CLI: Befehl „sdk content“

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Einer der leistungsstärksten Befehle in NwConsole ist sdk content. Er umfasst zahlreiche Optionen, mit denen in Bezug auf das Extrahieren von Inhalten aus dem NetWitness Suite-Core-Stack fast keine Wünsche offen bleiben. Sie können ihn verwenden, um PCAP- und Protokolldateien zu erstellen oder um Dateien aus Netzwerksitzungen zu extrahieren (z. B. alle Bilder aus E-Mail-Sitzungen zu sammeln). Es ist möglich, mit dem Befehl Dateien anzuhängen, vor der Erstellung einer Datei eine Maximalgröße festzulegen und Dateien automatisch zu bereinigen, wenn das Verzeichnis zu groß wird. Es können im Hintergrund Abfragen für die Suche nach neuen Sitzungen durchgeführt werden. Abfragen werden in verwaltbare Gruppen unterteilt und diese Vorgänge werden automatisch ausgeführt. Wenn die Gruppe erschöpft ist, wird eine erneute Abfrage durchgeführt, um einen neuen Datensatz für weitere Vorgänge zu erhalten. Die Liste der Optionen für den Befehl „sdk content“ ist sehr umfangreich.

Da der Befehl so viele Optionen umfasst, enthält dieses Dokument Beispielbefehle für verschiedene Anwendungsfälle.

Bevor Sie den Befehl sdk content ausführen können, müssen Sie zunächst einige andere Befehle ausführen (z. B. Anmeldung bei einem Service). Hier einige Beispiele:

  • Verbinden Sie sich zunächst mit einem Service:
    sdk open nw://admin:netwitness@10.10.25.50:50005 
  • Wenn Sie eine Verbindung über SSL herstellen müssen, verwenden Sie das Protokoll nws:
    sdk open nws://admin:netwitness@10.10.25.50:56005
  • Denken Sie daran, dass Sie eine URL übergeben und diese korrekt URL-kodiert werden muss. Wenn das Passwort p@ssword lautet, sieht die URL wie folgt aus: sdk open nw://admin:p%40ssword@10.10.25.50:50005
    Dies gilt auch für Benutzernamen.
  • Nach der Anmeldung können Sie ein Ausgabeverzeichnis für die Befehle festlegen: sdk output <some pathname>
  • Geben Sie für Hilfe zur Befehlszeile Folgendes ein: sdk content

Bevor Sie einige Beispielbefehle testen, müssen Sie den Parameter sessions verstanden haben. Dieser Parameter ist sehr wichtig und steuert, wie viele oder wie wenige Daten Sie erfassen möchten (die Where-Klausel ist ebenfalls wichtig). Beim Parameter „session“ handelt es sich entweder um eine einzelne Sitzungs-ID oder einen Bereich von Sitzungs-IDs. Alle NetWitness Suite Core-Services arbeiten mit Sitzungs-IDs, die mit 1 beginnen und für jede neue Sitzung, die dem Service hinzugefügt wird (Netzwerk- oder Protokollsitzung), um 1 erhöht werden. Sitzungs-IDs sind 64-Bit-Ganzzahlen, sodass sie sehr groß werden können. Um es einfach zu halten, wird davon ausgegangen, dass es sich um einen Log Decoder handelt, der 1.000 Protokolle aufgenommen hat und diese analysiert. Im Service sind jetzt 1.000 Sitzungen mit Sitzungs-IDs von 1 bis 1000 (die Sitzungs-ID 0 ist nie gültig) vorhanden. Wenn Sie alle 1.000 Sitzungen verarbeiten möchten, übergeben Sie „sessions=1-1000“. Wenn Sie nur die letzten 100 Sitzungen verarbeiten möchten, übergeben Sie „sessions=901-1000“. Sobald der Befehl die Verarbeitung von Sitzung 1000 abgeschlossen hat, wird wieder die Eingabeaufforderung der Konsole angezeigt.

In vielen Fällen sind jedoch keine bestimmten Sitzungsbereiche von Belang. Stattdessen soll eine Abfrage über alle Sitzungen durchgeführt werden und anschließend sollen die Sitzungen verarbeitet werden, die einer Abfrage entsprechen. Hier finden Sie einige Kürzel, die dies vereinfachen:

  • Der Buchstabe l (Kleinbuchstabe L) steht für „untere Grenze“ oder „niedrigste Sitzungs-ID“.
  • Der Buchstabe u steht für „höchste Sitzungs-ID“. Genau genommen steht er auch für die höchste Sitzungs-ID für zukünftige Sitzungen. Anders gesagt, wenn Sie sessions=l-u übergeben, bedeutet dieser spezielle Bereich, dass alle aktuellen Sitzungen im System verarbeitet werden, die Verarbeitung aber nicht beendet wird, sondern neue Sitzungen, die in das System gelangen, ebenfalls verarbeitet werden. Sobald die letzte Sitzung auf dem Service erreicht ist, wird der Befehl angehalten und es wird auf neue Sitzungen gewartet. Zusammenfassend lässt sich sagen, dass der Befehl nie beendet wird sondern in einen fortlaufenden Verarbeitungsmodus übergeht. Er wird über Tage, Monate oder Jahre ausgeführt, bis er beendet wird.
  • Wenn der Befehl nicht dauerhaft ausgeführt werden soll, können Sie now als oberen Grenzwert übergeben. Dadurch wird die letzte Sitzungs-ID auf dem Service zum Zeitpunkt des Befehlsstarts ermittelt und alle Sitzungen werden verarbeitet, bis diese Sitzungs-ID erreicht ist. Sobald diese Sitzungs-ID erreicht ist, wird der Befehl beendet, unabhängig davon, wie viele Sitzungen seit dem Starten des Befehls zum Service hinzugefügt wurden. Für den Log Decoder im Beispiel beginnt mit sessions=200-now die Verarbeitung bei Sitzung 200, geht bis Sitzung 1000 und wird dann beendet. Selbst wenn dem Log Decoder nach dem Starten des Befehls weitere 1.000 Protokolle hinzugefügt werden, wird der Befehl trotzdem nach der Verarbeitung von Sitzung 1000 beendet.
  • Der Parameter sessions=now-u bedeutet, dass die Verarbeitung bei der letzten Sitzung beginnt und alle eingehenden neuen Sitzungen verarbeitet werden. Es werden dabei keine vorhandenen Sitzungen (mit Ausnahme der letzten) verarbeitet, sondern nur neue.

Geben Sie für Beispielbefehle und deren Funktion man sdk content examples ein oder lesen Sie den Abschnitt Beispiele für den Befehl „sdk content“.

You are here
Table of Contents > CLI: Befehl „sdk content“

Attachments

    Outcomes