Decoder: Korrigieren von Regeln mit ungültiger Syntax

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

Nach der Aktualisierung auf NetWitness Suite 11.0 werden Regeln mit ungültiger Syntax in der Benutzeroberfläche gekennzeichnet. Der Regel-Editor bietet zusätzliche Kurzinformationen. Nachdem Sie die Regeln repariert haben, werden die Hervorhebungen nicht mehr angezeigt. Unter Konfigurieren von Decoder-Regeln finden Sie Richtlinien, denen alle Abfragen und Regelbedingungen in NetWitness Suite entsprechen müssen.

So korrigieren Sie Regeln mit ungültiger Syntax:

  1. Navigieren Sie zu Administration > Services.
  2. Wählen Sie in der Ansicht Services einen Decoder-Service und Abgeschnittenes Menü „Aktionen“ > Ansicht > Konfiguration aus.
  3. Wählen Sie in der Ansicht Services-Konfiguration eine der Registerkarten „Regeln“ aus: Netzwerkregeln, App-Regeln oder Korrelationsregeln.
    Auf der Registerkarte „Regeln“ für den ausgewählten Regeltyp wird die Anzahl der Regeln mit ungültiger Syntax angezeigt und die ungültigen Regeln sind hervorgehoben.


  4. Wählen Sie eine ungültige Regel aus und klicken Sie auf Bearbeiten-Symbol.
    Der Regel-Editor enthält zusätzliche Informationen für die ungültige Regel und umfasst eine zusätzliche Speicheroption.
    Dies ist ein Beispiel für das Dialogfeld „Regel-Editor“ für eine ungültige Regel.
  5. Korrigieren Sie die Regelsyntax im Feld Bedingung.
    Alle Zeichenfolgenliterale und Zeitstempel müssen in Anführungszeichen gesetzt werden. Zahlenwerte und IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden. Unter Konfigurieren von Decoder-Regeln finden Sie zusätzliche Details.
    Beispiel: Wenn die ungültige Regelbedingung ip.src="10.30.30.30" lautet, korrigieren Sie die Syntax durch Entfernen der Anführungszeichen: ip.src=10.30.30.30
  6. Führen Sie einen der folgenden Schritte aus:
    • Um die Regel einzeln zu korrigieren, klicken Sie auf Speichern.
      Die korrigierte Regel wird unabhängig auf den Decoder angewendet. Die korrigierte Regel wird auf der Registerkarte Regeln ohne Markierung angezeigt. 
    • Zum Korrigieren der Regel und späteren Anwenden der Regel auf den Decoder mit anderen Regeln klicken Sie auf OK.
      Die korrigierte Regel wird auf der Registerkarte Regeln ohne Markierung angezeigt. Die Regel wird nicht auf den Decoder angewendet.
You are here
Table of Contents > Konfigurieren von Decoder-Regeln > Korrigieren von Regeln mit ungültiger Syntax

Attachments

    Outcomes