Decoder: Corregir las reglas con sintaxis no válida

Después de una actualización a NetWitness Suite 11.0, la interfaz del usuario resalta cualquier regla que tenga una sintaxis no válida. En el Editor de regla se proporcionan mensajes de globo adicionales. Después de corregir las reglas, los elementos resaltados desaparecen. Configurar reglas de Decoder proporciona reglas que deben seguir todas las consultas y las condiciones de regla en NetWitness Suite.

Para corregir las reglas con sintaxis no válida:

1. Vaya a ADMIN > Servicios.
2. En la vista Servicios, seleccione un Decoder y elija > Ver > Configuración.
3. En la vista Configuración de servicios, seleccione una de las pestañas Reglas: Reglas de red, Reglas de aplicación o Reglas de correlación.
   La pestaña Reglas correspondiente al tipo de regla seleccionado muestra la cantidad de reglas que usan sintaxis no válida y las reglas no válidas están resaltadas.
   
   
   
4. Seleccione una regla no válida y haga clic en .
   El Editor de reglas muestra información adicional para la regla no válida e incluye una opción Guardar adicional.
   
5. En el campo Condición, corrija la sintaxis de la regla.
   Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. En Configurar reglas de Decoder se proporcionan detalles adicionales.
   Por ejemplo, si la condición de regla no válida es ip.src="10.30.30.30", corrija la sintaxis mediante la eliminación de las comillas: ip.src=10.30.30.30
6. Realice una de las siguientes acciones:
   • Para corregir la regla de forma individual, haga clic en Guardar.
     La regla corregida se aplica de manera independiente al Decoder. La regla corregida aparece sin resaltar en la pestaña Reglas. 
   • Para corregir la regla y aplicarla al Decoder más adelante con otras reglas, haga clic en Aceptar.
     La regla corregida aparece sin resaltar en la pestaña Reglas. La regla no se aplica al Decoder.