ログやパケットと同様に、エンドポイントのメタデータをNetWitness Suiteの[調査]ビュー([ナビゲート]ビューと[イベント分析]ビュー)で表示できます。次のカテゴリのメタデータを転送するには、メタデータ転送を有効にする必要があります。
メタデータ転送の構成
-
[管理]>[サービス]に移動します。
-
[サービス]ビューで、[Endpoint Server]サービスを選択します。
-
[全般]タブをクリックします。
-
Log Decoderサービスを選択し、[OK]をクリックします。
[サービスの追加]ダイアログが表示されます。Log Decoderサービスは1つだけ追加できます。 -
管理者の認証情報を入力します。
-
(オプション)[RAWデータ]を有効にした場合、メタデータと一緒にセッションのサマリが送信されます。
-
(オプション)Log DecoderのRESTポートでSSLを有効にする場合は、[REST SSL]オプションを選択します。デフォルトでは、RESTポートは、非SSLの場合は50202、SSLの場合は56202です。
-
[Protobuf SSL]オプションを選択し、ProtobufでSSLを有効にします。デフォルトでは、Protobufポートは50202です。
-
[保存]をクリックします。
メタデータ転送を設定した後に、次のタスクを忘れずに実行してください。
- Log Decoderで収集を開始する
- Concentratorで集計を開始する
-
ConcentratorでサービスとしてLog Decoderを追加する
Log Decoderへのメタデータ転送の開始
Log Decoderへのメタデータ転送の停止
メタデータ転送の削除
注:メタデータ転送を削除する前に、必ずサービスを停止してください。
エンドポイント メタ マッピング
デフォルトのメタ マッピングを表示したり、エンドポイントのメタ マッピングを変更することができます。
メタ マッピングのJSONスキーマ
すべてのメタ マッピングは、JSONスキーマを使用して構成します。次にJSONスキーマの例を示します。
{
"metaKeyPairs" : [
{
"metaKeyPairsCategory" : "",
"keyPairs" : [
{
"endpointJpath" : "",
"metaName" : "",
"type" : "",
"enabled" : true
},
{
"endpointJpath" : "",
"metaName" : "",
"type" : "",
"enabled" : true
}
]
}
]
}
次のAPIを使用してメタ マッピングを表示したり変更したりできます。
- get-default - エンドポイント メタ マッピングのデフォルト構成を返します。
- get-custom - エンドポイント メタ マッピングのカスタム構成を返します。
- set-custom - エンドポイント メタ マッピングをカスタマイズできます。
メタ マッピングの表示
エンドポイント メタ マッピングを表示するには、次の手順を実行します。
-
NW Serverで、nw-shellコマンドをコマンド ラインから実行します。
-
loginコマンドを実行し、認証情報を入力します。
-
次のコマンドを使用してEndpoint Serverに接続します。
connect --host <IP address> --port <number>注:デフォルト ポートは7050です。
-
次のコマンドを実行します。
cd endpoint/meta
cd get-default
invoke
次の画面は、デフォルトのメタ マッピングを示しています。
デフォルトのメタ マッピングを無効化:
同じendpointJpath値を入力し、enabledパラメータをfalseに設定します。
たとえば、endpointJpathがCategory で、enabledパラメータがtrueである場合、同じendpointJpathを入力し、enabledパラメータをfalseに設定します。
注:スキーマ内のmetaKeyPairsCategoryの値(「COMMON」、「COMMON_MACHINE」、「COMMON_MACHINE_FOR_EVENTS」)は変更しないでください。
メタの名前またはメタのタイプを変更:
同じendpointJpath値を入力し、metaNameとtypeの値を指定します。
注:metaNameを[調査]ビューに表示するには、Log Decoderのtable-map.xmlファイル、Concentratorのindex-concentrator.xmlまたはindex-concentrator-custom.xmlファイルに、metaNameが存在する必要があります。
メタ マッピングの追加または変更
メタ マッピングを追加または変更するには、set-custom APIを実行します。JSONファイルに指定するmetaKeyPairs構成は、get-default APIを使用して取得した、デフォルト構成のJSONスキーマと一致している必要があります。
-
NW Serverで、nw-shellコマンドをコマンド ラインから実行します。
-
loginコマンドを実行し、認証情報を入力します。
-
次のコマンドを使用してEndpoint Serverに接続します。
connect --host <IP address> --port <number>注:デフォルトのポート番号は7050です。
- 次のコマンドを実行します。
cd endpoint/meta
cd set-custom
invoke –file <json file>
set-custom APIを使用してエントリーを追加したファイルをアップロードすることにより、新しいmetaKeysを追加できます。次の例は、新しいメタ マッピングを追加する手順を示しています。
カスタム メタ マッピングの表示
カスタム メタ マッピングを表示するには、get-custom APIを実行します。
注:get-custom APIは、set-custom APIを使用してメタ マッピングが変更されている場合にのみ値を返します。