Investigate: Descargar los datos en la vista Análisis de eventos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 2Show Document
  • View in full screen mode
 

En la vista Análisis de eventos, puede descargar eventos, registros y archivos.

Descargar un registro en el panel Análisis de texto

Cuando observa una reconstrucción de registro en el panel Text Analysis, puede descargar un archivo de registro en los siguientes formatos mediante las opciones del menú desplegable Descargar registro:

  • Registro crudo (registro) mediante la opción Descargar registro
  • Valores separados por comas (CSV) mediante la opción Descargar CSV
  • Lenguaje de marcado extensible (XML) mediante la opción Descargar XML
  • JavaScript Object Notation (JSON) mediante la opción Descargar JSON

Note: Si inicia una descarga y sale de la vista mientras el registro se está extrayendo y antes de que comience a descargarse, el registro no se descarga en el navegador. Un mensaje le informa que puede encontrar el registro descargado en la línea de espera de trabajos.

Este es un ejemplo de una reconstrucción de registro en la que se muestran las opciones del menú Descargar registro.

example of the Download Log menu

El archivo de registro descargado contiene el registro y su nombre permite identificar el servicio en el cual se recopiló, el ID de la sesión y el tipo de archivo.

Note: Los archivos de ejecución prolongada o descargados históricamente no están disponibles para su descarga.

Este es un ejemplo del nombre de archivo de un registro crudo: Concentrator_SID2.log. El nombre del archivo de registro exportado usa la siguiente convención:

<service-ID or host name>_SID<n>.<filetype>

donde:

  • <service-ID or host name> es el nombre del servicio (por ejemplo, un Concentrator o un Broker) donde se guardó la sesión.
  • SID<n> es el número de ID de sesión.
  • <filetype> identifica el formato del registro descargado. Estos son los posibles tipos de registro: registro crudo, CSV, XML y JSON. De forma predeterminada, el formato es un registro crudo.

Note: Algunos formatos no tienen registros de fecha y hora o la dirección IP del dispositivo donde se generó el evento, por lo que un registro que se descarga en formato CSV, XML o JSON tiene un valor adicional denominado timestamp junto con el contenido del registro crudo. La información adicional dentro del registro tiene este formato: Log timestamp="1490824512" source="10.12.35.65".

Para descargar el registro de una sesión:

En el panel Text Analysis de un evento de registro, seleccione uno de los formatos de archivo para el registro descargado.
-Para descargar el registro como un registro crudo (el formato predeterminado), haga clic en Descargar registro.
-Para descargar el registro en uno de los otros formatos, haga clic en la flecha hacia abajo del botón Descargar registro y seleccione uno de los formatos de archivo para el registro descargado.
Text Analysis with Download Log menu
El archivo de registro se descarga en el sistema de archivos local en el formato especificado.

Descargar datos de eventos de red en el panel Análisis de texto o en el panel Análisis de paquetes

Cuando observa un evento de red reconstruido en los paneles Packet Analysis o Text Analysis, puede exportar archivos de datos de red para realizar un análisis más a fondo. La descarga incluye eventos del rango de tiempo actual y el punto de desglose. Puede descargar los datos de las siguientes maneras:

  • El evento completo como un archivo de captura de paquetes (*.pcap) mediante la opción Descargar PCAP.
  • La carga útil como un archivo *.payload mediante la opción Descargar todas las cargas útiles.
  • La carga útil de la solicitud como un archivo *.payload1 mediante la opción Descargar carga útil de la solicitud.
  • La carga útil de la respuesta como un archivo *.payload2 mediante la opción Descargar carga útil de la respuesta.

Este es un ejemplo del nombre de archivo de un archivo PCAP: C01 - Concentrator_SID1697309.pcap. El nombre del archivo de datos de red exportado usa la siguiente convención:

<service-ID or host name>_SID<n>.<filetype>

donde:

  • <service-ID or host name> es el nombre del servicio (por ejemplo, un Concentrator o un Broker) donde se guardó la sesión.
  • SID<n> es el número de ID de sesión.
  • <filetype> es pcap, payload, payload1 o payload2.

Si la descarga es rápida, los datos de red se descargan directamente en el navegador. Si la descarga tarda más tiempo debido a factores de red o al tamaño del archivo, el archivo se descarga en segundo plano y la tarea se rastrea en la línea de espera de Jobs. En este caso, puede comprobar los trabajos en la línea de espera y obtener el archivo una vez que se complete la descarga.

Note: Si inicia una descarga y sale de la vista mientras el archivo se está extrayendo y antes de que comience a descargarse, el archivo no se descarga en el navegador. Un mensaje le informa que puede encontrar el documento descargado en la línea de espera de trabajos.

Para exportar un evento como un archivo de datos de red:

Vaya al panel Packet Analysis de un evento de red y seleccione uno de los formatos de archivo para el archivo descargado.
-Para descargar el evento como un archivo PCAP (el formato predeterminado), haga clic en Descargar PCAP.
-Para descargar el evento en uno de los otros formatos, haga clic en la flecha hacia abajo del botón Descargar PCAP y seleccione uno de los formatos de archivo para los datos de evento descargados.
Download PCAP menu in the Packet Analysis panel
El archivo de datos de red se descarga en el sistema de archivos local en el formato especificado.

Descargar archivos desde un evento de red en el panel Análisis de archivos

Cuando observa eventos de red reconstruidos que contienen archivos en el panel File Analysis, puede seleccionar un archivo, varios archivos o todos ellos para descargarlos en su sistema de archivos local.

Note: Si inicia una descarga y sale de la vista mientras el archivo se está extrayendo y antes de que comience a descargarse, el archivo no se descarga en el navegador. Un mensaje le informa que puede encontrar el archivo descargado en la línea de espera de trabajos.

Cuando se seleccionan archivos, el botón Descargar archivos se activa y refleja la cantidad de archivos seleccionados.

example of the File Analysis with files selected

Cuando se hace clic en el botón, los archivos seleccionados se exportan como un archivo zip protegido por contraseña. La contraseña para abrir el archivo exportado es netwitness. La exportación de los archivos de esta manera garantiza que:

  • Un software antivirus no tenga el archivo en cuarentena.
  • La aplicación predeterminada no abra ni ejecute automáticamente los archivos potencialmente dañinos.

Este es un ejemplo del nombre de un archivo: C01 - Concentrator_SID1697309_FC1.zip. El nombre del archivo exportado usa la siguiente convención:

<service-ID or host name>_SID<n>_FC<n>.zip

donde:

  • <service-ID or host name> es el nombre del servicio (por ejemplo, un Concentrator o un Broker) donde se guardó la sesión.
  • SID<n> es el número de ID de sesión.
  • FC<n> es el conteo de archivos o la cantidad de archivos que contiene el archivo.

Caution: Se recomienda tener precaución al descomprimir y abrir archivos asociados con una aplicación predeterminada; por ejemplo, una hoja de cálculo de Excel se puede abrir automáticamente en Excel antes de que usted tenga la oportunidad de verificar su seguridad.

Para exportar archivos en un evento reconstruido:

  1. En la vista Análisis de eventos, vaya al panel File Analysis de un evento que contenga archivos.
    example of File Analysis with Files selected
  2. Haga clic en uno o más archivos que desee extraer y haga clic en Descargar archivos.
    El trabajo se programa y, cuando se completa, el archivo seleccionado se descarga en el sistema de archivos local en la forma de un archivo zip protegido por contraseña.
  3. Para abrir el archivo en su sistema de archivos local, ingrese la siguiente contraseña cuando se le solicite: netwitness.
You are here
Table of Contents > Análisis de eventos crudos y metadatos en la vista Análisis de eventos > Descargar los datos en la vista Análisis de eventos

Attachments

    Outcomes