Decoder: GeoIP2- und GeoIP-Parser

Document created by RSA Information Design and Development on May 9, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 2Show Document
  • View in full screen mode
 

In diesem Thema werden von die GeoIP2- und GeoIP-Parsern für Decoder beschrieben. Sie können jeweils nur einen dieser Parser zu einem bestimmten Zeitpunkt aktivieren. Beide Parser wandeln IP-Adressen in geografische Orte um, z. B. den Namen des Landes und die Stadt, in der die IP-Adresse sich in der Regel befindet.

GeoIP2-Parser

Der GeoIP2-Parser ist in NetWitness Platform 11.2 oder höher verfügbar und standardmäßig für Upgrades und Neuinstallationen aktiviert. Der GeoIP2-Parser stellt das neueste Maxmind GeoIP-Paket zur Verfügung und unterstützt IPv6-Adressen sowie IPv4.

Die GeoIP2-Parserkonfiguration kann folgendermaßen bearbeitet werden:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht Administration > Services einen Log Decoder oder einen Decoder aus.
  3. Klicken Sie auf das Symbol „Einstellungen“ (Image of the Action button) und wählen Sie Ansicht > Konfiguration aus. Der Bereich „Parserkonfiguration“ wird angezeigt, in dem Sie GeoIP2 auswählen können, um die Konfigurationsoptionen anzuzeigen und zu aktualisieren.

Sie können festlegen, welche IP-Adressen abgefragt werden sollen. Der GeoIP2-Parser aktiviert standardmäßig die folgende IP-Adressen: ip.src, ip.dst, ipv6.src und ipv6.dst. Sie können jedoch Optionen aktualisieren, indem Sie parsers.options verwenden, um neue IP-Adressen zu entfernen oder hinzuzufügen. Sie können beispielsweise parsers.options bearbeiten und eine durch Kommas getrennte Liste von IP-Adressen übergeben, die Sie wie folgt verwenden können:
GeoIP2="ipaddr=ip.src,ip.dst,ipv6.src,ipv6.dst,ip.addr"
Auf diese Weise wird eine neue zu suchende IP-Adresse mit dem Namen ip.addr hinzugefügt. Da ip.addr jedoch nicht auf .src oder .dst endet, platziert der Parser die in den Metadaten erstellten GeoIP2-Metadaten, ohne ein .src- oder .dst-Suffix Land, Stadt usw. würde also nach den ip.addr-Metadaten angezeigt.

Hinweis: Die Liste, die Sie für ip.addr übergeben, ersetzt die Standardliste. Wenn Sie also ipaddr=ip.src übergeben, werden nur GeoIP2-Metadaten für ip.src und keine anderen IP-Adressen generiert.

Hinweis: parsers.options wird für die Übergabe von Optionen an mehrere Parser verwendet. Wenn Sie GeoIP2 hinzufügen, sollten Sie keine anderen Optionen löschen, die an andere Parser (wie Entropy) übergeben werden.

Die folgende Tabelle enthält die vollständige Liste der Metadaten, die der GeoIP2-Parser potenziell generieren kann, und zeigt an, welche Metadaten standardmäßig aktiviert bzw. nicht aktiviert sind:

                           
Standardmäßig aktiviertNicht aktiviert
country, country.src, country.dstlatdec, latdec.src, latdec.dst
 longdec, longdec.src, longdec.dst
domain, domain.src, domain.dstisp, isp.src, isp,dst
org, org.src, org.dstcity, city.src, city.dst

Sie können die anderen Metadaten mit den Standardparserkonfigurationen aktivieren.

Hinweis: Durch die standardmäßige Deaktivierung einiger Metadaten funktioniert der GeoIP2-Parser nicht auf dieselbe Weise wie der GeoIP-Parser (der keine von ihm generierten Metadaten standardmäßig deaktiviert hat). Wenn Sie die deaktivierten Metadaten benötigen, müssen Sie sie für jeden Decoder aktivieren (nur einmal), nachdem Sie ein Upgrade auf 11.2 oder höher durchgeführt haben. Denken Sie daran, dass die isp- und org-Metafelder in der Regel einen Wert erzeugen, der domain entspricht.

GeoIP-Parser

Der GeoIP-Parser ist ein älterer in früheren Versionen von NetWitness Platform verfügbarer Parser ist, der jedoch neben dem neueren GeoIP2-Parser weiterhin unterstützt wird. Um die Parserkonfiguration zu ändern, können Nutzer die Parser-Optionen von hier aus bearbeiten: Ansicht „Services“ > „Konfiguration“ > Dateien > GeoPrivate.ipl.

Die Geolocation-Metadaten in GeoPrivate.ipl werden sowohl ip.src als auch ip.dst hinzugefügt. Der Parser verwendet die zwei externe Datendateien GeoCity.dat und GeoCountry.dat, die beide im Anwendungsverzeichnis gespeichert sind. Für jede IP-Adresse gibt es bis zu acht Metadaten, die in der Tabelle unten aufgeführt sind.

                                         
MetadatenBeschreibung
city.dst Zielstadt
city.src Quellstadt
country.dst Zielland
country.src Quellland
latdec.dst Dezimaler Breitengrad des Ziels
latdec.src Dezimaler Breitengrad der Quelle
longdec.dst Dezimaler Längengrad des Ziels
longdec.src Dezimaler Längengrad der Quelle
Previous Topic:Zeichenfolgefunktionen
Next Topic:Lua-Parser
You are here
Table of Contents > Feed- und Parser-Referenzen > GeoIP2- und GeoIP-Parser

Attachments

    Outcomes