CLI : Commande SDK Content

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

L'une des puissantes commandes de NwConsole est sdk content. Elle propose de nombreuses options pour l'extraction de contenu de la pile Security Analytics Core. Vous pouvez l'utiliser pour créer des fichiers PCAP et des fichiers log, ou extraire des fichiers de sessions réseau (par exemple, pour extraire toutes les images de sessions d'e-mails). Elle permet d'ajouter des fichiers, d'attribuer une taille maximale avant de créer un nouveau fichier et de nettoyer automatiquement des fichiers lorsque le répertoire devient trop volumineux. Elle exécute des requêtes en arrière-plan pour trouver de nouvelles sessions. Elle sépare les requêtes en groupes faciles à gérer et réalise ces opérations de manière automatique. Lorsque le groupe est épuisé, elle lance une nouvelle requête pour obtenir un nouvel ensemble de données pour effectuer d'autres opérations. La liste d'options disponibles pour la commande sdk content est particulièrement étendue.

Du fait que la commande propose de si nombreuses options, ce document donne des exemples de commandes pour différents exemples d'utilisation.

Avant de pouvoir exécuter sdk content, vous devez exécuter différentes commandes (comme la connexion à un service). Voici certains exemples :

  • Connectez-vous d'abord à un service :
    sdk open nw://admin:netwitness@10.10.25.50:50005 
  • Si vous souhaitez vous connecter via SSL, utilisez le protocole nws :
    sdk open nws://admin:netwitness@10.10.25.50:56005
  • Gardez à l'esprit que si vous passez une URL, vous devez chiffrer l'URL correctement. Si le mot de passe est p@ssword, l'URL ressemble à cela : sdk open nw://admin:p%40ssword@10.10.25.50:50005
    Cela s'applique également au nom d'utilisateur.
  • Lorsque vous êtes connecté, vous pouvez définir un répertoire de sortie pour les commandes : sdk output <some pathname>
  • Pour obtenir de l'aide sur la ligne de commande, saisissez :sdk content

Avant de tester des exemples de commandes, il est important de comprendre le paramètre sessions. Ce paramètre est particulièrement important et contrôle la quantité de données que vous souhaitez extraire (la clause where est également importante). Le paramètre sessions est un ID de session unique ou une plage d'ID de sessions. Tous les services Security Analytics Core utilisent les ID de sessions qui commencent par 1 et augmentent d'1 à chaque nouvelle session ajoutée au service (session de log ou réseau). Les ID de session sont des nombres entiers de 64 bits, donc ils sont assez longs. Pour simplifier, considérons que Log Decoder a intégré et analysé 1 000 logs. Dans le service, vous avez maintenant 1 000 sessions avec des ID de sessions entre 1 et 1 000 (l'ID de session 0 n'est jamais valide). Si vous souhaitez opérer l'intégralité des 1 000 sessions, passez la commande sessions=1-1000. Si vous ne souhaitez opérer que les 100 dernières sessions, passez la commande sessions=901-1000. Lorsque la commande termine le traitement de la 1000e session, elle revient à l'invite de commande.

Souvent, les plages de sessions spécifiques n'ont pas d'intérêt. Nous voulons seulement exécuter une requête sur toutes les sessions et traiter les sessions qui correspondent à la requête. Voici quelques raccourcis pour simplifier cette procédure :

  • La lettre l (L minuscule) indique la limite inférieure ou l'ID de session le plus bas.
  • La lettre u indique l'ID de session le plus élevé. D'ailleurs, il indique l'ID de session le plus élevé également pour les sessions futures. En d'autres mots, si vous passez la commande sessions=l-u, cette plage particulière indique d'opérer sur toutes les sessions actuelles du système, mais également de ne pas arrêter le traitement, et de traiter les nouvelles sessions au fur et à mesure qu'elles entrent sur le système. La commande se met en pause et attend de nouvelles sessions lorsque la dernière session du service est atteinte. Pour résumer, la commande ne s'arrête jamais et passe en mode de traitement continu. Elle s'exécute pendant des jours, des mois ou des années, à moins qu'elle ne soit arrêtée de force.
  • Si vous ne souhaitez pas que la commande s'exécute sans fin, vous pouvez passer la commande now en tant que limite supérieure. Elle détermine le dernier ID de session du service au moment où la commande se lance et traite toutes les sessions jusqu'à ce que cet ID soit atteint. Lorsque cet ID de session est atteint, la commande s'arrête, quelle que soit la quantité de sessions ajoutée depuis que la commande est lancée. Ainsi, pour l'exemple du Log Decoder, sessions=200-now lance le traitement à la session 200, jusqu'à la session 1000, puis s'arrête. Même si 1 000 logs ont été ajoutés au Log Decoder après le début de la commande, la commande s'arrête après le traitement de la session 1 000.
  • Le paramètre sessions=now-u indique de commencer le traitement à la toute dernière session, puis de continuer le traitement de toutes les nouvelles sessions entrantes. Aucune session existante n'est traitée (à l'exception de la dernière) : seules les nouvelles sessions le sont.

Pour obtenir des exemples de commandes et leur description, saisissez man sdk content examples ou consultez la section Exemples de commandes SDK content.

Previous Topic:Commandes utiles
You are here
Table of Contents > Console RSA Security Analytics > Commande SDK Content

Attachments

    Outcomes