CLI: NwConsoleとヘルプのアクセス

Document created by RSA Information Design and Development Employee on Apr 18, 2018
Version 1Show Document
  • View in full screen mode

NwConsoleとも呼ばれるRSA NetWitness Consoleは、強力なツールに加えて、Decoder、Log Decoder、Concentrator、Broker、Archiverなどのコア サービスへのコマンド ライン アクセスを提供するマルチ プラットフォームのターミナル アプリケーションです。ほとんどのユーザはNetWitness Suiteユーザ インタフェースを介してタスクや調査を完了しますが、管理者や開発者などの一部の上級ユーザは、ユーザ インタフェースを経由しない、コア サービスへの直接アクセスを要求します。NwConsoleを使用すると、コマンド ラインからコマンドを入力したり、ファイルから複数のコマンドを実行したりできます。 


RSA Security Analytics Console(別名:NwConsole)から、広範なヘルプ情報を表示できます。このヘルプは、Security Analyticsのコマンド ラインからアクセスできます。


すべてのNetWitness Suiteアプライアンスには、NwConsoleアプリケーションがインストールされています。また、このアプリケーションをWindows、Mac、CentOSにインストールし、コア サービスに接続して操作することができます。

NwConsoleは、NetWitness Suiteアプライアンスのコマンド ラインから使用できます。コア アプライアンスにリモートでアクセスする場合、RSA NetWitness ConsoleアプリケーションをWindows、Mac、CentOSマシンにインストールしている必要があります。RSA NetWitness Consoleアプリケーション インストーラーを取得するには、RSAまでお問い合わせください。


NetWitness Suiteアプライアンスまたはターミナル エミュレータのコマンド ラインからNwConsoleを実行するには、<$>プロンプトで、NwConsole(Linux)またはnwconsole (Windows)と入力します。実際のコマンドはNwConsoleですが、Windowsは大文字と小文字を区別しません。次の例に示すように、RSA NetWitness Consoleが表示されます。

 Last login: Thu Sep 24 14:00:42 on console usxx<username>m1:~ <username>$ NwConsole RSA NetWitness Suite Console Copyright 2001-2015, RSA Security Inc. All Rights Reserved. Type "help" for a list of commands or "man" for a list of manual pages. >  



注意:最新の情報は、NwConsole内でコマンドとヘルプ トピックピックを参照してください。 

コマンド リストの表示


 > help Local commands:
avro2nwd - Convert AVRO files to NWD files
avrodump - Display schema and contents of AVRO file (for debugging)
blockspeed - Tests various write block sizes to determine best setting
compileflex - Compile all flex parsers in a directory
createflex - Create a flex parser that matches tokens read from a file
dbcheck - Perform a database integrity check over one or more
session, meta, packet, log or stat db files
diskspeed - Measures the speed of the disk(s) mounted at a specified
echo - Echos the passed in text to the terminal
encryptparser - Encrypt all parsers in a directory
feed - Create and work with feed files
fmanip - Manipulate a file with XOR and check for embedded PEs
hash - Creates or verifies hashes of database files
help - Provides help information for recognized console commands
history - Displays, erases or executes a command in the command
httpAggStats - Tests HTTP aggregation and reports statistics as it
log - Perform operations on a log database
logParse - Parse line delimited logs on stdin and post results to
logfake - Create a fake log pcap file
lua - Execute a lua script
makec3 - Generate C3 Test Data
makepcap - Convert packet database files to pcap or log files
man - Displays a list of topics or opens a specific manual page
on a topic
metaspeed - Tests read performance over an existing meta db
netbytes - Display statistics on network interface utilization
nwdstrip - Convert full NWD file into just session and meta file
pause - Wait for user input when running a script file
reindex - reindex a collection
sdk - Execute SDK commands based on the C SDK library, type "sdk
help" for more information
sleep - Sleeps for the specified milliseconds
timeout - Globally change the timeout for waiting for a response from
a service
tlogin - Open a trusted SSL connection to an existing service
topQuery - Returns the top N longest running queries from the audit
log (either a file or from the log API)
vslice - Validate index slices

Remote commands (executed on the connected service, see "login"):
login - Connect to a remote service. Once connected, type help to
see commands available for remote execution.

For detailed help, type "help <command>"


コマンドに関する詳細情報を表示するには、help <command>と入力します。次の例は、help logParseと入力した後のlogParseコマンドのヘルプを示します。

 For detailed help, type "help <command>"
> help logParse
Usage: logParse {in=<pathname>} {indir=<pathname>} [out=<pathname>]
[content=<c2|c3>] [device=<device,[device...]>]
[path=<log-parsers-config-path>] [metaonly] [srcaddr=<src
address>] [srcaddrfile=<filename,IP Address>]
Parse line delimited logs on stdin and post results to stdout

in - The input source file. "in=stdin" means interactive typing of
indir - The input source files parent directory
out - The output file or output file parent directory if input is
set by indir. If not specified, use stdout as output.
content - Content version, either c2 or c3. Default is c2.
device - Comma delimited device list specifying devices that is
enabled. Default enable all devices.
path - The logparsers configuration path. Default will find
configuration file like logdecoder.
metaonly - The output will only contains parsed meta, otherwise will
print log message after metas.
srcaddr - The source address of the all the logs
srcaddrfile - The source address for logs in one input file, in the format

ヘルプ トピックのリストの表示

ヘルプ トピックのリストを表示するには、manと入力します。次の例は、ヘルプ トピックのリストを示します。

 > man
List of topics:

Connecting to a Service
Monitoring Stats
Converting Packet DB Files to PCAP
Verifying Database Hashes
SDK Content
SDK Content Examples

Type "man <topic>" for help on a specific topic, partial matches are acceptable

特定のヘルプ トピックの表示

特定のトピックに関するヘルプを表示するには、man <topic>と入力します。次の例は、man Packetsと入力した後のPacketsのヘルプ トピックは示します。

 Type "man <topic>" for help on a specific topic, partial matches are acceptable > man Packets

The *packets* command can be used to generate a pcap or log file based on a
list of Session IDs, a time period or a where clause. The command is quite
flexible and can be used on any running service that has access to the raw
data from a downstream component. Before running the command, you must first
*login* to a service and then change directory to the appropriate sdk node,
(e.g., "cd /sdk"). Unlike the *makepcap* command, which only works on the
local file system, this command is meant to be used on a remote service.

login ...
cd /sdk
packets where="service=80 && time='2015-03-01 15:00:00'-'2015-03-01
15:10:00'" pathname="/tmp/march-1.pcap"
Write 10 minutes of HTTP only packets from March 1st, to the file
/tmp/march-1.pcap. All times are in UTC.

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00"
Write all packets between the two times to a gzip compressed file at

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00"
Write all logs between the two times to a plaintext file at
/media/sdd1/mylogs.log. Any pathname ending with .log indicates that the
format of the output file should be plaintext line-delimited logs.

注意:最新の情報は、NwConsole内でコマンドとヘルプ トピックピックを参照してください。 


NwConsoleアプリケーションを終了するには、コマンド ラインでquitと入力します。

You are here
Table of Contents > NwConsoleとヘルプのアクセス