Decoder: Registerkarte „Netzwerkregeln“

Document created by RSA Information Design and Development Employee on May 9, 2018Last modified by RSA Information Design and Development Employee on Apr 28, 2019
Version 2Show Document
  • Comment0
  • View in full screen mode
 

Über die Registerkarte „Netzwerkregeln“ (ADMIN > Services > wählen Sie einen Decoder aus und klicken Sie auf Actions menu > „Ansicht“ > „Konfiguration“ > Registerkarte „Netzwerkregeln“) können Sie Netzwerkregeln managen. NetWitness Platform wendet Netzwerkregeln auf Paketebene an. Netzwerkregeln bestehen aus Regelsätzen aus Layer 2, Layer 3 und Layer 4. Mehrere Regeln können auf den Decoder angewendet werden. Regeln können auf mehrere Ebenen angewendet werden (zum Beispiel, wenn eine Netzwerkregel bestimmte Ports für eine bestimmte IP-Adresse herausfiltert). Netzwerkregeln gelten nur für Netzwerk-Decoder.

Was möchten Sie tun?

                  
BenutzerrolleZielDokumentation
AdministratorNetzwerkregeln hinzufügen, bearbeiten oder korrigierenKonfigurieren von Netzwerkregeln

Verwandte Themen

Überblick

Die folgende Abbildung zeigt die Registerkarte Netzwerkregeln.

This is an example of the Network Rules tab.

In der folgenden Abbildung ist das Dialogfeld Regel-Editor für eine Netzwerkregel gezeigt.

This is the Rule Editor dialog.

In der folgenden Tabelle werden die Spalten im Raster „Netzwerkregeln“ beschrieben.

                                   
SpalteBeschreibung
Ausstehend In dieser Spalte wird angezeigt, ob für eine Regel Änderungen ausstehen. Zu Regeln, die derzeit auf dem Decoder aktiv sind, wird dies nicht angezeigt. Wenn die Regel neu ist oder geändert wurde, enthält die Spalte The pending indicator. Sobald die Regeln angewendet wurden, wird der Indikator „Ausstehend“ entfernt.
Name Dies ist der Name der Regel, eine beschreibende Kennung für die Regel.
Bedingung Dies ist die Definition der Bedingung, die eine Aktion auslöst, wenn sie erfüllt wird.
Paketdaten In dieser Spalte wird angegeben, welche Aktion für die Sitzungsdaten ausgeführt wird, wenn ein Paket mit der Regel übereinstimmt. Mögliche Werte sind Filtern, Beibehalten oder Kürzen.
Warnmeldung In dieser Spalte wird angegeben, ob der Decoder eine benutzerdefinierte Warnmeldung generiert, wenn Metadaten mit der Regel übereinstimmen. Mögliche Werte sind Aktiviert oder Deaktiviert.
Status In dieser Spalte wird mit einem Kreissymbol angezeigt, ob die Regel aktiviert oder deaktiviert ist. Wenn der Kreis grün gefüllt ist, ist die Regel aktiviert. Wenn der Kreis leer ist, ist die Regel deaktiviert.

Das Dialogfeld Regel-Editor enthält die Felder und Optionen, die zur Definition einer Netzwerkregel erforderlich sind.

Die folgende Tabelle beschreibt die Regeldefinitionsfelder.

                   
FeldBeschreibung
Name der Regel Ein beschreibender Name, der die Regel identifiziert.
Bedingung Die Definition der Bedingung, die bei einer Übereinstimmung eine Aktion auslöst. Sie können direkt in das Feld schreiben oder die Bedingung in diesem Feld mithilfe der Metadaten aus den Intellisense-Fensteraktionen erstellen. Während der Regeldefinition zeigt Intellisense Syntaxfehler und Warnungen an.
In Bedingungen müssen alle Zeichenfolgenliterale und Zeitstempel in Anführungszeichen gesetzt werden. Zahlenwerte und IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden. Unter Konfigurieren von Decoder-Regeln finden Sie zusätzliche Details. In diesem Abschnitt werden auch die Metaschlüssel beschrieben, die NetWitness Platform zur Verwendung in Netzwerkregelbedingungen unterstützt.

In der folgenden Tabelle werden die Aktionen für Sitzungsdaten beschrieben.

                           
AktionBeschreibung
Regelverarbeitung beenden Ist dies aktiviert, wird die Regelauswertung beendet, wenn eine Übereinstimmung mit der Regel gefunden wird, und die Sitzung wird wie angegeben gespeichert. Ist dies nicht aktiviert, wird die Regelauswertung so lange ausgeführt, bis alle Regeln ausgewertet wurden.
Beibehalten Die Paketnutzlast und die entsprechenden Metadaten werden gespeichert, wenn sie mit der Regel übereinstimmen.
Filter Das Paket wird nicht gespeichert, wenn es mit der Regel übereinstimmt.
Kürzen Die Paketnutzlast wird nicht gespeichert, wenn sie mit der Regel übereinstimmt, aber Paketkopfzeilen und zugehörige Metadaten werden beibehalten.

In der folgenden Tabelle werden die Sitzungsoptionen beschrieben. 

                           
AktionBeschreibung
Assemblieren Ist dies aktiviert, setzt der Assembler die Paketkette zusammen, wenn sie mit der Regel übereinstimmt.
Netzwerkmetadaten Das Paket erzeugt Netzwerkmetadaten, wenn es der Regel entspricht.
Anwendungsmetadaten Das Paket erzeugt Anwendungsmetadaten, wenn es der Regel entspricht.
Warnmeldung Das Paket erzeugt eine angepasste Warnmeldung, wenn Metadaten der Regel entsprechen.

In der folgenden Tabelle werden die Aktionen des Dialogfelds Regel-Editor beschrieben. 

                           
AktionBeschreibung
Zurücksetzen Setzt die Inhalte des Dialogfelds auf die Werte vor der Bearbeitung zurück; Änderungen werden verworfen.
Abbrechen Bricht alle Bearbeitungen ab und schließt das Dialogfeld „Regel-Editor“.
OK Speichert die neue oder bearbeitete Regel und fügt diese dem Regelraster hinzu Das Dialogfeld „Regel-Editor“ wird geschlossen.
Speichern (Nur für Regeln mit veralteter Syntax) Wendet eine korrigierte Regel einzeln auf den Decoder-Service an. Siehe Korrigieren von Regeln mit ungültiger Syntax.
You are here
Table of Contents > Decoder- und Log Decoder-Referenzen > Ansicht „Service-Konfiguration“ – Registerkarte „Netzwerkregeln“

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (German)27 Views
      Last modified on Apr 28, 2019 9:55 AM
      Ratings: