Decoder: Registerkarte „App-Regeln“

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

Über die Registerkarte „App-Regeln“ (ADMIN > Services > wählen Sie einen Decoder oder Log Decoder aus und klicken Sie auf The actions drop-down menu > Ansicht > Konfiguration > Registerkarte „App-Regeln“) können Sie Anwendungsregeln managen. NetWitness Platform wendet Anwendungsregeln auf der Sitzungsebene an.

Was möchten Sie tun?

                  
BenutzerrolleZielDokumentation
AdministratorAnwendungsregeln hinzufügen oder bearbeitenKonfigurieren von Anwendungsregeln

Verwandte Themen

Überblick

Die folgende Abbildung zeigt die Registerkarte „App-Regeln“ und die Tabelle beschreibt die Spalten.

This is the App Rules tab.

                                   
SpalteBeschreibung

Ausstehend

In dieser Spalte wird angezeigt, ob für eine Regel Änderungen ausstehen. Zu Regeln, die derzeit auf dem Decoder aktiv sind, wird dies nicht angezeigt. Wenn die Regel neu ist oder geändert wurde, enthält die Spalte The pending icon. Sobald die Regeln angewendet werden, wird das Anzeigeelement gelöscht.

Name

Dies ist der Name der Regel, eine beschreibende Kennung für die Regel.

Bedingung

Dies ist die Definition der Bedingung, die eine Aktion auslöst, wenn sie erfüllt wird.

Sitzungsdaten

In dieser Spalte wird angegeben, welche Aktion für die Sitzungsdaten ausgeführt wird, wenn ein Paket mit der Regel übereinstimmt. Mögliche Werte sind Filtern, Beibehalten oder Kürzen.

Warnmeldung

In dieser Spalte wird der Name der benutzerdefinierten Warnmeldung angegeben, die der Decoder erzeugt, wenn Metadaten mit der Regel übereinstimmen.

Status

In dieser Spalte wird mit einem Kreissymbol angezeigt, ob die Regel aktiviert oder deaktiviert ist. Wenn der Kreis grün gefüllt ist, ist die Regel aktiviert. Wenn der Kreis leer ist, ist die Regel deaktiviert.

Dialogfeld Regel-Editor

In der folgenden Abbildung ist das Dialogfeld Regel-Editor für eine Anwendungsregel gezeigt.

the Rule Editor dialog

Das Dialogfeld Regel-Editor enthält Felder und Optionen, die zur Definition einer Anwendungsregel erforderlich sind.  

                   
FeldBeschreibung
Name der Regel Ein beschreibender Name, der die Regel identifiziert.
Bedingung Die Definition der Bedingung, die eine Aktion auslöst, wenn sie zutrifft. Sie können Ihre Eingabe direkt im Feld tätigen oder die Bedingung in diesem Feld mit Metadaten aus den Intellisense-Fensteraktionen erstellen. Während der Regeldefinition zeigt Intellisense Syntaxfehler und Warnungen an.

Alle Zeichenfolgenliterale und Zeitstempel müssen in Anführungszeichen gesetzt werden. Zahlenwerte und IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden.Konfigurieren von Decoder-Regeln finden Sie zusätzliche Details.

In der folgenden Tabelle werden die Aktionen und Optionen für Sitzungsdaten beschrieben.

                                       
AktionBeschreibung
Regelverarbeitung beenden Bei erfolgter Überprüfung, wird keine weitere Regelevaluierung durchgeführt, wenn die Regel übereinstimmt, und die Sitzung wird entsprechend der Sitzungsaktion gespeichert. Ist dies nicht aktiviert, wird die Regelauswertung so lange ausgeführt, bis alle Regeln ausgewertet wurden.
Beibehalten Die Paketnutzlast und die entsprechenden Metadaten werden gespeichert, wenn sie mit der Regel übereinstimmen.
Filter Das Paket wird nicht gespeichert, wenn es mit der Regel übereinstimmt.
Kürzen


Alle kürzen: Alle Bytes von Sitzungsnutzdaten werden gekürzt. Die Paketnutzlast wird nicht gespeichert, wenn sie mit der Regel übereinstimmt, Paketkopfzeilen und zugehörige Metadaten werden jedoch beibehalten. Dies ist die Standardoption der Kürzung.

Nach ersten <n> Bytes kürzen: Die Bytewerte der Sitzungsnutzdaten werden nach den ersten <n> Bytes gekürzt, wobei <n> eine Ganzzahl ist. Die Paketnutzdaten werden nicht nach <n> Bytes gespeichert, wenn sie mit der Regel übereinstimmen. Paketkopfzeilen und zugehörige Metadaten werden jedoch beibehalten.

Nach SSL-/TLS-Handshake kürzen: Die Nutzdaten werden für alle Sitzungen gekürzt, außer im Falle einer SSL/TLS-Sitzung, in der der SSL-Austausch erhalten bleibt. Die verbleibenden Nutzdaten werden jedoch nicht gespeichert. Diese Option kommt bei SSL-Parsern zum Einsatz.

Warnmeldung und Warnmeldung aktiviertBei der Überprüfung von Warnmeldungen erzeugt das Paket eine benutzerdefinierte Warnmeldung, wenn Metadaten mit der Regel übereinstimmen. Im Feld Warnmeldung aktiviert können Sie den Namen der Warnmeldung auswählen.
Weiterleiten Aktiviert die Ausführung der Syslog-Weiterleitung, wenn das Protokoll mit der Regel übereinstimmt.
Vorübergehend Verhindert, dass die erstellten Warnmeldungs-Metadaten auf den Datenträger geschrieben werden.

In der folgenden Tabelle werden die Aktionen des Dialogfelds Regel-Editor beschrieben. 

                           
AktionBeschreibung
Zurücksetzen Setzt die Inhalte des Dialogfelds auf die Werte vor der Bearbeitung zurück; Änderungen werden verworfen.
Abbrechen Bricht alle Bearbeitungen ab und schließt das Dialogfeld „Regel-Editor“.
OK Speichert die neue oder bearbeitete Regel und fügt diese dem Regelraster hinzu Das Dialogfeld „Regel-Editor“ wird geschlossen.
Speichern (Nur für Regeln mit veralteter Syntax) Wendet eine korrigierte Regel einzeln auf den Decoder-Service an. Siehe Korrigieren von Regeln mit ungültiger Syntax.
You are here
Table of Contents > Decoder- und Log Decoder-Referenzen > Ansicht „Service-Konfiguration“ – Registerkarte „App-Regeln“

Attachments

    Outcomes