CLI : Commandes utiles

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Les commandes de la console NwConsole sont utiles lors de l'interaction avec les services Security Analytics Core :

  • feed : Permet de créer et d'utiliser les fichiers de feed.
  • makepcap : Convertit les fichiers DB (Packet database) en fichiers PCAP.
  • packets : Récupère les paquets ou les logs auprès du service connecté.
  • hash : Crée ou vérifie les hachages des fichiers de base de données.

Les sections suivantes, ainsi que les pages d'informations (man) et d'aide NwConsole, donnent des informations supplémentaires.

Flux

La commande feed fournit plusieurs utilitaires pour la création et l'examen des fichiers de feed. Un fichier de feed contient la définition et les données d'un seul feed dans un format qui a été précompilé pour un chargement efficace par un service Decoder ou Log Decoder. Pour une référence complète sur les définitions de feed, reportez-vous à la section Fichier de définition de feed dans le Guide de configuration de Decoder et Log Decoder.

create

feed create <definitionfile> [-x <password>]

La commande feed create génère des fichiers de feed pour chaque feed défini dans un fichier de définition de feed. Un fichier de définition est un document XML qui contient une ou plusieurs définitions. Chaque définition de feed spécifie un fichier de données et la structure de ce fichier de données. Les fichiers de feed résultants sont créés dans le même répertoire que le fichier de définition avec le même nom que le fichier de données, mais avec l'extension remplacée par .feed (par exemple, les résultats datafile.csv dans datafile.feed). Tous les fichiers existants portant le nom cible sont écrasés sans notification.

 $ ls
example-definition.xml example-data.csv
$ NwConsole
RSA Security Analytics Console 10.5.0.0.0
Copyright 2001-2015, RSA Security Inc. All Rights Reserved.

Type "help" for a list of commands or "man" for a list of manual pages.
> feed create example-definition.xml
Creating feed Example Feed...
done. 2 entries, 0 invalid records
All feeds complete.
> quit
$ ls
example-definition.xml example-data.feed example-data.csv
$

Facultatif - Les fichiers de feed peuvent être obfusqués en utilisant l'option -x suivie d'un mot de passe d'au moins 16 caractères (sans espace). Il est appliqué à tous les feeds définis dans le fichier de définition. En plus du fichier de feed, un fichier token est généré pour chaque fichier de feed. Le fichier token doit être déployé avec le fichier de feed correspondant.

feed create example-definition.xml -x 0123456789abcdef

stats

feed stats <feedfile>

La commande feed stats fournit des informations récapitulatives sur un fichier de feed existant, non obfusqué. La spécification d'un fichier de feed obfusqué se traduit par une erreur.

  > feed stats example.feed
    Example Feed stats:
        version     : 0
        keys count  : 1
        values count: 2
        record count: 2
        meta key    : ip.src/ip.dst
        language keys:
            alert    Text

dump

feed dump <feedfile> <outfile>

La commande feed dump génère une paire de clé-valeur normalisée affichant un fichier de feed non obfusqué. Vous pouvez utiliser le fichier résultat pour valider un fichier de feed ou aider à déterminer les enregistrements considérés comme non valides lors de la création du feed. La spécification d'un fichier de feed obfusqué se traduit par une erreur. Si outfile est présent, la commande s'annule sans écraser le fichier existant.

feed dump example.feed example-dump.txt

Conversion des fichiers Packet DB en fichiers PCAP

Vous pouvez utiliser la commande makepcap pour convertir rapidement un fichier Packet DB en un fichier PCAP générique, en conservant l'ordre horaire des captures. Cette commande offre de nombreuses options (reportez-vous à la section help makepcap), mais elle est facile à utiliser. Le répertoire Packet DB est indispensable pour le démarrage de cette commande (via le paramètre source=<pathname>).  

Remarque : Vous devez arrêter le service Decoder ou Archiver avant d’exécuter cette commande. Si vous souhaitez générer un fichier PCAP lorsque le service est en cours d’exécution, consultez la commande packets.

makepcap source=/var/netwitness/decoder/packetdb

Cette commande convertit chaque fichier Packet DB en un fichier PCAP correspondant dans le même répertoire. Si le disque est presque plein, voir la commande suivante.

makepcap source=/var/netwitness/decoder/packetdb dest=/media/usb/sde1

Cette commande écrit tous les fichiers PCAP de sortie dans le répertoire figurant sous /media/usb/sde1.

makepcap source=/var/netwitness/decoder/packetdb dest=/media/usb/sde1 filenum=4-6

Cette commande convertit uniquement les fichiers numérotés entre 4 et 6, et ignore tous les autres fichiers. En d’autres termes, elle convertit les fichiers Packet DB : packet-000000004.nwpdb, packet-000000005.nwpdb et packet-000000006.nwpdb.

makepcap source=/var/netwitness/decoder/packetdb time1="2015-03-01 14:00:00" time2="2015-03-02 07:30:00" fileType=pcapng

Cette commande extrait uniquement les paquets avec un horodatage compris entre le 1er mars 2015 à 14:00 et le 2 mars 2015 à 07h30. Elle écrit le fichier au format pcapng dans le même répertoire que la source.  Tous les horodatages sont au format UTC.

Paquets

Vous pouvez utiliser la commande packets pour générer un fichier PCAP ou log basé sur une liste d'ID de session, une période de temps, ou une clause Where. Cette commande est très flexible, vous pouvez l'utiliser avec n'importe quel service en cours d'exécution ayant accès aux données brutes d'un composant en aval. Avant d’exécuter la commande, vous devez d’abord login à un service, puis accédez au répertoire du nœud sdk approprié (par exemple, cd /sdk). Contrairement à la commande makepcap, qui ne fonctionne que sur le système de fichiers local, vous utilisez cette commande pour un service à distance.

 login ...

cd /sdk

packets where="service=80 && time='2015-03-01 15:00:00'-'2015-03-01 15:10:00'" pathname="/tmp/march-1.pcap"

Cette commande consigne 10 minutes de données de paquets uniquement HTTP à partir du 1er mars dans le fichier /tmp/march-1.pcap. Toutes les heures sont au format UTC.

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00" pathname=/media/sdd1/packets.pcap.gz

Cette commande consigne tous les paquets en deux fois dans un fichier compressé GZIP sous /media/sdd1/packets.pcap.gz.

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00" pathname=/media/sdd1/mylogs.log

Cette commande écrit tous les logs en deux fois dans un fichier de texte en clair dans /media/sdd1/mylogs.log. N’importe quel chemin d’accès se terminant par .log indique que le format du fichier de sortie doit être un log de texte en clair délimité par une ligne.

Vérification des hachages de base de données

Par défaut, Archiver crée un fichier XML pour chaque fichier DB qui est consigné. Ce fichier XML se termine par l'extension .hash et contient un hachage du fichier, ainsi que d'autres informations pertinentes. Vous pouvez utiliser la commande hash pour vérifier que le fichier DB n'a pas été altéré par la lecture de la table de hachage stockée dans le fichier XML. Vous pouvez ensuite hacher à nouveau le fichier DB pour vérifier que le hachage est valide.

hash op=verify hashfile=/var/netwitness/archiver/database0/alldata/packetdb/packet-000004880.nwpdb.hash

Cette commande vérifie que le fichier Packet DB packet-000004880.nwpdb correspond toujours au hachage dans le fichier XML packet-000004880.nwpdb.hash.  Pour une sécurité optimale, le fichier de hachage doit être stocké à un autre emplacement pour éviter l'altération du fichier XML (comme pour les médias non réinscriptibles), mais la commande de hachage elle-même ne tient pas compte de son lieu de stockage.

You are here
Table of Contents > Console RSA Security Analytics > Commandes utiles

Attachments

    Outcomes