Decoder : Mapper l'adresse IP avec le type de service

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Cette rubrique décrit la procédure pour mapper une adresse IP à un type de service pour l'analyse de log.

Le Log Collector découvre le type de source d'événement de chaque message. Si l'analyseur n'est pas approprié à la source d'événement spécifiée, les messages qui sont communs entre les types de sources d'événements seront mal classés. Les messages mal identifiés ne renseignent pas les règles ni les alertes de service, et les rapports ne contiennent pas les informations appropriées. En outre, s'il y a plusieurs services associés à une adresse IP, il peut être difficile pour les analyseurs d'identifier le service exact à partir duquel le log est généré. 

Si vous mappez une adresse IP à ses services, le Log Decoder peut identifier le service à partir duquel le log est généré. Lorsque les messages sont dans le Log Decoder à partir d'un service mappé, les analyseurs affectés sont chargés de trouver les correspondances d'événements. 

Vous pouvez attribuer des types de service pour IPV4, IPV6, ou la valeur de nom d'hôte de la source d'événement. Vous pouvez également affecter plusieurs types de services à une seule adresse IP. Vous pouvez aussi utiliser CollectorID lorsque différents types de services avec la même adresse IP sont envoyés à différents collecteurs.

Mapper une adresse IP à un type de service

Pour mapper une adresse IP à un type de service, procédez comme suit :

  1. Accédez à ADMIN > Services.
  2. Dans la vue Services, sélectionnez un Log Decoder, et dans la colonne Actions, sélectionnez Actions menu  > Vue > Explorer.
  3. Accédez au nœud /decoder/parsers, cliquez avec le bouton droit sur parsers, puis sélectionnez Propriétés.
  4. Dans la vue Propriétés, spécifiez la commande ipdevice avec les paramètres suivants :
    op=add/remove entries="ipaddress=service” (par exemple, op=add entries="10.100.201.300=ciscoasa")
  5. Cliquez sur Envoyer.
    This is an example of what you should see now.

Commande IPdevice

Dans la commande ipdevice, trois opérations sont disponibles :

  • add : Cette opération ajoute ou met à jour des entrées dans le mappage ipdevice. Vous pouvez spécifier plusieurs paires adresse/type séparées par des espaces.
    op=add entries="<address>=<service type>"
  • remove : Cette opération supprime les entrées du mappage ipdevice. Vous pouvez spécifier plusieurs paires adresse/type séparées par des espaces.
    op=remove entries="<address>"
  • describe : Cette opération renvoie les valeurs actuellement présentes dans le mappage ipdevice.

Mapper une adresse IP à un fuseau horaire

Souvent les journaux de temps ne spécifient pas entièrement les horodatages et il peut manquer des informations sur le fuseau horaire. Pour normaliser correctement ces horodatages en UTC, le Log Decoder offre la possibilité d’associer les périphériques à partir d’une adresse spécifique (IPv4 ou IPv6) ou du nom d’hôte à un fuseau horaire ou un écart fixe.

Il existe actuellement trois formats de fuseau horaire acceptés et ils sont présentés dans les exemples suivants :

  • Format Olson : Amérique/Anguilla
  • Format POSIX : AST2:45ADT0:45,M4.1.6/1:45,M10.5.6/2:45
  • Format avec écart d’heures : = -500

NetWitness Platform mappe l’adresse du périphérique (IPv4 ou IPv6) ou le nom d’hôte à un fuseau horaire ou écart. Les métas liées au temps de l’événement qui sont analysées à partir d’un log provenant d’une adresse mappée et ne comprenant pas d’écart ou de fuseau horaire dans l’horodatage sont ajustées en heure UTC en fonction du mappage.

Pour mapper une adresse IP à un fuseau horaire, procédez comme suit :

  1. Accédez à ADMIN > Services.
  2. Dans la vue Services, sélectionnez un Log Decoder, et dans la colonne Actions, sélectionnez Actions menu > Vue > Explorer.
  3. Accédez au nœud /decoder/parsers, cliquez avec le bouton droit sur Parsers, puis sélectionnez Propriétés.
  4. Dans la vue Propriétés, spécifiez la commande iptmzone avec les paramètres suivants :
    op=add entries="ipaddress=timezone" (par exemple, op=add entries="10.10.10.10=Africa/Addis Ababa")
  5. Cliquez sur Envoyer.

Commande iptmzone

Dans la commande iptmzone, trois opérations sont disponibles :

  • add : Cette opération ajoute ou met à jour des entrées dans le mappage iptmzone. Vous pouvez spécifier plusieurs paires adresse/type séparées par des espaces.
    op=add entries="<address>=<time zone>"
  • remove : Cette opération supprime des entrées dans le mappage iptmzone. Vous pouvez spécifier plusieurs paires adresse/type séparées par des espaces.
    op=remove entries="<address>"
  • describe : Cette opération renvoie les valeurs actuellement présentes dans le mappage iptmzone.

Exemples

Les exemples suivants proposent des instances de mappage des adresses IP à des fuseaux horaires :

  • Si vous souhaitez mapper deux entrées différentes avec des valeurs IPV4 et des fuseaux horaires différents, saisissez le paramètre suivant dans la commande iptmzone, puis cliquez sur Send
    "op=add entries=”10.10.10.10=America/Anguilla 10.10.10.11=Pacific/Rarotonga”
  • Si vous souhaitez supprimer une entrée pour une valeur IPV4 et un fuseau horaire unique, saisissez le paramètre suivant dans la commande iptmzone, puis cliquez sur Envoyer.
    "op=remove entries=10.5.245.9"
  • Si vous souhaitez créer une entrée unique pour une valeur IPV6 et un fuseau horaire, saisissez le paramètre suivant dans la commande iptmzone, puis cliquez sur Envoyer.
    op=add entries=”2001:DB8:85A3::8A2E:370:7334=America/Anguilla”
  • Si vous souhaitez créer une entrée unique pour mapper un nom d’hôte, IPV4 ou IPV6 au format d’écart en minutes, Olson ou POSIX, saisissez le paramètre suivant dans la commande iptmzone, puis cliquez sur Envoyer.
    op=add entries="10.168.0.2=America/Anguilla 2001:DB8:85A3::8A2E:370:7334=0500nwappliance21=EST5EDT,M3.2.0/2,M11.1.0'
You are here
Table of Contents > Procédures supplémentaires de Decoder et Log Decoder > Mapper l'adresse IP avec le type de service

Attachments

    Outcomes