CLI : Accéder à NwConsole et aide

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode

RSA NetWitness Console, également appelée NwConsole, est une application de terminal multiplates-formes qui fournit des outils puissants et un accès de la ligne de commande aux services Core, tels que Decoder, Log Decoder, Concentrator, Broker et Archiver. La plupart des utilisateurs effectuent leurs tâches et procédures d'enquête via l'interface utilisateur de NetWitness Suite, mais certains utilisateurs avancés, tels que les administrateurs et les développeurs, ont besoin d'un accès direct aux services sans passer par l'interface utilisateur. NwConsole vous permet de saisir des commandes à partir de la ligne de commande ou d'exécuter plusieurs commandes à partir d'un fichier. 

Cette rubrique décrit comment accéder à NwConsole et afficher l'aide interne à NwConsole.

Les informations d'aide détaillées sont disponibles dans la console RSA Security Analytics, également connue sous le nom de NwConsole. Vous pouvez effectuer cette opération à partir de la ligne de commande Security Analytics.

Conditions préalables

L'application NwConsole est installée sur toutes les appliances NetWitness Suite. Vous pouvez également l'installer sur Windows, Mac et CentOS pour vous connecter à un service Core et interagir avec lui.

NwConsole est disponible à partir de la ligne de commande sur une appliance NetWitness Suite. Si vous accédez à une appliance principale à distance, l'application RSA NetWitness Console doit être installée sur une machine Windows, Mac ou CentOS. Pour obtenir le programme d'installation de l'application RSA NetWitness Console, contactez le support client RSA.

Accéder à NwConsole

Pour exécuter NwConsole à partir de la ligne de commande sur une appliance NetWitness Suite ou un émulateur de terminal, à l'invite <$>, saisissez NwConsole (Linux) ou nwconsole  (Windows). La commande réelle est NwConsole, mais Windows n'est pas sensible à la casse. RSA NetWitness Console s'affiche comme illustré dans l'exemple suivant.

 Last login: Thu Sep 24 14:00:42 on console usxx<username>m1:~ <username>$ NwConsole RSA NetWitness Suite Console Copyright 2001-2015, RSA Security Inc. All Rights Reserved. Type "help" for a list of commands or "man" for a list of manual pages. >  

Afficher l'aide

NwConsole fournit de l'aide pour chaque commande, mais aussi de l'aide pour des rubriques spécifiques.

Attention : Pour obtenir les dernières informations disponibles, consultez les rubriques d'aide et les rubriques relatives aux commandes au sein de NwConsole. 

Afficher la liste des commandes

Pour afficher la liste des commandes disponibles et leurs descriptions, à l’invite (>), saisissez help. L’exemple suivant présente une liste des commandes disponibles.

 > help Local commands:
avro2nwd - Convert AVRO files to NWD files
avrodump - Display schema and contents of AVRO file (for debugging)
blockspeed - Tests various write block sizes to determine best setting
compileflex - Compile all flex parsers in a directory
createflex - Create a flex parser that matches tokens read from a file
dbcheck - Perform a database integrity check over one or more
session, meta, packet, log or stat db files
diskspeed - Measures the speed of the disk(s) mounted at a specified
echo - Echos the passed in text to the terminal
encryptparser - Encrypt all parsers in a directory
feed - Create and work with feed files
fmanip - Manipulate a file with XOR and check for embedded PEs
hash - Creates or verifies hashes of database files
help - Provides help information for recognized console commands
history - Displays, erases or executes a command in the command
httpAggStats - Tests HTTP aggregation and reports statistics as it
log - Perform operations on a log database
logParse - Parse line delimited logs on stdin and post results to
logfake - Create a fake log pcap file
lua - Execute a lua script
makec3 - Generate C3 Test Data
makepcap - Convert packet database files to pcap or log files
man - Displays a list of topics or opens a specific manual page
on a topic
metaspeed - Tests read performance over an existing meta db
netbytes - Display statistics on network interface utilization
nwdstrip - Convert full NWD file into just session and meta file
pause - Wait for user input when running a script file
reindex - reindex a collection
sdk - Execute SDK commands based on the C SDK library, type "sdk
help" for more information
sleep - Sleeps for the specified milliseconds
timeout - Globally change the timeout for waiting for a response from
a service
tlogin - Open a trusted SSL connection to an existing service
topQuery - Returns the top N longest running queries from the audit
log (either a file or from the log API)
vslice - Validate index slices

Remote commands (executed on the connected service, see "login"):
login - Connect to a remote service. Once connected, type help to
see commands available for remote execution.

For detailed help, type "help <command>"

Afficher l'aide détaillée d'une commande

Pour afficher des informations détaillées sur une commande, saisissez help <command>. L’exemple suivant affiche l’aide sur la commande logParse après avoir saisi help logParse.

 For detailed help, type "help <command>"
> help logParse
Usage: logParse {in=<pathname>} {indir=<pathname>} [out=<pathname>]
[content=<c2|c3>] [device=<device,[device...]>]
[path=<log-parsers-config-path>] [metaonly] [srcaddr=<src
address>] [srcaddrfile=<filename,IP Address>]
Parse line delimited logs on stdin and post results to stdout

in - The input source file. "in=stdin" means interactive typing of
indir - The input source files parent directory
out - The output file or output file parent directory if input is
set by indir. If not specified, use stdout as output.
content - Content version, either c2 or c3. Default is c2.
device - Comma delimited device list specifying devices that is
enabled. Default enable all devices.
path - The logparsers configuration path. Default will find
configuration file like logdecoder.
metaonly - The output will only contains parsed meta, otherwise will
print log message after metas.
srcaddr - The source address of the all the logs
srcaddrfile - The source address for logs in one input file, in the format

Afficher la liste des rubriques d'aide

Pour afficher la liste des rubriques d’aide, saisissez man. L’exemple suivant présente une liste des rubriques d’aide.

 > man
List of topics:

Connecting to a Service
Monitoring Stats
Converting Packet DB Files to PCAP
Verifying Database Hashes
SDK Content
SDK Content Examples

Type "man <topic>" for help on a specific topic, partial matches are acceptable

Afficher une rubrique d'aide spécifique

Pour afficher l’aide relative à une rubrique spécifique, saisissez man <topic>. L’exemple suivant affiche la rubrique d’aide Paquets après avoir saisi man Packets.

 Type "man <topic>" for help on a specific topic, partial matches are acceptable > man Packets

The *packets* command can be used to generate a pcap or log file based on a
list of Session IDs, a time period or a where clause. The command is quite
flexible and can be used on any running service that has access to the raw
data from a downstream component. Before running the command, you must first
*login* to a service and then change directory to the appropriate sdk node,
(e.g., "cd /sdk"). Unlike the *makepcap* command, which only works on the
local file system, this command is meant to be used on a remote service.

login ...
cd /sdk
packets where="service=80 && time='2015-03-01 15:00:00'-'2015-03-01
15:10:00'" pathname="/tmp/march-1.pcap"
Write 10 minutes of HTTP only packets from March 1st, to the file
/tmp/march-1.pcap. All times are in UTC.

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00"
Write all packets between the two times to a gzip compressed file at

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00"
Write all logs between the two times to a plaintext file at
/media/sdd1/mylogs.log. Any pathname ending with .log indicates that the
format of the output file should be plaintext line-delimited logs.

Attention : Pour obtenir les dernières informations disponibles, consultez les rubriques d'aide et les rubriques relatives aux commandes au sein de NwConsole. 

Quitter NwConsole

Pour quitter l'application NwConsole, saisissez quit dans la ligne de commande.

You are here
Table of Contents > Accéder à NwConsole et à l’aide