CLI: Nützliche Befehle

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Die folgenden NwConsole-Befehle sind hilfreich bei der Interaktion mitNetWitness-ServerCore-Services:

  • feed: Ermöglicht das Erstellen von und Arbeiten mit Feeddateien.
  • makepcap: Konvertiert Paketdatenbankdateien in PCAP
  • packets: Ruft Pakete oder Protokolle vom angemeldeten Service ab
  • hash: Erstellt oder überprüft Hashes von Datenbankdateien

In den folgenden Abschnitten sowie auf den Seiten mit Informationen zur Hilfe und zu Themen zu NwConsole finden Sie zusätzliche Informationen.

Feeds

Der Befehl feed bietet mehrere Dienstprogramme für die Erstellung und Untersuchung von Feeddateien. Eine Feeddatei enthält die Definition und die Daten eines einzigen Feeds in einem Format, das von einem Decoder oder Log Decoder für effizientes Laden vorkompiliert wurde. Eine vollständige Referenz zu Feeddefinitionen finden Sie unter Feeddefinitionsdatei im Decoder- und Log Decoder-Konfigurationsleitfaden.

create

feed create <definitionfile> [-x <password>]

Der Befehl feed create erzeugt Feeddateien für jeden in einer Feeddefinitionsdatei definierten Feed. Eine Definitionsdatei ist ein XML-Dokument, das eine oder mehrere Definitionen enthält. Jede Feeddefinition gibt eine Datendatei und die Struktur der Datendatei an. Die daraus resultierenden Feeddateien werden im selben Verzeichnis wie die Definitionsdatei mit demselben Namen wie die Datendatei erstellt. Die Erweiterung wird aber in .feed geändert (z. B. wird datafile.csv zu datafile.feed). Vorhandene Dateien mit dem Zielnamen werden ohne Bestätigungsanforderung überschrieben.

 $ ls
example-definition.xml example-data.csv
$ NwConsole
RSA NetWitness Console 10.5.0.0.0
Copyright 2001-2015, RSA Security Inc. All Rights Reserved.

Type "help" for a list of commands or "man" for a list of manual pages.
> feed create example-definition.xml
Creating feed Example Feed...
done. 2 entries, 0 invalid records
All feeds complete.
> quit
$ ls
example-definition.xml example-data.feed example-data.csv
$

Optional können Feeddateien mithilfe der Option -x gefolgt von einem Passwort von mindestens 16 Zeichen Länge (ohne Leerzeichen) verschleiert werden. Dies wird auf alle Feeds in der Definitionsdatei angewandt. Zusätzlich zu der Feeddatei wird eine Tokendatei für jede Feeddatei erzeugt. Die Tokendatei muss mit der entsprechenden Feeddatei bereitgestellt werden.

feed create example-definition.xml -x 0123456789abcdef

stats

feed stats <feedfile>

Der Befehl feed stats bietet zusammenfassende Informationen über eine vorhandene, nicht verschleierte Feeddatei. Bei Angabe einer verschleierten Feeddatei tritt ein Fehler auf.

  > feed stats example.feed
    Example Feed stats:
        version     : 0
        keys count  : 1
        values count: 2
        record count: 2
        meta key    : ip.src/ip.dst
        language keys:
            alert    Text

dump

feed dump <feedfile> <outfile>

Der Befehl feed dump erzeugt eine normalisierte Liste mit Schlüsselwertpaaren zu einer nicht verschleierten Feeddatei. Sie können die resultierende Datei zur Validierung einer Feeddatei oder als Hilfe bei der Ermittlung verwenden, welche Datensätze bei Erstellung des Feeds als ungültig betrachtet wurden. Bei Angabe einer verschleierten Feeddatei tritt ein Fehler auf. Wenn outfile vorhanden ist, wird der Befehl abgebrochen, ohne die vorhandene Datei zu überschreiben.

feed dump example.feed example-dump.txt

Konvertieren von Paket-DB-Dateien in PCAP

Sie können den Befehl makepcap verwenden, um schnell alle Paket-DB-Datei in eine allgemeine PCAP-Datei zu konvertieren. Dabei wird die Reihenfolge der Erfassungszeit beibehalten. Dieser Befehl bietet viele Optionen (siehehelp makepcap), ist aber leicht anzuwenden. Alles was Sie für den Einstieg brauchen ist das Paket-DB-Verzeichnis (über den Parameter source=<pathname>).  

Hinweis: Sie müssen den Decoder- oder Archiver-Service vor der Ausführung dieses Befehls beenden. Wenn Sie eine PCAP-Datei erzeugen möchten, während der Dienst ausgeführt wird, lesen Sie die Informationen zum Befehl packets.

makepcap source=/var/netwitness/decoder/packetdb

Dieser Befehl konvertiert jede Paket-DB-Datei in eine entsprechende PCAP-Datei im selben Verzeichnis. Wenn die Festplatte fast voll ist, lesen Sie die Informationen zum nächsten Befehl.

makepcap source=/var/netwitness/decoder/packetdb dest=/media/usb/sde1

Dieser Befehl schreibt alle Ausgabe-PCAPs in das Verzeichnis unter /media/usb/sde1.

makepcap source=/var/netwitness/decoder/packetdb dest=/media/usb/sde1 filenum=4-6

Dieser Befehl konvertiert nur die Dateien mit der Nummer 4 bis 6 und überspringt alle anderen Dateien. Mit anderen Worten, es werden die folgenden Paket-DB-Dateien konvertiert: packet-000000004.nwpdb, packet-000000005.nwpdb und packet-000000006.nwpdb.

makepcap source=/var/netwitness/decoder/packetdb time1="2015-03-01 14:00:00" time2="2015-03-02 07:30:00" fileType=pcapng

Mit diesem Befehl werden nur Pakete mit einem Zeitstempel zwischen dem 1. März 2015, 14:00 Uhr und dem 2. März 2015 vor oder um 7:30 Uhr extrahiert. Die Datei wird als pcapng in dasselbe Verzeichnis wie die Quelle geschrieben.  Alle Zeitstempel werden in UTC angegeben.

Pakete

Sie können den Befehl packets verwenden, um basierend auf einer Liste von Sitzungs-IDs, einem Zeitraum oder einer Where-Klausel eine PCAP- oder Protokolldatei zu erzeugen. Dieser Befehl ist sehr flexibel, sodass Sie ihn auf jeden laufenden Service anwenden können, der Zugriff auf Rohdaten einer Downstream-Komponente hat. Bevor Sie den Befehl ausführen, müssen Sie zunächst den Befehl login für einen Service ausführen und dann das Verzeichnis in den entsprechenden SDK-Node ändern (z. B. cd /sdk). Im Gegensatz zum Befehl makepcap, der nur auf dem lokalen Dateisystem arbeitet, verwenden Sie diesen Befehl für einen Remoteservice.

 login ...

cd /sdk

packets where="service=80 && time='2015-03-01 15:00:00'-'2015-03-01 15:10:00'" pathname="/tmp/march-1.pcap"

Dieser Befehl schreibt 10 Minuten reine HTTP-Pakete vom 1. März in die Datei /tmp/march-1.pcap. Alle Zeiten werden in UTC angegeben.

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00" pathname=/media/sdd1/packets.pcap.gz

Dieser Befehl schreibt alle Pakete zwischen den beiden Zeiten in eine komprimierte GZIP-Datei unter /media/sdd1/packets.pcap.gz.

packets time1="2015-04-01 12:30:00" time2="2015-04-01 12:35:00" pathname=/media/sdd1/mylogs.log

Dieser Befehl schreibt alle Protokolle zwischen den beiden Zeiten in eine Klartextdatei unter /media/sdd1/mylogs.log. Mit .log endende Pfadnamen zeigen an, dass die Ausgabedatei als durch Zeilen getrennte Klartextprotokolle formatiert sein sollte.

Überprüfen von Datenbank-Hashes

Standardmäßig schreibt Archiver für jede DB-Datei, die geschrieben wird, eine XML-Datei. Diese XML-Datei endet mit der Erweiterung .hash und enthält einen Hash der Datei zusammen mit anderen relevanten Informationen. Sie können den Befehl hash verwenden, um sich zu vergewissern, dass die DB-Datei nicht manipuliert wurde, indem Sie den in der XML-Datei gespeicherten Hash lesen und dann ein erneutes Hashing für die DB-Datei durchführen, um zu überprüfen, ob der Hash gültig ist.

hash op=verify hashfile=/var/netwitness/archiver/database0/alldata/packetdb/packet-000004880.nwpdb.hash

Dieser Befehl überprüft, ob die Paket-DB-Datei packet-000004880.nwpdb noch dem Hash in der XML-Datei packet-000004880.nwpdb.hash entspricht.  Aussicherheitsgründen sollte die Hash-Datei an einem anderen Ort gespeichert werden, um zu verhindern, dass die XML-Datei manipuliert werden kann (z. B. auf nur einmal beschreibbaren Medien). Für den Hash-Befehl selbst ist es unerheblich, wo sie gespeichert ist.

You are here
Table of Contents > CLI: Nützliche Befehle

Attachments

    Outcomes