ESM: Registerkarte „Protokoll-Parser-Regeln“

Document created by RSA Information Design and Development on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

WICHTIG: Die Informationen in diesem Thema gelten nur für RSA NetWitness® Platform Version 11.1. Für Version 11.2 wurde diese Registerkarte neu gestaltet und nach KONFIGURIEREN verschoben. Weitere Informationen finden Sie unter Die Registerkarte „Protokoll-Parser-Regeln“ in NetWitness 11.2.

Auf der Registerkarte „Protokoll-Parser-Regeln“ werden Informationen zu einzelnen Protokollparsern angezeigt sowie der Standardparser „Alle analysieren“, mit dem Protokolle analysiert werden können, die keinem bestimmten Protokoll-Parser zugeordnet sind.

Um auf diese Registerkarte zuzugreifen, navigieren Sie zu ADMIN > Ereignisquellen > Protokoll-Parser-Regeln.

Auf dieser Registerkarte finden Sie folgende Informationen:

  • Sie können die Regeln für einen bestimmten Ereignisquelltyp anzeigen, einschließlich des Standardsarsers.
  • Sie können die Namen, Literale, Muster und Metadaten für jeden konfigurierten Protokollparser anzeigen.

Workflow

Dieser Workflow ist vom allgemeinen Prozess zur Konfiguration von Ereignisquellen getrennt.

Was möchten Sie tun?

                                 
RolleZielDokumentation

Administrator

Anzeigen und Ändern von Ereignisquellen.

Managen von Ereignisquellengruppen

Administrator

Bestätigen und Zuordnen von Ereignisquellen.

Bestätigen und Zuordnen von Ereignisquellen

Administrator

Hinzufügen und Konfigurieren von Parser-Zuordnungen für einen Log Decoder.

Parser-Zuordnungen verwalten

Administrator

Troubleshooting für das Ereignisquellenmanagement.

ESM-Troubleshooting & Anhang

*Sie können diese Aufgabe hier durchführen.

Verwandte Themen

Erstellen von Ereignisquellengruppen

Erstellen von Ereignisquellen und Bearbeiten von Attributen

Anzeigen von Protokollen von einer Log Decoder-Version vor 11.0

Überblick

Hinweis: Die Liste der Protokollparser basiert auf dem ersten Log Decoder, der vom Orchestrierungsserver installiert oder registriert wurde. Wenn Sie mehr als einen Log Decoder haben, werden auf dieser Registerkarte nur Protokollparser aufgelistet, die für den ersten konfiguriert wurden.

Auf der Registerkarte „Protokoll-Parser-Regeln“ werden Informationen zu den in Ihrem System konfigurierten Protokollparsern angezeigt. Diese Registerkarte umfasst drei Bereiche: eine Liste mit Protokollparsern sowie einen Details- und einen Regelbereich zum ausgewählten Protokollparser.

         

Bereich mit der Protokollparserliste

In dieser Liste sind die konfigurierten Protokollparser aufgelistet. Wählen Sie einen bestimmten Protokollparser aus, um seine Details in den Detail- und Regelbereichen anzuzeigen.

Detailsbereich

Der Detailsbereich enthält die Tokenübereinstimmung, die Werteübereinstimmung und die Zuordnungsinformationen für den ausgewählten Protokollparser. Zusätzlich zeigt er ein Beispiel für die Analyse einer Protokollnachricht an.

                         
1

Zeigt den Namen des ausgewählten Protokollparsers und die aktuell ausgewählte Regel an. Dieser Wert ändert sich, wenn Sie eine andere Regel für diesen Parser auswählen.

2

Zeigt die Tokenübereinstimmung für den ausgewählten Protokollparser an. Diese Werte werden durch die ausgewählte Regel bestimmt.

3

Zeigt den Typ und das Muster der Wertübereinstimmung für den ausgewählten Parser an. Diese Werte werden durch die ausgewählte Regel bestimmt.

4

Zeigt die NetWitness-Metadaten an, auf die die ausgewählte Regel alle übereinstimmenden Token abbildet. Diese Werte werden durch die ausgewählte Regel bestimmt.

5

Zeigt eine Beispielprotokollnachricht an und markiert Zeichenfolgen, die mit Token im ausgewählten Protokollparser übereinstimmen. Sie können dieses Feld bearbeiten und in Ihre eigenen Protokolle einfügen, um zu sehen, wie der ausgewählte Parser Ihre Protokolle analysieren wird.

Betrachten Sie beispielsweise folgendes Szenario:

  • Der Standardparser wird ausgewählt.
  • Die Regel Beliebige Domain wird ausgewählt.
  • Die Liste der übereinstimmenden Token zeigt alle Token an, die beim Vorkommen in einer Protokollnachricht übereinstimmen: Domain, Domain Name, domain, ADMIN_DOMAIN usw.
  • Die Metadatenliste zeigt die NetWitness-Metadaten an, auf die der Wert für das Token abgebildet wird: domain.

Nehmen wir also an, der Bereich mit der Beispielprotokollnachricht enthält folgenden Text:

       

Below are sample log messages:

May 5 2010 15:55:49 switch : %ACE-4-400000: IDS:1000 IP Option Bad Option List by user admin@test.com from 10.100.229.59 to 224.0.0.22 on port 12345.

Apr 29 2010 03:15:34 pvg1-ace02: %ACE-3-251008: Health probe failed for server 218.83.175.75:81, connectivity error: server open timeout (no SYN ACK) domain google.com with mac 06-00-00-00-00-00.

In diesem Fall sieht der Bereich mit der Beispielprotokollmeldung so aus:

Beachten Sie, dass manche Zeichenfolgen folgendermaßen farblich markiert sind:

  • Die dunkelblaue und hellblaue Markierung wird für Zeichenfolgen verwendet, die mit der aktuell ausgewählten Regel übereinstimmen.

    • Dunkelblau markierte Zeichenfolgen stimmen mit einem Token in der ausgewählten Regel überein. In diesem Fall wird das Token domain für die Regel Beliebige Domain auf Übereinstimmung geprüft.
    • Hellblau markierte Zeichenfolgen sind die Werte, die den dunkelblau markierten Token entsprechen. Daher ist beispielsweise google.com hellblau markiert, weil es mit dem Token domain übereinstimmt.
  • Orangefarbene und gelbe Markierungen werden für Zeichenfolgen verwendet, die mit Regeln für den aktuellen Parser übereinstimmen, die derzeit nicht ausgewählt sind.

    • Orange markierte Zeichenfolgen stimmen mit einem Token in einer Regel überein, die derzeit nicht ausgewählt ist.
    • Gelb markierte Zeichenfolgen sind die Werte, die den orange markierten Token entsprechen. Zum Beispiel entspricht das Token user der Regel Nutzername, die derzeit nicht ausgewählt ist.

In diesem Beispiel würde den Metadaten von domain der Wert google.com für diese Protokollnachricht zugewiesen werden, wenn sie mit dem Standardprotokollparser analysiert würden.

Regelbereich

Der Regelbereich zeigt die Liste der Regeln an, die vom ausgewählten Protokollparser verwendet werden. Wenn Sie eine Regel auswählen, ändern Sie die Werte, die in den Bereichen mit den Token und den Werten angezeigt werden.

         

Beachten Sie die markierten Regeln:

  • Die derzeit ausgewählte Regel ist blau markiert.
  • Andere Regeln, die mit Token im Bereich mit der Beispielprotokollnachricht übereinstimmen, sind orange markiert.
You are here
Table of Contents > Referenzen > Registerkarte „Protokoll-Parser-Regeln“ (nur Version 11.1)

Attachments

    Outcomes