Decoder:[アプリケーション ルール]タブ

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

[アプリケーション ルール]タブ([管理]>[サービス]>DecoderまたはLog Decoderを選択し[アクション]ドロップダウン メニューをクリック>[ビュー]>[構成]>[アプリケーション ルール]タブ)では、アプリケーション ルールを管理することができます。NetWitness Suiteでは、セッション レベルでアプリケーション ルールが適用されます。

実行したいことは何ですか?

                  
ユーザのロール実行したいことドキュメント
管理者アプリケーション ルールの追加または編集アプリケーション ルールの構成

関連トピック

簡単な説明

次の図に[アプリケーション ルール]タブを示し、表で列について説明します。

これは、[アプリケーション ルール]タブです。

                                   
説明
保留中 この列には、ルールに保留中の変更がないかどうかが示されます。Decoderでアクティブなルールには、インジケータが付きません。新しいルール、またはルールが変更された場合、列には保留中アイコンが付けられます。ルールが適用されると、保留中のインジケータは削除されます。
名前 ルールを識別するためのルール名です。
条件 条件が一致したときにアクションをトリガーする条件の定義です。
セッション データパケットがルールに一致した場合の[セッション データ]アクションが表示されます。表示される値は、[フィルタ]、[保持]、[トランケート]です。
アラート この列は、メタデータがルールに一致したとき、Decoderが生成するカスタム アラートの名前を表示します。
ステータス この列には、ルールの有効/無効が示されます 丸が緑色で塗りつぶされている場合、ルールは有効です。丸が塗りつぶされていない場合、ルールは無効です。

[ルール エディタ]ダイアログ

次の図は、アプリケーション ルールの[ルール エディタ]ダイアログを示しています。

これは、[ルール エディタ]の例です。

ルール エディタ]ダイアログには、アプリケーション ルールを定義するために必要なフィールドやオプションがあります。 

                   
フィールド説明
ルール名 ルールを識別する名前。
条件 条件が一致したときにアクションをトリガーする、条件の定義。フィールドに直接入力することも、Intellisenseのウィンドウ アクションからメタを使用してこのフィールドで条件をビルドすることもできます。ルール定義をビルドするとき、Intellisenseは構文エラーと警告を表示します。

すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。詳細については、「Decoderのルールの構成」を参照してください。

次の表に、セッション データのアクションとオプションを示します。

                                       
アクション説明
ルール処理の停止 チェックボックスがオンの場合、ルールが一致するとその後のルール評価は終了し、セッションはアクションの設定に従って処理されます。チェックボックスがオフの場合、すべてのルールが評価されるまで、ルール評価は続行されます。
保持 ルールに一致したとき、パケット ペイロードおよび関連するメタデータが保存されます。
フィルタ ルールに一致したとき、パケットは保存されません。
トランケート ルールに一致したとき、パケット ペイロードは保存されませんが、パケット ヘッダと関連するメタデータは保持されます。
アラート設定先アラートのチェックボックスがオンの場合、メタデータがルールに一致したとき、パケットはカスタム アラートを生成します。アラートの名前は、[設定先]フィールドで選択できます。
転送 ログがルールと一致した場合にSyslog転送のパフォーマンスを有効化します。
一時的 作成されたアラート メタデータがディスクに書き込まれないようにします。

以下の表に、[ルール エディタ]ダイアログのアクションを示します。 

                           
アクション説明
リセット ダイアログのコンテンツを編集前の値にリセットします。変更は廃棄されます。
キャンセル すべての編集をキャンセルして、[ルール エディタ]ダイアログを閉じます。
OK 新しいルールまたは編集されたルールを保存し、ルール グリッドに追加します。[ルール エディタ]ダイアログが閉じます。
保存 (廃止された構文を使用するルールのみ)修正したルールをDecoderサービスに個別に適用します。「無効な構文を含むルールの修正」を参照してください。
You are here
Table of Contents > DecoderおよびLog Decoderの参考情報 > [サービス]の[構成]ビュー:[アプリケーション ルール]タブ

Attachments

    Outcomes