11.0.0.0より前のLog Decoderからのログの表示

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness 11.0.0.0では、[検出]ビューの詳細タブを使用して、特定のデバイスに関する最近のログの一部を抜粋して表示できる機能が追加されました。デフォルトでは、11.0.0.0より前のLog Decoderにはこの機能を有効化するために必要な設定がありませんが、小規模な変更をいくつか行うことで、この機能を利用できるようになります。

11.0.0.0より前のLog Decoderのログ プレビューを有効にするには、Log Decoderで以下の手順に従います。

  1. [管理]>[サービス]>に移動してLog Decoderを選択し、>[表示]>[構成]を選択します。
  2. ファイル]タブをクリックし、ドロップダウン メニューからindex-decoder-custom.xmlを選択します。
  3. 次の3行をファイルの末尾(終了言語タグの前)に追加します。

<key description="Device IP" level="IndexValues" name="device.ip" format="IPv4" valueMax="100000" defaultAction="Open"/>

<key description="Device IPv6" level="IndexValues" name="device.ipv6" format="IPv6" valueMax="100000" defaultAction="Open"/>

<key description="Device Host" level="IndexValues" name="device.host" format="Text" valueMax="100000" defaultAction="Open"/>

  1. 適用をクリックします。
    index-logdecoder-custom.xmlファイルの例。
  2. 次のように、Log Decoderをリスタートします。
    [Log Decoder]>[エクスプローラ]>[sys]>[プロパティ]>[シャットダウン]を選択します。

これは、index-logdecoder-custom.xmlファイルの例です。

注:検知スコアは、Log Decoder 11.0.0.0以上でのみ使用できます。Log Decoder 11.0.0.0より前の検出スコアは、[使用不可]として表示されます。

次の例は、11.0.0.0より前のLog Decoderに対して[詳細]ビューで[使用不可]として表示された検出スコアを示しています。

11.0より前のLog Decoderが[使用不可]として一覧表示されることを示す例。

注:デバイス ログは、11.0.0.0以降のLog Decoderでのみ使用できます。

次の例は、11.0.0.0より前のLog Decoderの[ログ]パネルに表示されるメッセージを示しています。

11.0より前のLog Decoderが検出されたときに表示されるメッセージの例。

You are here
Table of Contents > イベント ソース グループの管理 > ESM:11.0.0.0より前のLog Decoderからのログの表示

Attachments

    Outcomes