Decoder : Corriger les règles contenant une syntaxe non valide

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

Après la mise à jour vers NetWitness Platform 11.x, l’interface utilisateur signale les règles dont la syntaxe n’est pas valide. L'éditeur de règles fournit des infobulles supplémentaires. Une fois les règles corrigées, les mises en surbrillance disparaissent. La section Configurer les règles de Decoder indique que toutes les requêtes et conditions de règles dans NetWitness Platform doivent suivre.

Pour corriger les règles contenant une syntaxe non valide :

  1. Accédez à ADMIN > Services.
  2. Dans la vue Services, sélectionnez un Decoder, puis Actions menu cropped > Vue > Configuration.
  3. Dans la vue Configuration des services, sélectionnez l'un des onglets Règles : Règles réseau, Règles d'application ou Règles de corrélation.
    L'onglet Règles du type de règle sélectionné affiche le nombre de règles utilisant la syntaxe non valide et les règles non valides sont mises en surbrillance.
    Services Config view Rules tab

  4. Sélectionnez une règle non valide, puis cliquez sur The edit icon.
    L’éditeur de règles affiche des informations supplémentaires pour la règle non valide et comprend une option supplémentaire permettant l’enregistrement.
    This is an example of the Rule Editor dialog for an invalid rule.
  5. Dans le champ Condition, corrigez la syntaxe de la règle.
    Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre et adresses IP entre guillemets. Configurer les règles de Decoder fournit des informations supplémentaires.
    Par exemple, si la condition de règle non valide est ip.src="10.30.30.30", corrigez la syntaxe supprimant les guillemets : ip.src=10.30.30.30
  6. Exécutez l'une des opérations suivantes :
    • Pour corriger chaque règle, cliquez sur Enregistrer.
      La règle corrigée est appliquée indépendamment au Decoder. La règle corrigée s'affiche sous l'onglet Règles sans la mise en surbrillance. 
    • Pour corriger la règle et l'appliquer ultérieurement au Decoder avec d'autres règles, cliquez sur OK.
      La règle corrigée s'affiche sous l'onglet Règles sans la mise en surbrillance. La règle n'est pas appliquée au Decoder.
You are here
Table of Contents > Configurer les règles de Decoder > Corriger les règles contenant une syntaxe non valide

Attachments

    Outcomes