Decoder：サービス タイプへのIPアドレスのマッピング

このトピックでは、ログ解析のためにサービス タイプにIPアドレスをマッピングする手順について説明します。

Log Collectorは、メッセージごとにイベント ソース タイプを検出します。イベント ソースに対応する正しいParserを使用していないと、複数のイベント ソース タイプに共通するメッセージが誤って分類される可能性があります。メッセージが誤って識別されると、サービスのルールやアラートにメッセージが入力されず、レポートに適切な情報が含まれなくなります。また、IPアドレスに複数のサービスが関連付けられている場合、Parserはログが生成されたサービスを厳密に特定するのが難しいことがあります。 

IPアドレスをサービスにマッピングすると、Log Decoderはログが生成されたサービスを特定できます。マッピングされたサービスからメッセージを収集すると、Log Decoderは、割り当てられたParserを読み込み、一致するイベントを探します。 

サービス タイプは、IPV4、IPV6、イベント ソースのホスト名の値に割り当てることができます。また、複数のサービス タイプを単一のIPアドレスに割り当てることもできます。同じIPアドレスの異なるサービス タイプから別々のCollectorにメッセージが送信される場合は、CollectorIDを使用することもできます。

サービス タイプへのIPアドレスのマッピング

IPアドレスをサービス タイプにマッピングするには、次を実行します。

1. ［管理］＞［サービス］に移動します。
2. ［サービス］ビューでLog Decoderを選択し、［アクション］列で＞［表示］＞［エクスプローラ］を選択します。
3. /decoder/parsersノードにアクセスし、［parsers］を右クリックして、［プロパティ］を選択します。
4. ［プロパティ］ビューで、ipdeviceコマンドを選択し、次のパラメータを指定します。
   op=add/remove entries="ipaddress=service”（たとえばop=add entries="10.100.201.300=ciscoasa"）
5. ［送信］をクリックします。
   

IPdeviceコマンド

ipdeviceコマンドでは、3つの操作が可能です。

• add：この操作は、ipdeviceマップでエントリーを追加または更新します。複数のスペース区切りアドレス/タイプのペアを指定できます。
  op=add entries="<address>=<service type>"
• remove：この操作は、ipdeviceマップからエントリーを削除します。複数のスペース区切りアドレス/タイプのペアを指定できます。
  op=remove entries="<address>"
• describe：この操作は、ipdeviceマップに設定されている値を返します。

タイム ゾーンへのIPアドレスのマッピング

多くの場合、ログでタイムスタンプが完全に指定されず、タイム ゾーン情報がないことがよくあります。このようなタイムスタンプをUTCに正しく正規化するために、Log Decoderには、特定のアドレス（IPv4またはIPv6）またはホスト名からタイム ゾーンまたは固定オフセットにデバイスを関連付ける機能が用意されています。

タイム ゾーンの3つの形式が現在使用できます。これらの形式を以下の例に示します。

• Olson形式：America/Anguilla
• POSIX形式：AST2:45ADT0:45,M4.1.6/1:45,M10.5.6/2:45
• 時間によるオフセット形式：= -500

NetWitness Platformは、デバイスのアドレス（IPv4またはIPv6）またはホスト名を特定のタイム ゾーンまたはオフセットにマッピングします。マッピングされたアドレスのログから解析され、タイムスタンプの一部としてオフセットまたはタイム ゾーンを含まないイベント時間メタは、マッピングに従ってUTCに調整されます。

IPアドレスをタイム ゾーンにマッピングするには、次を実行します。

1. ［管理］＞［サービス］に移動します。
2. ［サービス］ビューでLog Decoderを選択し、［アクション］列で＞［表示］＞［エクスプローラ］をクリックします。
3. /decoder/parsersノードにアクセスし、［Parsers］を右クリックして、［プロパティ］を選択します。
4. ［プロパティ］ビューで、 iptmzoneコマンドを選択し、次のパラメータを指定します。
   op=add entries="ipaddress=timezone"（例：op=add entries="10.10.10.10=Africa/Addis Ababa")
5. ［送信］をクリックします。

iptmzoneコマンド

iptmzoneコマンドでは、3つの操作が可能です。

• add：この操作は、iptmzoneマップでエントリーを追加または更新します。複数のスペース区切りアドレス/タイプのペアを指定できます。
  op=add entries="<address>=<time zone>"
• remove：この操作は、iptmzoneマップでエントリーを削除します。複数のスペース区切りでアドレス/タイプのペアを指定できます。
  op=remove entries="<address>"
• describe：この操作は、iptmzoneマップに設定されている値を返します。
  

例

次の例では、IPアドレスをタイム ゾーンにマッピングするインスタンスを示します。

• IPV4値が異なる2つの別のエントリーをタイム ゾーンにマッピングする場合は、次のパラメータをiptmzoneコマンドに入力して、［送信］をクリックします。
  "op=add entries=”10.10.10.10=America/Anguilla 10.10.10.11=Pacific/Rarotonga”
• 単一のIPV4の値とタイム ゾーンを持つエントリーを削除するには、次のパラメータをiptmzoneコマンドに入力して、［送信］をクリックします。
  "op=remove entries=10.5.245.9"

• 1つのIPV6の値とタイム ゾーンを持つ単一のエントリーを作成するには、次のパラメータをiptmzoneコマンドに入力して、［送信］をクリックします。
  op=add entries=”2001:DB8:85A3::8A2E:370:7334=America/Anguilla”

• 分のオフセット、Olson、またはPOSIX形式を使用してIPV4、IPV6、またはホスト名にマッピングする単一のエントリーを作成するには、次のパラメータをiptmzoneコマンドに入力して、［送信］をクリックします。
  op=add entries="10.168.0.2=America/Anguilla 2001:DB8:85A3::8A2E:370:7334=0500nwappliance21=EST5EDT,M3.2.0/2,M11.1.0'