NetWitness 11.0では、[検出]ビューの詳細タブに、特定のデバイスの最近のログの一部を抜粋して表示できる機能が追加されました。デフォルトでは、11.0より前のLog Decoderにはこの機能を有効化するために必要な設定がありませんが、小規模な変更をいくつか行うことで、この機能を利用できるようになります。
11.0より前のLog Decoderのログ プレビューを有効にするには、Log Decoderで以下の手順に従います。
- [管理]>[サービス]>に移動してLog Decoderを選択し、
>[表示]>[構成]を選択します。 - [ファイル]タブをクリックし、ドロップダウン メニューからindex-logdecoder-custom.xmlを選択します。
- 次の3行をファイルの末尾(languageタグがクローズする前)に追加します。
<key description="Device IP" level="IndexValues" name="device.ip" format="IPv4" valueMax="100000" defaultAction="Open"/>
<key description="Device IPv6" level="IndexValues" name="device.ipv6" format="IPv6" valueMax="100000" defaultAction="Open"/>
<key description="Device Host" level="IndexValues" name="device.host" format="Text" valueMax="100000" defaultAction="Open"/> - [適用]をクリックします。
- 次の手順に従ってLog Decoderを再起動します。
Log Decoderサービス>[エクスプローラ]>[Decoder]>[プロパティ]を選択します。ドロップダウン メニューから[reset]を選択します。resetを選択した後で[送信]をクリックします。
これは、index-logdecoder-custom.xmlファイルの例です。
注:検出スコアは、Log Decoder 11.x以上でのみ使用できます。Log Decoder 11.xより前の検出スコアには、[使用不可]と表示されます。
次の例は、11.0より前のLog Decoderの[詳細]ビューで[使用不可]と表示された検出スコアを示しています。
注:デバイス ログは、11.x以降のLog Decoderでのみ使用できます。
次の例は、11.0より前のLog Decoderの[ログ]パネルに表示されるメッセージを示しています。
Previous Topic:サービス タイプへのIPアドレスのマッピング
Next Topic:Log Decoderへのログ ファイルのアップロード
You are here
Table of Contents > DecoderおよびLog Decoderのための追加の手順 > 11.0より前のLog Decoderからのログ ファイルの取得