Untersuchen: Herunterladen von Daten in der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

In der Ansicht „Ereignisanalyse“ können Sie Ereignisse, Protokolle und Dateien herunterladen.

Herunterladen eines Protokolls im Bereich „Textanalyse“

Beim Anzeigen einer Protokollrekonstruktion in Bereich Textanalyse können Sie eine Protokolldatei mithilfe der Optionen im Drop-down-Menü „Download-Protokoll“ in den folgenden Formaten herunterladen:

  • Rohdatenprotokoll (Protokoll) mithilfe der Option Download-Protokoll
  • Durch Kommas getrennte Werte (CSV) mithilfe der Option CSV-Datei herunterladen
  • Extensible Markup Language (XML) mithilfe der Option XML herunterladen
  • JavaScript Object Notation (JSON) mithilfe der Option JSON herunterladen

Hinweis: Wenn Sie einen Download starten und die Ansicht verlassen, während das Protokoll extrahiert wird und bevor der Download des Protokolls gestartet wird, wird das Protokoll nicht in Ihren Browser heruntergeladen. Eine Meldung benachrichtigt Sie, dass Sie das heruntergeladene Protokoll in der Jobwarteschlange finden.

Dies ist ein Beispiel für eine Protokollrekonstruktion, wobei die Menüoptionen für „Download-Protokoll“ angezeigt werden.

example of the Download Log menu

Die heruntergeladene Protokolldatei enthält das Protokoll und wird mit dem Namen des Services, auf dem das Protokoll erfasst wurde, der Sitzungs-ID und dem Dateityp benannt.

Hinweis: Dateien, die über längere Zeiträume ausgeführt oder in der Vergangenheit heruntergeladen wurden, können nicht heruntergeladen werden.

Dies ist ein Beispiel des Dateinamens für ein Rohdatenprotokoll: Concentrator_SID2.log. Die exportierte Protokolldatei wird nach der folgenden Konvention benannt:

<service-ID or host name>_SID<n>.<filetype>

Hierbei gilt:

  • <service-ID or host name> ist der Name des Services (z. B. ein Concentrator oder Broker), in dem die Sitzung gespeichert wurde.
  • SID<n> ist die Sitzungs-ID-Nummer.
  • <filetype> gibt das Format der heruntergeladenen Protokolls an. Dies sind die möglichen Protokolltypen: Rohdatenprotokoll, CSV, XML und JSON. Standardmäßig ist das Format ein Rohdatenprotokoll.

Hinweis: Einige Formate besitzen keine Zeitstempel oder Geräte-IP, an der das Ereignis erzeugt wurde, weshalb ein in CSV, XML oder JSON heruntergeladenes Protokoll zusätzlich zum Inhalt des Rohdatenprotokolls einen Wert namens timestamp hat. Die zusätzlichen Informationen im Protokoll weisen das folgende Format auf: Log timestamp="1490824512" source="10.12.35.65".

So laden Sie das Protokoll für eine Sitzung herunter:

Wählen Sie im Bereich Textanalyse eines Protokollereignisses eines der Dateiformate für das heruntergeladene Protokoll.
- Um das Protokoll als ein Rohdatenprotokoll (das Standardformat) herunterzuladen, klicken Sie auf Download-Protokoll.
- Um das Protokoll in einem der anderen Formate herunterzuladen, klicken Sie auf den Pfeil nach unten auf der Schaltfläche Download-Protokoll und wählen Sie eines der Dateiformate für das heruntergeladenen Protokoll.
Text Analysis with Download Log menu
Die Protokolldatei wird im angegebenen Format auf Ihr lokales Dateisystem heruntergeladen.

Herunterladen von Netzwerkereignisdaten im Bereich „Textanalyse“ oder „Paketanalyse“

Beim Anzeigen eines rekonstruierten Netzwerkereignisses im Bereich Paketanalyse oder Textanalyse Bereich können Sie Netzwerk-Datendateien zur weiteren Analyse exportieren. Der Download enthält Ereignisse für den aktuellen Zeitbereich und Drill-down-Punkt. Sie können die Daten in den folgenden Formaten herunterladen:

  • Das gesamte Ereignis als eine Paketerfassung (*.pcap) mithilfe der Option PCAP herunterladen.
  • Die Nutzlast als eine *.payload-Datei mithilfe der Option Alle Nutzdaten herunterladen.
  • Die Anforderungsnutzlast als eine *.payload1-Datei mithilfe der Option Anforderungsnutzdaten herunterladen.
  • Die Antwortnutzlast als eine *.payload2-Datei mithilfe der Option Antwortnutzdaten herunterladen.

Dies ist ein Beispiel des Dateinamens für eine PCAP-Datei: C01 - Concentrator_SID1697309.pcap. Die exportierte Netzwerkdatendatei wird nach der folgenden Konvention benannt:

<service-ID or host name>_SID<n>.<filetype>

Hierbei gilt:

  • <service-ID or host name> ist der Name des Services (z. B. ein Concentrator oder Broker), in dem die Sitzung gespeichert wurde.
  • SID<n> ist die Sitzungs-ID-Nummer.
  • <filetype> ist pcap, payload, payload1 oder payload2.

Die Netzwerkdaten werden direkt in Ihren Browser heruntergeladen, wenn der Download schnell ist. Wenn der Download aufgrund von Netzwerkfaktoren oder Dateigröße länger dauert, wird die Datei wird im Hintergrund heruntergeladen und die Aufgabe wird in der Jobs-Warteschlange nachverfolgt. In diesem Fall können Sie Ihre Jobs in der Warteschlange prüfen und die Datei abrufen, wenn der Download abgeschlossen ist.

Hinweis: Wenn Sie einen Download starten und die Ansicht verlassen, während die Datei extrahiert wird und bevor der Download der Datei gestartet wird, wird die Datei nicht in Ihren Browser heruntergeladen. Eine Meldung benachrichtigt Sie, dass Sie das heruntergeladene Dokument in der Jobwarteschlange finden.

So exportieren ein Ereignis als eine Netzwerk-Datendatei:

Navigieren Sie zum Bereich Paketanalyse eines Netzwerkereignisses und wählen Sie eines der Dateiformate für die heruntergeladene Datei.
- Um das Ereignis als PCAP-Datei (das Standardformat) herunterzuladen, klicken Sie auf PCAP herunterladen.
- Um das Ereignis in einem der anderen Formate herunterzuladen, klicken Sie auf den Pfeil nach unten auf der Schaltfläche PCAP herunterladen und wählen Sie eines der Dateiformate für die heruntergeladenen Ereignisdaten.
Download PCAP menu in the Packet Analysis panel
Die Netzwerkdatendatei wird im angegebenen Format auf Ihr lokales Dateisystem heruntergeladen.

Herunterladen von Dateien aus einem Netzwerkereignis im Bereich „Dateianalyse“

Bei der Anzeige von rekonstruierten Netzwerkereignissen, die Dateien im Bereich Dateianalyse enthalten, können Sie eine Datei, eine oder mehrere Dateien oder alle Dateien für den Download in Ihr lokales Dateisystem auswählen.

Hinweis: Wenn Sie einen Download starten und die Ansicht verlassen, während die Datei extrahiert wird und bevor der Download der Datei gestartet wird, wird die Datei nicht in Ihren Browser heruntergeladen. Eine Meldung benachrichtigt Sie, dass Sie die heruntergeladene Datei in der Jobwarteschlange finden.

Wenn Dateien ausgewählt sind, wird die Schaltfläche „Dateien herunterladen“ aktiv und gibt die Anzahl der ausgewählten Dateien. an.

example of the File Analysis with files selected

Durch Klicken auf die Schaltfläche werden die ausgewählten Dateien als passwortgeschütztes Zip-Archiv exportiert. Das Passwort zum Öffnen des exportierten Archivs lautet netwitness. Durch das Exportieren der Dateien in dieser Form wird sichergestellt, dass:

  • Das Archiv wird nicht durch eine Virenschutzsoftware isoliert.
  • Potenziell schädliche Dateien werden nicht automatisch von der Standardanwendung geöffnet und ausgeführt.

Dies ist ein Beispiel des Dateinamens für ein Archiv: C01 - Concentrator_SID1697309_FC1.zip. Das exportierte Archiv wird nach der folgenden Konvention benannt:

<service-ID or host name>_SID<n>_FC<n>.zip

Hierbei gilt:

  • <service-ID or host name> ist der Name des Services (z. B. ein Concentrator oder Broker), in dem die Sitzung gespeichert wurde.
  • SID<n> ist die Sitzungs-ID-Nummer.
  • FC<n> ist die Dateianzahl oder die Anzahl der Dateien im Archiv.

Achtung: Beim Entpacken und Öffnen von Dateien, die mit einer Standardanwendung verknüpft sind, ist Vorsicht geboten; beispielsweise könnte eine Excel-Tabelle automatisch in Excel geöffnet werden, bevor Sie überprüfen konnten, ob sie sicher ist.

So exportieren Sie Dateien in einem rekonstruierten Ereignis:

  1. Navigieren Sie in der Ansicht Ereignisanalyse zum Bereich Dateianalyse eines Ereignisses, das Dateien enthält.
    example of File Analysis with Files selected
  2. Klicken Sie auf eine oder mehrere Dateien, die Sie extrahieren möchten, und klicken Sie auf Dateien herunterladen.
    Der Job wird geplant und nach Abschluss werden die ausgewählten Dateien als passwortgeschütztes ZIP-Archiv in das lokale Dateisystem heruntergeladen.
  3. Um das Archiv im lokalen Dateisystem zu öffnen, geben Sie bei Aufforderung das folgende Passwort ein: netwitness.
You are here
Table of Contents > Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ > Herunterladen von Daten in der Ansicht „Ereignisanalyse“

Attachments

    Outcomes