ESM:11.0より前のLog Decoderからのログの表示

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

RSA NetWitness® Platform 11.0では、[検出]ビューの詳細タブを使用して、特定のデバイスの最近のログの一部を抜粋して表示する機能が追加されました。デフォルトでは、11.0より前のLog Decoderにはこの機能を有効化するために必要な設定がありませんが、小規模な変更をいくつか行うことで、この機能を利用できるようになります。

11.0.0.0より前のLog Decoderのログ プレビューを有効にするには、Log Decoderで以下の手順に従います。

  1. [管理]>[サービス]に移動してLog Decoderを選択し、actions menu>[表示]>[構成]を選択します。
  2. ファイル]タブをクリックし、ドロップダウン メニューからindex-logdecoder-custom.xmlを選択します。
  3. 次の3行をファイルの末尾(languageタグがクローズする前)に追加します。

    <key description="Device IP" level="IndexValues" name="device.ip" format="IPv4" valueMax="100000" defaultAction="Open"/>
    <key description="Device IPv6" level="IndexValues" name="device.ipv6" format="IPv6" valueMax="100000" defaultAction="Open"/>
    <key description="Device Host" level="IndexValues" name="device.host" format="Text" valueMax="100000" defaultAction="Open"/>

  4. 適用]をクリックします。

    Example of index-logdecoder-custom.xml file.

  5. 次の手順に従い、Log Decoderを再起動します。

    [Log Decoder]>[エクスプローラ]>[sys]>[プロパティ]>[shutdown]を選択します。

上の図は、index-logdecoder-custom.xmlファイルの例です。

注:検出スコアは、Log Decoder 11.0以上でのみ使用できます。11.0より前のLog Decoderの検出スコアは、[使用不可]と表示されます。

次の例では、11.0より前のLog Decoderに対して[詳細]ビューで検出スコアが[使用不可]と表示されています。

Example shows that a pre-11.0 Log Decoder is listed as Unavailable.

注:デバイス ログは、11.0以降のLog Decoderでのみ使用できます。

次の例は、11.0より前のLog Decoderの[ログ]パネルに表示されるメッセージを示しています。

Example of message that displays when a pre-11.0 Log Decoder is discovered.

You are here
Table of Contents > トラブルシューティング/付録 > 11.0より前のLog Decoderからのログの表示

Attachments

    Outcomes