CLI: Comando SDK Content

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Uno de los comandos importantes en NwConsole es sdk content. Contiene varias opciones para hacer casi cualquier cosa, por lo menos en relación con la extracción de contenido de la plataforma NetWitness Suite Core. Puede usarlo para crear archivos PCAP, archivos de registro o extraer archivos de las sesiones de red (por ejemplo, explorar todas las imágenes de las sesiones de correo electrónico). Puede anexar archivos, tener un tamaño máximo asignado antes de crear un nuevo archivo y limpiar automáticamente los archivos cuando el tamaño del directorio aumenta demasiado. Se pueden ejecutar consultas en segundo plano para encontrar nuevas sesiones. Divide las consultas en grupos administrables y lleva a cabo automáticamente esas operaciones. Cuando se agota el grupo, hace una nueva consulta para obtener un nuevo conjunto de datos para otras operaciones. La lista de opciones del comando sdk content es muy amplia.

Debido a que el comando tiene muchas opciones, este documento proporciona ejemplos de comandos para diferentes casos de uso.

Antes de poder ejecutar sdk content, primero se deben ejecutar algunos comandos (como iniciar sesión en un servicio). Estos son algunos ejemplos:

  • En primer lugar, conéctese a un servicio:
    sdk open nw://admin:netwitness@10.10.25.50:50005 
  • Si necesita conectarse a través de SSL, utilice el protocolo nws:
    sdk open nws://admin:netwitness@10.10.25.50:56005
  • Tenga en cuenta que está pasando una dirección URL y debe aplicarle codificación de URL correctamente. Si la contraseña es p@ssword, la dirección URL se ve así: sdk open nw://admin:p%40ssword@10.10.25.50:50005
    Esto también se aplica al nombre de usuario.
  • Una vez que inicia sesión, puede establecer un directorio de salida para los comandos: sdk output <some pathname>
  • Para obtener ayuda de la línea de comandos, escriba: sdk content

Antes de probar algunos ejemplos de comandos, es importante comprender el parámetro sessions. Este parámetro es muy importante y controla la cantidad de datos que desea explorar (la cláusula where también es importante). El parámetro sessions es un ID de sesión único o un rango de ID de sesión. Todos los servicios de NetWitness Suite Core funcionan con ID de sesión, que comienzan en 1 y aumentan en 1 por cada sesión nueva que se agrega al servicio (sesión de red o registro). Los ID de sesión son números enteros de 64 bits, por lo que pueden llegar a ser muy grandes. Para hacerlo simple, supongamos que hay un Log Decoder que ha recopilado y analizado 1,000 registros. En el servicio, ahora tiene 1,000 sesiones con ID de sesión entre 1 y 1,000 (el ID de sesión 0 nunca es válido). Si desea que funcionen en las 1,000 sesiones, pase sesiones= 1-1000. Si solo desea que funcionen en las últimas 100 sesiones, pase sesiones= 901-1000. Una vez que el comando termina de procesar la sesión 1,000, regresa al indicador de la consola.

Sin embargo, muchas veces no nos interesan los rangos de sesiones específicos. Solo queremos ejecutar una consulta en todos ellos y procesar las sesiones que coinciden con la consulta. Estos son algunos accesos directos que simplifican este proceso:

  • La letra l (L en minúscula) significa límite inferior o el ID de sesión más bajo.
  • La letra u significa el ID de sesión más alto. De hecho, significa el ID de sesión más alto para sesiones futuras. En otras palabras, si pasa sessions=l-u, este rango especial significa operar en todas las sesiones actuales del sistema, pero también no salir del procesamiento y, a medida que ingresan nuevas sesiones al sistema, procesarlas también. El comando pausa y espera nuevas sesiones una vez que llega a la última sesión en el servicio. Para resumir, el comando nunca sale y entra en modo de procesamiento continuo. Se ejecuta durante días, meses o años, a menos que se interrumpa.
  • Si no desea que el comando se ejecute para siempre, puede pasar now para el límite superior. Esto determina el ID de la última sesión en el servicio en el momento en que el comando se inicia y procesa todas las sesiones hasta llegar a ese ID de sesión. Una vez que llega a ese ID de sesión, el comando sale, independientemente de la cantidad de sesiones que se agregaron al servicio desde que se inició el comando. Por lo tanto, en el caso del Log Decoder de ejemplo, sessions=200-now inicia el procesamiento en la sesión 200, va hasta la sesión 1,000 y se cierra. Incluso si después de iniciarse el comando se agregan otros 1,000 registros al Log Decoder, aún se cierra después de procesar la sesión 1,000.
  • El parámetro sessions=now-u significa comenzar en la última sesión y continuar con el procesamiento de todas las sesiones nuevas que entran. No procesa ninguna sesión existente (excepto la última), solo sesiones nuevas.

Para ver ejemplos de los comandos y lo que hacen, escriba man sdk content examples o consulte Ejemplos de comando SDK content.

Previous Topic:CLI: Comandos útiles
You are here
Table of Contents > CLI: Comando SDK Content

Attachments

    Outcomes