コアDB:マニフェスト

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、マニフェスト ファイルについて説明するとともに、メタDBファイルのマニフェストの例を示します。また、マニフェスト検索とその例についても説明します。

マニフェスト ファイルは、すべてのセッション、メタ、パケット(ログ)データベース ファイル、インデックス スライス ディレクトリで作成されます。マニフェスト ファイルは、参照先データに関するいくつかの主要な情報について記述したファイルです。マニフェスト ファイルはJSONレコードとして記述されています。マニフェスト ファイルは、そのファイルが表すデータとともに、階層間を移動します。マニフェスト ファイルが表すデータが削除されると、次の特殊な場合を除き、マニフェスト ファイル自体も削除されます。マニフェスト データが削除された時点で、サービスの有効なディレクトリに/database/config/manifest.dirが構成されている場合、マニフェスト ファイルのコピーがmanifest.dirによって所定のディレクトリに配置されます(ディレクトリが存在しない場合は作成されます)。これにより、マニフェスト履歴検索というSecurity Analyticsの機能が有効になります。

この処理の目的は、オフライン クエリーを可能にするために、過去のマニフェスト ファイルを長期間にわたり同一の場所に保持することです。サービスを長期間にわたり実行している場合、この機能により膨大な数のファイルが生成される可能性があります。ただし、ファイル数が大幅に増大した場合、ファイルが単一のアーカイブに自動的に圧縮されるため、この点は問題になりません。マニフェスト ファイルはサイズが非常に小さく、圧縮も容易です。

メタDBファイルのマニフェスト(meta-000000023.nwmdb.manifest)の例:

  { "filename" : "meta-000000023.nwmdb", "size" : 185153768, "fileTime" : 1403903940, "id1" : 150814110, "id2" : 159341086, "session1" : 4023382, "session2" : 4250442, "time1" : 1403903879, "time2" : 1404739851 } 
 filename = The filename for the db file the manifest represents size = The size in bytes of the db file fileTime = The time the file was created id1 = The starting id in the file (for this example, the starting meta ID) id2 = The last id in the file (for this example, the last meta ID) session1 = The starting session ID of the first meta in the file session2 = The last session ID of the last meta in the file time1 = The POSIX time of the first "time" meta found in the file time2 = The POSIX time of the last "time" meta found in the file 

このマニフェストの例で最も重要なフィールドは、fileTime、time1time2です。これら3つのフィールドは、すべてPOSIX時刻で記述されます。time1time2は、メタDBファイル(meta-000000023.nwmdb)におけるメタ記録の開始時刻と終了時刻です。特にfileTimeは、常にファイルの作成日時です(最終更新日ではありません)。time1time2は、メタDBファイル内の解析データの上限と下限を表しています。時刻を基準にして履歴検索を実行すると、time1time2が存在する場合は、それらがfileTimeよりも優先されます。他のデータベースやインデックスのマニフェスト ファイルに、いくつか異なるフィールドが含まれている場合がありますが、これらのフィールドにも、時刻に基づくクエリーを実行するのに十分な情報が含まれています。

過去のマニフェストの検索

manifest.dirにより指定されるディレクトリでマニフェストが収集される場合、参照先データがCold階層にコピーされ、最終的にオフライン ストレージにバックアップされることを前提としています。引き続きサービスから過去のマニフェストにアクセスできることから、この機能により、所定の期間でどのデータをリストアする必要があるかを決定するために、オフライン データで時刻ベースのクエリーを実行できます。

/database manifestコマンドを使用してマニフェストを検索できます。

 manifest: If a manifest directory is defined, it will allow operations on the manifest files (such as a time based query) for database files in cold storage. security.roles: database.manage parameters: op - <string, optional, {enum-one:query|compress}> The operation to perform (defaults to query) time1 - <date-time, optional> The beginning time (UTC) for matching offline database files time2 - <date-time, optional> The ending time (UTC) for matching offline database files timeFormat - <string, optional, {enum-one:posix|simple}> Specify the time format that is returned (posix, simple), default is posix 

検索の例を次に示します。

/database manifest time1="2014-04-20 11:00:00" time2="2014-04-11 11:20:00" timeFormat=simple

この検索により、クエリー条件と一致するマニフェストがすべて返されます。

  [ filename=meta-000001691.nwmdb size=4843826176 fileTime="2014-Apr-20 11:06:34" id1=301555027452 id2=301733101896 session1=15352020201 session2=15361024200 time1="2014-Apr-20 11:05:34" time2="2014-Apr-20 11:16:34" compression=gzip ] [ filename=session-000001865.nwsdb size=268439552 fileTime="2014-Apr-20 11:06:35" id1=14674145801 id2=14682041000 metaId1=288217522208 metaId2=288370660984 packetId1=11733872441 packetId2=11741745303 ] [ filename=session-000001866.nwsdb size=268439552 fileTime="2014-Apr-20 11:18:31" id1=14682041001 id2=14689936200 metaId1=288370660985 metaId2=288520616949 packetId1=11741745304 packetId2=11749618589 ] 

返された結果を使用して、所定の期間でどのファイルをバックアップからリストアするかを関連づけることができます。Security Analytics 10.4以降の場合、Security Analytics Workbenchというサービスを使用して、リストアしたファイルを取得し、1つ以上のコレクションを使用して、リストア済みデータのクエリー インターフェイスを提供します。

Workbenchサービスの構成は、このドキュメントでは扱いません。詳細については、「Archiver構成ガイド」の「データのバックアップとリストアの構成」を参照してください。

You are here
Table of Contents > 基本的なデータベースの構成 > マニフェスト

Attachments

    Outcomes