Decoder : Parsers GeoIP2 et GeoIP

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Cette rubrique décrit les parsers GeoIP2 et GeoIP pour les décodeurs. Vous ne pouvez activer qu’un seul de ces parsers à un moment donné. Ces deux parsers convertissent les adresses IP en emplacements géographiques, tels que le nom du pays et la ville où l'adresse IP est généralement située.

Parser GeoIP2

Disponible dans NetWitness Platform la version 11.2 ou ultérieure, le parser GeoIP2 est activé par défaut pour les mises à niveau et les nouvelles installations. Le parser GeoIP2 fournit le dernier package MaxMind GeoIP et prend en charge les adresses IPv6, ainsi que IPv4.

La configuration du parser GeoIP2 peut être modifiée en procédant comme suit :

  1. Accédez à ADMIN > Services.
  2. Dans la vue Services d’administration, sélectionnez un Log Decoder ou un Decoder.
  3. Cliquez sur l'icône Paramètres (Image of the Action button) et sélectionnez Vue > Configuration. Le panneau Configuration des parseurs s'affiche, à partir duquel vous pouvez sélectionner GeoIP2 pour afficher et mettre à jour les options de configuration.

Vous pouvez définir les adresses IP à rechercher. Le parseur GeoIP2 active les adresses IP suivantes par défaut : ip.src, ip.dst, ipv6.src et ipv6.dst. Vous pouvez toutefois mettre à jour les options en utilisant parsers.options pour supprimer ou ajouter de nouvelles adresses IP. Par exemple, vous pouvez modifier parsers.options et passer une liste d’adresses IP séparées par des virgules à utiliser comme suit :
GeoIP2="ipaddr=ip.src,ip.dst,ipv6.src,ipv6.dst,ip.addr"
Cela ajoutera une nouvelle adresse IP à la recherche appelée ip.addr. Toutefois, ip.addr ne se termine pas par .src ou .dst. Le parseur choisira donc de placer les métadonnées GeoIP2 générées dans les métadonnées sans suffixe .src ou .dst. Ainsi, vous pouvez voir le pays, la ville, et ainsi de suite, après les métadonnées ip.addr.

Remarque : La liste que vous transmettez pour ip.addr remplace la liste par défaut. Donc, si vous transmettez ipaddr=ip.src, il générera des métadonnées GeoIP2 uniquement pour ip.src à l’exclusion de toute autre adresse IP.

Remarque : parsers.options est utilisé pour transmettre des options à plusieurs parsers. Donc, si vous ajoutez GeoIP2, vous ne devez pas supprimer les autres options transmises à d'autres parser (comme l’entropie).

Le tableau suivant fournit la liste complète des métadonnées que le parseur GeoIP2 peut potentiellement générer et indique quelles métadonnées sont ou non activées par défaut :

                           
Activée par défautNon activée
country, country.src, country.dstlatdec, latdec.src, latdec.dst
 longdec, longdec.src, longdec.dst
domain, domain.src, domain.dstisp, isp.src, isp,dst
org, org.src, org.dstcity, city.src, city.dst

Vous pouvez activer les autres métadonnées à l'aide des configurations de parser standard.

Remarque : En désactivant certaines métadonnées par défaut, le parser GeoIP2 ne fonctionne pas de la même façon que le parser GeoIP (qui n'a pas, par défaut, désactivé les métadonnées qu'il a générées). Si vous avez besoin d'une des métadonnées désactivées, vous devrez les activer (une seule fois) pour chaque Decoder, après la mise à niveau vers 11.2 ou une version ultérieure. Gardez à l'esprit que les champs de métadonnées isp et org produisent généralement une valeur équivalente à domain.

Parser GeoIP

Le parser GeoIP est un parser plus ancien disponible dans les versions précédentes de NetWitness Platform, mais il est toujours pris en charge en plus du parser GeoIP2 plus récent. Pour modifier la configuration du parser, les utilisateurs peuvent modifier ses options à partir d'ici : Vue Configuration des services > Fichiers > GeoPrivate.ipl.

Les métadonnées de géolocalisation dans GeoPrivate.ipl, sont ajoutées pour ip.src et ip.dst. Le parser utilise deux fichiers de données externes, GeoCity.dat et GeoCountry.dat, qui sont tous deux stockés dans le répertoire de l'application. Comme indiqué dans le tableau ci-dessous, il existe jusqu'à huit métadonnées pour chaque adresse IP.

                                         
MétadonnéesDescription
city.dst Ville de destination
city.src Ville source
country.dst Pays de destination
country.src Pays source
latdec.dst Latitude décimale de destination
latdec.src Latitude décimale source
longdec.dst Longitude décimale de destination
longdec.src Longitude décimale source
Previous Topic:Fonctions de chaîne
Next Topic:Parsers Lua
You are here
Table of Contents > Références de feed et d’analyseur > Parsers GeoIP2 et GeoIP

Attachments

    Outcomes