web. Aplicación de la autenticación al acceder a la consola web Cuando utiliza el procedimiento siguiente para restringir el acceso a la consola web, debe utilizar el nombre de archio index.php cuando accede a la página predeterminada de la consola web. Por ejemplo, después de aplicar los pasos siguientes, la URL siguiente no se muestra como la página de la consola web predeterminada para PCA Debe especificar la página del índice.php de la siguiente manera. Esta restricción también se aplica al acceso HTTPS siguiente: Para solicitar nombre de usuario/contraseña al acceder a la consola web: Cree el archio de base de datos de usuario de Seridor web al utilizar los siguientes mandatos: 1. Edite el archio /usr/local/ctccap/etc/runtime.conf. 2. Busque en el archio: httpd_userauth_ 3. Si la serie no está presente, añada los siguientes parámetros al final del archio. Si existen estas entradas, edítelas a los siguientes alores: httpd_userauth_enable="yes" httpd_userauth_realm="pca2" httpd_userauth_require="alid-user" httpd_userauth_type="basic" Nota: Los alores de httpd_userauth_enable deben estar todos en mayúsculas, como en el ejemplo anterior (YES). 4. Para añadir un usuario o cambiar su contraseña, utilice uno de los siguientes mandatos, reemplazando johndoe con el nombre del usuario nueo o ya existente: 246 IBM Tealeaf CX Passie Capture Application: Manual de PCA

257 Con el siguiente mandato, se le solicitará que especifique la contraseña nuea al ejecutar el mandato: Nota: Tealeaf recomienda la utilización de este método para crear contraseñas. Si no se utiliza este método, las contraseñas no pueden tener más de 8 caracteres. /usr/local/ctccap/bin/htpasswd -m \ /usr/local/ctccap/etc/tealeaf-web.users johndoe Cuando se añade la opción -b, se puede especificar la contraseña (mypassword) como parte del mandato: /usr/local/ctccap/bin/htpasswd -mb \ /usr/local/ctccap/etc/tealeaf-web.users johndoe mypassword 5. Los cambios mencionados en el mandato anterior no afectan la utilización por parte de PortalStatus del seridor web para recuperar información de estado. 6. El archio de configuración actualizado entra en igor la próxima ez que se inicie el Seridor web. Aplicación de los cambios de configuración inmediatamente Para aplicar cambios al archio de configuración inmediatamente /usr/local/ctccap/etc/runtime.conf: Ejecute los mandatos siguientes para detener el seridor web y luego inícielo. tealeaf stop httpd tealeaf start httpd Usuarios del sistema operatio El PCA (área de control de páginas) se debe instalar utilizando la cuenta de usuario raíz. Durante el proceso de instalación, se crea el usuario PCA ctccap. Durante la ejecución, el usuario ctccap ejecuta los procesos PCA, independientemente del usuario que los inició. Nota: No utilice el usuario sudo root para la instalación. Aunque puede mostrar que se ha completado la instalación, arios capturan errores que indican que la instalación ha fallado. Estos errores pueden incluir errores como "restarting too rapidly", errores para iniciar las interfaces, problemas de permisos, y más. Asegúrese de utilizar un inicio de sesión de usuario root erdadero. No es necesario que inicie una sesión en el sistema utilizando el usuario root. Si embargo, el usuario ctccap debe tener los permisos para ejecutar los mandatos tealeaf start y tealeaf stop. Es necesario ejecutar con permisos limitados root como se describe. Como un tráfico de red pasio que está capturando una aplicación que se ejecuta bajo un sistema operatio de bolsa Linux, el PCA requiere permisos de sistema específicos para capturar pasiamente paquetes de red. Mediante el sistema operatio, el PCA debe ser capáz de colocar NIC (controladores de interfaz de red) del sistema de red en modalidad de captura promiscua. Permite al PCA escuchar pasiamente todo el tráfico de red presentado a los controladores de interfaz de red designados. Es necesario ejecutar el proceso de aplicación específico como un permiso de raíz. Para minimizar los problemas de seguridad, sólo un módulo específico de aplicación PCA necesita permiso para el tráfico que está capturando. Todos los otros módulo de aplicación PCA se ejecutan con permisos de usuario no root. Capítulo 10. Configuración del Hardware e instalación del sistema operatio 247

258 El módulo de captura sólo escucha una copia del tráfico de red suministrado. El módulo no puede inyectar cualquier tráfico en absoluto entre su seridor web y el naegador del cliente. Actualizaciones del sistema operatio Las secciones siguientes contienen información sobre la actualización de paquetes de sericio y el sistema operatio. Actualización de Paquetes de sericio Si está actualizando un paquete de sericio, después de que la actualización se haya completado satisfactoriamente, no es necesario realizar más cambios. El PCA (área de control de páginas) debe funcionar correctamente. Realización de actualizaciones de la ersión principal del sistema operatio Si está realizando una actualización de la ersión del sistema operatio importante, desinstale primero la PCA y después ejecute la actualización. Después de finalizada la actualización, instale la ersión nuea de la PCA. Por ejemplo, si realiza la actualización de SLES9 a SLES10, debe desinstalar el software de la PCA para SLES9. A continuación, actualice el sistema operatio, erifique que la actualización del SO es satisfactoria y entonces instale la ersión SLES10 de la PCA. 248 IBM Tealeaf CX Passie Capture Application: Manual de PCA

259 Capítulo 11. Mantenimiento de la captura pasia Descripción general Este capítulo describe el programa de utilidad de mantenimiento de la captura pasia. El programa de utilidad de mantenimiento realiza tareas de rutina para la captura pasia de Tealeaf. El programa de utilidad realiza las siguientes tareas si estas están habilitadas. Comprobación de estado de captura El programa de utilidad superisa los procesos de captura para determinar si están en buen estado. Si el programa de utilidad decide que los procesos de captura no están en buen estado, realiza un reinicio forzado. El reinicio forzado detiene los procesos de captura, borra las estadísticas de tiempo de ejecución que recolectan y después los reinicia. La comprobación de estado le ayuda a los procesos de captura a recuperarse de situaciones que disminuyan su eficacia y rendimiento. Cuando el programa de utilidad determina que la captura es incorrecta y necesita ser reiniciada, escribe un mensaje en el archio de registro de mantenimiento para indicar esta situación. Reinicio de captura De acuerdo con una planificación predefinida, el programa de utilidad detiene los procesos de captura y borra las estadísticas de tiempo de ejecución que recolectan. Después los reinicia a una hora específica cada día o cada semana a una hora determinada en un día específico. El reinicio forzado impide que los procesos de captura entren en situaciones no aceptables que proocarían un error en la comprobación de estado. Nota: La hora especificada (y el día de la semana opcional) debe ser una hora en que se pueda forzar el reinicio de la captura sin repercutir en la entrega de coincidencias al sericio de transporte de Tealeaf. Los sericios incluyen el periodo de mantenimiento de redes de rutina o un periodo de olúmenes bajos de tráfico a capturar. Ubicación del archio de registro Para la IBM Tealeaf CX Passie Capture Application, los archios de registro se encuentran en el directorio siguiente: /ar/log/tealeaf Cuando se actualiza la PCA, la ubicación de los directorios de archios de registro nunca se actualiza. Si actualiza la PCA desde una instalación inicial antes de la compilación 3206, los archios de registro se almacenan en la ubicación siguiente: /usr/local/ctccap/logs El directorio del archio de registro se almacena en el siguiente archio: /usr/local/ctccap/etc/tealeaf.conf Localice la siguiente entrada: logfiledir="/ar/log/tealeaf" Copyright IBM Corp. 1999,

260 Limpieza de archios de registro Los archios de registro superisados por el programa de utilidad se encuentran en el directorio /ar/log/tealeaf e incluyen la feche en el nombre de archio, como por ejemplo, statistics_ log. El programa de utilidad superisa la edad y el tamaño de archios de registro específicos. También los suprime si son anteriores a un número especificado de días o más grandes que un tamaño especificado. Registro de estadísticas El programa de utilidad genera un archio que contiene arias estadísticas de tiempo de ejecución a lo largo del tiempo. Este archio está pensado para la depuración y el diagnóstico de arios problemas de entrega de coincidencias y capturas. Los archios de registro de estadísticas se generan en el directorio de registros de PCA, que es la siguiente ubicación de forma predeterminada: /ar/log/tealeaf/ Los archios de registro tienen el siguiente formato de nombre de archio: statistics_yyyymmdd.log. Los registros más recientes están formato de texto sin formato. Los registros más antiguos se comprimen en archios comprimidos. Conersión de archios de registro de estadísticas en formato de salida Si es necesario, puede utilizar un script proporcionado por Tealeaf para conertir un archio statslog de PCA en formato.cs o.xml para más análisis. El script se encuentra en la siguiente ubicación: /usr/local/ctccap/sbin/stat2cs Nota: En este script se presupone que el software PCA se instala en /usr/local/ctccap. Si el software de PCA se instala en otra ubicación, el shebang en la línea 1 del script debe cambiarse para que apunte a la ubicación correcta del binario de php: <pca install location>/bin/php. Uso:./stat2cs -t type -f infile -w outfile donde: infile, el archio de registro de estadísticas en texto sin formato o formato comprimido. outfile, el nombre del archio.cs o.xml a generar. type, el tipo de archio a generar: cs o xml Ejemplos:./stat2cs -t cs -f statistics_ log -w statistics_ cs./stat2cs -t xml -f statistics_ log.gz -w statistics_ xml 250 IBM Tealeaf CX Passie Capture Application: Manual de PCA

261 Sincronización horaria El programa de utilidad sincroniza la fecha y hora actuales con la fecha y hora actuales de un seridor de IBM Tealeaf CX que ejecuta el sericio de transporte de Tealeaf. El archio de registro de mantenimiento contiene la salida de la tarea de sincronización horaria si está habilitado. Configuración manual Para configurar el programa de utilidad de mantenimiento, edite el archio /usr/local/ctccap/etc/runtime.conf, y añada líneas que asignen alores a las ariables. Las líneas que contienen un signo de almohadilla ("#") al principio de la línea son comentarios y el programa de utilidad de mantenimiento los ignora. Una asignación de ariables debe ser una única línea en el formato siguiente: ariable_name="alue" Nota: No incluya espacios al principio o al final de la línea y antes o después del signo de igual. Especifique el alor entre comillas. La lista siguiente documenta las ariables de configuración, sus alores predeterminados (si no se especifica en el archio runtime.conf) y sus significados. Varios son alores booleanos que deben ser YES o NO. Comprobación de estado de captura capture_health_capture_packets_dropped_in_output_high_threshold="50000" Si las estadísticas de captura Packets dropped in output están por encima de este alor, el estado de la captura es incorrecto. Este alor es alto cuando la captura no puede reensamblar coincidencias tan rápido como se capturan fuera de las interfaces de red. capture_health_enable="yes" Habilita las comprobaciones de estado de captura. Esta comprobación está habilitada de forma predeterminada para superisar el estado de los procesos de captura. capture_health_reassd_pct_cpu_high_threshold="90" Si el proceso de reensamblaje de coincidencia utiliza más de 90% de la CPU, el estado de la captura es incorrecto. capture_health_reassd_irtual_size_high_threshold=" " Si el proceso de reensamblaje de coincidencias utiliza más del número especificado de kilobytes (1,024,000 kilobytes es aproximadamente de 1 gigabyte), el estado de la captura es incorrecto. capture_health_schedule_minutes="5" El número de minutos entre comprobaciones de estado. Reinicio de captura capture_restart_enable="no" Fuerza a la captura a reiniciarse a una hora específica cada día o semanalmente, en un día determinado de la semana. Esta comprobación está inhabilitada de forma predeterminada porque el programa de utilidad no conoce una hora de Capítulo 11. Mantenimiento de la captura pasia 251

262 olumen de tráfico bajo o seguro para forzar un reinicio. Para habilitarla, asígnele un alor de YES y establezca la hora de reinicio de la captura en la propiedad siguiente. capture_restart_time_local="00:30" Reinicie la captura a la hora local especificada (utilizando un reloj de 24 horas). Si desea reiniciar la captura a las 11:30 PM, utilice el alor "23:40". No incluya el cero inicial si la hora es menor que 10. Por ejemplo, para especificar 6:30 AM, utilice el alor "6:30". capture_restart_weekday_local (no default) Reinicie la captura en el día especificado de la semana a la hora especificada por la ariable capture_restart_time_local. El alor debe ser uno de los siguientes (todos en minúsculas): sunday, monday, tuesday, wednesday, thursday, friday, Saturday. Si especifica este alor, el reinicio forzado se produce en el día especificado a la hora especificada. Si no establece este alor (el predeterminado), los reinicios forzados se producen todos los días a la hora especificada. Depuración maintenance_debug_enable="no" Habilita el registro detallado de los alores y la ejecución. Esta opción existe para ayudar a diagnosticar el comportamiento del programa de utilidad de mantenimiento. Genera muchas salidas en el archio maintenance.log y solo se debe utilizar cuando sea necesario. Limpieza de archios de registro logfile_cleanup_enable="yes" Habilita la limpieza de archios de registro. logfile_cleanup_keepdays="14" Consera los archios de registro durante el número de días especificado. Los archios de registro que sean más antiguos que el número de días especificado se suprimen. Los archios de registro que el programa de utilidad de mantenimiento superisa contienen una fecha en el nombre de archio en el formato <Año><Mes><Día>, como por ejemplo, para el 1 de junio de El programa de utilidad utiliza la fecha que se extrae del nombre de archio, no la fecha y hora del archio que el sistema operatio mantiene. logfile_cleanup_keepsize_kb="5120" Mantiene archios de registro más pequeños que el número de kilobytes especificado. El alor predeterminado mantiene archios de registro más pequeños que aproximadamente 5 megabytes. Los archios más grandes que este tamaño se suprimen. El objetio de este alor es eitar que los archios grandes se acumulen en la máquina host de captura pasia. logfile_cleanup_schedule_minutes="30" El número de minutos entre comprobaciones para la limpieza de archios de registro. Registro de estadísticas statistics_logging_enable="yes" 252 IBM Tealeaf CX Passie Capture Application: Manual de PCA

263 Habilita el registro de estadísticas. Cuando está habilitado, el programa de utilidad de mantenimiento crea archios en el directorio /usr/local/ctccap/logs con el nombre statistics_yyyymmdd.log, donde YYYYMMDD es el año, mes y día actuales, como por ejemplo, statistics_ log. statistics_logging_schedule_minutes="1" El número de minutos entre registros de estadísticas. Sincronización horaria timesource_sync_enable="no" Habilita la sincronización horaria con un seridor de IBM Tealeaf CX que ejecuta el sericio de transporte de Tealeaf. Los alores de configuración para el host y el puerto del sericio de transporte de Tealeaf en el archio /usr/local/ctccap/etc/ctc-conf.xml normalmente se asignan mediante el separador Entrega de la consola web. Cuando los alores de configuración para el host y el puerto se especifican, el programa de utilidad de mantenimiento habilita esta característica de forma predeterminada. De lo contrario, el programa de utilidad de mantenimiento inhabilita la sincronización horaria. timesource_sync_schedule_minutes="15" El número de minutos entre sincronizaciones horarias. Capítulo 11. Mantenimiento de la captura pasia 253

264 254 IBM Tealeaf CX Passie Capture Application: Manual de PCA

265 Apéndice A. Apéndices del PCA La sección siguiente contiene apéndices para el IBM Tealeaf CX Passie Capture Application e incluye información de referencias, más datos de configuración y preguntas frecuentes. Copyright IBM Corp. 1999,

266 256 IBM Tealeaf CX Passie Capture Application: Manual de PCA

267 Apéndice B. Apéndice - Tarjetas aceleradoras del hardware soportado Esta sección proporciona información sobre las tarjetas aceleradoras que actualmente soporta el IBM Tealeaf CX Passie Capture Application, incluyendo todas las instrucciones de integración específicas. Tarjetas aceleradoras admitidas La Captura pasia de Tealeaf puede utilizarse con la siguientes tarjetas aceleradoras de red: Modelos de tarjetas aceleradoras ncipher de SSL ncipher 6000 E Algunos modelos de la serie nfast/nforce Para obtener más información, contacte los Sericios profesionales de Tealeaf. Consulte Apéndice C, Sistema de gestión de claes SSL de ncipher, en la página 259. Copyright IBM Corp. 1999,

268 258 IBM Tealeaf CX Passie Capture Application: Manual de PCA

269 Apéndice C. Sistema de gestión de claes SSL de ncipher Algunas instalaciones de Tealeaf utilizan una tarjeta ncipher para descargar el procesamiento de SSL de los procesadores principales. La sección siguiente explica cómo establecer este tipo de configuración. Aunque las tarjetas de ncipher pueden utilizarse para aceleración SSL mediante la descarga de operaciones SSL a la tarjeta, su centro de atención principal es proporcionar una caja fuerte de almacén de claes sumamente segura para las claes SSL. También se conoce como Módulo de seguridad de hardware (HSM) o el Sistema de gestión de claes de ncipher. Nota: No todas las tarjetas ncipher proporcionan soporte de HSM. Consideraciones sobre ncipher El número de instancias que puede manejar una tarjeta ncipher depende de la serie de las tarjetas que tiene y del número de CPU. Nota: ncipher puede cambiar los estándares de sus tarjetas de acelerador SSL. Para trabajar apropiadamente con el PCA de Tealeaf, los controladores que se proporcionan con la tarjeta ncipher deben reconocer OpenSSL y deben proporcionar acceso transparente. ncipher tiene arios modelos de tarjetas de acelerador SSL y de gestión de claes, admitiendo cada una un número máximo diferente de transacciones por segundo de SSL. Por ejemplo, una tarjeta de acelerador SSL de la serie 4000 puede manejar aproximadamente 4000 transacciones como máximo. La sobrecarga de operaciones de la tarjeta es probable que reduzca el índice de rendimiento, y arias instancias del PCA pueden también disminuir este número. Para obtener más información sobre el PCA de arias instancias, consulte Valores de la interconexión en la página 110. Con el ejemplo anterior, la tarjeta de la serie 4000 de ncipher tiene un máximo de capacidad de instancia única de aproximadamente (SSL de 1024 bits) transacciones por segundo. Este número aría con el número de instancias PCA, normalmente en dirección descendiente. Nota: Eite proporcionar más tráfico SSL a cada instancia del PCA cuando se alcanza la capacidad de rendimiento máximo de la tarjeta del acelerador. Compatibilidad entre IBM Tealeaf CX PCA y ncipher Las claes de ncipher siguientes son compatibles con este release de IBM Tealeaf CX PCA: Tabla 26. Compatibilidad de claes de ncipher con IBM TealeafCX PCA Fortaleza de cifrado (en Clae de ncipher bits) Protocolo DES-CBC-SHA 56 bits SSL3, TLS1.0 RC4-MD5 128 bits SSL3, TLS1.0, TLS1.1, TSL1.2 Copyright IBM Corp. 1999,

270 Tabla 26. Compatibilidad de claes de ncipher con IBM TealeafCX PCA (continuación) Fortaleza de cifrado (en Clae de ncipher bits) Protocolo RC4-SHA 128 bits SSL3, TLS1.0, TLS1.2 AES128-SHA 128 bits SSL3, TLS1.0, DTLS1, TLS1.1, TLS1.2 AES256-SHA 256 bits SSL3, TLS1.0, DTLS1, TLS1.1, TLS1.2 DES-CBC3-SHA 192 bits SSL3, TLS1.0, DTLS1, TLS1.1, TLS1.2 AES128-SHA bits TLS1.2 AES256-SHA bits TLS1.2 AES128-GCM-SHA bits TLS1.2 AES256-GCM-SHA bits TLS1.2 Instalación de ncipher Consulte Instalación del HSM de ncipher para PCA en la página IBM Tealeaf CX Passie Capture Application: Manual de PCA

271 Apéndice D. Apéndice - Integración de claes de SSL de Tealeaf con HSM Este apéndice describe metodologías de integración para proeedores de HSM específicos. Un Módulo de seguridad de hardware (HSM) proporciona protección lógica y física de datos sensibles del uso no autorizado y de adersarios potenciales. Nota: Estos métodos de integración son métodos generalizados para integrar Tealeaf con los productos de cada proeedor. El método descrito debe personalizarse para cumplir con los requisitos del entorno, y esto lo debe hacer un administrador con conocimientos del producto HSM. En un entorno HSM, el archio de claes se almacena en el HSM y retiene una capa adicional de control de acceso para impedir su moimiento. Tealeaf crea claes de referencia para acceder a las claes que se almacenan en el HSM. Así, las claes utilizadas por el tiempo de ejecución de Tealeaf heredan las medidas de protección que ofrece el HSM. Métodos de integración del fabricante Integración con el HSM de ncipher Instalación del HSM de ncipher para PCA en la página 263 Integración con el HSM de ncipher Supuestos Requisitos Preios La sección siguiente describe un método general para integrar Tealeaf con claes SSL almacenadas en un Módulo de seguridad de hardware (HSM) para productos nshield de ncipher. Este método debe personalizarse para su solución HSM. Este método se aplica a nshield, payshield, y los ultra módulos de payshield de ncipher. A continuación se enuncian los supuestos de este método: Ha instalado el HSM en su entorno. Ha creado y configurado la seguridad mundial de ncipher. Posee un acceso de niel de administrador al entorno de seguridad mundial y se siente cómodo al utilizarlo. Para proporcionar el mejor soporte posible para el HSM que se utiliza, el HSM debe cumplir con los siguientes requisitos: Los controladores que se proporcionan con la tarjeta deben reconocer OpenSSL. La tarjeta debe configurarse para proporcionar acceso no aparente al inicio. Verificar que la instalación clae funciona al arrancar el sistema. Copyright IBM Corp. 1999,

272 Configuración de PCA Para obtener más información sobre el cumplimiento de estos requisitos preios, consulte Interfaces de aplicación de ncipher en la Guía del usuario de nshield/payshield que se proporciona con el producto ncipher. Cuando se cumplen los requisitos mencionados anteriormente, Tealeaf puede acceder de forma transparente las claes priadas true mediante la creación de un alias. También puede hacer referencia a claes generadas por las claes SSL proporcionadas a Tealeaf. Consulte Generación de un certificado autofirmado en la página 216. Configuración e integración de HSM Para integrar Tealeaf con el sistema de gestión de claes nshield de ncipher, aplique estas instrucciones generales a su entorno específico. Nota: Estos pasos son solo una referencia general y no un procedimiento paso a paso para la instalación. Los siguientes pasos opcionales suponen que usted está familiarizado con el software de gestión de claes instalado. Para obtener más información, consulte la Guía del usuario de nshield/payshield que se proporciona con el producto ncipher. Nota: Para almacenar claes SSL, el formato de texto simple PEM de las claes puede ser necesario. El programa de utilidad ncipher generatekey crea archios de claes PEM de referencia equialente. Estos archios de claes de referencia son utilizados por Captura pasia para la conersión a su formato PIL cifrado, utilizando la opción de script de Tealeaf PEM2PTL. Para obtener más información, consulte Generación e importación de claes en la Guía del usuario de nshield/payshield. Integración Para integrar: 1. Confirme que Linux y el software de Captura pasia esté instalado y que el seridor IBM Tealeaf CX Passie Capture Application arranque correctamente. 2. Verifique que la tarjeta y el software de ncipher esté correctamente instalado, incluyendo el lector del dispositio de tarjeta inteligente. Para obtener más información, consulte Prueba de la instalación en la Guía del usuario de nshield/payshield. 3. Instale el software de ncipher en el seridor del PCA. 4. Añada el directorio de la biblioteca CHIL de ncipher (/opt/nfast/toolkits/ hwcrhk) a la ía de acceso de la librería de carga del archio /etc/ld.so.conf, si no está presente. 5. Rearranque el seridor PCA para confirmar que arranca correctamente. 6. Ejecute el cmd de la lista de módulos kernel para confirmar que el módulo kernel de ncipher (lsmod) está cargado. 7. En el HSM, cree el mundo de seguridad para la importación de claes. 8. Genere y/o importe los archios de claes PEM en el HSM. Para obtener más información, consulte Generación e importación de claes en la Guía del usuario de nshield/payshield. 9. Verifique que las claes estén listadas en KeySafe. 262 IBM Tealeaf CX Passie Capture Application: Manual de PCA

273 10. En el seridor PCA, ejecute el programa de utilidad ncipher para listar las claes el mundo de seguridad de ncipher: /opt/nfast/bin/nfkminfo -l 11. Confirme que se esté ejecutando Captura pasia y que esté decodificando tráfico SSL. Inhabilitar HSM Para inhabilitar el inicio de la integración HSM a la hora de arranque de Captura pasia: 1. Cree un directorio DISABLED en /etc/init.d. 2. Muea los scripts ncipher del directorio anterior al directorio DISABLED. 3. Reinicie Captura pasia. Nota: Este procedimiento debe realizarse antes de retirar el hardware para permitir a Captura pasia arrancar sin el Módulo de seguridad de hardware (HSM). Instrucciones para la instalación Para obtener más información sobre la instalación, consulte Instalación del HSM de ncipher para PCA. Instalación del HSM de ncipher para PCA Requisitos Estas instrucciones de instalación se aplican a la serie de placas de Gestión de claes de ncipher para trabajar con el IBM Tealeaf CX Passie Capture Application. A continuación se hallan las instrucciones de instalación: HSM de nshield 6000e Software de ncipher ersión Plataformas Linux alidadas, consulte Requisitos para obtener una lista de plataformas admitidas. Nota: Si utiliza un sistema operatio de 64 bits, deben instalarse bibliotecas de 32 bits. Aunque estas instrucciones no están alidadas, como se establece en la sección Requisitos, en el software de ncipher y las plataformas Linux también deben funcionar para las siguientes tarjetas: Tarjetas serie 4000 nforce/nfast/nshield más antiguas Requisitos adicionales Estas placas pueden utilizarse solamente para aceleración SSL, pero las claes SSL aún se necesitan para operar correctamente. Puede utilizar otras placas ncipher que admitan solo aceleración SSL (sin Gestión de claes). Los controladores deben funcionar de forma transparente con OpenSSL (como por ejemplo el controlador de la biblioteca CHIL) y debe configurarse para reconocer automáticamente OpenSSL al iniciarse. Verifique que la instalación funciona también en el arranque del sistema. Apéndice D. Apéndice - Integración de claes de SSL de Tealeaf con HSM 263

274 Si la tarjeta de ncipher se utilizará como almacén de claes de HSM, se debe crear un Mundo de seguridad de ncipher. Consulte Creación de Mundo de seguridad de ncipher para PCA en la página 269. Nota: Los siguientes pasos opcionales suponen que está familiarizado con el software de gestión de claes de ncpiher. Estos pasos son solo una referencia general y no un procedimiento paso a paso para la instalación. Cuando sea posible, informe a la ayuda de soporte de ncipher sobre la instalación del software, ya que normalmente requiere la compilación de los controladores en el sistema host. Requisitos preios Antes de comenzar, erifique o complete lo siguiente. 1. El controlador kernel de ncipher necesita compilación en la plataforma Linux requerida, por lo que debe realizar esta compilación en un entorno de desarrollo Linux instalado para la plataforma. Intente compilar en la máquina de producción esperada primero, para determinar si es suficiente para la creación de controladores. Nota: Para la plataforma Redhat RHEL 5.6 de 64 bits, el controlador kernel de ncipher debe compilarse para sistemas operatios de 64 bits. El software del PCA es una aplicación de 32 bits. La biblioteca de intercomunicación de ncipher (libnfhwcrhk.so) también debe ser de 32 bits. Para erificar que libnfhwcrhk.so sea de 32 o de 64 bits, ejecute file libnfhwcrhk.so desde un indicador de mandatos. 2. Después que el controlador ha sido creado (nfp.ko), puede aplicar el controlador nfp.ko creado y el software del script de inicio correspondiente de ncipher al sistema de producción para su instalación y despliegue. Para obtener más información, consulte la documentación de ncipher/thales. 3. Estas instrucciones suponen que no tiene el PCA instalado en IBM Tealeaf CX Passie Capture Application. Si ya tiene el PCA instalado, debe detener el PCA durante el tiempo en que instala e integra el software de ncipher. 4. Consulte Importación de claes SSL al almacén de claes de ncipher en la página 271. Instalación de ncipher y pasos de creación Detalles sobre cómo crear e instalar el controlador kernel de ncipher, confirmar la instalación y configurar los scripts de inicio de ncipher para que arranque antes que el PCA. Controlador kernel de la compilación 1. Recupere lo siguiente de la ersión del DVD (de 64 bits) de Linux. Los mandatos siguientes suponen que la unidad de DVD está montada como /mnt/cdrom: cd / tar xf /mnt/cdrom/linux/libc6_3/amd64/nfast/hwsp/agg.tar tar xf /mnt/cdrom/linux/libc6_3/amd64/nfast/ctls/agg.tar 2. Recupere los siguientes archios: a. Para la aplicación de 32 bits del PCA, adquiera una ersión de 32 bits de libnfhwcrhk.so: 264 IBM Tealeaf CX Passie Capture Application: Manual de PCA

275 Nota: libnfhwcrhk.so se suministra como un archio binario, sin compilación local. Esta ersión no es una ersión específica openssl. 1) Recupere la ersión de 32 bits del archio siguiente: tar xf /mnt/cdrom/linux/libc6_3/nfast/hwcrhk/user.tar 2) Cuando el archio tar anterior se extrae, contiene un archio con el nombre de ía de acceso relatio al libnfhwcrhk.so: opt/nfast/toolkits/hwcrhk/libnfhwcrhk.so 3) Copie libnfhwcrhk.so en el siguiente directorio: opt/nfast/toolkits/hwcrhk b. También puede extraer los mismos archios tar que se almacenan en el DVD de los iso disponibles desde el sitio de descarga de ncipher. Recupere los siguientes iso que contienen software ncss de ncipher: ncss_linux64_user_11_40.iso ncss_linux_user_11_40.iso 3. En base a los mandatos anteriores, el software descomprimido debe estar en el directorio siguiente: /opt/nfast 4. Para crear el controlador kernel de ncipher (nfp.ko): a. Para obtener instrucciones, consulte nshield_quick_start_guide.pdf en el directorio del documento del DVD En el Capítulo 2, encuentre la Instalación en la sección Linux en la página 11. b. El script de configuración busca las cabeceras de kernel en el directorio predeterminado (/lib/modules/current_kernel_ersion/build/include). 1) Si las cabeceras de kernel están en un directorio diferente, configure la ariable de entorno KERNEL_HEADERS para que estén en $KERNAL_HEADERS/include/. Para obtener más información, consulte Configuración de ariables de entorno en la página 46 del documento. 2) Históricamente, las cabeceras están en /usr/src/linux/include/. Silas cabeceras de kernel todaía no están instaladas, instálelas desde el disco de distribución o póngase en contacto con su proeedor de kernel. 5. Mandatos de construcción: cd /opt/nfast/drier./configure make 6. Si no se añade usuario, ejecute el mandato siguiente: useradd -r nfast 7. Valide el kernel ejecutando el siguiente mandato: groups nfast Instalar el controlador kernel de ncipher Nota: Antes de comenzar, erifique que la placa ncipher esté instalada en el seridor de PCA. 1. El mandato siguiente instala nfp drier.ko y sus scripts de inicio. a. Mandato: /opt/nfast/sbin/install b. Seleccione la opción 4. Esta opción puede ser necesaria para añadir user:group. 2. Añada la ía de acceso a biblioteca CHIL de OpenSSL al archio ld.so.conf, que es necesario para el rearranque. Opciones: Apéndice D. Apéndice - Integración de claes de SSL de Tealeaf con HSM 265

276 a. Opción 1: 1) Añada la línea /opt/nfast/toolkits/hwcrhk al archio siguiente a traés de i: i /etc/ld.so.conf 2) Ejecute ldonfig - para almacenar una nuea entrada al archio /etc/ld.so.cache b. Opción 2: Exporte LD_LIBRARY_PATH=/opt/nfast/toolkits/hwcrhk c. Opción 3: copie el /opt/nfast/toolkits/hwcrhk/libnfhwcrhk.so de 32 bits a /usr/lib. Nota: La opción 3 es el método recomendado, pero puede no ser el preferido debido a la política de administración del sistema. 3. Si se seleccionó la Opción 1 anterior, puede erificar entradas actuales ld.so.cache para hwcrhk, ejecutando el código siguiente: ldconfig -p grep hwcrhk Confirmar el software instalado Dependiendo de la opción que haya seguido para instalar el software, erifique su ubicación en alguno de los siguientes directorios: /opt/nfast/toolkits/hwcrhk/libnfhwcrhk.so /usr/lib/libnfhwcrhk.so Nota: Estos pasos suponen que la instalación del controlador kernel ha sido completada. Consulte Instalar el controlador kernel de ncipher en la página Ejecute el mandato siguiente para erificar el controlador kernel nfp cargado: lsmod grep nfp 2. La salida esperada es algo como: nfp Método alternatio de inicio Si no e la salida esperada, intente detener e iniciar el controlador ncipher: /opt/nfast/sbin/init.d-ncipher stop /opt/nfast/sbin/init.d-ncipher start Para iniciar/detener el seridor ncipher manualmente, utilice el mandato siguiente que se proporciona con el software de ncipher 11.40: /opt/nfast/sbin/init.d-ncipher start /opt/nfast/sbin/init.d-ncipher stop Dos nueos scripts de inicio para el software que se encuentra en /etc/init.d: 1. Controladores de inicio: nc_driers start donde: nc_driers -> /opt/nfast/scripts/init.d/driers 2. Inicio de hardserer: nc_hardserer start donde: nc_hardserer -> /opt/nfast/scripts/init.d/hardserer 266 IBM Tealeaf CX Passie Capture Application: Manual de PCA

277 Verifique que los scripts anteriores funcionen para la operación del controlador de ncipher álida. Nota: Los scripts de inicio anteriores pueden no funcionar para rearrancar. Los scripts de inicio del controlador de la tarjeta y del hardserer deben iniciarse primero para el PCA para reconocerlos. Instalar el software del PCA Si no instaló el software del PCA, puede hacerlo ahora. Consulte Capítulo 2, Instalación, en la página 17. Configurar los scripts de inicio de ncipher para que arranquen antes que el PCA Los pasos siguientes configuran los scripts de inicio de ncipher para arrancar o rearrancar antes que se ejecuten los scripts de inicio del PCA. La tarjeta de ncipher debe ser inicializada antes que se inicie el PCA. Dependiendo del sistema operatio en uso, complete los siguientes conjuntos de instrucciones: 1. Configuración de los scripts de inicio de RedHat 2. Configuración de los scripts de inicio de SLES en la página 268 Configuración de los scripts de inicio de RedHat Para los seridores que utilizan RedHat, complete el siguiente conjunto de instrucciones: 1. Configuración de prueba: 1. Ejecute el mandato de lista de inicio del niel de ejecución: chkconfig --list grep nc_ 2. Si se deuele una lista, significa que los scripts de inicio predeterminados de ncipher se configuraron correctamente. Para probar, rearranque el PCA y alide que es el controlador kernel ncipher. Consulte 3. Validar el acceso del PCA al controlador kernel de ncipher en la página Si no se lista nada, los scripts de inicio ncipher predeterminados no están correctamente configurados. Consulte 2. Configuración manual. 2. Configuración manual: 1. Los siguientes scripts de inicio deben tener las cabeceras de niel de ejecución correcto en el script para que se les reconozca: nc_driers nc_hardserer 2. Los scripts de inicio de ncipher están enlazados simbólicamente a lo siguiente: /opt/nfast/scripts/init.d/driers /opt/nfast/scripts/init.d/hardserer 3. Editar los scripts de inicio de ncipher: a. Editar /opt/nfast/scripts/init.d/driers. Añadir las líneas siguientes: # chkconfig: # description: ncipher driers b. Editar /opt/nfast/scripts/init.d/hardserer. Añadir las líneas siguientes: Apéndice D. Apéndice - Integración de claes de SSL de Tealeaf con HSM 267

278 # chkconfig: # description: ncipher hardserer c. Por ejemplo: #!/bin/sh # generated by inst-def.sh # chkconfig: # description: ncipher driers 4. El sistema puede tardar algunos minutos para añadir los scripts automáticamente a la chkconfig --list. Si los scripts no se muestran, habilite los nieles de ejecución manualmente, como se muestra en el paso siguiente: a. Utilice chkconfig para actiar el niel de ejecución 2,3,4,5 para nc_driers y nc_hardserer. chkconfig --leel 2345 nc_driers on chkcofnig --leel 2345 nc_hardserer on 5. Validar que el PCA puede acceder al controlador kernel. Consulte 3. Validar el acceso del PCA al controlador kernel de ncipher. 3. Validar el acceso del PCA al controlador kernel de ncipher: 1. Reinicie el PCA. 2. Después del arranque, ejecute el mandato siguiente: # lsmod grep nfp 3. La salida es la siguiente. El código 2 indica que es 'utilizado por': nfp Para confirmar que los scripts de inicio del PCA y de ncipher tienen las prioridades de arranque correctas, los ejemplos siguientes muestran que ncipher se inicia primero, seguido por el inicio del PCA: /etc/rc.d/rc2.d/s45nc_driers /etc/rc.d/rc2.d/s50nc_hardserer /etc/rc.d/rc2.d/s60tealeaf-pca /etc/rc.d/rc2.d/s55tealeaf-startup 5. Después de completar las instrucciones siguientes, debe alidar que el PCA e el controlador kernel de ncipher. Consulte Verificación del uso de claes priadas SSL en la página 272. Configuración de los scripts de inicio de SLES Nota: Estas instrucciones se aplican a ncipher y posterior, a menos que se indique lo contrario. Verifique que ncipher se inicie correctamente con la aplicación Captura pasia. A partir de ncipher 11.40, se proporcionan dos scripts de inicio (enlaces simbólicos - symlinks) en los siguientes directorios. Para un inicio correcto, estos scripts deben ejecutarse en el siguiente orden que se lista: 1. /etc/init.d/nc_driers 2. /etc/init.d/nc_hardserer Nota: Para que ncipher sea reconocido adecuadamente, estos scripts de inicio de ncipher deben ejecutarse antes que los scripts de inicio de Captura pasia. 1. Arranque alternatio: 268 IBM Tealeaf CX Passie Capture Application: Manual de PCA

279 Nota: Pueden existir problemas con la secuencia de arranque, al no funcionar correctamente con Suse SLES. Pasos: Para SLES, el método alternatio sugerido es la secuencia siguiente. 1. Inhabilitar nieles de ejecución para nc_driers y nc_hardserer: chkconfig -s nc_driers off chkcofnig -s nc_hardserer off 2. Actíelos nueamente con los nieles de ejecución 3 y 5: chkconfig -s nc_driers on 3 5 chkcofnig -s nc_hardserer on De forma predeterminada, la prioridad de ambos scripts se establece en S01. Cambie la prioridad del niel de ejecución de arranque de cada uno de estos scripts en los directorios rc3.d y rc5.d utilizando los mandatos siguientes: m /etc/rc.d/rc3.d/s01nc_driers /etc/rc.d/rc3.d/s09nc_driers m /etc/rc.d/rc5.d/s01nc_hardserer /etc/rc.d/rc5.d/s10nc_hardserer 2. Validar el controlador ncipher: 1. Después del arranque, para alidar que el controlador ncipher está cargado correctamente, utilice el siguiente cmd: lsmod grep nfp 2. La respuesta esperada debe ser similar a: nfp (where 2 is expected) Después de completar las instrucciones anteriores, debe alidar que el PCA se ea en el controlador kernel de ncipher. Consulte Verificación del uso de claes priadas SSL en la página 272. Creación de Mundo de seguridad de ncipher para PCA Nota: Si la tarjeta de ncipher se utilizará como almacén de claes de HSM, se debe crear un Mundo de seguridad de ncipher. Las siguientes instrucciones se aplican a la creación de un Mundo de seguridad de ncipher con algunas modificaciones específicas para IBM Tealeaf CX Passie Capture Application. Estas instrucciones siren para: ncipher nshield 4000 ncipher nshield 6000e Si el entorno de red requiere un conjunto de políticas diferente o mayor configuración, consulte nshield_quick_start_guide.pdf para obtener más instrucciones. 1. Conecte el lector del dispositio de tarjeta inteligente e inserte una tarjeta. Una luz erde en el lector indica una buena conexión. Nota: Para crear un almacén de claes de Mundo de seguridad, el lector del dispositio de tarjeta inteligente debe conectarse con una tarjeta para escribir el grupo de dispositios de tarjetas inteligentes de AES. a. La importación de claes SSL no necesita que el lector de tarjetas esté conectado para el niel 2 de FIPS140-2 predeterminado. b. El lector de tarjetas debe estar instalado para ejecutar la PCA utilizando el almacén de claes del Mundo de seguridad para sus claes SSL. Apéndice D. Apéndice - Integración de claes de SSL de Tealeaf con HSM 269

280 2. Crear un Mundo de seguridad. Para obtener más información, consulte la página 13 de nshield_quick_start_guide.pdf. 3. Inicie sesión en el sistema host como usuario en el grupo nfast. 4. Coloque el conmutador del módulo del panel trasero del nshield en la posición I, que es el modo de inicialización preia. 5. Para borrar el módulo, ejecute el siguiente mandato: /opt/nfast/bin/nopclearfail ca 6. Ejecute el mandato siguiente: /opt/nfast/bin/new-world -m 1 -s 0 -Q 1/2 -k rijndael 7. El mandato anterior crea un Mundo de seguridad de doble cumplimiento de Niel FIPS, con recuperación y sustitución OCS que está habilitada, y 1/2 ACS. El Mundo de seguridad está protegido por una clae AES. a. El mandato anterior genera 2 dispositios de tarjeta inteligente ACS, pero se necesita solo una para el acceso de seguridad. b. Durante el proceso de generación del dispositio de tarjeta inteligente, debe introducir la frase de contraseña. Por ejemplo: ACS smartcard test passphrase: testcard123 c. Este proceso tarda 1-2 minutos por tarjeta. d. Cuando se genera el Mundo de seguridad, debe mostrarse un mensaje similar al siguiente: Security World generated on module #1; hknso = 26b0b0fed1e2753c665b34af15523ebbb2a995a3 8. Ponga el conmutador del módulo en la parte trasera de nshield en la posición O, en el modo Operacional. Validar la seguridad mundial Para alidar que el entorno de seguridad mundial está creado correctamente, complete los pasos siguientes. 1. Ejecute el mandato siguiente: /opt/nfast/bin/nfkminfo 2. La salida esperada debe ser la siguiente, con Usable indicando la correcta alidación: World generation # state 0x Initialised Usable Module #1 generation # state 0x2 Usable 3. Para obtener más información sobre añadir claes SSL al almacén de claes del mundo de seguridad de ncipher, reise las instrucciones para la utilización del mandato siguiente: /opt/nfast/bin/generatekey Consulte Importación de claes SSL al almacén de claes de ncipher en la página La salida del mandato anterior es una clae SSL de referencia.pem. Esta clae debe conertirse al formato.ptl que utiliza el PCA. Para conertir el archio de claes de referencia en clae.ptl, utilice el mandato siguiente: tealeaf pem2ptl <ncipherreference>.pem 5. Las claes.ptl del PCA recientemente creadas ahora pueden cargarse de forma explícita en el PCA: 270 IBM Tealeaf CX Passie Capture Application: Manual de PCA

281 a. Manualmente: consulte Configuración de la clae cifrada SSL en la página 203. b. Automático: cargue las claes en el directorio predeterminado: /usr/local/ctccap/etc/capturekeys Nota: Debe crear el directorio y habilitar los permisos de acceso apropiados. Consulte Configuración de la clae cifrada SSL en la página Después de completar alguno de los dos métodos, las claes.ptl se cargan para que las utilice el PCA. Importación de claes SSL al almacén de claes de ncipher Para almacenar claes SSL priadas para ser utilizadas por el PCA, se requiere el formato de texto simple PEM de las claes. El programa de utilidad ncipher, generatekey, crea archios de claes de referencia equialente PEM, que luego pueden conertirse para ser utilizadas por el PCA. A continuación se describe el procedimiento general para importar claes SSL al almacén de claes ncipher. Para instalar el Sistema de gestión de claes SSL de ncipher: 1. Confirme que esté instalado Linux. 2. Instale la tarjeta de hardware de ncipher. 3. Instale el software de ncipher, que instala los directorios /opt/nfast/..., los scripts nfast y así sucesiamente. 4. Añada el directorio de biblioteca CHIL de ncipher a la ruta de la librería de carga, /opt/nfast/toolkits/hwcrhk, al archio /etc/ld.so.conf, si no está presente. 5. Confirme que el software de Captura pasia esté instalado. 6. Reinicie el seridor IBM Tealeaf CX Passie Capture Application para confirmar que arranque correctamente. 7. Ejecute el mandato de lista de módulos kernel para confirmar que el módulo kernel nfp de ncipher esté cargado, lsmod. 8. Cree el entorno de mundo de seguridad necesario para la importación de claes. 9. Importe los archios de clae PEM de RSA al mundo de seguridad de ncipher utilizando el programa de utilidad ncipher, /opt/nfast/bin/ generatekey. Por ejemplo: /opt/nfast/bin/generatekey -i embed a. Este ejemplo supone que las claes están almacenadas en formato cifrado. 1) Ejecute el mandato siguiente: [root@tstsys]# /opt/nfast/bin/generatekey -i embed 2) Aparece la siguiente solicitud: protect: Protected by? (token, softcard, module) [module] > 3) Pulse RETURN para aceptar el alor predeterminado. A continuación, solicite: pemreadfile: PEM file containing RSA key? [] 4) Introduzca el archio de claes priado tealeaf-web.pem. A continuación, solicite: embedsaefile: Filename to write key to? [] Apéndice D. Apéndice - Integración de claes de SSL de Tealeaf con HSM 271

282 5) Introduzca el nombre del archio de referencia para escribir tealeaf-web_ref.pem. A continuación, solicite: plainname: Key name? [] 6) Introduzca el alias del nombre de clae tealeaf-web. 7) Introduzca RETURN para las solicitudes restantes para aceptar los alores predeterminados. 10. Puede ser necesaria la solicitud interactia para la información restante. 11. Ejecute el programa de utilidad ncipher para listar claes en el mundo de seguridad: /opt/nfast/bin/nfkminfo \-l Verificación del uso de claes priadas SSL Mediante el registro de captura del PCA, puede erificar que el PCA es capaz de er y utilizar la tarjeta ncipher. En el archio capture.log del PCA, debe er el siguiente mensaje durante el inicio: May 26 15:30:11 mammoth reassd[22722]: OpenSSL hw engine(1): CHIL hardware engine support El número de claes también debe indicarse en el registro: Aug 20 16:53:37 mammoth reassd[10889]: Loaded 1 keys from Capture.CaptureKeys. Un mensaje como el siguiente indica un error en el acceso a la tarjeta ncipher: hw engine(0) Inhabilitar el inicio de ncipher en el momento de arranque de Captura pasia Nota: Este procedimiento debe realizarse antes de retirar el hardware de ncipher para permitir que Captura pasia arranque sin el hardware. 1. Cree un directorio DISABLED en /etc/init.d. 2. Si ya está presente, muea el script nfast desde el directorio /etc/init.d al directorio DISABLED. 3. Si utiliza software o posterior, muea los dos scripts, nc_driers y nc_hardserer, del directorio /etc/init.d al directorio DISABLED. 4. En /usr/lib, cambie el nombre del libnfhwcrhk.so para añadir la extensión.disabled m libnfhwcrhk.so libnfhwcrhk.so.disabled 5. Reinicie Captura pasia. 272 IBM Tealeaf CX Passie Capture Application: Manual de PCA

283 Apéndice E. Apéndice - Temas adicionales de la Captura pasia Sistema operatio Esta sección contiene temas suplementarios sobre el IBM Tealeaf CX Passie Capture Application en formato de preguntas y respuestas. Para obtener una respuesta a una de las preguntas siguientes, haga clic en el enlace. Captura pasia admite Linux de 64 bits? en la página 274 Captura pasia admite FreeBSD? en la página 274 Instalar Cómo puedo automatizar la instalación y configuración del PCA? en la página 275 Qué paquetes necesita el RPM de tealeaf-pca? en la página 275 Qué cambios realiza el RPM del PCA de Tealeaf al seridor de PCA? en la página 276 Cómo puedo especificar el directorio para el enlace simbólico de Tealeaf? en la página 278 Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf? en la página 278 Cómo puedo instalar en un directorio que no sea el predeterminado? en la página 278 Qué directorios y archios no se encuentran en el directorio de instalación? en la página 279 Configuración del seridor web Configuración de PCA Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del seridor web? en la página 281 Faltan algunas coincidencias SSL de las sesiones del naegador Firefox en la página 282 Cómo puedo especificar archios de configuración alternatios? en la página 286 Consola Registros Por qué la consola web de PCA ignora mis cambios guardados? en la página 287 Por qué no puedo detener los procesos de la consola web? en la página 288 Dónde está el directorio de registros ctccap? en la página 288 Copyright IBM Corp. 1999,

284 Cómo puedo cambiar manualmente el directorio del archio de registro? en la página 289 Otros Cómo identifica el PCA páginas ReqCanceled? en la página 292 Cómo maneja el PCA paquetes TCP duplicados? en la página 291 Cómo puedo hacer que el PCA borre automáticamente sus estadísticas? en la página 290 Cuál es el número de puerto predeterminado para la migración tras error? en la página 291 Cómo gestiona el PCA la captura de direcciones IP6? en la página 298 Resolución de problemas Para obtener más información sobre la resolución de problemas, consulte "Resolución de problemas: captura" en la Guía de resolución de problemas de IBM Tealeaf. Captura pasia admite Linux de 64 bits? Pregunta Captura pasia admite Linux de 64 bits? Respuesta Tealeaf no proporciona una ersión del IBM Tealeaf CX Passie Capture Application de 64 bits para distribuciones de 64 bits de Red Hat Enterprise Linux (RHEL) y SUSE Linux Enterprise Serer (SLES) ahora. No obstante, puede instalar el PCA en un sistema operatio de 64 bits. Tealeaf proporciona un paquete de 32 bits solamente, que depende de bibliotecas de 32 bits. Estas bibliotecas no se incluyen en instalaciones mínimas de distribuciones de 64 bits de RHEL y deben instalarse antes de instalar el PCA. Nota: Para instalar el IBM Tealeaf CX Passie Capture Application en una ersión de 64 bits de Linux, debe instalar las ersiones de 32 bits de los paquetes necesarios para su sistema operatio. Consulte Capítulo 2, Instalación, en la página 17. Captura pasia admite FreeBSD? Pregunta La aplicación Captura pasia admite el sistema operatio FreeBSD? Respuesta FreeBSD ya no se admite. Nota: Los clientes que están utilizando el PCA en un sistema operatio no admitido o una ersión no admitida de un sistema operatio admitido no obtienen soporte para problemas relacionados con capturas. 274 IBM Tealeaf CX Passie Capture Application: Manual de PCA

285 En arias ersiones importantes anteriores, Tealeaf sí dio soporte a FreeSBD, un sistema operatio parecido a UNIX. Tealeaf no ha probado el IBM Tealeaf CX Passie Capture Application en FreeBSD desde que Tealeaf comenzó a dar soporte a Linux. El problema potencial más grande es el reconocimiento de ersiones entre la entrega de PCA y Transport Serice de los seridores Windowsde Tealeaf. Lo ideal es que los clientes que están actualmente utilizando sistemas operatios no admitidos deban cambiarse a una de nuestras ersiones admitidas, disponibles en los enlaces Referencias a continuación. Referencias requiere-texto Configuración del hardware del PCA e Instalación del sistema operatio Capítulo 10, Configuración del Hardware e instalación del sistema operatio, en la página 243 Instalación del PCA Capítulo 2, Instalación, en la página 17 Cómo puedo automatizar la instalación y configuración del PCA? Pregunta Cómo puedo automatizar la instalación y la configuración del PCA? Respuesta Nota: Esta solución requiere como mínimo una fecha y ersión de tpcinstaller.sh: 05/07/2007, reisión 17. Puede utilizar el script tpcinstaller.sh para automatizar la instalación y configuración del paquete del PCA de Tealeaf. El script está en el subdirectorio bin después de la instalación, o puede solicitarlo a Tealeaf. Referencias Capítulo 2, Instalación, en la página 17 Qué paquetes necesita el RPM de tealeaf-pca? Pregunta Qué paquetes necesita el RPM de tealeaf-pca? Respuesta Utilice la siguiente línea de mandatos para que RPM muestre la lista de paquetes que el archio de paquete denominado abc.rpm necesita: rpm -q --requires -p abc.rpm fgrep - rpmlib sort -u while read x; \ do rpm -q --whatproides "\${x}"; done sort -u Apéndice E. Apéndice - Temas adicionales de la Captura pasia 275

286 Nota: Ejecute el mandato como root. Sustituya el nombre de archio abc.rpm con el nombre del archio que desea consultar. El mandato utiliza la sintaxis shell Bourne, por lo que debe se deben estar ejecutando /bin/sh, /bin/bash, /bin/ksh y así sucesiamente. A continuación, se muestran los resultados de la ejecución del mandato anterior en las distribuciones a las que Tealeaf da soporte. Nota: El RPM de tealeaf-pca se instala en un instalación mínima de Red Hat Enterprise Linux sin necesitar más paquetes. En la práctica, se pueden necesitar más paquetes. La instalación del RPM de 32 bits de Tealeaf en un sistema Linux de 64 bits normalmente requiere la instalación de más bibliotecas de 32 bits. Consulte Capítulo 2, Instalación, en la página 17. Nota: El paquete que proporciona una capacidad que el paquete de Tealeaf necesita puede diferir entre distribuciones y distintos releases y actualizaciones de la misma distribución. Para obtener más información sobre los paquetes necesarios para los releases específicos del sistema operatio, consulte Capítulo 2, Instalación, en la página 17. Qué cambios realiza el RPM del PCA de Tealeaf al seridor de PCA? Pregunta Qué cambios realiza el RPM del PCA de Tealeaf al seridor de IBM Tealeaf CX Passie Capture Application? Respuesta Puede instalar Captura pasia en un diccionario que no sea el predeterminado /usr/local/ctccap. Consulte Cómo puedo instalar en un directorio que no sea el predeterminado? en la página 278. El paquete crea el directorio del archio de registro, que de forma predeterminada es /ar/log/tealeaf, si no existe. Era /usr/local/ctccap/logs en ersiones anteriores. Cuando actualiza desde una instalación más antigua que contiene un directorio /usr/local/ctccap/logs no acío, el paquete utiliza el directorio existente /usr/local/ctccap/logs en lugar de /ar/log/tealeaf. Este comportamiento está pensado para eitar sorprender al usuario dejando archios de registro antiguos en el antiguo directorio (/usr/local/ctccap/logs) y escribir nueos archios de registro en el nueo predeterminado (/ar/log/tealeaf). Esta comprobación de /usr/local/ctccap/logs es independiente del prefijo de instalación que se elija para la instalación para la actualización. De modo que si instala Captura pasia en /opt/tealeaf, el paquete aún busca un directorio no acío /usr/local/ctccap/logs. 276 IBM Tealeaf CX Passie Capture Application: Manual de PCA

287 El paquete realiza las siguientes operaciones de archio: Crea los siguientes archios de certificado autofirmado de SSL en /usr/local/ctccap/etc. El paquete los crea automáticamente como una coneniencia para instalaciones que no proporcionan sus propios certificados SSL: /usr/local/ctccap/etc/tealeaf-pca.crt /usr/local/ctccap/etc/tealeaf-pca.key /usr/local/ctccap/etc/tealeaf-tts.crt /usr/local/ctccap/etc/tealeaf-tts.key /usr/local/ctccap/etc/tealeaf-tts.pem /usr/local/ctccap/etc/tealeaf-web.crt /usr/local/ctccap/etc/tealeaf-web.key Notas: Los archios tealeaf-pca no se usan actualmente y están reserados para su uso en el futuro. Los archios tealeaf-web los utiliza el httpd.conf predeterminado para la consola web. Los archios tealeaf-tts se proporcionan para su coneniencia al configurar conexiones SSL con el sericio de transporte TeaLeaf. El directorio /usr/local/ctccap/etc es normalmente de escritura por el usuario raíz y de captura, ctccap. Instalar archio crontab: /etc/cron.d/tealeaf. El archio crontab planifica la ejecución de tealeaf cron como usuario root. Instale los siguientes scripts de inicialización en /etc/init.d: tealeaf-pca, tealeaf-startup. Cree el archio capture.log en el directorio logfile si el archio no existe. El paquete realiza las siguientes acciones que modifican directorios y archios fuera del prefijo de instalación: Crea el grupo ctccap si no existe. Crea el usuario ctccap si no existe. Nota: Este usuario se crea sin una contraseña que se le asigna, de modo que no puede iniciar sesión con esa cuenta de forma predeterminada. Los riesgos de seguridad son mínimos; el usuario ctccap solo puede iniciar y poseer los procesos de Tealeaf. Dependiendo de los requisitos de seguridad de su empresa, puede asignar una contraseña al usuario ctccap desde el usuario root. Establece /usr/local/ctccap/bin/listend y /usr/local/ctccap/bin-debug/ listend como raíz de bit de modalidad establecer-id-usuario (que se necesita para que listend abra dispositios eth para que realicen el examen del paquete; se despliega a ctccap de usuario después de que se abren los dispositios eth). Elimine archios de sesión PHP de /tmp. Se supone que estos archios son archios de sesión PHP para la consola web de Captura pasia. Actualice /etc/syslog.conf (si es necesario) para asegurar que contiene una entrada para que el recurso local0 archie capture.log en el directorio logfile. Reinicie syslogd para oler a cargar su configuración y utilizar cualquier cambio que se realice a /etc/syslog.conf. Referencias Capítulo 2, Instalación, en la página 17 Apéndice E. Apéndice - Temas adicionales de la Captura pasia 277

288 Cómo puedo especificar el directorio para el enlace simbólico de Tealeaf? Pregunta Cómo puedo especificar el directorio para el enlace simbólico de Tealeaf? Respuesta De forma predeterminada, el paquete del PCA de Tealeaf crea un enlace simbólico de /usr/local/bin/tealeaf a /usr/local/ctccap/bin/tealeaf. Puede especificar un directorio alternatio para el enlace simbólico en lugar de /usr/local/bin configurando la ariable de entorno TEALEAFCMDDIR. Debe ser el nombre completo de un directorio. Debe establecer la ariable de entorno antes de iniciar los mandatos de instalación y actualización de RPM y el script tpcinstaller.sh. A continuación se muestra una inocación de ejemplo que especifica una ubicación de instalación alternatia para el enlace simbólico: en TEALEAFCMDDIR=/usr/bin rpm -U tealeaf-pca rhel4.i386.rpm Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf? Pregunta Cómo puedo inhabilitar la creación del enlace simbólico de Tealeaf? Respuesta De forma predeterminada, el paquete de PCA de Tealeaf crea un enlace simbólico que apunta al mandato /usr/local/ctccap/bin/tealeaf. Puede inhabilitar la creación de este enlace simbólico estableciendo la ariable de entorno TEALEAFCMDENABLE en NO. Debe establecer la ariable de entorno antes de iniciar la instalación de RPM y actualizar mandatos y el script tpcinstaller.sh. A continuación se muestra una inocación de ejemplo que inhabilita la creación del enlace simbólico. en TEALEAFCMDENABLE=NO rpm -U tealeaf-pca rhel4.i386.rpm Cómo puedo instalar en un directorio que no sea el predeterminado? Pregunta Cómo puedo instalar en un directorio que no sea /usr/local/ctccap? Respuesta Nota: Esta solución requiere como mínimo una fecha y ersión de tpcinstaller.sh: 05/07/2007, reisión IBM Tealeaf CX Passie Capture Application: Manual de PCA

289 Puede reubicar el paquete de tealeaf-pca en un directorio distinto al predeterminado /usr/local/ctccap. Puede especificar el directorio alternatio utilizando la opción --prefix del mandato rpm junto con los mandatos de instalación y actualización. A continuación se muestran algunas inocaciones RPM de ejemplo: rpm -i --prefix=/opt/tealeaf tealeaf-pca rhel4.i386.rpm rpm -U --prefix=/home/tealeaf tealeaf-pca rhel4.i386.rpm Cuando no utilice la opción --prefix durante una instalación o actualización, RPM utiliza el directorio de instalación predeterminado que se especifica en el archio del paquete del PCA de Tealeaf, que es /usr/local/ctccap. Una ez que reubica un paquete, debe especificar de forma coherente el directorio alternatio de modo que el paquete compruebe y actualice correctamente las instalaciones anteriores. Si está utilizando el script instalador, tpcinstaller.sh, puede especificar la ariable de entorno TPCINSTALLPREFIX antes de iniciar el script para instalar el paquete del PCA de Tealeaf. Si no especifica la ariable de entorno TPCINSTALLPREFIX antes de iniciar el script, esto determina el prefijo de instalación actual y automáticamente lo pasa a los mandatos RPM que ejecuta. Si el paquete no está actualmente instalado o no es una ersión reubicable, el paquete del PCA de Tealeaf utiliza el directorio predeterminado /usr/local/ctccap. A continuación se muestra una inocación de ejemplo del script tpcinstaller.sh. en TPCINSTALLPREFIX=/opt/tealeaf /etc/opt/tpcinstaller.sh \ tealeaf-pca rhel3-i386.rpm Qué directorios y archios no se encuentran en el directorio de instalación? Pregunta Qué directorios y archios no se encuentran en el directorio de instalación? Respuesta Nota: Esta solución requiere como mínimo una fecha y ersión de tpcinstaller.sh: 05/07/2007, reisión 17. La lista siguiente describe arios directorios y archios asociados con la captura pasia que no residen en el directorio de instalación que, de forma predeterminada, es /usr/local/ctccap. El software utiliza directamente algunas ías de acceso. Algunas son configurables por el usuario y otras se marcan mediante el curso de la administración y el uso normal del software. /archio [opcional] El directorio opcional se documenta en el procedimiento para realizar una instalación mínima de Red Hat Enterprise Linux. Existe en caso de que el archiado de paquetes se deba habilitar para diagnosticar diersos problemas de captura. No es necesario para las operaciones normales y no se utiliza de forma predeterminada. Apéndice E. Apéndice - Temas adicionales de la Captura pasia 279

290 /etc/cron.d/tealeaf El paquete tealeaf-pca instala crontab para que lo utilice el paquete. /etc/init.d/tealeaf-pca.sh /etc/init.d/tealeaf-startup.sh El paquete tealeaf-pca instala los scripts tealeaf-pca.sh y tealeaf-startup.sh para controlar el inicio y el cierre del software. /etc/opt/tealeaf La captura pasia utiliza el directorio para arios alores de instalación y configuración. Por ejemplo, el paquete tealeaf-pca utiliza este directorio para registrar el directorio de instalación en el archio /etc/opt/tealeaf/config/ installprefix y para registrar la ubicación del enlace simbólico de tealeaf en el archio /etc/opt/tealeaf/config/tealeafcmd. El script tpcinstaller.sh utiliza este directorio para sus archios de configuración, incluidas las claes SSL que deben importarse automáticamente. /etc/syslog.conf La captura pasia utiliza el recurso syslog para registrar mensajes, que están configurados en el archio. /etc/group, /etc/passwd y otros archios relacionados con cuentas de usuario. El paquete tealeaf-pca crea un usuario y una cuenta de grupo para ejecutar el software si estos no existen. Estas operaciones modifican arios archios de sistema que se actualizan cuando las cuentas de usuario se crean o actualizan. /tmp/tealeaf-pca-11-prein.log /tmp/tealeaf-pca-12-postin.log /tmp/tealeaf-pca-21-preun.log /tmp/tealeaf-pca-22-postun.log El paquete tealeaf-pca crea los archios de registro para registrar diersas actiidades relacionadas con la instalación. /tmp/tealeaf-pca.log El paquete tealeaf-pca, anterior a la compilación 3204, utilizaba el archio de registro para registrar diersas actiidades relacionadas con la instalación. /tmp/tpcinstaller.log El script tpcinstaller.sh utiliza el archio de registro para registrar sus actiidades. /usr/local/bin/tealeaf El archio anterior es un enlace simbólico al mandato Tealeaf en el subdirectorio bin del directorio de instalación. Por ejemplo: /usr/local/ctccap/bin/tealeaf. Las ariables de entorno TEALEAFCMDDIR y TEALEAFCMDENABLE gestionan la ubicación y creación de este enlace simbólico. 280 IBM Tealeaf CX Passie Capture Application: Manual de PCA

291 /ar/log/messages La captura pasia utiliza el recurso syslog para registrar mensajes, que pueden afectar el archio de registro, configurado en /etc/syslog.conf. /ar/log/tealeaf La captura pasia utiliza el directorio para sus archios de registro. Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del seridor web? Diffie-Hellman es un tipo de cifra de cifrado SSL. Está diseñado para terceros, que son sistemas diferentes de las otras dos partes en ambos extremos de una conersación, y no puede decodificar el tráfico de comunicaciones. Una sesión de usuario que se establece con un seridor web utilizando este cifrado no puede capturarse utilizando el IBM Tealeaf CX Passie Capture Application. De forma predeterminada, las ersiones del naegador Firefox más nueas pueden intentar negociar por la familia de cifrado Diffie-Hellman. Dada la creciente popularidad de Firefox, Tealeaf proporciona las siguientes instrucciones a nuestros clientes sobre cómo inhabilitar la negociación Diffie-Hellman en sus seridores web, si optan por hacerlo. Nota: Si la infraestructura del seridor web incluye un dispositio de terminación o aceleración SSL en sentido ascendente más cercano al naegador web del isitante que el punto en el cual el seridor IBM Tealeaf CX Passie Capture Application de Tealeaf (seridor PCA) está superisando el tráfico, entonces el seridor PCA puede er todo el tráfico como texto simple no SSL, incluso si se aplica Diffie-Hellman. En esta situación, la solución siguiente no se aplica. El dispositio SSL de terminación es libre de negociar Diffie-Hellman con el naegador del isitante. Esto se debe a que el seridor PCA se encuentra en sentido descendente en relación al tráfico cifrado y no tiene que realizar ningún descifrado. Localización de seridores utilizando Diffie-Hellman En un entorno de aplicación web con arios seridores, la localización de seridores que están utilizando el cifrado Diffie-Hellman no es triial. Utilizando Wireshark, puede aplicar un filtro de isualización para afinar la lista de seridores e identificar aquellos que están utilizando el cifrado Diffie-Hellman. Para obtener más información sobre Wireshark, isite 1. Inicie Wireshark. 2. Cargue o capture un archio TCPdump del tráfico que se eníe al PCA. 3. En el recuadro de texto Filtro, copie la cadena siguiente. Edítela para eliminar los caracteres de barra inclinada al final de cada línea, que se utilizan para indicar continuación. A continuación, pegue la cadena para filtrar el tráfico de wireshark. ssl.handshake.ciphersuite == 0x10 ssl.handshake.ciphersuite == 0x1a \ ssl.handshake.ciphersuite == 0x1b ssl.handshake.ciphersuite == 0x30 \ ssl.handshake.ciphersuite == 0x31 ssl.handshake.ciphersuite == 0x32 \ ssl.handshake.ciphersuite == 0x33 ssl.handshake.ciphersuite == 0x34 \ ssl.handshake.ciphersuite == 0x36 ssl.handshake.ciphersuite == 0x37 \ Apéndice E. Apéndice - Temas adicionales de la Captura pasia 281

292 ssl.handshake.ciphersuite == 0x38 ssl.handshake.ciphersuite == \ 0x39 ssl.handshake.ciphersuite == 0x3a ssl.handshake.ciphersuite == 0x63 \ ssl.handshake.ciphersuite == 0x65 ssl.handshake.ciphersuite == 0x66 4. El tráfico filtro ahora muestra solo tráfico de cifrados Diffie-Hellman. 5. El uso del cifrado Diffie-Hellman debe inhabilitarse en los seridores listados. Para obtener más información complete los pasos siguientes, dependiendo del tipo de seridor. Inhabilitar Para inhabilitar la suite de cifrado Diffie-Hellman del seridor web, siga una de las opciones a continuación. Si el seridor web no está listado, consulte la documentación del seridor web en búsqueda de instrucciones para inhabilitar esta suite de cifrado para su seridor web en particular. Inhabilitar Diffie-Hellman en seridores IIS 1. Añada o modifique la siguiente clae de registro en cada seridor web: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProiders\ SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman\ Enabled = 0 (DWORD alue) 2. Reinicie el seridor web para que los cambios entren en igor. Inhabilitar Diffie-Hellman en seridores Apache En cada seridor web, en el archio ssl.conf, o, en algunos casos, el archio de configuración principal de Apache, añada el identificador!dh: al inicio de la serie de opciones de configuración de SSLCipherSuite. 1. En el directorio de configuración de Apache, localice el archio: ssl.conf o httpd.conf 2. Busque la palabra clae de SSLCipherSuite, cuyo alor de serie debe ser similar a la siguiente cadena: "ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSL2:+EXP" 3. Añada!DH: después de la lista ALL: de modo que la línea se ea como la cadena siguiente: "ALL:!DH:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSL2:+EXP" Nota: La cadena!adh: de la cadena anterior ahora es redundante y puede ser eliminada. 4. Repita esta edición en cada sección de configuración de SSL, si no está utilizando una sección global. 5. Guarde el archio. 6. Reinicie el seridor web para que los cambios entren en igor. Faltan algunas coincidencias SSL de las sesiones del naegador Firefox Nota: Este problema se ha solucionado en PCA Build 3611 y posterior. 282 IBM Tealeaf CX Passie Capture Application: Manual de PCA

293 Nota: A partir de la compilación 3327, el IBM Tealeaf CX Passie Capture Application admite la extensión de boleto de sesión TLS1 de SSL. Si está utilizando la compilación 3327 o posterior y tiene esta extensión que está habilitada en el seridor web, el PCA puede capturar todos los datos de sesión correctamente. Si está utilizando una compilación anterior a la 3327, debe actualizar a la compilación más reciente para el release en lugar de utilizar esta solución temporal. A partir de la compilación 3611 del PCA, éste puede capturar TLS1.1 de SSL. Esta explicación se aplica a TLS1.1 para compilaciones de soporte también.para obtener más información sobre la descarga de IBM Tealeaf, consulte IBM Passport Adantage Online. Cuando las sesiones se inician en el naegador Firefox ersión 3ysereanudan más tarde, las coincidencias SSL no están siendo descifradas. Por lo tanto, faltan del tráfico capturado. Este problema no se muestra en tráfico que no sea SSL. Este problema no se conoce o no se isualiza en otro naegador que no sea Firefox 3. Este problema se produce por una característica de la extensión SSL que se implementa en la ersión 3 de Firefox y en los módulos OpenSSL utilizados en los seridores web Apache más recientes (y posiblemente otros seridores web). Una nuea extensión de protocolo TLS1 de SSL (RFC-5077) para la reanudación de sesión sin estado, conocida como extensión SessionTicket, cifra la información del estado SSL que se utiliza solo si ambos, el naegador cliente y el seridor web, cumplen con el estándar. Tealeaf no admite esta característica de extensión SSL. Si instala o ha actualizado a la compilación más reciente del seridor Apache 2.2 en los últimos meses, es probable que esta nuea extensión le afecte. Las instrucciones siguientes se proporcionan para inhabilitar esta extensión en Apache. Nota: Debe inhabilitar esta característica en los seridores web. Resolución de problemas de la agrupación SSL Puede probar y solucionar los problemas de los seridores de PCA de la agrupación SSL. Los programas de utilidad siguientes están disponibles para ayudarle a resoler los problemas de la agrupación SSL. Tabla 27. Programas de utilidad para la resolución de problemas de la agrupación SSL Cabecera Memping Memstats Cabecera Hace ping al seridor de PCA utilizando la dirección IP y el número de puerto que se isualiza. Muestra las estadísticas del seridor de PCA listado. Apéndice E. Apéndice - Temas adicionales de la Captura pasia 283

294 Tabla 27. Programas de utilidad para la resolución de problemas de la agrupación SSL (continuación) Cabecera Memflush Cabecera Nota: Los datos se pierden cuando se ejecuta este programa de utilidad. Se recomienda ponerse en contacto con el soporte técnico de IBM antes de utilizar el programa de utilidad Memflush. Borra de la memoria caché del seridor de PCA toda la información de sesión SSL almacenada. Para obtener información sobre la configuración de una agrupación SSL, consulte Configuración de agrupaciones SSL en la página 195. Para obtener información sobre la eliminación de un seridor de PCA de una agrupación SSL, consulte Eliminación de un seridor de PCA de una agrupación SSL en la página 196. Síntomas Cuando los isitantes de su aplicación web están utilizando SSL a traés de Firefox 3 y se detienen, después de reanudar su sesión, las coincidencias no son capturadas por el PCA. Esto se debe al soporte predeterminado de Firefox 3 de esta nuea extensión SSL. Cuando el naegador Firefox negocia el reconocimiento SSL con su seridor web para reanudar la sesión, el naegador espera que el seridor suministre un identificador de sesión única de SSL de 32 bytes al naegador cliente. La intención de la característica es reutilizar información de clae de sesión SSL y reducir el uso de SSL en sesiones SSL posteriores. Como Tealeaf no admite esta extensión SSL, no reconoce este identificador SSL de 32 bytes. Sin este ID, el PCA de Tealeaf no es capaz de descifrar más tráfico SSL utilizando el ID en sesiones SSL reanudadas. En los ejemplos siguientes, se puede er cómo los identificadores de sesión se enían al isitante que está reanudando una sesión en Firefox 3 ersus Internet Explorer. Para Firefox: SSL cipher used: Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) Session ID Length: 0 Para IE: SSL cipher used: Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004) Session ID Length: 32 Session ID: 2FD9AAAEE999B2EA3DEF8FA005CD0CDD3D6EAE62E05E Como se obsera en lo anterior, la longitud de ID de sesión SSL de Firefox es 0, lo que no proporciona ningún alor utilizable. 284 IBM Tealeaf CX Passie Capture Application: Manual de PCA

295 Esta nuea extensión de protocolo TLS1 de SSL para reanudación de sesión sin estado, conocida como extensión SessionTicket, cifra la información de estado de SSL, como por ejemplo el identificador de sesión de SSL en un paquete de "boletos" que tanto el naegador cliente como el seridor deben utilizar. Actualmente, Firefox 3 es el único naegador que utiliza esta extensión de forma predeterminada. Para aceptar esta extensión, el seridor también debe admitirla. Para probarlo Para solucionarlo Para probar si este problema se está produciendo, puede forzar el seridor web o proxy a utilizar el cifrado seleccionado por IE para er si las sesiones de Firefox se capturan entonces correctamente. Actualmente, el único método para solucionar el problema es inhabilitar el uso de esta extensión SSL en el seridor web o en proxy web. Naegador Firefox Para omitir el problema como usuario indiidual, puede inhabilitar el uso de esta extensión a traés de Firefox. Para inhabilitar el uso de esta extensión en Firefox, siga los pasos siguientes: 1. Abra Firefox. 2. Inhabilite el cifrado TLS 1.0 en Firefox. a. En el menú de Firefox, seleccione la pestaña Herramientas > Opciones > Aanzadas > Cifrado. b. En la sección Protocolos, deje en blanco el recuadro de selección Utilizar TLS 1.0. c. Seleccione el recuadro de selección Utilizar SSL 3.0. d. Pulse Aceptar y guarde los cambios. Para obtener más información, consulte index?page=content&id=kb2887&actp=rss. Proxy web Si el seridor proxy está gestionando el procesamiento SSL, puede inhabilitar el uso de la característica de extensión SessionTicket TLS1 de SSL en el proxy. Consulte la documentación que se entrega con el producto seridor proxy. Seridores web de Apache Dependiendo de la ersión de Apache, esta característica puede habilitarse de forma predeterminada. El mod_ssl de Apache más reciente utiliza openssl 9.8j o posterior, que habilita esta extensión SessionTicket de TLS de forma predeterminada. Es probable que esta característica se muestre primero en el seridor Apache ersión 2.2. Para inhabilitar: 1. En la máquina del seridor web, edite /usr/local/apache2/conf/httpd.conf. 2. Añada el siguiente fragmento de código a la ubicación correspondiente del archio: Apéndice E. Apéndice - Temas adicionales de la Captura pasia 285

296 SSLEngine on SSLOptions +StrictRequire <Directory /> SSLRequireSSL </Directory> SSLProtocol +all -TLS1 -SSL3 SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM:!DH Nota: En lo anterior, la referencia!dh elimina el algoritmo de cifrado Diffie-Hellman, requerido por todas las soluciones Tealeaf. Consulte Cómo puedo eliminar el cifrado Diffie Hellman de la lista de cifrado SSL del seridor web? en la página Guarde el archio. 4. Reinicie el sericio Apache. Para obtener más información, consulte infocus/1818. Seridores web no Apache La mayoría de lo seridores no proporcionan un método sencillo de inhabilitar el uso de la extensión. Puede inhabilitar esta extensión mediante la inhabilitación del uso de TLS 1.0 en las opciones de configuración del seridor web. Para obtener detalles específicos, consulte la documentación del producto. Cómo puedo especificar archios de configuración alternatios? Pregunta Cómo puedo especificar archios de configuración alternatios? Respuesta Puede utilizar el script tpcinstaller.sh para automatizar la sobrescritura de arias configuraciones que son creadas por el paquete del PCA de Tealeaf cuando lo instala inicialmente. Estos archios de configuración se crean normalmente cuando no existen. Una ez que existen, el paquete del PCA de Tealeaf no los modifica ni los actualiza. Si el paquete del PCA de Tealeaf detecta que no modificó los archios, los elimina durante la desinstalación. Utilice el mandato tpcinstaller.sh del script postinstall para sobrescribir arios archios de configuración. El script está en el subdirectorio bin bajo el directorio de instalación después de la instalación. El script automatiza la instalación y la configuración, pero este ejemplo solo demuestra su mandato postinstall que sobrescribe archios de configuración y después inicia el software. A continuación se muestra un bree ejemplo que demuestra el sabor básico de esta prestación. Supone que el paquete del PCA de Tealeaf ya está instalado en directory /opt/tealeaf. Los mandatos que ha de ejecutar raíz tienen como prefijo el símbolo de numeral (#). 1. Inicialice el directorio /etc/opt/tealeaf: # sh /opt/tealeaf/bin/tpcinstaller.sh init 286 IBM Tealeaf CX Passie Capture Application: Manual de PCA

297 2. Cree y/o coloque los archios de configuración personalizada en el directorio /etc/opt/tealeaf que crea el paso 1. a. Para sobrescribir ctc-conf.xml, proporcione el archio ctc-conf-custom.xml. Para que el script instalador automáticamente conierta archios PEM en archios PIL y actualice el archio ctc-conf.xml antes de sobrescribir: 1) Coloque los archios PEM en /etc/opt/tealeaf/capturekeys. 2) Sustituya la sección <CaptureKeys> del ctc-conf-custom.xml por: <CaptureKeys>CAPTUREKEYSCONF</CaptureKeys> b. Para sobrescribir httpd.conf, proporcione el archio httpd-custom.conf. c. Para sobrescribir priacy.cfg, proporcione el archio priacy-custom.cfg. d. Para sobrescribir runtime.conf, proporcione el archio runtime-custom.conf. 3. Cree un archio de configuración que indique al script instalador que siempre sobrescriba archios de configuración en lugar de sobrescribir archios solo cuando no se han cambiado de los archios predeterminados. A continuación está el contenido de dicho archio de configuración, que debe designarse /etc/opt/tealeaf/tpcinstaller.conf: custom_capture_conf_enable="yes" custom_httpd_conf_enable="yes" custom_priacy_conf_enable="yes" custom_runtime_conf_enable="yes" 4. Sobrescriba los archios de configuración e inicie todos los sericios: # sh /etc/opt/tealeaf/bin/tpcinstaller.sh postinstall Si desea indicar al script de instalación que también instale/actualice el RPM, debe guardar una copia del script de instalación en /etc/opt/tealeaf y entonces iniciarlo con el nombre del archio RPM. A continuación está el ejemplo: # en TPCINSTALLPREFIX=/opt/tealeaf sh /etc/opt/tealeaf/tpcinstaller.sh \ /root/tealeaf-pca rhel4.i386.rpm Nota: El uso de TPCINSTALLPREFIX requiere como mínimo la ersión de compilación 3204 del PCA. Por qué la consola web de PCA ignora mis cambios guardados? Pregunta Por qué la consola web ignora mis cambios guardados? Respuesta Confirme que las cookies estén habilitadas. La consola web de PCA requiere que las cookies estén habilitadas para poder mantener el estado de la sesión mientras realiza arias tareas. Si las cookies están inhabilitadas, después de pulsar Guardar cambios, la página que está iendo uele al estado en que se encontraba antes de que realizara los cambios. Referencias Consola Web de PCA - Pestaña Resumen en la página 69 Apéndice E. Apéndice - Temas adicionales de la Captura pasia 287

298 Por qué no puedo detener los procesos de la consola web? Pregunta Por qué no puedo detener los procesos de la consola web? Respuesta En la compilación 3100, la ubicación predeterminada del archio httpd.pid que el script tealeaf utiliza para encontrar la consola web ha cambiado. Este archio solía residir en logfile directory pero se ha trasladado al directorio /usr/local/ctccap/ar para acomodar otro trabajo de característica. Si ha modificado anteriormente el httpd.conf de forma que difiere del httpd.conf.default, entonces el httpd.conf se consera cuando un paquete tealeaf-pca posterior instala el nueo httpd.conf.default. Esta conseración significa que el script de Tealeaf más reciente en un paquete 3100 o posterior no puede encontrar el httpd.pid porque la consola web lo continúa escribiendo en la ubicación anterior especificada por el httpd.conf. Para solucionar este problema, siga estos pasos: Detenga todos los procesos de la consola web utilizando el siguiente mandato como raíz: killall httpd Reise los cambios entre httpd.conf y el archio predeterminado desde el paquete, httpd.conf.default. Por ejemplo, puede er los cambios utilizando el mandato diff de la siguiente manera: cd /usr/local/ctccap/etc diff -c httpd.conf.default httpd.conf Aísle los cambios que se han realizado localmente para el seridor de aplicaciones de captura pasia (por ejemplo, autenticación básica, inhabilitación de un puerto que no es SSL) de los cambios introducidos por el paquete. Guarde el httpd.conf existente, sobrescriba el httpd.conf con el httpd.conf.default y fusione los cambios aislados del paso 3. Dónde está el directorio de registros ctccap? Pregunta Dónde se encuentra el directorio /usr/local/ctccap/logs? Respuesta A partir de la compilación 3102, el directorio predeterminado para los archios de registro de captura pasia es /ar/log/tealeaf. Cuando instala el paquete tealeaf-pca por primera ez en un sistema, este crea y utiliza /ar/log/tealeaf. Si está actualizando desde una ersión anterior y el directorio /usr/local/ctccap/logs no es un directorio acío, la captura pasia continúa utilizando ese directorio en lugar de /ar/log/tealeaf. La página Copia de seguridad/registros de la consola web se actualiza para mostrar el directorio de archios de registro en uso. 288 IBM Tealeaf CX Passie Capture Application: Manual de PCA

299 Cómo puedo cambiar manualmente el directorio del archio de registro? Pregunta Cómo puede cambiar manualmente el directorio del archio de registro de /ar/log/tealeaf a XYZ? Respuesta A partir de la compilación 3100, se muestra a continuación el directorio logfile predeterminado que utilizan las instalaciones nueas: /ar/log/tealeaf Si no desea que Captura pasia utilice ese directorio, siga los pasos a continuación. Los pasos configuran el directorio logfile para que sea /ar/tealeaf. Llee a cabo todos los pasos como usuario root. Estos pasos suponen que Captura pasia ya está instalada en /usr/local/ctccap. 1. Detenga todos los daemons de Captura pasia: tealeaf stop tealeaf stop failoerd 2. Cree el directorio, si no existe, y asígnele su propiedad y permisos. mkdir /ar/tealeaf chmod u=rwx,go= /ar/tealeaf chown ctccap:ctccap /ar/tealeaf Un prolongado listado solo del directorio debe producir los siguientes resultados: # ls -ld /ar/tealeaf drwx ctccap ctccap 4096 Sep 6 14:41 /ar/tealeaf Nota: El grupo ctccap se introdujo en la compilación Cree archios de registro acíos. Puede utilizar tealeaf initlogs. Siese mandato no está disponible en la ersión que está ejecutando, debe crear al menos el archio capture.log utilizando los mandatos siguientes: touch /ar/tealeaf/capture.log chmod u=rw,go= /ar/tealeaf/capture.log chown ctccap:ctccap /ar/tealeaf/capture.log Un prolongado listado del directorio debe producir los siguientes resultados: # ls -l /ar/tealeaf total 0 -rw ctccap ctccap 0 Sep 6 14:42 capture.log De forma opcional, puede optar por copiar todos los archios de registro de /ar/log/tealeaf en el nueo directorio. 4. Edite el archio de configuración daemon de syslog:/etc/syslog.conf. Sustituya la línea para local0 desde : local0.* -/ar/log/tealeaf/capture.log con este código: local0.* -/ar/tealeaf/capture.log 5. Reinicie el daemon de syslog: Apéndice E. Apéndice - Temas adicionales de la Captura pasia 289

300 /etc/init.d/syslog stop /etc/init.d/syslog start En sistemas Red Hat puede utilizar: serice syslog stop serice syslog start 6. Edite el archio /usr/local/ctccap/etc/runtime.conf, que es utilizado por la Captura pasia. Elimine todas las definiciones de ariables existentes para logfiledir y añada la siguiente línea: logfiledir="/ar/tealeaf" 7. Inicie los daemons de Captura pasia: tealeaf start failoerd tealeaf start Si examina /ar/tealeaf/capture.log, debe er mensajes de inicio de Captura pasia. Todos los pasos anteriores se basan en el procesamiento para la ariable de configuración logfiledir realizado por el script postinstallimp.sh posterior a la instalación de la distribución de Captura pasia (en el subdirectorio sbin). Cómo puedo hacer que el PCA borre automáticamente sus estadísticas? Pregunta Cómo puedo hacer que el PCA borre automáticamente sus estadísticas? Respuesta Cree un trabajo cron en /etc/cron.d/tealeaf para despertar y borrar las estadísticas. Ejemplos: *****root /usr/local/ctccap/bin/tealeaf cron > /de/null 2>&1 # the command tealeaf cron is run eery minute (already exists in # /etc/cron.d/tealeaf 30 3***root /usr/local/ctccap/bin/tealeaf clearstats > /de/null 2>&1 # tealeaf clearstats is run at 3:30 a.m. eery day. 15 4**2 root /usr/local/ctccap/bin/tealeaf clearstats > /de/null 2>&1 # tealeaf clearstats is run at 4:15 a.m. on Tuesdays **root /usr/local/ctccap/bin/tealeaf clearstats > /de/null 2>&1 # tealeaf clearstats is run at 12:01 a.m. on the first day of eery month. 290 IBM Tealeaf CX Passie Capture Application: Manual de PCA

301 Cuál es el número de puerto predeterminado para la migración tras error? Pregunta Cuál es el número de puerto predeterminado (o recomendado) para la migración tras error? Respuesta Si no se especifica un número de puerto al configurar una migración tras error maestra o subordinada, la migración tras error utiliza el puerto Cómo maneja el PCA paquetes TCP duplicados? Solo los paquetes TCP de la conexión TCP se comprueban con sus números de secuencia TCP. Los duplicados se determinan en base a números de secuencia TCP. Si bien los procesos de PCA pueden manejar paquetes de tráfico duplicados, representan un uso innecesario que puede afectar el rendimiento cuando el sistema se acerca a su niel de rendimiento máximo. El enío de paquetes duplicados al PCA debe reducirse siempre que sea posible. A niel del paquete TCP, el IBM Tealeaf CX Passie Capture Application comprueba la presencia de paquetes duplicados en una conexión TCP. El PCA lo hace mediante la ealuación de sus números de secuencia TCP. Cuando se detectan duplicados, se manejan de las siguientes formas: Si se muestran dos paquetes opuesto con opuesto en la misma conexión, el segundo paquete se descarta. Si se muestran dos paquetes en la misma conexión, contienen un número de secuencia repetido pero no se muestran opuesto con opuesto, el segundo paquete se descarta. Si los orígenes y los destinos de los paquetes son diferentes, PCA acepta los paquetes y los uele a ensamblar para su entrega a recipientes en sentido descendiente. Mediante la pestaña Estadísticas de la consola web del PCA, puede superisar la frecuencia de paquetes TCP duplicados. A continuación se muestran las estadísticas clae a superisar: Total back-to-back duplicate packets En el archio stats.xml, esta estadística se isualiza como: <TcpTotalDuplicatePackets> Un número alto de paquetes duplicados puede indicar que los puertos de distribución del conmutador de red no están correctamente configurados. Por ejemplo, si el número de paquetes duplicados se acerca a la mitad del alor especificado en la estadística Total packets rcd alue. También indica que los puertos están eniando tráfico duplicado al seridor IBM Tealeaf CX Passie Capture Application. Consulte Estadísticas por instancia en la página 144. Apéndice E. Apéndice - Temas adicionales de la Captura pasia 291

302 Cómo identifica el PCA páginas ReqCanceled? Valores del lado del seridor Esta sección proporciona una bree descripción de cómo la PCA ealúa y identifica páginas como páginas ReqCancelled. Una página ReqCancelled puede cancelarse mediante una solicitud del naegador cliente (isitante) o del seridor web. Después que ensambla una página de respuesta o solicitud HTTP desde los paquetes TCP, la cabecera HTTP está disponible. En la cabecera se muestran los alores que calcula el seridor para HeaderSize y DataSize de la respuesta o solicitud. En el ejemplo siguiente, se muestra la respuesta en bruto: HTTP/ OK Serer: Apache-Coyote/1.1 Content-Type: text/html;charset=utf-8 Date: Fri, 25 Feb :40:14 GMT Cache-Control: priate Content-Length: 83 <html> <body> Response <hr> Read 652 bytes in 7ms. </body> </html> En el ejemplo anterior, el alor Content-Length informado por el seridor es 83 bytes. Valores calculados por el PCA El PCA también calcula el tamaño obserado real de la coincidencia de los paquetes cuando están enlazados entre sí. Estos alores se almacenan en la sección [en] de la solicitud: [en]... RequestHeaderSize=1741 RequestDataSize=0 RequestSize=1741 ResponseHeaderSize=418 ResponseDataSize=25151 ResponseSize= Analizar alores de tamaño del contenido Como resultado, el PCA utiliza dos conjuntos de alores de dimensionamiento: Los alores del lado del seridor Los alores que obsera y calcula el PCA Estos números deben coincidir. Nota: Si los alores reales obserados por el PCA son inferiores a los alores del lado del seridor insertados en la cabecera de respuesta, el PCA marca la coincidencia como una coincidencia ReqCancelled. 292 IBM Tealeaf CX Passie Capture Application: Manual de PCA

303 Codificación de transferencia segmentada Es un caso especial cuando el seridor no informa el alor Content-Length. Enla codificación de transferencia segmentada, el seridor transfiere datos utilizando el protocolo HTTP sin saber con anticipación el tamaño del cuerpo del mensaje completo. Cuando la codificación de transferencia segmentada está habilitada por el seridor, la siguiente es la respuesta:.http/ OK Serer: Apache-Coyote/1.1 Cache-Control: priate Pragma: no-cache Set-Cookie: logging=cc4993ff05a9ac05b52cd9756b094b10 egapp39p ; Domain=.example.com; Path=/ Set-Cookie: DealDetectorUser=true; Domain=.example.com; Expires=Thu, 20-Feb :39:33 GMT; Path=/ P3P: CP="CAO DSP CURa ADMa DEVa TAIa PSAa PSDa IVAi IVDi CONi OUR DELi SAMi OTRi BUS PHY ONL UNI PUR COM NAV INT DEM STA POL HEA PRE GOV" Content-Type: text/html Date: Fri, 25 Feb :39:33 GMT Transfer-Encoding: chunked En el ejemplo anterior, no hay un alor informado para Content-Length. Dado que la longitud del contenido no es conocida con anterioridad, se inserta el siguiente alor: Transfer-Encoding: chunked Cuando el PCA obsera que la transferencia está segmentada, ensambla los paquetes en la coincidencia y rastrea el alor DataSize para la página hasta que alcanza el paquete final segmentado. Este último paquete se designa por un trozo de longitud cero (tamaño de segmento codificada como 0) y no tiene ninguna sección de datos. Nota: Como el seridor no informa un alor Content-Length en la codificación de transferencia segmentada, la cabecera de cada segmento contiene una entrada para la longitud del trozo. Como resultado, la longitud total real del trozo se calcula de manera dinámica. Si algún trozo no proporciona todos los datos según se informa en la cabecera, el PCA marca la página en que se muestra el trozo como una página ReqCancelled. Identificación de coincidencias ReqCancelled en Tealeaf Una descripción general para identificar coincidencias ReqCancelled en Tealeaf. Datos registrados Cuando una coincidencia se identifica como incluyendo una solicitud cancelada, el IBM Tealeaf CX Passie Capture Application inserta la siguiente información en la sección [en]: ReqCancelled por Visitante (naegador cliente): [en]? ReqCancelled=Client? ReqCancelled por Seridor: [en]? ReqCancelled=Serer? Apéndice E. Apéndice - Temas adicionales de la Captura pasia 293

304 Código de estado HTTP El código de estado HTTP se genera como parte de la respuesta HTTP. El código de estado de una coincidencia ReqCancelled depende de cuándo se canceló la coincidencia: Cuando se produjo ReqCancelled: Valores del código de estado Antes de que el seridor eniara una respuesta Código de estado = 0 Después que el seridor haya eniado una respuesta Un alor diferente a 200 (OK) Otras características Dependiendo de cuándo y cómo se ha cancelado la solicitud, algunas partes de los datos de coincidencia pueden estar mal formados: Para las coincidencias eniadas desde IBM Tealeaf CX UI Capture for AJAX, la sección [xml1] puede estar mal formada o incompleta, si el POST fue interrumpido antes de completarse. Si está incluida para la captura por parte del PCA, una ersión incompleta o mal formada de la sección [RawRequest] puede indicar que la solicitud se canceló antes del comienzo del procesamiento de la respuesta en el seridor. Para las coincidencias canceladas durante la generación de la respuesta, puede haber partes faltantes en la respuesta. Nota: Ya sea que una respuesta haya sido ReqCancelled o completada, el campo de la cabecera de solicitud HTTP siempre se incluye. El PCA no captura una coincidencia si falta esta cabecera de la solicitud. Creación de un eento Tealeaf proporciona un eento de bloque de creación que detecta la presencia de una coincidencia ReqCancelled: Req Cancelled [BB-NoDim]. En su calidad de eento de bloque de creación, no es pasible de ser encontrado. A continuación se dan algunos pasos generales para crear el objeto de eento para realizar el seguimiento de coincidencias canceladas de solicitud: 1. Inicie sesión en el portal como administrador. 2. Desde el menú del portal, seleccione Configurar > Gestor de eentos. 3. Aparece el Gestor de eentos de Tealeaf. Consulte "Gestor de eentos de Tealeaf" en el Manual del Gestor de eentos de IBM Tealeaf. 4. Haga clic en la pestaña Eentos. 5. Haga clic en Nueo eento... Aparece el asistente Añadir eento. 6. Configure las propiedades siguientes: Propiedad Descripción Name Sugiera Req Cancelled Type. Description Sugiera Type of canceled request: client or serer. Ealuate Establezca en Eery Hit 294 IBM Tealeaf CX Passie Capture Application: Manual de PCA

305 Track Establezca en First Per Session, aunque esto es para una coincidencia. Value Type Establezca en Text. 7. Deje los demás alores como los predeterminados. Haga clic en el paso Condición. a. En el panel de la izquierda, haga clic en la categoría Eentos. b. Haga clic en Tealeaf Standard Eents. c. Seleccione ReqCancelled [BB-NoDim]. El eento se añade como una condición a la definición de eentos Req Canceled Type. 1) En la primera lista desplegable de la condición de eento añadida, seleccione Value. 2) En la lista desplegable operador de condición, seleccione Equals. 3) En el tercer recuadro de texto, escriba seridor. 4) Deje en blanco la casilla de erificación sensible a las mayúsculas y minúsculas. d. En el panel izquierdo, seleccione nueamente ReqCancelled [BB-NoDim]. 1) Llénelo como se indica anteriormente, exceptuando el tercer recuadro de texto, donde debe introducir cliente. e. En la lista desplegable de la parte superior del panel de configuración principal, seleccione: Any of the following conditions must be met f. El paso Condición se configura para probar la presencia de alguna de las condiciones de eentos. Debe erse como la pantalla siguiente: Figura 44. Tipo de eento Req Canceled - Paso Condición 8. Haga clic en la pestaña Valor. a. Haga clic en Seleccionar elemento para registrar... b. En el diálogo Seleccionar elemento, haga clic en la categoría Eentos. c. Haga clic en Eentos estándar de Tealeaf. d. Seleccione Req Cancelled [BB-NoDim]. e. Deje el alor de la lista desplegable como Value. f. El alor para registrar se configura para ser el alor de Req Cancelled [BB-NoDim], que se establece en serer o client si se cumple alguna de las Apéndice E. Apéndice - Temas adicionales de la Captura pasia 295

306 condiciones de eentos. Debe erse como la pantalla siguiente: Figura 45. Tipo de eento Req Canceled - Paso Valor 9. Debe configurar los otros pasos de la definición de eentos según sea necesario para el entorno. 10. Haga clic en Guardar borrador. 11. En la pestaña Eentos, haga clic en Guardar cambios para confirmar el nueo eento en el seridor. Búsqueda de sesiones con tipo ReqCancelled El eento mencionado anteriormente ahora está definido para registrar el alor client o serer si el isitante o el seridor web cancelan una solicitud. A traés del portal puede buscar apariciones de este eento. Nota: Después que el eento se guarda en el seridor, está actio y es procesado en cada coincidencia. Puede pasar algún tiempo antes que las sesiones con solicitudes canceladas sean capturadas y procesadas por Tealeaf. Para buscar el eento ReqCancelled Type, complete los pasos siguientes: 1. En el portal, seleccione Buscar > Sesiones completadas. 2. Para buscar la aparición de una coincidencia ReqCancelled en una sesión: a. Borre cualquiera de los términos de búsqueda predeterminados. b. Pulse el término de búsqueda Eentos. c. Pulse <seleccionar un eento. d. En el Selector de eentos, deje en blanco la casilla de erificación Ver por códigos. e. En el recuadro de búsqueda, introduzca Req Cancelled. f. Seleccione Req Canceled Type. g. Pulse Seleccionar. h. Se muestra su búsqueda de la existencia del eento en una en una sesión. Debe erse como la pantalla siguiente: 296 IBM Tealeaf CX Passie Capture Application: Manual de PCA

307 Figura 46. Tipo Req Canceled - Búsqueda de la existencia del eento 3. Para buscar un tipo específico de coincidencia ReqCancelled en una sesión: a. Borre cualquiera de los términos de búsqueda predeterminados. b. Pulse el término de búsqueda Valores de eentos. c. Pulse <seleccionar un eento>. d. En el Selector de eentos, deje en blanco la casilla de erificación Ver por códigos. e. En el recuadro Búsqueda, introduzca Req Canceled. f. Seleccione Req Canceled Type. g. Pulse Seleccionar. h. En el término de búsqueda, erifique que el operador de búsqueda esté establecido en Includes. i. En el recuadro de texto introduzca uno de los siguientes alores: serer - buscar coincidencias ReqCancelled iniciadas por el seridor client - buscar coincidencias ReqCancelled iniciadas por el cliente j. Se muestra su búsqueda de un tipo específico de coincidencia ReqCancelled en una sesión. Debe erse como la pantalla siguiente: Figura 47. Tipo Req Cancelled - Buscar coincidencias ReqCancelled del seridor 4. Para ejecutar las búsquedas, pulse Buscar. 5. De la lista de sesiones que se muestra, puede seleccionar una para reisarla y obtener más información. Si se deuelen sesiones, puede localizar la coincidencia donde se produjo la ReqCancelled utilizando los siguientes métodos generales: Apéndice E. Apéndice - Temas adicionales de la Captura pasia 297