(オプション)標準のpcap形式ファイルに書き込むためのDecoderの設定

Document created by RSA Information Design and Development on Apr 29, 2019
Version 1Show Document
  • View in full screen mode
 

注:このトピックに記載されている情報はRSA NetWitness® Platformバージョン11.2以降に適用されます。

よりオープンなデータベース形式を提供するために、Network Decoderでは標準のpcap形式のファイルへの書き込みができるようになっています。pcapng形式のデータベース ファイルは、新しい設定ノードで有効にすることができます。
/database/config/packet.file.type = 'netwitness' or 'pcapng'

注:11.2を直接インストールすると、この機能はデフォルトで有効になります。以前のバージョンから11.2にアップグレードする場合は、pcapng形式のデータベース ファイルを手動で有効にする必要がありますが、ディスク領域が約4%減少する場合があります(pcapngファイルはnwdbファイルよりも多くのスペースを必要とするため)。10 Gbpsのキャプチャでpcapng形式を使用することもできます。この場合、パフォーマンスは大幅に低下しません(1%未満)。

標準のpcap形式ファイルの書き込みを有効にするには、次の手順に従います。

  1. [管理][サービス]に移動して、Network Decoderサービスを選択し、The actions menu[表示]>[エクスプローラ]を選択します。
  2. データベース]>[構成]に移動します。
  3. packet.file.type]では、デフォルトは[netwitness]になっています。
  4. パケット ファイル タイプを標準のpcap形式に変更するには、「pcapn」と入力します。この変更は、作成される次のパケット ファイルで即座に有効になります。

注:pcapngデータベース ファイル形式ではデータはクリア テキストであり、セキュリティの向上に役立つことのある、独自の形式によって難読化されません。

注意:パケット データベース ディレクトリ内のファイルには触れないでください。パケット データベース ディレクトリ内のpcapngファイルは読み取りまたは編集しないでください。これらのファイルはDecoderの実行中に常に使用されているためです。Decoderでは常にこれらのファイルへの完全で排他的なアクセスを予期しているため、これらのファイルを他のプロセスが読み取ろうとすると、通常のDecoderの操作が妨げられます。pcapngファイルに適切にアクセスするには、コールド ストレージ ディレクトリを設定します。これにより、Decoderは削除前にpcapngファイルをコールド ストレージ ディレクトリにコピーすることができます。その場合、コールド ストレージ ボリュームがいっぱいにならないようにするなど、pcapngファイルを管理する必要があります。pcapngファイルをコールド ストレージにコピーするにはかなりの量のI/O操作が必要であり、パケットのキャプチャに支障をきたす場合があることに注意してください。pcapngのコールド ストレージは10Gの速度ではサポートされていません。

You are here
Table of Contents > Decoderでの一般的な設定の構成 > 収集設定の構成 > (オプション)標準のpcap形式ファイルに書き込むためのDecoderの設定

Attachments

    Outcomes