Decoder:[アプリケーション ルール]タブ

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

[アプリケーション ルール]タブ([管理]>[サービス]>DecoderまたはLog Decoderを選択しThe actions drop-down menuをクリック>[ビュー]>[構成]>[アプリケーション ルール]タブ)では、アプリケーション ルールを管理することができます。NetWitness Platformでは、セッション レベルでアプリケーション ルールが適用されます。

実行したいことは何ですか?

                  
ユーザのロール実行したいことドキュメント
管理者アプリケーション ルールの追加または編集アプリケーション ルールの構成

関連トピック

簡単な説明

次の図に[アプリケーション ルール]タブを示し、表で列について説明します。

This is the App Rules tab.

                                   
説明

保留中

この列には、ルールに保留中の変更がないかどうかが示されます。Decoderでアクティブなルールには、インジケータが付きません。新しいルール、またはルールが変更された場合、列にはThe pending iconが付けられます。ルールが適用されると、保留中のインジケータは削除されます。

名前

ルールを識別するためのルール名です。

条件

条件が一致したときにアクションをトリガーする条件の定義です。

セッション データ

パケットがルールに一致した場合の[セッション データ]アクションが表示されます。表示される値は、[フィルタ]、[保持]、[トランケート]です。

アラート

この列は、メタデータがルールに一致したとき、Decoderが生成するカスタム アラートの名前を表示します。

ステータス

この列には、ルールの有効/無効が示されます 丸が緑色で塗りつぶされている場合、ルールは有効です。丸が塗りつぶされていない場合、ルールは無効です。

[ルール エディタ]ダイアログ

次の図は、アプリケーション ルールの[ルール エディタ]ダイアログを示しています。

the Rule Editor dialog

[ルール エディタ]ダイアログには、アプリケーション ルールを定義するために必要なフィールドやオプションがあります。 

                   
フィールド説明
ルール名 ルールを識別する名前。
条件 条件が一致したときにアクションをトリガーする、条件の定義。フィールドに直接入力することも、Intellisenseのウィンドウ アクションからメタを使用してこのフィールドで条件をビルドすることもできます。ルール定義をビルドするとき、Intellisenseは構文エラーと警告を表示します。

すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。Decoderのルールの構成」を参照してください。

次の表に、セッション データのアクションとオプションを示します。

                                       
アクション説明
ルール処理の停止 チェックボックスがオンの場合、ルールが一致するとその後のルール評価は終了し、セッションはアクションの設定に従って処理されます。チェックボックスがオフの場合、すべてのルールが評価されるまで、ルール評価は続行されます。
保持 ルールに一致したとき、パケット ペイロードおよび関連するメタデータが保存されます。
フィルタ ルールに一致したとき、パケットは保存されません。
トランケート


すべてトランケート – すべてのセッション ペイロード バイトをトランケートします。ルールに一致したとき、パケット ペイロードは保存されませんが、パケット ヘッダと関連するメタデータは保持されます。これはデフォルトのトランケート オプションです。

最初の<n>バイトの後をトランケート – 指定された最初の<n>バイトの後にセッション ペイロード バイトをトランケートします。<n>は整数です。ルールに一致したとき、<n>バイトを超えるパケット ペイロードは保存されませんが、パケット ヘッダーと関連するメタデータは保持されます。

SSL/TLSのハンドシェイクの後をトランケート:SSLの交換が保持されるSSL/TLSセッションの場合を除くすべてのセッションのペイロードをトランケートしますが、残りのペイロードは保存されません。このオプションは、SSL Parserで使用するためのものです。

アラート設定先アラートのチェックボックスがオンの場合、メタデータがルールに一致したとき、パケットはカスタム アラートを生成します。アラートの名前は、[設定先]フィールドで選択できます。
転送 ログがルールと一致した場合にSyslog転送のパフォーマンスを有効化します。
一時的 作成されたアラート メタデータがディスクに書き込まれないようにします。

以下の表に、[ルール エディタ]ダイアログのアクションを示します。 

                           
アクション説明
リセット ダイアログのコンテンツを編集前の値にリセットします。変更は廃棄されます。
キャンセル すべての編集をキャンセルして、[ルール エディタ]ダイアログを閉じます。
OK 新しいルールまたは編集されたルールを保存し、ルール グリッドに追加します。[ルール エディタ]ダイアログが閉じます。
保存 (廃止された構文を使用するルールのみ)修正したルールをDecoderサービスに個別に適用します。「無効な構文を含むルールの修正」を参照してください。
You are here
Table of Contents > DecoderおよびLog Decoderの参考情報 > [サービス]の[構成]ビュー:[アプリケーション ルール]タブ

Attachments

    Outcomes