CLI: Comandos útiles

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Los siguientes comandos de NwConsole son útiles cuando se interactúa con servicios Security Analytics Core:

  • feed: Permite crear y trabajar con archivos de feed.
  • makepcap: Convierte los archivos de base de datos (DB) de paquete en PCAP.
  • packets: Recupera registros o paquetes desde el servicio que tiene iniciada la sesión.
  • hash: Crea o verifica hashes de archivos de base de datos.

Las siguientes secciones, así como las páginas de información de temas (man) y de ayuda de NwConsole, ofrecen información adicional.

Feeds

El comando feed proporciona varias utilidades para crear y examinar los archivos de feed. Un archivo de feed contiene la definición y los datos de un único feed en un formato que se ha precompilado para que puedan cargarse de forma eficiente mediante un Decoder o Log Decoder. Para obtener una referencia completa sobre las definiciones de feed, consulte Archivo de definiciones de feed en la Guía de configuración de Decoder y Log Decoder.

create

feed create <definitionfile> [-x <password>]

El comando feed create genera archivos de feed para cada feed definido en un archivo de definición de feed. Un archivo de definición es un documento XML que contiene una o más definiciones. Cada definición de feed especifica un archivo de datos y la estructura de ese archivo de datos. Los archivos de feed resultantes se crearán en el mismo directorio que el archivo de definición con el mismo nombre del archivo de datos, pero con la extensión modificada a .feed (por ejemplo, datafile.csv da como resultado datafile.feed). Se sobrescribirán todos los archivos existentes con el nombre objetivo sin indicador alguno.

 $ ls
example-definition.xml example-data.csv
$ NwConsole
RSA Security Analytics Console 10.5.0.0.0
Copyright 2001-2015, RSA Security Inc. All Rights Reserved.

Type "help" for a list of commands or "man" for a list of manual pages.
> feed create example-definition.xml
Creating feed Example Feed...
done. 2 entries, 0 invalid records
All feeds complete.
> quit
$ ls
example-definition.xml example-data.feed example-data.csv
$

De manera opcional, los archivos de feed se pueden ocultar con la opción -x seguida de una contraseña de un mínimo de 16 caracteres (sin espacios). Esto se aplicará a todos los feeds definidos en el archivo de definición. Además del archivo de feed, se generará un archivo de token para cada archivo de feed. El archivo de token se debe implementar con el archivo de feed correspondiente.

feed create example-definition.xml -x 0123456789abcdef

Estadísticas

feed stats <feedfile>

El comando feed stats proporciona información resumida correspondiente a un archivo de feed no oculto existente. La especificación de un archivo de feed oculto generará un error.

  > feed stats example.feed
    Example Feed stats:
        version     : 0
        keys count  : 1
        values count: 2
        record count: 2
        meta key    : ip.src/ip.dst
        language keys:
            alert    Text

volcado

feed dump <feedfile> <outfile>

El comando feed dump genera una lista de pares clave-valor normalizados de un archivo de feed no oculto. Puede usar el archivo resultante para validar un archivo de feed o ayudar a determinar qué registros se consideraron no válidos cuando se creó el feed. La especificación de un archivo de feed oculto generará un error. Si existe outfile, el comando anulará sin sobrescribir el archivo existente.

feed dump example.feed example-dump.txt

Conversión de archivos de base de datos de paquetes en PCAP

Puede usar el comando makepcap para convertir rápidamente cualquier archivo de base de datos de paquetes en un archivo PCAP genérico y mantener el orden de tiempo de captura. Este comando ofrece muchas opciones (consulte help makepcap), pero es fácil de usar. Para comenzar, solo se necesita es el directorio de base de datos de paquetes (a través del parámetro source=<pathname>).  

Nota: Debe detener el servicio Decoder o Archiver antes de ejecutar este comando. Si desea generar una PCAP mientas se ejecuta el servicio, consulte el comando packets.

makepcap source=/var/netwitness/decoder/packetdb

Este comando convierte cada archivo de base de datos de paquetes en un archivo PCAP correspondiente en el mismo directorio. Si el disco está casi lleno, consulte el siguiente comando.

makepcap source=/var/netwitness/decoder/packetdb dest=/media/usb/sde1

Este comando escribe todas las PCAP de salida en el directorio en /media/usb/sde1.

makepcap source=/var/netwitness/decoder/packetdb dest=/media/usb/sde1 filenum=4-6

Este comando solo convierte los archivos numerados 4 a 6 y omite todos los demás. En otras palabras, convierte los archivos de base de datos de paquetes: packet-000000004.nwpdb, packet-000000005.nwpdby packet-000000006.nwpdb.

makepcap source=/var/netwitness/decoder/packetdb time1="2015-03-01 14:00:00" time2="2015-03-02 07:30:00" fileType=pcapng

Este comando solo extrae los paquetes con un registro de fecha y hora entre 1 de marzo de 2015 a las 14:00 h y 2 de marzo de 2015 a las 7:30 h o antes. Escribe el archivo como pcapng en el mismo directorio que el origen.  Todos los registros de fecha y hora son UTC.

Paquetes

Puede usar el comando packets para generar un archivo PCAP o un archivo de registro según una lista de ID de sesión, un período o una cláusula Where. Este comando es muy flexible, se puede utilizar en cualquier servicio de ejecución que tenga acceso a los datos crudos de un componente descendente. Antes de ejecutar el comando, primero debe login en un servicio y, a continuación, cambiar de directorio al nodo sdk adecuado (por ejemplo, cd /sdk). A diferencia del comando makepcap, que solo funciona en el sistema de archivos local, use este comando para un servicio remoto.

 login ...

cd /sdk

packets where="service=80 && time='2015-03-01 15:00:00'-'2015-03-01 15:10:00'" pathname="/tmp/march-1.pcap"

Este comando escribe 10 minutos de paquetes solo HTTP desde el 1 de marzo en el archivo /tmp/march-1.pcap. Todas las horas son en UTC.

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00" pathname=/media/sdd1/packets.pcap.gz

Este comando escribe todos los paquetes entre las dos horas en un archivo comprimido GZIP en /media/sdd1/packets.pcap.gz.

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00" pathname=/media/sdd1/mylogs.log

Este comando escribe todos los registros entre las dos horas en un archivo de texto simple en /media/sdd1/mylogs.log. Cualquier nombre de ruta que termine con .log indica que el formato del archivo de salida debe ser un registro de texto simple delimitado por líneas.

Verificación de hashes de base de datos

De forma predeterminada, Archiver escribe un archivo XML por cada archivo de base de datos que se escribe. Este archivo XML finaliza con la extensión .hash y contiene un valor de hash del archivo junto con otra información pertinente. Puede usar el comando hash para verificar que el archivo de base de datos no se haya alterado mediante la lectura del hash almacenado en el archivo XML y, a continuación, la reaplicación de hash al archivo de base de datos para verificar que el hash sea válido.

hash op=verify hashfile=/var/netwitness/archiver/database0/alldata/packetdb/packet-000004880.nwpdb.hash

Este comando verifica que el archivo de base de datos de paquetes packet-000004880.nwpdb coincide con el hash del archivo XML packet-000004880.nwpdb.hash.  Para la adecuada seguridad, el archivo hash se debe almacenar en otro lugar para impedir que altere el archivo XML (como escribir una vez únicamente medios), pero el comando hash en sí no distingue donde está almacenado.

You are here
Table of Contents > RSA Security Analytics Console > Comandos útiles

Attachments

    Outcomes