on Apr 19, 2018このトピックでは、Decoder向けのGeoIP2 ParserとGeoIP Parserについて説明します。これらのParserのうち、一度に有効にできるのは1つだけです。これらのParserはいずれも、特定のIPアドレスが一般的に使用されている国や都市名などの地理的な場所にそのIPアドレスを変換します。
GeoIP2 Parser
NetWitness Platformバージョン 11.2以降で使用可能なGeoIP2 Parserは、アップグレードと新規インストール用にデフォルトで有効になっています。GeoIP2 Parserは、最新のMaxmind GeoIPパッケージを提供し、IPv6アドレスに加えIPv4をサポートしています。
GeoIP2 Parserの構成は次のようにして編集できます。
- [管理]>[サービス]に移動します。
- [Administration]の[サービス]ビューで、Log DecoderまたはDecoderを選択します。
- 設定アイコン(
)をクリックし、[表示]>[構成]を選択します。[Parser構成]パネルが表示されるので、そこから[GeoIP2]を選択して構成オプションを表示して更新できます。
検索対象のIPアドレスを定義することもできます。GeoIP2 Parserでは、デフォルトで ip.src、ip.dst、ipv6.src、ipv6.dstの各IPアドレスを使用できます。ただし、parsers.optionsを使用してIPアドレスを削除または新たに追加して、オプションを更新することができます。たとえば、parsers.optionsを編集して、使用するIPアドレスのコンマ区切りリストを次のように渡すことができます。
GeoIP2="ipaddr=ip.src,ip.dst,ipv6.src,ipv6.dst,ip.addr"
これにより、ip.addrという新しいIPアドレスが検索対象として追加されます。ただし、ip.addrは末尾が.srcまたは.dstでないため、生成されたGeoIP2メタデータが.srcまたは.dstのサフィックスなしのメタデータにParserによって配置されます。このようにして、国や都市などがip.addrメタデータの後に表示されるようになります。
注:ip.addrに対して渡したリストはデフォルトのリストを置き換えます。そのため、ipaddr=ip.srcを渡した場合は、ip.srcのGeoIP2メタデータのみが生成され、他のIPアドレスは生成されません。
注:parsers.optionsは、複数のParserに関するオプションを渡すために使用されます。そのため、GeoIP2を追加する場合は、他のParser(エントロピーなど)に渡される他のオプションを削除しないでください。
次の表は、GeoIP2 Parserによって生成される可能性のあるすべてのメタデータをリストにしたものであり、どのメタデータがデフォルトで有効または無効になっているかを示しています。
標準のParser構成を使用して、他のメタデータを有効にできます。
注:GeoIP2 Parserは、一部のメタデータをデフォルトで無効にするという点で、(生成されたメタデータをデフォルトでまったく無効にしなかった)GeoIP Parserとは動作が異なります。無効になっているメタデータが必要な場合は、11.2以降にアップグレードした後で、Decoderごとに(1回だけ)そのメタデータを有効にする必要があります。ispおよびorgのメタ フィールドでは、通常、domainに相当する値を生成します。
GeoIP Parser
GeoIP Parserは、NetWitness Platformの以前のバージョンで使用可能な古いParserですが、新しいGeoIP2 Parserとともに引き続きサポートされています。Parserの構成を変更するには、[サービス]の[構成]ビュー>[ファイル]>[GeoPrivate.ipl]を選択してParserオプションを編集します。
GeoPrivate.iplにある地理的な位置情報メタデータは、ip.srcとip.dstの両方について追加されます。Parserは、GeoCity.datとGeoCountry.datという2つの外部データ ファイルを使用します。これらのファイルは両方ともアプリケーション ディレクトリに格納されています。次の表に示すように、各IPアドレスについて最大で8つのメタデータが存在します。