Decoder : Onglet Règles d'application

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

L'onglet Règles d'application (ADMIN > Services >, puis cliquez sur sélectionnez un Decoder ou un Log Decoder et cliquez sur The actions drop-down menu > Vue > Config > onglet Règles d'application) vous permet de gérer les règles d'application. NetWitness Platform applique les règles d'application au niveau de la session.

Que voulez-vous faire ?

                  
Rôle d'utilisateurJe souhaite...Documentation
Administrateurajouter ou modifier des règles d'applicationConfigurer des règles d'application

Rubriques connexes

Aperçu rapide

La figure suivante illustre l'onglet Règles d'application et le tableau décrit les colonnes.

This is the App Rules tab.

                                   
ColonneDescription

En attente 

Cette colonne indique si une règle dispose de modifications en attente. Les règles actuellement actives sur le Decoder ne disposent pas d'indicateur. Si la règle est nouvelle ou a subi une modification, la colonne affiche The pending icon . Lorsque les règles sont appliquées, l'indicateur En attente est supprimé.

Name

Il s'agit du nom de la règle, un identifiant descriptif de la règle.

Condition

Il s'agit de la définition de la condition qui déclenche une action lorsqu'elle est rencontrée.

Données de session

Cette colonne affiche l'action des Données de session qui est réalisée lorsqu'un paquet correspond à la règle. Les valeurs possibles sont Filtrer, Conserver ou Tronquer.

Alert

Cette colonne affiche le nom de l'alerte personnalisée que le service Decoder génère en cas de correspondance entre les métadonnées et la règle.

État

Cette colonne indique si la règle est activée ou désactivée à l'aide d'une icône circulaire. Si le cercle est vert, la règle est activée. Si le cercle est vide, la règle est désactivée.

Boîte de dialogue Éditeur de règles

La figure suivante affiche la boîte de dialogue Éditeur de règles pour une règle d'application.

the Rule Editor dialog

La boîte de dialogue Éditeur de règles propose les champs et options nécessaires pour définir une règle d'application. 

                   
ChampDescription
Nom de la règle Nom descriptif qui identifie la règle.
Condition Définition de la condition qui déclenche une action lorsqu'elle est rencontrée. Vous pouvez effectuer une saisie directement dans le champ ou élaborer une condition dans ce champ à l'aide des métadonnées provenant des actions de la fenêtre Intellisense. Lors de l'élaboration de la définition de règle, Intellisense affiche des erreurs et avertissements de syntaxe.

Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre et d'adresses IP entre guillemets.Configurer les règles de Decoder fournit des informations supplémentaires.

Le tableau suivant décrit les actions et options de la section Données de session.

                                       
ActionDescription
Arrêter le traitement d'une règle Si cette option est cochée, aucune nouvelle évaluation de règle ne se produira en cas de correspondance avec la règle, et la session sera enregistrée comme indiqué par l'action de la session. Si cette option n'est pas cochée, l'évaluation des règles continue jusqu'à ce que toutes les règles soient évaluées.
Conserver La charge utile du paquet et les métadonnées associées sont enregistrées lorsqu'elles correspondent à la règle.
Filtrer Le paquet n'est pas enregistré lorsqu'il correspond à la règle.
Tronquer


Tronquer tout – tronque tous les octets de la charge utile de la session. La charge utile du paquet n'est pas enregistrée lorsqu'elle correspond à la règle, mais les en-têtes des paquets et les autres métadonnées associées sont conservés. Il s'agit de l'option de troncature par défaut.

Tronquer après les premiers octets < n > : tronque les octets de la charge utile de la session après les premiers octets < n > spécifiés, où < n > est un nombre entier. La charge utile du paquet n'est pas enregistrée après <n> octets lorsqu'elle correspond à la règle, mais les en-têtes des paquets et les autres métadonnées associées sont conservés.

Tronquer SSL/TLS après le handshake pour tronquer la charge utile de toutes les sessions, sauf dans le cas d'une session SSL/TLS, où l'échange SSL est conservé, mais le reste de la charge utile n'est pas enregistré. Cette option est utilisée avec les analyseurs SSL.

Alerter et Alerte activéeSi l'option Alerter est activée, le paquet génère une alerte personnalisée lorsque les métadonnées correspondent à la règle. Vous pouvez sélectionner le nom de l'alerte dans le champ Alerte activée.
Faire suivre Active les performances de transfert Syslog lorsque le log correspond à la règle.
Transitoire Empêche les métadonnées de l'alerte qui est créée d'être écrites sur le disque.

Le tableau suivant décrit les actions de la boîte de dialogue Éditeur de règles. 

                           
ActionDescription
Réinitialiser Réinitialise le contenu de la boîte de dialogue aux valeurs précédant la modification ; les modifications sont ignorées.
Annuler Annule toute modification et ferme la boîte de dialogue Éditeur de règles.
OK Enregistre la nouvelle règle ou la règle modifiée, et l'ajoute à la grille de règles. La boîte de dialogue Éditeur de règles se ferme.
Enregistrer (Règles avec une syntaxe obsolète uniquement) Applique une règle corrigée de manière individuelle au service Decoder. Reportez-vous à la section Corriger les règles contenant une syntaxe non valide.
You are here
Table of Contents > Références de Decoder et Log Decoder > Vue Configuration des services - onglet Règles d’application

Attachments

    Outcomes