11.0以降では、管理者は、Decoderを構成し、トランザクションの作成を目的としてLUA Parserを使用する場合に、受信セッションをより小さなトランザクション セッションに分割できます。この機能により、アナリストは、Investigateなどのダウンストリーム サービスで、分割されたセッションに対して分析を実行できます。
トランザクション処理
Decoderサービスの構成ノードには、トランザクション処理の構成用の新しいパラメータがあります。/decoder/parsers/config/parser.transaction.mode。このノードは、Parserが、ネットワーク セッション内のトランザクションを定義する場合のDecoder動作を制御します。
parser.transaction.modeの値は、次の動作モードに対応します。
- off (トランザクション オフ)
- meta (メタ アイテムとして表されるトランザクション)
- split (トランザクション分割セッション)
トランザクション オフ
トランザクション モードがオフの場合は、Parserによって作成されたアプリケーション レベルのトランザクションは無視され、トランザクションを表すコレクションには何も格納されません。
メタ アイテムとして表されるトランザクション
この動作モードでは、Parserがアプリケーション レベルのトランザクションを生成する場合、タイプ{{trans}}の新しいメタ アイテムが、トランザクションが発生したセッションに追加されます。{{trans}} メタ アイテムには、トランザクションを構成するその他のメタ アイテムのリストが含まれています。
トランザクション分割セッション
この動作モードでは、Parserはアプリケーション レベルのトランザクションを生成する場合、セッションが分割されます。セッションの分割は、以下により実現されます。
- 新しいセッション アイテムが作成されます。
- ネットワーク メタ アイテムは、解析されたセッションから新しいセッションにコピーされます。
- トランザクションでマークされたメタ アイテムは、元のセッションから、新しいセッションに移動されます。
次のメタ アイテムは、解析されたセッションから分割されたセッションに複製されます。
- time
- medium
- eth.src
- eth.dst
- eth.type
- ip.proto
- ip.src
- ip.dst
- ipv6.src
- ipv6.dst
- ipv6.proto
- tcp.srcport
- tcp.dstport
- tcp.flags
- udp.srcport
- udp.dstport
- service
- udp.srcport
- udp.srcport
- tls.premaster
Previous Topic:Syslog転送の構成
Next Topic:着信パケットの復号
You are here
Table of Contents > DecoderおよびLog Decoderのための追加の手順 > Decoderでのトランザクション処理の構成