レポート:ルールの構成

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode

新しいルールを作成するか、既存のルールをLiveサービスから導入してレポートで使用することができます。次のようなさまざまな条件を使用して、データ ソース内のデータや情報を絞り込むことができます。

  • Select句
  • where句
  • Group By
  • Order Byなど

たとえば、ユーザが毎日アクセスする上位20のWebアドレスを表示するルールを作成することができます。

異なるデータ ソースを使用してさまざまなタイプのルールを作成できます。要件に応じて、次のいずれかのオプションを選択してルールを作成できます。

  • NetWitnessデータ ソースを使用したルールの作成
  • Warehouseデータ ソースを使用したルールの作成
  • Respondデータ ソースを使用したルールの作成

ルールでリストを使用して、データ ソースの検索結果を絞り込むこともできます。ルールが作成されたら、ルールから返される結果を表示するルールをテストできます。

ルールグループの作成

ルールグループまたはルールサブグループを作成するには、次の手順に従います。

  1. 監視]>[レポート]を選択します。
    [管理]タブが表示されます。
  2. 次のいずれかの操作を実行します。
    • ルール グループを定義する方法
      1. ルール グループ パネルで、Add buttonをクリックします。
        ルール グループ パネルに新しいルール グループが追加されます。
      2. ルール グループの名前を入力し、Enterキーを押します。
    • ルール サブグループを追加する方法
      1. ルール グループ パネルで、サブグループの追加先ルール グループを選択します。
      2. Add buttonをクリックします。
        ルール グループに新しいルール サブグループが追加されます。
      3. ルール サブグループの名前を入力し、Enterキーを押します。

NetWitnessデータ ソースを使用したルールの作成

NetWitnessデータ ソースからデータまたはイベントをフェッチするルールを作成できます。Archiverデータ ソースからデータまたはイベントをフェッチするためのルールを定義する場合と同じ手順を使用します。

Archiverデータ ソースを追加するには、Reporting Engineの[サービス]の[構成]ビューを使用します。詳細については、「Archiver構成ガイド」の「(オプション)Reporting EngineへのArchiverデータ ソースの追加」を参照してください。

前提条件

カスタムFeedを使用したカスタム メタ キーの作成方法について理解していることを確認してください。詳細については、「DecoderおよびLog Decoder構成ガイド」の「カスタムFeedを使用したカスタム メタ キーの作成」トピックを参照してください。

NetWitnessデータ ソースからデータまたはイベントをフェッチするルールを作成するには、次の手順を実行します。

  1. 監視]>[レポート]を選択します。

    [管理]タブが表示されます。

  2. ルール ツールバーで、Add button>[NetWitnessDB]をクリックします。
    [ルールのビルド]ビューのタブが表示されます。

    Build Rule View

  3. ルール タイプ]フィールドで[NetWitness DB]が選択されています。
  4. 名前]フィールドに、アラートやレポート内でルールを識別または分類するための名前を入力します。
  5. サマリライズ]フィールドで、ルールの要約や集計のタイプを決定します。定義するルールのタイプに基づいて、次のいずれかを選択する必要があります。
    • グループ化をせずに集計を行わないルールを定義する場合は、次を選択します。なし
    • コレクション(セッション/イベント/パケット)関連の集計など、特別な集計を使用する集計ルールを定義するには、次のいずれかを選択します。

      • イベント数
      • パケット数
      • セッション サイズ
    • メタ値やsum()、count()などのカスタム集計を使用する集計を定義するには、次を選択します。カスタム

      サマリライズ]フィールドで[カスタム]を選択すると、Select句で選択した内容の集計機能を定義できます。たとえば、ip.src、countdistinct(ip.dst)、distinct(ip.dst)を選択します。サポートされている集計関数は次のとおりです。

      • sum (<meta>) 
      • count(<meta>)
      • countdistinct(<meta>)
      • min(<meta>)
      • max(<meta>)
      • avg(<meta>)
      • first(<meta>)
      • last(<meta>)
      • len(<meta>)
      • distinct(<meta>)

      集計ルールおよび集計を行わないルールの詳細は、「ルール構文 」の「NWDBルールの構文」セクションを参照してください。

  6. Select]フィールドで、メタを入力するか、メタ ライブラリに用意されている利用可能なメタ タイプのリストからメタを選択します。詳細については、「[ルールのビルド]ビュー」の「メタ パネル」を参照してください。rawログをフェッチするメタ名はrawです。rawは[Select]フィールドのみで使用できます。[Where]および[Then]フィールドでは使用できません。[Select]フィールドのカスタム集計ルールの場合は複数の集計機能をサポートしています。

    注:NetWitness Suiteの以前のバージョンでは、Select句でのカスタム集計ルールでサポートされている集計機能は1つだけでした。このバージョン以降ではSelect句で複数の集計機能をサポートしています。たとえば、「Select: ip.src, username、service, distinct(country.src), sum(payload)」と指定できます。

  7. エイリアス]フィールドに、Select句で使用されている列のエイリアス名を入力します。
  8. Where]フィールドで、メタを入力するか、利用可能なメタ タイプのリストからメタを選択し、演算子を使用してルールのクエリ条件を指定したWhere句を作成します。
  9. Group By]フィールドは読み取り専用のフィールドで、Select句で定義されたメタが設定されます。集計を行わない機能では、このフィールドは表示されません。[Group By]フィールドでは最大で6個のメタがサポートされています。

    注:NetWitness Suiteの以前のバージョンでは、Group By句でのカスタム集計ルールでサポートされているメタは1つだけでした。このバージョン以降ではGroup By句で最大6つのメタをサポートしています。

  10. Then]フィールドでは、レポートの出力をより具体的にしたり、または結果からFeedを作成するなどデータの検索や表示以外の機能を追加するために、ルールの元の結果セットをさらに処理するルール アクションを入力します。使用可能なルール アクションの一覧は、「ルール構文 」の「NWDBルールの構文」を参照してください。

    注:Archiverデータ ソースに対してルールを実行する場合、lookup_and_add()やshow_whats_new()などのクエリが集中するルール アクションを使用しないことを推奨します。

  11. Order By]フィールドで、次の操作を実行します。

    1. 列名]列に、結果をソート化するための基準となる列の名前を入力します。デフォルトでは、この値は空です。この値は[サマリライズ]フィールドで選択した値に基づいて設定されます。

      • [サマリライズ]が[なし]の場合、[Order By]が選択されていないときはデフォルトでセッションまたは収集時間の順にソートされます。
      • [サマリライズ]がその他の値の場合、[Order By]が定義されていないときには、選択された最初の[Group By]メタに基づいてデフォルトのソートが行われます。[イベント数]、[パケット数]、[セッション サイズ]の場合、使用できる値は[合計]と[値]です。
    2. 整列]列で、結果のソート方法を次のいずれかから選択します。

      • 昇順
      • 降順
  12. セッション閾値]フィールドに、選択したメタの各一意値を確認する一致セッションのスキャンを停止するための最適化設定を入力します。閾値は0(デフォルト)~2147483647の範囲の整数です。

    注:これはNWDB集計ルールのみに適用されます。デフォルト値を指定した場合、すべての一致セッションがスキャンされ、正確な値が返されます。セッションの閾値を高くすると、計算値が正確になります。ただし、この値を高くするとルール実行時間が長くなります。たとえば、ip.srcに対するセッションの閾値を1000に設定すると想定します。5000の一致セッションが存在する場合、1000を超えるセッションに存在するあるip.src値に対し、NWDBは1000セッションをスキャンした後にスキャンを停止し、推定集計値を返します。これによりクエリの実行時間が最適化されます。値が存在するセッションの数が1000未満の場合、実際の値が返されます。

  13. 件数]フィールドに、データベースからデータをフェッチするときのクエリ件数の上限を入力します。結果セットがイベント数、パケット数、セッション サイズによってソートされる場合、件数(=N)を指定すると、上位(下位)N個の値が返されます。結果セットをソートしない場合は、最初のN個の値が返されます。
  14. 保存]をクリックします。

    注:パース済みメタとは異なり、rawログはDecoderからフェッチされます。1つのルールでrawログとパース済みメタの両方に対するクエリを実行する場合、保存期間の違いにより、同じセッションでもパース済みメタは利用でき、rawログは利用できないことがあります。そのため、そのようなセッションでは結果にパース済みメタの値と空のrawの値が含まれます。たとえば、ルール「Select ip.src, ip.dst, service, username, raw」を実行した場合、セッションによっては、パース済みメタは値が表示され、rawメタが空である場合があります。

Warehouseデータ ソースを使用したルールの作成

Warehouseイベント ソースからデータまたはイベントをフェッチするルールを作成できます。ルールの定義は、次の2種類のモードで実行できます。

  • デフォルト モード
  • エキスパート モード

デフォルト モード

デフォルト モードでは、Select、Where、Group By、Havingなどの句を含むSQLに似たHIVEクエリで構成されるルールを作成できます。デフォルトでは、セッションやrawログに対してクエリを実行するルールを作成できます。シンプルなクエリの構文の詳細と例については、「Warehouse DBのシンプルなルールの構文」を参照してください。

次の図は、エキスパート モードを選択せず、[ルール タイプとして[Warehouse DB]を選択した場合に表示される[ルールのビルド]ビューの例です。

Build Rule View with Warehouse DB Rule Type

rawログに対するクエリ

rawログをクエリする場合、rawログ形式がSelect句またはWhere句で使用されます。

注:クエリで指定できる時間範囲は1日(24時間)です。 クエリで1日より短い時間範囲を指定した場合でも、結果セットには少なくとも1日分(24時間分)のデータが含まれます。

次の図は、[ルール タイプ]として[Warehouse DB]を選択し、rawログに対するクエリのルールを作成した場合に表示される[ルールのビルド]ビューの例です。

Warehouse DB Rule for Querying Raw Logs

エキスパート モード

詳細なルールは、DROP、CREATEなどの句を使って作成された複雑なHIVEクエリを使用して定義できます。シンプルなルールの場合とは異なり、常に結果がテーブルに挿入されます。高度なHIVEクエリ言語の詳細については、「HIVE言語マニュアル」を参照してください。

次の図は、エキスパート モードを選択して、[ルール タイプ]として[Warehouse DB]を選択した場合に表示される[ルールのビルド]ビューの例です。

Warehouse DB Expert Mode

特定の時間範囲についてのレポートを生成する場合は、次の2つの変数を使用して、クエリで時間範囲を定義する必要があります。

  • ${report_starttime}:時間範囲の開始時刻(秒)。
  • ${report_endtime}:時間範囲の終了時刻(秒)。

たとえば、SELECT col1, col2 FROM custom_table WHERE timecol >= ${report_starttime} AND timecol <= ${report_endtime};のようになります。

注:デフォルトでは、Reporting Engineは${keyword}を変数として扱います。HIVE変数を指定する場合は、変数の完全な構文を記載する必要があります。例:${hiveconf:hive.exec.scratchdir}。

前提条件

カスタムFeedを使用したカスタム メタ キーの作成方法について理解していることを確認してください。詳細については、「ホストおよびサービスの構成ガイド」の「カスタムFeedを使用したカスタム メタ キーの作成」トピックを参照してください。

Warehouseデータ ソースからデータまたはイベントをフェッチするルールを作成するには、次の手順を実行します。

  1. 監視]>[レポート]を選択します。

    [管理]タブが表示されます。

  2. ルール ツールバーでAdd button>[Warehouse DB]をクリックします。
    [ルールのビルド]ビューが表示されます。
  3. ルール タイプ]フィールドでは、[Warehouse DB]が選択されています。

    デフォルト モードでルールを定義している場合、次の手順を実行します。

    1. 名前]フィールドに、アラートやレポート内でルールを識別または分類するための名前を入力します。
    2. SELECT]フィールドで、ドロップダウン リストからメタを選択するか、メタ パネルに用意されている利用可能なメタ タイプのリストからメタを選択します。詳細については、「[ルールのビルド]ビュー」の「[ルールのビルド]ビュー」を参照してください。 
    3. From]ドロップダウン メニューから、次のいずれかを選択します。

      • セッション
      • ログ
    4. エイリアス]フィールドに、Select句で使用されている列のエイリアス名を入力します。
    5. Where]フィールドで、メタを入力するか、メタ パネルに用意されている利用可能なメタ タイプのリストからメタを選択します。Where句では、ルールのクエリ条件を指定します。
    6. Select句で選択したメタに基づいて結果セットをグループ化する場合には、[Group By]フィールドにそのメタを入力します。
    7. Having]フィールドに、集計されたクエリの結果セットをフィルタするための条件を入力します。
    8. Order By]フィールドで、次の操作を実行します。

      1. 列名]列に、結果をグループ化するための基準となる列の名前を入力します。
      2. 整列]列で、結果のソート方法を次のいずれかから選択します。

        • 昇順 
        • 降順
    9. 件数]フィールドに、データベースからデータをフェッチするときのクエリ件数の上限を入力します。結果セットがセッション 数、パケット数、セッション サイズによってソートされる場合、件数(=N)を指定すると、上位(下位)N個の結果が返されます。結果セットをソートしない場合は、最初のN個の値が返されます。
    10. 保存]をクリックします。
  4. エキスパート モードでルールを定義している場合、[エキスパート モード]チェックボックスを選択して次の操作を実行します。

    1. 名前]フィールドに、アラートやレポート内でルールを識別または分類するための名前を入力します。
    2. クエリ]フィールドに、データ ソースを検索するためのHiveクエリ ステートメントを入力します。
    3. エイリアス]フィールドに、Select句で使用されている列のエイリアス名を入力します。
    4. 保存]をクリックします。

Respondデータ ソースを使用したルールの作成

インシデントまたはアラートをRespondデータ ソースからフェッチするルールを作成できます。

前提条件

以下について確認します。

  • Reporting Engineサービスが動作している。
  • Incident Managementサービスが動作している。詳細については、「NetWitness Respond構成ガイド」の「Respondサーバ サービスのデータベースの構成」トピックを参照してください。
  • オプション)Event Stream Analysisサービスが動作している。詳細については、「ステップ2. ESAサービスの詳細設定の構成」トピック(「ESA構成ガイド」)を参照してください。
  • (オプション)Malware Analysisサービスが動作している。詳細については、「Malware構成ガイド」の「(オプション)Malware Analysisホストの監査の構成」トピックを参照してください。

注:要件と、生成するアラートやインシデントのタイプに基づいて、いずれかのサービス(Event Stream Analysis、Reporting Engine、Malware Analysis、Endpoint)を構成する必要があります。

Respondデータ ソースからデータまたはイベントをフェッチするルールを作成するには、次の手順を実行します。

  1. [監視]>[レポート]を選択します。

    [管理]タブが表示されます。

  2. ルール ツールバーで、Add button>対応をクリックします。

    [ルールのビルド]ビューのタブが表示されます。

  3. ルール タイプ]フィールドで、[Respond]が選択されています。
  4. 名前]フィールドに、アラートやインシデントレポート内でルールを識別または分類するための名前を入力します。
  5. サマリライズ]フィールドで、ルールの要約や集計のタイプを決定します。定義するルールのタイプに基づいて、次のいずれかを選択する必要があります。
    • グループ化をせずに集計を行わないルールを定義する場合は、[なし]を選択します。
    • メタ値やカスタム集計を使用する集計を定義するには、[カスタム]を選択します。

      サマリライズ]フィールドで[カスタム]を選択すると、選択したレポートタイプに基づき、Select句で選択した内容の集計機能を定義できます。

      集計ルールおよび集計を行わないルールの詳細は、「ルール構文 」を参照してください。

  6. From]フィールドで、出力を表示するレポートのタイプに基づき、次のいずれかを選択する必要があります。
    • アラート
    • インシデント
  7. Select]フィールドで、メタを入力するか、メタ ライブラリに用意されている利用可能なメタ タイプのリストからメタを選択します。詳細については、「[ルールのビルド]ビュー」の「メタ パネル」を参照してください。[Where]フィールドでは使用できません。[Select]フィールドのカスタム集計ルールの場合は複数の集計機能をサポートしています。

    たとえば、アラートのサポートされる集計関数は次のとおりです。

    • alert_host_summary
    • alert.name
    • alert.numEvents
    • alert.severity
    • alert.source
    • alert.timestamp
    • incidentCreated
    • incidentId
    • receivedTime

    たとえば、インシデントのサポートされる集計関数は次のとおりです。

    • categories
    • created
    • priority
    • riskScore
    • sealed
    • status

    集計ルールおよび集計を行わないルールの詳細は、「ルール構文 」を参照してください。

  8. エイリアス]フィールドに、Select句で使用されている列のエイリアス名を入力します。
  9. Where]フィールドで、メタを入力するか、利用可能なメタ タイプのリストからメタを選択し、演算子を使用してルールのクエリ条件を指定したWhere句を作成します。
  10. Group By]フィールドは読み取り専用のフィールドで、Select句で定義されたメタが設定されます。集計を行わない機能では、このフィールドは表示されません。[Group By]フィールドでは最大で6つのメタがサポートされています。

  11. Order By]フィールドで、次の操作を実行します。

    1. 列名]列に、結果をソート化するための基準となる列の名前を入力します。デフォルトでは、この値は空です。

    2. 整列]列で、結果のソート方法を次のいずれかから選択します。

      • 昇順
      • 降順
  12. 件数]フィールドに、データベースからデータをフェッチするときのクエリ件数の上限を入力します。結果セットがソートされる場合、件数を指定すると、上位(下位)N個の結果が返されます。結果セットをソートしない場合は、最初のN個の値が返されます。
  13. 保存]をクリックします。

ルールの導入

RSA NetWitness Suiteでは、導入ウィザードを使用してサービス(Reporting Engineなど)に選択したルールを導入できます。

前提条件

以下について確認します。

  • ルールを導入するサービスが動作している。
  • Liveサービスが構成されている。

ルールを導入するには、次の手順を実行します。

  1. [構成]>[Liveコンテンツ]を選択します。
  2. 検索条件]パネルで、Liveリソースを検索します(たとえば、アプリケーション ルール リソース タイプを検索します)。
  3. 一致するリソース]パネルで、[結果の表示]>[グリッド]を選択します。

  4. 導入するルールの左側にあるチェックボックスをオンにします。

  5. 一致するリソース]パネルのツールバーで、Deploy buttonをクリックします。

  6. 次へ]をクリックします。
  7. ルールを導入するサービス(たとえば、Reporting Engine)を選択し、[次へ]をクリックします。
  8. 導入]をクリックします。
    ルールは正常に導入されます。

Reportingでのメタ エイリアスの使用

レポートおよびチャートでメタを参照するときには、メタの名前のエイリアスのみを表示できます。これらのエイリアスにより、メタを分かりやすく表示することができます。

メタには事前に定義されたエイリアスのみを使用でき、それらの値を変更することはできません。

WHERE句ではメタのエイリアス値を指定できません。これはNetWitness SuiteではWHERE句を使用してデータ ソース(Concentratorなど)を取得しますが、データ ソースではエイリアスをサポートしていないためです。つまり、WHERE句では、HTTPポート80番のエイリアス値HTTPを指定することはできません。

注:* Reporting Engineによってすでにエイリアス化されているもの以外にメタのエイリアスを作成できません。また、エイリアスの形式は変更できません。
          * アラートおよびCSVレポートではエイリアスはサポートされていません。

ルールでエイリアスを使用するには、次の手順を実行します。

  1. [監視]>[レポート]を選択します。
    [管理]タブが表示されます。
  2. [ルール リスト]パネルで、次のいずれかを実行します。
  • ルールを選択し、[ルール]ツールバーのEdit buttonをクリックします。
  • Actions drop-down menu>[編集]をクリックします。
  1. SELECT]フィールドに、エイリアスを含んだメタを指定します。

次の例では、eth.typeip.protomediumservicetcp.dstporttcp.srcportの各メタを[SELECT]フィールドに指定しています。
Example for eth.type, ip.proto, medium, service, tcp.dstport, and tcp.srcport meta aliases in the Select field

  1. ルールのテスト]をクリックします。
    次の例は、ルールの[SELECT]フィールドに指定したeth.typeip.protomediumservicetcp.dstporttcp.srcportの列の下に結果がエイリアスで表示されている様子を示しています。

     eth.type, ip.proto, medium, service, tcp.dstport, and tcp.srcport  meta aliases results

RSA提供のエイリアス定義

このセクションで説明するエイリアス ファイルはサンプルです。Reporting Engineにある現在のエイリアス定義をベースにしています。NetWitness Suiteでは、Concentratorの構成ファイルが変更された場合でも、Reporting Engineでこれらの定義を変更できません。Concentratorの構成ファイルを変更してもReporting Engineには反映されないためです。

各メタの詳細については、それぞれのmeta.aliasesで説明します。

eth.type

ALIAS_FORMAT=$alias
0=802.3
257=Experimental
512=Xerox PUP
513=Xerox PUP
1024=Nixdorf
1536=Xerox NS IDP
1537=XNS Address Translation (3Mb only)
2048=IP
2049=X.75 Internet
2050=NBS Internet
2051=ECMA Internet
2052=CHAOSnet
2053=X.25 Level 3
2054=ARP
2055=XNS Compatibility
2076=Symbolics Private
2184=Xyplex
2304=Ungermann-Bass network debugger
2560=Xerox IEEE802.3 PUP
2561=Xerox IEEE802.3 PUP Address Translation
2989=Banyan Systems
2991=Banyon VINES Echo
4096=Berkeley Trailer negotiation
4097=Berkeley Trailer encapsulation for IP
4660=DCA - Multicast
5632=VALID system protocol
6537=Artificial Horizons
6549=Datapoint Corporation (RCL lan protocol)
15360=3Com NBP virtual circuit datagram (like XNS SPP) not registered
15361=3Com NBP System control datagram not registered
15362=3Com NBP Connect request (virtual cct) not registered
15363=3Com NBP Connect repsonse not registered
15364=3Com NBP Connect complete not registered
15365=3Com NBP Close request (virtual cct) not registered
15366=3Com NBP Close response not registered
15367=3Com NBP Datagram (like XNS IDP) not registered
15368=3Com NBP Datagram broadcast not registered
15369=3Com NBP Claim NetBIOS name not registered
15370=3Com NBP Delete Netbios name not registered
15371=3Com NBP Remote adaptor status request not registered
15372=3Com NBP Remote adaptor response not registered
15373=3Com NBP Reset not registered
16972=Information Modes Little Big LAN diagnostic
17185=THD - Diddle
19522=Information Modes Little Big LAN
21000=BBN Simnet Private
24576=DEC unassigned
24577=DEC Maintenance Operation Protocol (MOP) Dump/Load Assistance
24578=DEC Maintenance Operation Protocol (MOP) Remote Console
24579=DECNET Phase IV
24580=DEC Local Area Transport (LAT)
24581=DEC diagnostic protocol (at interface initialization?)
24582=DEC customer protocol
24583=DEC Local Area VAX Cluster (LAVC)
24584=DEC AMBER
24585=DEC MUMPS
24592=3Com Corporation
28672=Ungermann-Bass download
28673=Ungermann-Bass NIUs
28674=Ungermann-Bass diagnostic/loopback
28675=Ungermann-Bass ??? (NMC to/from UB Bridge)
28677=Ungermann-Bass Bridge Spanning Tree
28679=OS/9 Microware
28681=OS/9 Net?
28704=LRT (England) (now Sintrom)
28720=Racal-Interlan
28721=Prime NTS (Network Terminal Service)
28724=Cabletron
32771=Cronus VLN
32772=Cronus Direct
32773=HP Probe protocol
32774=Nestar
32776=AT&amp;T/Stanford Univ.
32784=Excelan
32787=Silicon Graphics diagnostic
32788=Silicon Graphics network games
32789=Silicon Graphics reserved
32790=Silicon Graphics XNS NameServer
32793=Apollo DOMAIN
32814=Tymshare
32815=Tigan
32821=Reverse Address Resolution Protocol (RARP)
32822=Aeonic Systems
32823=IPX (Novell Netware?)
32824=DEC LanBridge Management
32825=DEC DSM/DDP
32826=DEC Argonaut Console
32827=DEC VAXELN
32828=DEC DNS Naming Service
32829=DEC Ethernet CSMA/CD Encryption Protocol
32830=DEC Distributed Time Service
32831=DEC LAN Traffic Monitor Protocol
32832=DEC PATHWORKS DECnet NETBIOS Emulation
32833=DEC Local Area System Transport
32834=DEC unassigned
32836=Planning Research Corp.
32838=AT&amp;T
32839=AT&amp;T
32840=DEC Availability Manager for Distributed Systems DECamds
32841=ExperData
32859=VMTP
32860=Stanford V Kernel
32861=Evans &amp; Sutherland
32864=Little Machines
32866=Counterpoint Computers
32869=University of Mass. at Amherst
32870=University of Mass. at Amherst
32871=Veeco Integrated Automation
32872=General Dynamics
32873=AT&amp;T
32874=Autophon
32876=ComDesign
32877=Compugraphic Corporation
32878=Landmark Graphics Corporation
32890=Matra
32891=Dansk Data Elektronik
32892=Merit Internodal
32893=Vitalink Communications
32896=Vitalink TransLAN III Management
32897=Counterpoint Computers
32904=Xyplex
32923=EtherTalk - AppleTalk over Ethernet
32924=Datability
32927=Spider Systems Ltd.
32931=Nixdorf Computers
32932=Siemens Gammasonics Inc.
32960=DCA Data Exchange Cluster
32966=Pacer Software
32967=Applitek Corporation
32968=Intergraph Corporation
32973=Harris Corporation
32975=Taylor Instrument
32979=Rosemount Corporation
32981=IBM SNA Services over Ethernet
32989=Varian Associates
32990=TRFS (Integrated Solutions Transparent Remote File System)
32992=Allen-Bradley
32996=Datability
33010=Retix
33011=AppleTalk Address Resolution Protocol (AARP)
33012=Kinetics
33015=Apollo Computer
33023=Wellfleet Communications
33026=Wellfleet BOFL
33027=Wellfleet Communications
33031=Symbolics Private
33067=Talaris
33072=Waterloo Microsystems Inc.
33073=VG Laboratory Systems
33079=IPX
33080=Novell Inc
33081=KTI
33087=M/MUMPS data sharing
33093=Vrije Universiteit (NL)
33094=Vrije Universiteit (NL)
33095=Vrije Universiteit (NL)
33100=SNMP
33103=Technically Elite Concepts
33169=PowerLAN
33149=XTP
33238=Artisoft Lantastic
33239=Artisoft Lantastic
33283=QNX Software Systems Ltd.
33680=Accton Technologies (unregistered)
34091=Talaris multicast
34178=Kalpana
34525=IPv6
34617=Control Technology Inc.
34618=Control Technology Inc.
34619=Control Technology Inc.
34620=Control Technology Inc.
34848=Hitachi Cable (Optoelectronic Systems Laboratory)
34902=Axis Communications AB
34952=HP LanProbe test?
36864=Loopback (Configuration Test Protocol)
36865=3Com XNS Systems Management
36866=3Com TCP/IP Systems Management
36867=3Com loopback detection
43690=DECNET
64245=Sonix Arpeggio
65280=BBN VITAL-LanBridge cache wakeups
34915=PPPoe
34916=PPPoe
2056=Frame Relay ARP
16962=IEEE bridge spanning protocol
25944=Bridged Ethernet/802.3 packet
65278=ISO CLNP/ISO ES-IS DSAP/SSAP

ip.proto

ALIAS_FORMAT=$alias
0=HOPOPT
1=ICMP
2=IGMP
3=GGP
4=IP
5=ST
6=TCP
7=CBT
8=EGP
9=IGP
10=BBN-RCC-M
11=NVP-II
12=PUP
13=ARGUS
14=EMCON
15=XNET
16=CHAOS
17=UDP
18=MUX
19=DCN-MEAS
20=HMP
21=PRM
22=XNS-IDP
23=TRUNK-1
24=TRUNK-2
25=LEAF-1
26=LEAF-2
27=RDP
28=IRTP
29=ISO-TP4
30=NETBLT
31=MFE-NSP
32=MERIT-INP
33=SEP
34=3PC
35=IDPR
36=XTP
37=DDP
38=IDPR-CMTP
39=TP++
40=IL
41=IPv6
42=SDRP
43=IPv6-Rout
44=IPv6-Frag
45=IDRP
46=RSVP
47=GRE
48=MHRP
49=BNA
50=ESP
51=AH
52=I-NLSP
53=SWIPE
54=NARP
55=MOBILE
56=TLSP
57=SKIP
58=IPv6-ICMP
59=IPv6-NoNx
60=IPv6-Opts
61=AnyHost
62=CFTP
63=AnyNetwork
64=SAT-EXPAK
65=KRYPTOLAN
66=RVD
67=IPPC
68=AnyFile
69=SAT-MON
70=VISA
71=IPCV
72=CPNX
73=CPHB
74=WSN
75=PVP
76=BR-SAT-MO
77=SUN-ND
78=WB-MON
79=WB-EXPAK
80=ISO-IP
81=VMTP
82=SECURE-VM
83=VINES
84=TTP
85=NSFNET-IG
86=DGP
87=TCF
88=EIGRP
89=OSPFIGP
90=Sprite-RP
91=LARP
92=MTP
93=AX.25
94=IPIP
95=MICP
96=SCC-SP
97=ETHERIP
98=ENCAP
99=AnyPrivate
100=GMTP
101=IFMP
102=PNNI
103=PIM
104=ARIS
105=SCPS
106=QNX
107=A/N
108=IPComp
109=SNP
110=Compaq-Pe
111=IPX-in-IP
112=VRRP
113=PGM
114=AnyHop
115=L2TP
116=DDX
117=IATP
118=STP
119=SRP
120=UTI
121=SMP
122=SM
123=PTP
124=ISIS
125=FIRE
126=CRTP
127=CRUDP
128=SSCOPMCE
129=IPLT
130=SPS
131=PIPE Pr
132=SCTP St
133=FC Fi
134=RSVP-E2E-
255=Reserved

medium

ALIAS_FORMAT=$alias
1=Ethernet
2=Tokenring
3=FDDI
4=HDLC
5=NetWitness
6=802.11
7=802.11 Radio
8=802.11 AVS
9=802.11 PPI
10=802.11 PRISM
11=802.11 Management
12=802.11 Control
13=DLT Raw
32=Logs

service

ALIAS_FORMAT=$alias
0=OTHER
20=FTPD
21=FTP
22=SSH
23=TELNET
25=SMTP
53=DNS
67=DHCP
69=TFTP
80=HTTP
110=POP3
111=SUNRPC
119=NNTP
123=NTP
135=RPC
137=NETBIOS
139=SMB
143=IMAP
161=SNMP
179=BGP
443=SSL
502=MODBUS
520=RIP
1024=EXCHANGE
1080=SOCKS
1122=MSN IM
1344=ICAP
1352=NOTES
1433=TDS
1521=TNS
1533=SAMETIME
1719=H.323
1720=RTP
2000=SKINNY
2040=SOULSEEK
2049=NFS
3270=TN3270
3389=RDP
3700=DB2
5050=YAHOO IM
5060=SIP
5190=AOL IM
5222=Google Talk
5900=VNC
6346=GNUTELLA
6667=IRC
6801=Net2Phone
6881=BITTORRENT
8000=QQ
8002=YCHAT
8019=WEBMAIL
8082=FIX
20000=DNP3
1000000=KERNEL
1000001=USER
1000003=SYSTEM
1000004=AUTH
1000005=LOGGER
1000006=LPD
1000008=UUCP
1000009=SCHEDULE
1000010=SECURITY
1000013=AUDIT
1000014=ALERT
1000015=CLOCK

tcp.dstport

ALIAS_FORMAT=$value ($alias)
7=echo
9=discard
13=daytime
17=qotd
19=chargen
20=ftp-data
21=ftp
22=ssh
23=telnet
25=smtp
37=time
42=nameserver
43=nicname
53=domain
70=gopher
79=finger
80=http
88=kerberos
101=hostname
102=iso-tsap
107=rtelnet
109=pop2
110=pop3
111=sunrpc
113=auth
117=uucp-path
119=nntp
135=epmap
137=netbios-ns
139=netbios-ssn
143=imap
158=pcmail-srv
170=print-srv
179=bgp
194=irc
389=ldap
443=https
445=cifs
464=kpasswd
512=exec
513=login
514=cmd
515=printer
520=efs
526=tempo
530=courier
531=conference
532=netnews
540=uucp
543=klogin
544=kshell
556=remotefs
636=ldaps
749=kerberos-adm
993=imaps
995=pop3s
1109=kpop
1433=ms-sql-s
1434=ms-sql-m
1512=wins
1524=ingreslock
1723=pptp
2053=knetd
1122=msn im
1352=notes
1521=tns
1533=sametime
1718=h323
1720=rtp
1863=msn im
2049=nfs
3389=rdp
5050=yahoo im
5060=sip
5190=aim
6346=gnuetella
6667=irc
9001=tor
9030=tor
9535=man

tcp.srcport

ALIAS_FORMAT=$value ($alias)
7=echo
9=discard
13=daytime
17=qotd
19=chargen
20=ftp-data
21=ftp
22=ssh
23=telnet
25=smtp
37=time
42=nameserver
43=nicname
53=domain
70=gopher
79=finger
80=http
88=kerberos
101=hostname
102=iso-tsap
107=rtelnet
109=pop2
110=pop3
111=sunrpc
113=auth
117=uucp-path
119=nntp
135=epmap
137=netbios-ns
139=netbios-ssn
143=imap
158=pcmail-srv
170=print-srv
179=bgp
194=irc
389=ldap
443=https
445=cifs
464=kpasswd
512=exec
513=login
514=cmd
515=printer
520=efs
526=tempo
530=courier
531=conference
532=netnews
540=uucp
543=klogin
544=kshell
556=remotefs
636=ldaps
749=kerberos-adm
993=imaps
995=pop3s
1109=kpop
1433=ms-sql-s
1434=ms-sql-m
1512=wins
1524=ingreslock
1723=pptp
2053=knetd
1122=msn im
1352=notes
1521=tns
1533=sametime
1718=h323
1720=rtp
1863=msn im
2049=nfs
3389=rdp
5050=yahoo im
5060=sip
5190=aim
6346=gnuetella
6667=irc
9001=tor
9030=tor
9535=man

udp.dstport

ALIAS_FORMAT=$value ($alias)
7=echo
9=discard
13=daytime
17=qotd
19=chargen
37=time
39=rlp
42=nameserver
53=domain
67=bootps
68=bootpc
69=tftp
88=kerberos
111=sunrpc
123=ntp
135=epmap
137=netbios-ns
138=netbios-dgm
161=snmp
162=snmptrap
213=ipx
443=https
445=cifs
464=kpasswd
500=isakmp
512=biff
513=who
514=syslog
517=talk
518=ntalk
525=timed
533=netwall
550=new-rwho
560=rmonitor
561=monitor
749=kerberos-adm
1167=phone
1433=ms-sql-s
1434=ms-sql-m
1512=wins
1701=l2tp
1812=radiusauth
1813=radacct
2049=nfsd
2504=nlbs

ルールのテスト

選択した時間範囲とデータ ソースに基づいてルールをテストすることができます。

ルールをテストするには、次の手順を実行します。

  1. [監視]>[レポート]を選択します。
    [管理]タブが表示されます。
  2. [ルール リスト]パネルで、次のいずれかを実行します。
    • ルールを選択し、[ルール]ツールバーのEdit buttonをクリックします。
    • Actions drop-down menu>[編集]をクリックします。
      [ルールのビルド]ビューのタブが表示されます。
  3. ルールのテスト]をクリックします。
    [ルールのテスト]ビューが表示されます。
    Test Rule View

注:ルールのテスト]をクリックしてもルールは保存されません。ルールを保存するには、[ルールのビルド]ビューで[保存]をクリックする必要があります。

  1. データ ソース]ドロップダウン リストからデータ ソースを選択します。
    定義するルールに対して適切なデータ ソースを選択する必要があります。
  2. 形式]ドロップダウン リストから、結果を表示する形式を選択します。
  3. 時間範囲]ドロップダウン リストから、次のいずれかを選択します。
    • 過去:年、日、週、月、時間の数を指定します。
    • 範囲:日付と時刻の範囲を指定します。

注:ユーザ インタフェース(UI)に表示される日付または時刻は、ユーザが選択したタイム ゾーン プロファイルによって異なります。

  1. X軸]と[Y軸]では、チャートにプロットするメタを指定します。
    X軸]には、「Group by」ルールに対するメタが表示されます。[Y軸]には、ルールで使用される集計関数が表示されます。

注:ルールに使用する集約関数では、Sum、Count、Countdistinct、Averageがサポートされています。デフォルトでは、複数の「Group by」が含まれるカスタム ルールについては、[X軸]では最初のメタのみを選択できます。

  1. テストの実行]をクリックしてルールを実行します。
    選択した時間範囲のルール データが表示されます(存在する場合)。

リストまたはリスト グループの作成

リストを作成するには、次のステップを実行します。

リストは、グループ内またはルート フォルダ内に追加できます。

  1. [監視]>[レポート]を選択します。
    [管理]タブが表示されます。
  2. リスト]をクリックします。
    [リスト]ビューが表示されます。

    List View

  3. リスト]ツールバーでAdd buttonをクリックします。
    [リストのビルド]ビューのタブが表示されます。

    Build List View

  4. 名前]フィールドに、リストの一意の名前を入力します。
  5. 説明]フィールドに、リストの説明を入力します。
  6. リスト値]フィールドで、次のいずれかを実行します。
    • 値の挿入]をクリックして、コンマ区切り値を入力します。ファイルまたは他のリストから値のリストを貼り付けることもできます。
    • ]列に、値を入力します。
  7. 実行時に値に引用符を直接挿入する場合は、[すべての値に対して引用符を挿入します]を選択します。
  8. 保存]をクリックします。

リスト グループを作成するには、次のステップを実行します。

  1. [監視]>[レポート]を選択します。
    [管理]タブが表示されます。
  2. リスト]をクリックします。
    [リスト]ビューが表示されます。
    List View
  3. 次の操作を実行します。
    • リスト グループを作成するには、次の手順を実行します。
      1. [リスト]の[グループ]パネルでAdd button
        をクリックします。[リスト]の[グループ]パネルに新しいリスト グループが追加されます。
        List Group
      2. リスト グループの名前を入力し、Enterキーを押します。
    • リスト サブグループを作成するには、次の手順を実行します。

      1. [リスト]の[グループ]パネルで、サブグループの追加先リスト グループを選択します。
      2. Add buttonをクリックします。
        リスト グループに新しいリスト サブグループが追加されます。
      3. リスト サブグループの名前を入力し、Enterキーを押します。
  
You are here
Table of Contents > ルールの構成

Attachments

    Outcomes