Decoder:カスタムParserの使用

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、RSA Security AnalyticsのカスタムParserを使用する手順について説明します。

RSA Security Analyticsには、ローカル システムからParserをアップロードしたり、Parserを削除したりする機能があります。 

手順

DecoderまたはLog DecoderへのParserのアップロード

[サービス]の[構成]ビュー>[Parser]タブの[アップロード]オプションにより、[Parserのアップロード]ダイアログが表示されます。ここで、DecoderまたはLog Decoderに適用するParserのアップロードを管理できます。ダイアログの[ファイル]セクションで、アップロードするParserのリストを準備します。ローカルやネットワークのディレクトリからファイルの追加や削除を行い、アップロードするファイルを準備します。リストの準備ができたら、[アップロード]をクリックしてアップロード処理を開始します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービスを選択し、Actions menu cropped>[表示]>[構成]の順に選択します。
    選択したサービスの[構成]ビューが表示されます。
  3. Parser]タブをクリックします。
  4. IconFeedUpload.pngをクリックします。
    [Parserのアップロード]ダイアログが表示されます。
    104UploadParsers.png
  5. Icon-Add.pngをクリックします。 
    ファイルを選択するダイアログが表示されます。
  6. 更新する.flexファイル、.parserファイル、.luaファイルを選択し、[開く]をクリックします。 
    ダイアログが閉じ、選択したファイルがファイル グリッドに表示されます。
    104UplParsAddedFile.png
  7. アップロード]をクリックします。
    ダイアログの[アップロード ジョブ]セクションには、各アップロード ジョブの進行状況が表示されます。
    104UplParsUplFile.png
  8. アップロード グリッド ツールのいずれかを使用して、選択されたジョブのアップロードを管理します(一時停止、再開、キャンセル、削除)。
    ジョブの完了後、ParserはDecoderに導入され、[Parser]タブに表示されます。

アップロード ジョブの管理

[アップロード ジョブ]セクションのツール バーのメニューから、選択したアップロード ジョブ(一時停止、再開、キャンセル、削除)を管理できます。

  • アップロードがキューに登録されているか、または進行中である場合に、Parserのアップロードをキャンセルするには、Icon-Cancel.pngをクリックします。
  • アップロードがまだ完了していない場合に、Parserのアップロードを一時停止するには、Icon-Pause.pngをクリックします。
  • 一時停止中のParserのアップロードを再開するには、をクリックします。
  • アップロード ジョブを削除するには、をクリックします。

導入したParserの削除

[サービス]の[構成]ビュー>[Parser]タブの[削除]オプションでは、DecoderまたはLog Decoderから導入済みのParserを削除できます。Decoderの動作中にParserを追加および削除できます。

注:特に記載のない限り、本セクションでのDecoderに対する説明は、すべてLog Decoderにも該当します。

DecoderからParserを削除するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービスを選択し、Actions menu cropped>[表示]>[構成]の順に選択します。
    選択したサービスの[構成]ビューが表示されます。
  3. Parser]タブをクリックします。
    SrvCfgParsTb.png
  4. Parser]タブで、削除する1つ以上のParserを選択します。
  5. 104DeleteIcon.pngをクリックします。
    Parserを削除するかどうかを確認するダイアログが表示されます。
  6. Parserを削除する場合は、[はい]をクリックします。
    ParserはただちにDecoderから削除されます。
You are here
Table of Contents > 追加の手順 > FeedおよびParserの構成 > カスタムParserの使用

Attachments

    Outcomes