Decoder:カスタムFeedを使用したカスタム メタ キーの作成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、Log DecoderでカスタムFeedを使用してカスタム メタ キーを追加する方法について説明します。

カスタム メタ キーを作成すると、データを取得し、ログとパケットの調査と分析を行うことができます。カスタム メタ キーを使用すると、ログおよびパケット データにエンリッチメント コンテキストを追加できます。このドキュメントでは、Concentrator、ESA、Archiver、Warehouse Connector、Reporting Engineのスキーマでカスタム メタ キーを反映するための構成の変更を中心に説明します。

ここでは、Log Decoderでカスタム メタ キーを使用する例を紹介します。このシナリオでは、組織がプリンターなどの資産の場所を追跡するとします。そこで、資産の場所を示すカスタム メタ キーsource locationを導入します。たとえば、Printer1は「Fifth Floor A wing」にあります。 

注:カスタム メタ キーは、Decoderでも作成できます。Decoderでカスタム メタを作成するときはindex-decoder-custom.xmlファイルを選択します。

Log Decoderでのカスタム メタ キーの追加

カスタムFeedを使用してカスタム メタ キーを追加するには、次の手順に従います。

  1. 管理]>サービス]>[Log Decoder]に移動します。
  2. サービスを選択し、アクション メニュー>[表示>[構成]>[ファイル]タブ>[index-logdecoder-custom.xml]をクリックします。

<Language>
 <?xml version="1.0" encoding="utf-8"?>
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexNone" name="location.src" format="Text"/>
</Language>

  1. Log Decoderサービスを再起動します。[サービス]ビューで、アクション メニュー>[再起動]をクリックします。

ライブ環境でのLog Decoder Feedの導入

ライブ環境でFeedを導入するには、次の手順に従います。

  1. [構成]>[Liveコンテンツ]に移動します。
  2. リソースのグループまたは以前に作成されたリソース パッケージを選択します。リソースまたはリソースのグループを選択するには、次の手順に従います。
    1. Liveの[検索]ビューで、Liveリソースを検索します。たとえば、リソース タイプがLog Collectorのリソースを検索します。
    2. 一致するリソース]パネルで、[結果の表示]>[グリッド]を選択します。
    3. 導入するリソースの左側にあるチェックボックスをオンにします。
      [リソース]リストの[一致するリソース]
    4. [一致するリソース]パネルのツールバーで、アイコンの導入
      をクリックします。
    1. 導入するリソース パッケージを選択するには、次の手順に従います。
    1. Liveの[検索]ビューの[一致するリソース]パネルのツールバーで、[パッケージ]>[導入]を選択します。
      リソース パッケージ導入ウィザードの[パッケージ]ページが表示されます。
      [リソース パッケージ導入]ダイアログ
    2. 参照]をクリックし、ネットワーク上のパッケージ(たとえば、resourceBundle-FeedsParsersContent.zip)を選択します。
      ResourceBundle3.PNG
    3. 開く
      ]をクリックします。
      この時点では、パッケージまたはリソースのグループのどちらを導入する場合でも、導入ウィザードが開き、[リソース]ページが表示されます。
  3. 次へ]をクリックします。
    サービス]ページが表示されます。このページには[サービス]と[グループ]の2つのタブがあり、[管理]>[サービス]ビューで構成されたサービスとサービス グループのリストが表示されます。[サービス]ビューに表示可能な列のサブセットが表示されます。

    注:Liveサーバは、サービスへのリソースの導入に関して「スマート」です。たとえば、パケット量が中程度のリソースはどのLog Decoderにも導入しません。つまり、各サービスには適切なコンテンツ リソースのみが導入されます。

  4. コンテンツの導入先のサービスを選択します。サービスとサービス グループの任意の組み合わせを選択できます。
    [管理]>[サービス]ビューで構成されたサービスおよびサービス グループを選択するには、[サービス]タブを使用します。
    サービスのグループを選択するには、[グループ]タブを使用します。
    DeploymentServices.png
  5. 次へ]をクリックします。
    レビュー]ページが表示されます。
    DeploymentReview.png
    リソースおよびその導入先となるサービスが正しく選択されていることを確認します。
  6. 導入]をクリックします。
    導入]ページが表示されます。選択したサービスにリソースが正常に導入されると、進捗バーが緑色に変わります。
    DeploymentDeploy.png
    互換性のないリソースをサービスに導入しようとすると、NetWitness Suiteは[エラー]ボタンと[再試行]ボタンを表示します。これらのボタンをクリックして、エラーの確認や、導入の再試行をすることができます。
    DeployErrorsRetry2.png
  7. 閉じる]をクリックします。

注:ip.srcとip.dstはIPv4形式のため、ソースIPはタイプを[IP]として選択してインデックス作成する必要があります。 

このシナリオでは、カスタム メタ キーlocation.src(場所ソース)はホスト名(alias.host)のインデックスを作成することで追加されます。この例では、プリンターのホスト名がメタ キー「alias.host」に取り込まれます。そのため、次に示すように、Feedウィザードで、コールバック キーとして「alias.host」を、インデックス タイプを[IP以外]として選択します。[値の定義]セクションでは、ドロップダウン メニューから、カスタム メタ キーを選択します。

Concentratorのカスタム インデックス ファイルへのカスタム メタ キー エントリーの追加

Concentratorのカスタム インデックス ファイルにカスタム メタ エントリーを追加するには、次の手順に従います。

  1. 管理]>[サービス]>[Concentrator]に移動します。
  2. アクション メニュー>[表示]>[構成]>[ファイル]タブ>[index-concentrator-custom.xml]をクリックします。
  3. Concentratorのインデックス ファイルにカスタム メタ キー エントリーを追加します。

 <Language>
  <?xml version="1.0" encoding="utf-8"?>
  <Language level="IndexNone" defaultAction="Auto">
  <!-- Reserved Meta key for Feed -->
  <Key description="Source Location"  level="IndexValues" name="location.src" format="Text"                 valueMax="10000" defaultAction="Open"/>
 </Language>

  1. Concentratorサービスを再起動するには、[サービス]ビューでアクション メニュー>[再起動]をクリックします。

注:Brokerの場合、Brokerが集計するConcentratorからインデックスが作成されます。このため、Brokerでカスタム メタを作成する必要はありません。Concentratorでメタ キーのインデックスを作成していない場合、BrokerはInvestigationに表示されません。

カスタム メタ キーの調査

注:Investigationでカスタム メタ キーを表示するには、NetWitness Suiteユーザ インタフェースからログアウトしてログインする必要があります。

カスタム メタ キーを調査するには、次の手順に従います。 

  1. 調査>[ナビゲート]に移動します。
  2. Concentratorサービスを選択し、[ナビゲート]をクリックします。

    これはInvestigationの出力です。

Concentratorで実行されるレポートの例を次に示します。

これはConcentratorの出力です。

追加の手順

Warehouse Connector、Archiver、Reporting Engine、ESAを構成している場合、次の手順を実行する必要があります。

ESAでのスキーマの更新 

ESAでスキーマを更新する前に、Concentratorでカスタム メタ キーにインデックスを作成する必要があります。

スキーマのESAルールを更新し、新しいカスタム メタ キーを使用できるようにするには、次の手順に従います。

  1. 管理]>[サービス]>[ESA- Event Stream Analysis]>[表示]>[構成]に移動します。
  2. Concentratorデータソースを編集します。
  3. 接続のテスト]をクリックします。

これは接続のテストに成功した[サービスの編集]ダイアログです。

  1. 正常に接続できたら、[保存]をクリックします。
  2. 適用をクリックします。
  3. アラート]>[構成]>[設定]に移動します。

これは[設定]タブの例です。

  1. 検索]タブをクリックし、カスタム メタ キーの名前を検索します。
    カスタム メタ キーの名前とタイプが表示されます。

カスタム メタ キーの名前とタイプの例。

Archiverでのスキーマの更新

新しいカスタム メタ キーを使用してArchiverを構成する場合は、Reporting EngineでArchiverスキーマを更新する必要があります。Reporting EngineでArchiverスキーマを更新するには、次の手順に従います。

  1. 管理]>[サービス]>[Archiver]に移動します。
  2. アクション メニュー>[表示]>[構成]>[ファイル]>[index-archiver-custom.xml]を選択します。
  3. Archiverのインデックス ファイルにカスタム メタ キー エントリーを追加します。

<Language>
 <?xml version="1.0" encoding="utf-8"?> 
 <Language level="IndexNone" defaultAction="Auto">
 <!-- Reserved Meta key for Feed -->
 <Key description="Source Location" level="IndexValues" name="location.src" format="Text"
 valueMax="10000" defaultAction="Open"/>
</Language>

  1. Archiverサービスを再起動するには、アクション メニュー>[再起動]をクリックします。
    Archiverスキーマは、カスタム メタ キーを使用して更新されます。

Warehouse Connectorでのスキーマの更新

Warehouseでカスタム メタを構成し、Warehouseレポートで使用する場合は、Reporting EngineでWarehouseスキーマを更新する必要があります。

カスタム メタ キーを追加するLog DecoderまたはDecoderがWarehouse Connectorストリームのソースの1つである場合は、WarehouseConnectorでスキーマを更新する必要があります。

Reporting EngineでWarehouseスキーマを更新するには、次の手順に従います。

  1. 管理]>[サービス]>[Warehouse Connector]に移動します。
  2. アクション メニュー>[表示]>[構成]>[ファイル]タブ>[index-logdecoder-custom.xml]をクリックします。
  3. ストリームを選択し、[再ロード]をクリックします。
    Warehouse Connectorは、ダウンストリーム デバイス(Log DecoderまたはDecoder)からスキーマを取得します。

ストリームの詳細については、「Warehouse Connector構成ガイド」の「ストリームの構成」を参照してください。

Reporting Engineでのスキーマの更新

Reporting Engineでスキーマを更新するには、次の手順に従います。

  1. 管理]>[サービス]>[Reporting Engine]に移動します。
  2. アクション メニュー>[再起動]をクリックします。

注:Reporting Engineを再起動するか、スキーマが更新されるまで30分間待機します。

カスタム メタ キーを表示するには、次の手順に従います。

  1. レポート]>[ルール]に移動します。
  2. ツールバーで[追加]アイコンをクリックします。
  3. Warehouse DB]を選択します。
  4. [ルールのビルド]タブで、右側のパネルからカスタム メタを検索します。
    カスタム メタ キーが表示されます。

これは[ルールのビルド]タブの例です。

You are here
Table of Contents > FeedおよびParserの構成 > カスタムFeedを使用したカスタム メタ キーの作成

Attachments

    Outcomes