Decoder: Pestaña Reglas de aplicación

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

La pestaña Reglas de aplicación (ADMINISTRAR > Servicios > seleccione un Decoder o un Log Decoder y haga clic en The actions drop-down menu > Ver > Configuración > pestaña Reglas de aplicación) permite administrar las reglas de aplicación. NetWitness Platform aplica reglas de aplicación en el nivel de sesión.

¿Qué desea hacer?

                  
Función de usuarioDeseo…Documentación
Administradoragregar o editar reglas de aplicaciónConfigurar reglas de aplicaciones

Temas relacionados

Vista rápida

En la siguiente figura se muestra una pestaña Reglas de aplicación y la tabla describe las columnas.

This is the App Rules tab.

                                   
ColumnaDescripción

Pendiente

Esta columna indica si una regla tiene cambios pendientes. Las reglas que están actualmente activas en el Decoder no tienen indicador. Si la regla es nueva o se modificó, la columna contiene The pending icon. Una vez que se aplican las reglas, el indicador de pendiente se elimina.

Nombre

Este el nombre de la regla, un identificador descriptivo de la regla.

Condición

Esta es la definición de la condición que activa una acción cuando hay coincidencia con ella.

Datos de sesión

Esta columna muestra la medida de los Datos de sesión que se implementa cuando un paquete coincide con la regla. Los posibles valores son Filtro, Mantener o Truncar.

Alerta

Esta columna muestra el nombre de la alerta personalizada que el Decoder genera cuando los metadatos coinciden con la regla.

Estado

Esta columna indica si la regla está habilitada o deshabilitada con un icono de círculo. Si el interior del círculo es verde, la regla está activada. Si el círculo está vacío, la regla está deshabilitada.

Cuadro de diálogo Editor de regla

En la siguiente figura se muestra el cuadro de diálogo Editor de regla para una regla de aplicación.

the Rule Editor dialog

El cuadro de diálogo Editor de regla proporciona las opciones y los campos necesarios para definir una regla de aplicación. 

                   
CampoDescripción
Nombre de la regla El nombre descriptivo que identifica a la regla.
Condición La definición de la condición que activa una acción cuando se coincide con ella. Puede escribir directamente en el campo o crear la condición en este campo utilizando metadatos de las acciones en la ventana de IntelliSense. A medida que crea la definición de la regla, Intellisense muestra los errores y las advertencias de la sintaxis.

Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. Configurar reglas de Decoder se proporcionan detalles adicionales.

En la siguiente tabla se describen las acciones y las opciones de Datos de sesión.

                                       
AcciónDescripción
Detener procesamiento de regla Si está seleccionada, la evaluación adicional de la regla termina si hay una coincidencia con la regla y la sesión se guarda según la acción de la sesión. Si no se verifica, la evaluación de la regla continúa hasta que se evalúen todas las reglas.
Conservar La carga útil del paquete y los metadatos asociados se guardan cuando coinciden con la regla.
Filtro El paquete no se guarda cuando coincide con la regla.
Truncar


Truncar todo: Trunca todos los bytes de la carga útil de la sesión. La carga útil del paquete no se guarda cuando coincide con la regla, pero los encabezados del paquete y los metadatos asociados se conservan. Esta es la opción de truncamiento predeterminada.

Truncar después de los primeros <n> bytes: Trunca los bytes de la carga útil de la sesión después de los primeros <n> bytes especificados, donde <n> es un entero. La carga útil del paquete no se guarda después de <n> bytes cuando coincide con la regla, pero los encabezados del paquete y los metadatos asociados se conservan.

Truncar después del protocolo de enlace SSL/TLS: Trunca la carga útil de todas las sesiones, excepto en el caso de una sesión SSL/TLS, donde el intercambio de SSL se conserva, pero el resto de la carga útil no se guarda. Esta opción se usa con los analizadores SSL.

Alerta y Alerta enSi Alerta está seleccionado, el paquete genera una alerta personalizada cuando los metadatos coinciden con la regla. Puede seleccionar el nombre de la alerta en el campo Alerta en.
Adelante Habilita la ejecución del reenvío de syslog cuando el registro coincide con la regla.
Transitorio Impide que los metadatos de alerta que se crean se escriban en disco.

En la siguiente tabla se describen las acciones del cuadro de diálogo Editor de regla. 

                           
AcciónDescripción
Restablecer Restablece los contenidos del cuadro de diálogo a los valores previos a la edición; los cambios se anulan.
Cancelar Cancela las ediciones y cierra el cuadro de diálogo Editor de regla.
Aceptar Guarda la regla nueva o editada y la agrega a la cuadrícula de reglas. El cuadro de diálogo Editor de regla se cierra.
Guardar (Solo reglas con sintaxis obsoleta) Aplica una regla corregida individualmente al servicio Decoder. Consulte Corregir las reglas con sintaxis no válida.
You are here
Table of Contents > Referencias de Decoder y Log Decoder > Vista Configuración de servicios: Pestaña Reglas de aplicación

Attachments

    Outcomes