Decoder:カスタムParserの使用

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

RSA NetWitness Platformには、ローカル システムからParserをアップロードしたり、Parserを削除したりする機能があります。 

DecoderまたはLog DecoderへのParserのアップロード

[サービス]の[構成]ビュー>[Parser]タブの[アップロード]オプションにより、[Parserのアップロード]ダイアログが表示されます。ここで、DecoderまたはLog Decoderに適用するParserのアップロードを管理できます。ダイアログの[ファイル]リストで、アップロードするParserのリストを準備します。ローカルやネットワークのディレクトリまたはリストからファイルの追加や削除を行い、アップロードするファイルを準備します。リストの準備ができたら、[アップロード]をクリックすると、アップロード処理が開始されます。

  1. [管理]>[サービス]に移動し、サービスを選択して、Actions menu [表示]>[構成]を選択します。
    選択したサービスの[構成]ビューが表示されます。
  2. Parser]タブをクリックします。
  3. The Feed Upload iconをクリックします。
    [Parserのアップロード]ダイアログが表示されます。
    This is an example of the Upload Parsers dialog.
  4. Add iconをクリックします。
    ファイルを選択するダイアログが表示されます。
  5. 更新する.flexファイル、.parserファイル、.luaファイルを選択し、[開く]をクリックします。
    ダイアログが閉じ、選択したファイルがファイル リストに表示されます。
    This is an example of the Upload Parsers dialog.
  6. アップロード]をクリックします。
    ダイアログの[アップロード ジョブ]セクションには、各アップロード ジョブの進行状況が表示されます。
    This is the Upload Parsers dialog.ローカルやネットワークのディレクトリまたはリストからファイルの追加や削除を行い、アップロードするファイルを準備します
  7. アップロード グリッド ツールのいずれかを使用して、選択されたジョブのアップロードを管理します(一時停止、再開、キャンセル、削除)。
    ジョブの完了後、ParserはDecoderに導入され、[Parser]タブに表示されます。

アップロード ジョブの管理

[アップロード ジョブ]セクションのツール バーのメニューから、選択したアップロード ジョブ(一時停止、再開、キャンセル、削除)を管理できます。

  • アップロードがキューに登録されているか、または進行中である場合に、Parserのアップロードをキャンセルするには、The cancel iconをクリックします。
  • アップロードがまだ完了していない場合に、Parserのアップロードを一時停止するには、Pause iconをクリックします。
  • 一時停止中のParserのアップロードを再開するには、Resume iconをクリックします。
  • アップロード ジョブを削除するには、The delete iconをクリックします。

導入したParserの削除

[サービス]の[構成]ビュー>[Parser]タブの[削除]オプションでは、DecoderまたはLog Decoderから導入済みのParserを削除できます。Decoderの動作中にParserを追加および削除できます。

注:特に記載のない限り、本セクションでのDecoderに対する説明は、すべてLog Decoderにも該当します。

DecoderからParserを削除するには、次の手順を実行します。

  1. [管理]>[サービス]に移動し、サービスを選択し、Actions menu [表示]>[構成]を選択します。
    選択したサービスの[構成]ビューが表示されます。
  2. Parser]タブをクリックします。
    Parsers tab
  3. Parser]タブで、削除する1つ以上のParserを選択します。
  4. The delete iconをクリックします。
    Parserを削除するかどうかを確認するダイアログが表示されます。
  5. Parserを削除する場合は、[はい]をクリックします。
    ParserはただちにDecoderから削除されます。
You are here
Table of Contents > FeedおよびParserの構成 > カスタムParserの使用

Attachments

    Outcomes