Archiver:ハッシュ情報の取得

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

Archiverには、hashInfoコマンドが用意されています。このコマンドを使用すると、セッション データベース、メタ データベース、パケット データベースから、指定したセッション リストまたは日付範囲の条件に合致するデータベース ファイルのハッシュ情報を取得できます。ハッシュ情報は、文字列パラメータのリストとして表示され、各文字列パラメータにデータベース ファイルごとのハッシュ情報が含まれます。データベース ファイルのハッシュ情報は、Archiverサービスの[エクスプローラ]ビューまたはArchiverサービスのRESTインタフェースを使用して取得できます。取得されたハッシュ情報は、元の場所とエクスポートされた場所にあるデータベース ファイルを比較してデータの整合性を確認するために使用されます。 

次の表に、データベースからハッシュ ファイルを取得するために指定できる基準を示します。

                             
基準説明
sessionsデータベース ファイルのハッシュ情報を取得するには、既存のセッションまたはセッション データベースから取得するセッションを指定して、ハッシュ情報を取得するために必要なメタ データベース ファイルおよびパケット データベース ファイルを特定するためのメタIDおよびパケットIDを特定します。 
例:
sessions=100 - セッションIDが100の構成コンポーネント(セッション、メタ、コンテンツ)を含むすべてのデータベース ファイルのハッシュ情報を取得します。
sessions=100,500000 - セッションIDが100から500000の構成コンポーネント(セッション、メタ、コンテンツ)を含むすべてのデータベース ファイルのハッシュ情報を取得します。
beginDateデータベース ファイルのフィルタとして、開始日を指定できます。これにより、指定した日付以降に作成されたファイルのハッシュ情報が取得されます。開始日は、YYYY-MM-DD HH:MM:SS形式で指定する必要があります。
endDateデータベース ファイルのフィルタとして、終了日を指定できます。これにより、指定した日付以前に作成されたファイルのハッシュ情報が取得されます。終了日は、YYYY-MM-DD HH:MM:SS形式で指定する必要があります。
例:
beginDate:“2014-Mar-25 05:52:00” endDate=”2014-Mar-27 05:52:00” - 2014年3月25日~2014年3月27日の指定した時間範囲内で作成されたすべてのデータベース ファイルのハッシュ情報を取得します。
directoriesデフォルトでは、ハッシュ情報ファイルは、対応するデータベース ファイルと同じ場所に保存されます。
hash.dir構成パラメータに複数の場所を定義すると、ハッシュ情報ファイルを複数の場所に格納できます。
この場所をフィルタとして定義して、構成した場所にあるハッシュ情報ファイルを取得できます。
例:
directories="/home/hash" - /home/hashにあるデータベース ファイルのハッシュ情報を取得します。

手順

データベース ファイルのハッシュ情報を取得するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Archiverサービスを選択します。
  3. アクション]列で、[表示]>[エクスプローラ]をクリックします。
    Archiverサービスの[エクスプローラ]ビューが表示されます。
    explore_view.png
  4. ノード ツリーで、[database]を右クリックし、[プロパティ]を選択します。
    [プロパティ]ダイアログが表示されます。
    properties_dialog.png
  5. ドロップダウン メニューで、[hashInfo]を選択します。
  6. パラメータ]フィールドに、データベースからハッシュ情報を取得するために使用する基準を入力します。
  7. 送信]をクリックします。
    コマンドの出力が、[応答出力]テキストボックスに表示されます。  ハッシュ情報は、出力のhexHashパラメーターに表示されます。このハッシュ情報を使用して、手動でデータの整合性を検証できます。

存在するセッション内のデータベース ファイルのハッシュ情報を取得します。
基準:sessions=100

出力
properties_dialog_ex1.png
hexHashパラメーターに、取得したハッシュ情報が表示されます。このハッシュ情報を使用して、セッションID 100のデータの整合性を手動で検証できます。

存在するセッション範囲内のデータベース ファイルのハッシュ情報を取得します。

基準:sessions=100,500000

出力
properties_dialog_ex2.png

hexHashパラメータに取得したハッシュ情報が表示されます。このハッシュ情報を使用して、100~500000の範囲のセッションのデータの整合性を手動で検証できます。

指定した日付範囲で作成されたデータベース ファイルのハッシュ情報を取得します
基準:beginDate="2014-Mar-25 05:52:15" endDate="2014-Mar-27 05:52:15"

出力
properties_dialog_ex3.png

hexHashパラメータに取得したハッシュ情報が表示されます。このハッシュ情報を使用して、指定した日付範囲のセッションのデータの整合性を手動で検証できます。

Next Topic:参考資料
You are here
Table of Contents > 追加の手順 > ハッシュ情報の取得

Attachments

    Outcomes