Enquêter : Télécharger des données dans la vue Analyse d'événements

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Dans la vue Analyse d'événements, vous pouvez télécharger des événements, logs et fichiers.

Télécharger un log dans le panneau Analyse de texte

Lors de l'affichage d'une reconstruction de log dans le panneau Analyse de texte, vous pouvez télécharger un fichier log dans les formats suivants à l'aide des options dans le menu déroulant Télécharger le log :

  • Log brut (log) avec l'option Télécharger le log
  • Valeurs séparées par des virgules (CSV) avec l'option Télécharger CSV
  • Extensible Markup Language (XML) avec l'option Télécharger XML
  • JavaScript Object Notation (JSON) avec l'option Télécharger JSON

Remarque : Si vous initiez un téléchargement et quittez la vue pendant que le log est en cours d'extraction et avant le démarrage du téléchargement du log, le log n'est pas téléchargé dans votre navigateur. Un message vous avertit que vous trouverez le log téléchargé dans la file d'attente de travail.

Il s'agit d'un exemple de reconstruction de log avec les options de menu Télécharger le log.

example of the Download Log menu

Le fichier log téléchargé contient le log et est nommé pour aider à identifier le service sur lequel le log a été collecté, l'ID de session, et le type de fichier.

Remarque : Les fichiers exécutée depuis longtemps ou téléchargés historiquement ne sont pas téléchargeables.

Voici un exemple de nom de fichier pour un log brut : Concentrator_SID2.log. Le fichier log exporté est nommé à l'aide de la convention suivante :

<service-ID or host name>_SID<n>.<filetype>

où :

  • <service-ID or host name> est le nom du service (par exemple, Concentrator ou Broker) où la session a été enregistrée.
  • SID<n> est le numéro d'ID de la session.
  • <filetype> identifie le format du log téléchargé. Voici les types de log possibles : log brut, CSV, XML et JSON. Par défaut, le format est un log brut.

Remarque : Quelques formats n'ont pas d'horodatage ou l'adresse IP de l'appareil sur lequel l'événement a été généré. Un log téléchargé au format CSV, XML ou JSON possède donc une valeur supplémentaire appelée timestamp ainsi que le contenu de log brut. Les informations supplémentaires dans le log sont dans ce formulaire : Log timestamp="1490824512" source="10.12.35.65".

Pour télécharger le log d'une session :

Dans le panneau Analyse de texte d'un événement de log, sélectionnez l'un des formats de fichier pour le log téléchargé.
-Pour télécharger le log en tant que log brut (le format par défaut), cliquez sur Télécharger le log.
-Pour télécharger le log dans l'un des autres formats, cliquez sur la flèche vers le bas sur le bouton Télécharger le log et sélectionnez l'un des formats de fichier pour le log téléchargé.
Text Analysis with Download Log menu
Le fichier log est téléchargé sur votre système de fichiers local dans le format spécifié.

Télécharger des Données d'événements réseau dans le panneau Analyse de texte ou le panneau Analyse de paquets

Lors de l'affichage d'un événement de réseau reconstruit dans le panneau Analyse de paquets ou le panneau Analyse de texte, vous pouvez exporter des fichiers de données de réseau pour approfondir l'analyse. Le téléchargement inclut des événements pour la période en cours et un point de recherche verticale. Vous pouvez télécharger les données de ces formulaires :

  • L'événement entier en tant que fichier de capture de paquets (*.pcap) avec l'option Télécharger PCAP.
  • La charge utile en tant que fichier *.payload à l'aide de l'option Télécharger toutes les charges utiles.
  • La charge utile de requête en tant que fichier *.payload1 à l'aide de l'option Télécharger la charge utile de la demande.
  • La charge utile de réponse en tant que fichier *.payload2 à l'aide de l'option Télécharger la charge utile de la réponse.

Voici un exemple de nom de fichier pour un fichier PCAP : C01 - Concentrator_SID1697309.pcap. Le fichier de données de réseau exporté est nommé à l'aide de la convention suivante :

<service-ID or host name>_SID<n>.<filetype>

où :

  • <service-ID or host name> est le nom du service (par exemple, Concentrator ou Broker) où la session a été enregistrée.
  • SID<n> est le numéro d'ID de la session.
  • <filetype> est pcap, payload, payload1 ou payload2.

Si le téléchargement est rapide, les données du réseau sont téléchargées directement dans votre navigateur. Si le téléchargement prend plus de temps en raison de facteurs de réseau ou de la taille de fichier, le fichier est téléchargé en arrière-plan et la tâche est suivie dans la file d'attente Tâches. Dans ce cas, vous pouvez vérifier vos tâches dans la file d'attente et obtenir le fichier lorsque le téléchargement est terminé.

Remarque : Si vous initiez un téléchargement et quittez la vue pendant que le fichier est en cours d'extraction et avant le démarrage du téléchargement du fichier, le fichier n'est pas téléchargé dans votre navigateur. Un message vous avertit que vous trouverez le document téléchargé dans la file d'attente de travail.

Pour exporter un événement en tant que fichier de données réseau :

Accédez au panneau Analyse de paquets d'un événement de réseau et l'un des formats de fichier pour le fichier téléchargé.
-Pour télécharger l'événement en tant que fichier PCAP (le format par défaut), cliquez sur Télécharger le PCAP.
-Pour télécharger l'événement dans l'un des autres formats, cliquez sur la flèche vers le bas sur le bouton Télécharger le PCAP et sélectionnez l'un des formats de fichier pour les données d'événement téléchargées.
Download PCAP menu in the Packet Analysis panel
Le fichier de données réseau est téléchargé sur votre système de fichiers local dans le format spécifié.

Télécharger des fichiers à partir d'un événement de réseau dans le panneau Analyse de fichiers

Lors de l'affichage d'événements de réseau reconstitués qui contiennent des fichiers dans le panneau Analyse de fichiers, vous pouvez sélectionner un fichier, un ou plusieurs fichiers ou tous les fichiers à télécharger sur votre système de fichiers local.

Remarque : Si vous initiez un téléchargement et quittez la vue pendant que le fichier est en cours d'extraction et avant le démarrage du téléchargement du fichier, le fichier n'est pas téléchargé dans votre navigateur. Un message vous avertit que vous trouverez le fichier téléchargé dans la file d'attente de travail.

Lorsque des fichiers sont sélectionnés, le bouton Télécharger les fichiers devient actif et reflète le nombre de fichiers sélectionnés.

example of the File Analysis with files selected

Le fait de cliquer sur le bouton exporte les fichiers sélectionnés en tant qu'archive zip protégée par un mot de passe. Le mot de passe pour ouvrir l'archive exportée est netwitness. L'exportation des fichiers dans ce formulaire garantit que :

  • L'archive n'est pas mise en quarantaine par les logiciels antivirus.
  • Les fichiers potentiellement malveillants ne sont pas automatiquement ouverts par l'application par défaut et exécutés.

Voici un exemple de nom de fichier pour une archive : C01 - Concentrator_SID1697309_FC1.zip. L'archive exportée est nommée à l'aide de la convention suivante :

<service-ID or host name>_SID<n>_FC<n>.zip

où :

  • <service-ID or host name> est le nom du service (par exemple, Concentrator ou Broker) où la session a été enregistrée.
  • SID<n> est le numéro d'ID de la session.
  • FC<n> est le nombre de fichiers contenus dans l'archive.

Attention : Procédez avec prudence lors de la décompression et de l'ouverture de fichiers qui sont associés à une application par défaut ; par exemple, une feuille de calcul Excel peut automatiquement s'ouvrir dans Excel avant de vous permettre d'avoir le temps de vérifier qu'elle ne présente aucun risque.

Pour exporter des fichiers dans un événement reconstruit :

  1. Dans la vue Analyse d'événements , accédez au panneau Analyse de fichiers d'un événement qui contient les fichiers.
    example of File Analysis with Files selected
  2. Cliquez sur un ou plusieurs fichiers que vous souhaitez extraire, puis cliquez sur Télécharger les fichiers.
    La tâche est planifiée et une fois l'opération terminée, le fichier sélectionné est téléchargé, sous la forme d'une archive zip protégée par mot de passe, sur le système de fichiers local.
  3. Pour ouvrir l'archive sur votre système de fichiers local, saisissez le mot de passe suivant lorsque vous y êtes invité : netwitness.
You are here
Table of Contents > Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements > Télécharger des données dans la vue Analyse d'événements

Attachments

    Outcomes