Decoder:カスタムFeedを使用したカスタム メタ キーの作成

Document created by RSA Information Design and Development Employee on Apr 19, 2018Last modified by RSA Information Design and Development Employee on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

このトピックでは、Log DecoderでカスタムFeedを使用してカスタム メタ キーを追加する方法について説明します。

カスタム メタ キーを作成すると、データを取得し、ログとパケットの調査と分析を行うことができます。カスタム メタ キーを使用すると、ログおよびパケット データにエンリッチメント コンテキストを追加できます。このドキュメントでは、Concentrator、ESA、Archiver、Warehouse Connector、Reporting Engineのスキーマでカスタム メタ キーを反映するための構成の変更を中心に説明します。

ここでは、Log Decoderでカスタム メタ キーを使用する例を紹介します。このシナリオでは、組織がプリンターなどの資産の場所を追跡するとします。そこで、資産の場所を示すカスタム メタ キーsource locationを導入します。たとえば、Printer1は「Fifth Floor A wing」にあります。 

注:カスタム メタ キーは、Decoderでも作成できます。Decoderでカスタム メタを作成するときはindex-decoder-custom.xmlファイルを選択します。

Log Decoderでのカスタム メタ キーの追加

カスタムFeedを使用してカスタム メタ キーを追加するには、次の手順に従います。

  1. 管理]>[サービス]に移動します。
  2. Log Decoderサービスを選択し、 Actions menu>[表示>[構成]>[ファイル]タブ>[index-logdecoder-custom.xml]をクリックします。

<Language>
 <?xml version="1.0" encoding="utf-8"?>
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexNone" name="location.src" format="Text"/>
</Language>

  1. Log Decoderサービスを再起動します。[サービス]ビューで、Actions menu>[再起動]をクリックします。

ライブ環境でのLog Decoder Feedの導入

ライブ環境でFeedを導入するには、次の手順に従います。

  1. [構成]>[Liveコンテンツ]に移動します。
  2. リソースのグループまたは以前に作成されたリソース パッケージを選択します。リソースまたはリソースのグループを選択するには、次の手順に従います。
    1. Liveの[検索]ビューで、Liveリソースを検索します。たとえば、リソース タイプがLog Collectorのリソースを検索します。
    2. 一致するリソース]パネルで、[結果の表示]>[グリッド]を選択します。
    3. 導入するリソースの左側にあるチェックボックスをオンにします。
      Matching Resources in the Resources list
    4. [一致するリソース]パネルのツールバーで、Deploy iconをクリックします。
    1. 導入するリソース パッケージを選択するには、次の手順に従います。
    1. Liveの[検索]ビューの[一致するリソース]パネルのツールバーで、[パッケージ]>[導入]を選択します。
      リソース パッケージ導入ウィザードの[パッケージ]ページが表示されます。
      Resource Package Deploymeny dialog
    2. 参照]をクリックし、ネットワーク上のパッケージ(たとえば、resourceBundle-FeedsParsersContent.zip)を選択します。
      ResourceBundle3.PNG
    3. 開く
      ]をクリックします。
      この時点では、パッケージまたはリソースのグループのどちらを導入する場合でも、導入ウィザードが開き、[リソース]ページが表示されます。
  3. 次へ]をクリックします。
    サービス]ページが表示されます。このページには[サービス]と[グループ]の2つのタブがあり、[管理]>[サービス]ビューで構成されたサービスとサービス グループのリストが表示されます。[サービス]ビューに表示可能な列のサブセットが表示されます。

    注:Liveサーバは、サービスへのリソースの導入に関して「スマート」です。たとえば、パケット量が中程度のリソースはどのLog Decoderにも導入しません。つまり、各サービスには適切なコンテンツ リソースのみが導入されます。

  4. コンテンツの導入先のサービスを選択します。サービスとサービス グループの任意の組み合わせを選択できます。
    [管理]>[サービス]ビューで構成されたサービスおよびサービス グループを選択するには、[サービス]タブを使用します。
    サービスのグループを選択するには、[グループ]タブを使用します。
    DeploymentServices.png
  5. 次へ]をクリックします。
    レビュー]ページが表示されます。
    DeploymentReview.png
    リソースおよびその導入先となるサービスが正しく選択されていることを確認します。
  6. 導入]をクリックします。
    導入]ページが表示されます。選択したサービスにリソースが正常に導入されると、進捗バーが緑色に変わります。
    DeploymentDeploy.png
    互換性のないリソースをサービスに導入しようとすると、NetWitness Platformは[エラー]ボタンと[再試行]ボタンを表示します。これらのボタンをクリックして、エラーの確認や、導入の再試行をすることができます。
    DeployErrorsRetry2.png
  7. 閉じる]をクリックします。

注:ip.srcとip.dstはIPv4形式のため、ソースIPはタイプを[IP]として選択してインデックス作成する必要があります。 

このシナリオでは、カスタム メタ キーlocation.src(場所ソース)はホスト名(alias.host)のインデックスを作成することで追加されます。この例では、プリンターのホスト名がメタ キー「alias.host」に取り込まれます。そのため、次に示すように、Feedウィザードで、コールバック キーとして「alias.host」を、インデックス タイプを[IP以外]として選択します。[値の定義]セクションでは、ドロップダウン メニューから、カスタム メタ キーを選択します。

Concentratorのカスタム インデックス ファイルへのカスタム メタ キー エントリーの追加

Concentratorのカスタム インデックス ファイルにカスタム メタ エントリーを追加するには、次の手順に従います。

  1. 管理]>[サービス]>[Concentrator]に移動します。
  2. The actions menu>[表示]>[構成]>[ファイル]タブ>[index-concentrator-custom.xml]をクリックします。
  3. Concentratorのインデックス ファイルにカスタム メタ キー エントリーを追加します。

 <Language>
  <?xml version="1.0" encoding="utf-8"?>
  <Language level="IndexNone" defaultAction="Auto">
  <!-- Reserved Meta key for Feed -->
  <Key description="Source Location"  level="IndexValues" name="location.src" format="Text"                 valueMax="10000" defaultAction="Open"/>
 </Language>

  1. Concentratorサービスを再起動するには、[サービス]ビューでThe actions menu>[再起動]をクリックします。

注:Brokerの場合、Brokerが集計するConcentratorからインデックスが作成されます。このため、Brokerでカスタム メタを作成する必要はありません。Concentratorでメタ キーのインデックスを作成していない場合、BrokerはInvestigationに表示されません。

カスタム メタ キーの調査

注:Investigationでカスタム メタ キーを表示するには、NetWitness Platformユーザ インタフェースからログアウトしてログインする必要があります。

カスタム メタ キーを調査するには、次の手順に従います。 

  1. 調査に進みます。サービスを選択できるダイアログが表示されます。
  2. Concentratorサービスを選択し、[ナビゲート]をクリックします。

    This is the investigation output.

Concentratorで実行されるレポートの例を次に示します。

This is the Concentrator output.

追加の手順

Warehouse Connector、Archiver、Reporting Engine、ESAを構成している場合、次の手順を実行する必要があります。

ESAでのスキーマの更新 

ESAでスキーマを更新する前に、Concentratorでカスタム メタ キーにインデックスを作成する必要があります。

スキーマのESAルールを更新し、新しいカスタム メタ キーを使用できるようにするには、次の手順に従います。

  1. 管理]>[サービス]>[ESA- Event Stream Analysis]>[表示]>[構成]に移動します。
  2. Concentratorデータソースを編集します。
  3. 接続のテスト]をクリックします。

This is the Edit Service dialog with a successful test connection.

  1. 正常に接続できたら、[保存]をクリックします。
  2. 適用]をクリックします。
  3. 構成]>[ESAルール]>[設定]に移動します。

This is an example of the Settings tab.

  1. 検索]タブをクリックし、カスタム メタ キーの名前を検索します。
    カスタム メタ キーの名前とタイプが表示されます。

Example of custom meta key name and type.

Archiverでのスキーマの更新

新しいカスタム メタ キーを使用してArchiverを構成する場合は、Reporting EngineでArchiverスキーマを更新する必要があります。Reporting EngineでArchiverスキーマを更新するには、次の手順に従います。

  1. 管理]>[サービス]>[Archiver]に移動します。
  2. The actions menu>[表示]>[構成]>[ファイル]>[index-archiver-custom.xml]を選択します。
  3. Archiverのインデックス ファイルにカスタム メタ キー エントリーを追加します。

<Language>
 <?xml version="1.0" encoding="utf-8"?> 
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexValues" name="location.src" format="Text"
 valueMax="10000" defaultAction="Open"/>
</Language>

  1. Archiverサービスを再起動するには、The actions menu>[再起動]をクリックします。
    Archiverスキーマは、カスタム メタ キーを使用して更新されます。

Warehouse Connectorでのスキーマの更新

Warehouse Connectorでカスタム メタを構成し、Warehouse Connectorレポートで使用する場合は、Reporting EngineでWarehouse Connectorスキーマを更新する必要があります。

カスタム メタ キーを追加するLog DecoderまたはDecoderがWarehouse Connectorストリームのソースの1つである場合は、WarehouseConnectorでスキーマを更新する必要があります。

Reporting EngineでWarehouse Connectorスキーマを更新するには、次の手順に従います。

  1. 管理]>[サービス]>[Warehouse Connector]に移動します。
  2. The actions menu>[表示]>[構成]>[ファイル]タブ>[index-logdecoder-custom.xml]をクリックします。
  3. ストリームを選択し、[再ロード]をクリックします。
    Warehouse Connectorは、ダウンストリーム デバイス(Log DecoderまたはDecoder)からスキーマを取得します。
    Warehouse Connector Streams tab

ストリームの詳細については、「Warehouse Connector構成ガイド」の「ストリームの構成」を参照してください。

Reporting Engineでのスキーマの更新

Reporting Engineでスキーマを更新するには、次の手順に従います。

  1. 管理]>[サービス]>[Reporting Engine]に移動します。
  2. The actions menu>[再起動]をクリックします。

注:Reporting Engineを再起動するか、スキーマが更新されるまで30分間待機します。

カスタム メタ キーを表示するには、次の手順に従います。

  1. 監視]>[レポート]>[ルール]に移動します。
  2. ツールバーでThe add iconをクリックします。
  3. Warehouse DB]を選択します。
  4. [ルールのビルド]タブで、右側のパネルからカスタム メタを検索します。
    カスタム メタ キーが表示されます。

This is an example of the Build Rule tab.

You are here
Table of Contents > FeedおよびParserの構成 > カスタムFeedを使用したカスタム メタ キーの作成

Attachments

    Outcomes