CLI: 便利なコマンド

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

次のNwConsoleコマンドは、Security Analytics Coreサービスを操作するときに便利です。

  • feed:Feedファイルを作成および操作できるようにします。
  • makepcap:パケットDB(データベース)ファイルをPCAPに変換します。
  • packets:ログインしているサービスからパケットまたはログを取得します。
  • hash:データベース ファイルのハッシュを作成または検証します。

以降のセクションとNwConsoleのヘルプおよびトピック情報(マニュアル)ページでは、追加情報が提供されます。

Feed

feedコマンドは、Feedファイルを作成および検証するためのユーティリティをいくつか提供します。Feedファイルには、DecoderまたはLog Decoderによって効率的なロードのためにプリコンパイルされた形式の単一Feedの定義とデータが含まれています。Feed定義の完全なリファレンスについては、「DecoderおよびLog Decoder構成ガイド」の「Feed定義ファイル」を参照してください。

create

feed create <definitionfile> [-x <password>]

feed createコマンドは、Feed定義ファイルで定義されている各FeedのFeedファイルを生成します。定義ファイルは、1つまたは複数の定義を含むXMLドキュメントです。各Feedの定義により、データ ファイルとそのデータ ファイルの構造が指定されます。結果のFeedファイルは、定義ファイルと同じディレクトリにデータ ファイルと同じ名前で作成されますが、拡張子が.feedに変更されています(たとえば、datafile.csvdatafile.feedになります)。ターゲット名を持つ既存のファイルは、プロンプトなしに上書きされます。

 $ ls
example-definition.xml example-data.csv
$ NwConsole
RSA Security Analytics Console 10.5.0.0.0
Copyright 2001-2015, RSA Security Inc. All Rights Reserved.

Type "help" for a list of commands or "man" for a list of manual pages.
> feed create example-definition.xml
Creating feed Example Feed...
done. 2 entries, 0 invalid records
All feeds complete.
> quit
$ ls
example-definition.xml example-data.feed example-data.csv
$

オプションで、少なくとも16文字(スペースなし)のパスワードが後に続く-xオプションを使用して、Feedファイルを難読化することができます。難読化は、定義ファイルで定義されているすべてのFeedに適用されます。Feedファイルに加えて、トークン ファイルがFeedファイルごとに生成されます。トークン ファイルは、対応するFeedファイルとともに導入する必要があります。

feed create example-definition.xml -x 0123456789abcdef

stats

feed stats <feedfile>

feed statsコマンドは、既存の難読化されていないFeedファイルのサマリー情報を提供します。難読化されたFeedファイルを指定すると、エラーが発生します。

  > feed stats example.feed
    Example Feed stats:
        version     : 0
        keys count  : 1
        values count: 2
        record count: 2
        meta key    : ip.src/ip.dst
        language keys:
            alert    Text

dump

feed dump <feedfile> <outfile>

feed dumpコマンドは、難読化されていないFeedファイルの正規化されたキーと値のペアの一覧を生成します。結果ファイルを使用して、Feedファイルを検証したり、Feedの作成時に無効だと見なされたレコードの判別を支援したりできます。難読化されたFeedファイルを指定すると、エラーが発生します。outfileが存在する場合は、既存のファイルを上書きせずに、コマンドが中止されます。

feed dump example.feed example-dump.txt

PCAPへのパケットDBファイルの変換

makepcapコマンドを使用して、パケットDBファイルを一般的なPCAPファイルにすばやく変換し、収集の時間順序を保存することができます。このコマンドには、多くのオプション(help makepcapを参照)が用意されていますが、コマンドの使用は簡単です。開始する(source=<pathname>パラメーターを介して)ために必要なものは、パケットDBディレクトリだけです。 

注:このコマンドを実行する前に、DecoderまたはArchiverサービスを停止する必要があります。サービスの実行中にPCAPを生成する場合は、packetsコマンドを参照してください。

makepcap source=/var/netwitness/decoder/packetdb

このコマンドは、すべてのパケットDBファイルを同じディレクトリ内の対応するPCAPファイルに変換します。ディスクがほぼ満杯の場合は、次のコマンドを参照してください。

makepcap source=/var/netwitness/decoder/packetdb dest=/media/usb/sde1

このコマンドは、すべての出力PCAPを/media/usb/sde1にあるディレクトリに書き込みます。

makepcap source=/var/netwitness/decoder/packetdb dest=/media/usb/sde1 filenum=4-6

このコマンドは、4~6番のファイルのみを変換し、その他のすべてのファイルをスキップします。つまり、packet-000000004.nwpdbpacket-000000005.nwpdb、およびpacket-000000006.nwpdbのパケットDBファイルを変換します。

makepcap source=/var/netwitness/decoder/packetdb time1="2015-03-01 14:00:00" time2="2015-03-02 07:30:00" fileType=pcapng

このコマンドは、2015年3月1日午後2時から2015年3月2日午前7時30分までの間のタイムスタンプを持つパケットのみを抽出します。また、ファイルをソースと同じディレクトリにpcapngとして書き込みます。  すべてのタイムスタンプはUTCです。

パケット

packetsコマンドを使用して、セッションID、期間、Where句に基づいてPCAPまたはログ ファイルを生成できます。このコマンドは非常に柔軟であり、ダウンストリーム コンポーネントからrawデータにアクセスできる実行中のあらゆるサービスで使用できます。コマンドを実行する前に、最初にサービスにlogin(ログイン)を行って、ディレクトリを適切なsdkノード(たとえば、cd /sdk)に変更する必要があります。ローカル ファイル システムのみで機能するmakepcapコマンドとは異なり、リモート サービスに対して、このコマンドを使用します。

 login ...

cd /sdk

packets where="service=80 && time='2015-03-01 15:00:00'-'2015-03-01 15:10:00'" pathname="/tmp/march-1.pcap"

このコマンドは、3月1日午後3時から午後3時10分までの10分間のHTTPパケットのみをファイル/tmp/march-1.pcapに書き込みます。すべての時間はUTCとして処理されます。

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00" pathname=/media/sdd1/packets.pcap.gz

このコマンドは、2つの時刻間のすべてのパケットを/media/sdd1/packets.pcap.gzにあるGZIP圧縮ファイルに書き込みます。

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00" pathname=/media/sdd1/mylogs.log

このコマンドは、2つの時刻間のすべてのログを/media/sdd1/mylogs.logにあるプレーンテキスト ファイルに書き込みます。.logで終わるパス名は、出力ファイルの形式は行で区切られたプレーンテキストのログにする必要があることを示します。

データベース ハッシュの検証

デフォルトでは、Archiverは、書き込み対象のDBファイルすべてに対して、XMLファイルを書き込みます。このXMLファイルは拡張子.hashで終了し、ファイルのハッシュとその他の関連情報を含みます。hashコマンドを使用して、XMLファイルに保存されているハッシュを読み取り、DBファイルが改ざんされていないことを検証し、次に、DBファイルを再ハッシュして、ハッシュが有効であることを検証します。

hash op=verify hashfile=/var/netwitness/archiver/database0/alldata/packetdb/packet-000004880.nwpdb.hash

このコマンドを使用して、パケットDBファイルpacket-000004880.nwpdbがXMLファイルpacket-000004880.nwpdb.hash内のハッシュに引き続き一致していることを検証します。  適切なセキュリティ対策のために、ハッシュ ファイルは、XMLファイルが改ざんされない場所(write once onlyメディアなど)に保存する必要がありますが、hashコマンド自体については、保存場所を問いません。

Previous Topic:統計情報の監視
You are here
Table of Contents > RSA Security Analytics Console > 便利なコマンド

Attachments

    Outcomes