Decoder: Registerkarte „App-Regeln“

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Über die Registerkarte „App-Regeln“ (ADMIN > Services > wählen Sie einen Decoder oder Log Decoder aus und klicken Sie auf Drop-down-Menü „Aktionen“ > Ansicht > Konfiguration > Registerkarte „App-Regeln“) können Sie Anwendungsregeln managen. NetWitness Suite wendet Anwendungsregeln auf der Sitzungsebene an.

Was möchten Sie tun?

                  
BenutzerrolleZielDokumentation
AdministratorAnwendungsregeln hinzufügen oder bearbeitenKonfigurieren von Anwendungsregeln

Verwandte Themen

Überblick

Die folgende Abbildung zeigt die Registerkarte „App-Regeln“ und die Tabelle beschreibt die Spalten.

Dies ist die Registerkarte „App-Regeln“.

                                   
SpalteBeschreibung
Ausstehend In dieser Spalte wird angezeigt, ob für eine Regel Änderungen ausstehen. Zu Regeln, die derzeit auf dem Decoder aktiv sind, wird dies nicht angezeigt. Wenn die Regel neu ist oder geändert wurde, enthält die Spalte Ausstehend-Symbol. Sobald die Regeln angewendet werden, wird das Anzeigeelement gelöscht.
Name Dies ist der Name der Regel, eine beschreibende Kennung für die Regel.
Bedingung Dies ist die Definition der Bedingung, die eine Aktion auslöst, wenn sie erfüllt wird.
Sitzungsdaten In dieser Spalte wird angegeben, welche Aktion für die Sitzungsdaten ausgeführt wird, wenn ein Paket mit der Regel übereinstimmt. Mögliche Werte sind Filtern, Beibehalten oder Kürzen.
Warnmeldung In dieser Spalte wird der Name der benutzerdefinierten Warnmeldung angegeben, die der Decoder erzeugt, wenn Metadaten mit der Regel übereinstimmen.
Status In dieser Spalte wird mit einem Kreissymbol angezeigt, ob die Regel aktiviert oder deaktiviert ist. Wenn der Kreis grün gefüllt ist, ist die Regel aktiviert. Wenn der Kreis leer ist, ist die Regel deaktiviert.

Dialogfeld Regel-Editor

In der folgenden Abbildung ist das Dialogfeld Regel-Editor für eine Anwendungsregel gezeigt.

Dies ist ein Beispiel für die Registerkarte „Regel-Editor“.

Das Dialogfeld Regel-Editor enthält Felder und Optionen, die zur Definition einer Anwendungsregel erforderlich sind. 

                   
FeldBeschreibung
Name der Regel Ein beschreibender Name, der die Regel identifiziert.
Bedingung Die Definition der Bedingung, die eine Aktion auslöst, wenn sie zutrifft. Sie können Ihre Eingabe direkt im Feld tätigen oder die Bedingung in diesem Feld mit Metadaten aus den Intellisense-Fensteraktionen erstellen. Während der Regeldefinition zeigt Intellisense Syntaxfehler und Warnungen an.

Alle Zeichenfolgenliterale und Zeitstempel müssen in Anführungszeichen gesetzt werden. Zahlenwerte und IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden. Unter Konfigurieren von Decoder-Regeln finden Sie zusätzliche Details.

In der folgenden Tabelle werden die Aktionen und Optionen für Sitzungsdaten beschrieben.

                                       
AktionBeschreibung
Regelverarbeitung beenden Bei erfolgter Überprüfung, wird keine weitere Regelevaluierung durchgeführt, wenn die Regel übereinstimmt, und die Sitzung wird entsprechend der Sitzungsaktion gespeichert. Ist dies nicht aktiviert, wird die Regelauswertung so lange ausgeführt, bis alle Regeln ausgewertet wurden.
Beibehalten Die Paketnutzlast und die entsprechenden Metadaten werden gespeichert, wenn sie mit der Regel übereinstimmen.
Filter Das Paket wird nicht gespeichert, wenn es mit der Regel übereinstimmt.
Kürzen Die Paketnutzlast wird nicht gespeichert, wenn sie mit der Regel übereinstimmt, Paketkopfzeilen und zugehörige Metadaten werden jedoch beibehalten.
Warnmeldung und Warnmeldung aktiviertBei der Überprüfung von Warnmeldungen erzeugt das Paket eine benutzerdefinierte Warnmeldung, wenn Metadaten mit der Regel übereinstimmen. Im Feld Warnmeldung aktiviert können Sie den Namen der Warnmeldung auswählen.
Weiterleiten Aktiviert die Ausführung der Syslog-Weiterleitung, wenn das Protokoll mit der Regel übereinstimmt.
Vorübergehend Verhindert, dass die erstellten Warnmeldungs-Metadaten auf den Datenträger geschrieben werden.

In der folgenden Tabelle werden die Aktionen des Dialogfelds Regel-Editor beschrieben. 

                           
AktionBeschreibung
Zurücksetzen Setzt die Inhalte des Dialogfelds auf die Werte vor der Bearbeitung zurück; Änderungen werden verworfen.
Abbrechen Bricht alle Bearbeitungen ab und schließt das Dialogfeld „Regel-Editor“.
OK Speichert die neue oder bearbeitete Regel und fügt diese dem Regelraster hinzu Das Dialogfeld „Regel-Editor“ wird geschlossen.
Speichern (Nur für Regeln mit veralteter Syntax) Wendet eine korrigierte Regel einzeln auf den Decoder-Service an. Siehe Korrigieren von Regeln mit ungültiger Syntax.
You are here
Table of Contents > Decoder- und Log Decoder-Referenzen > Ansicht „Service-Konfiguration“ – Registerkarte „App-Regeln“

Attachments

    Outcomes