netwitness-events
넷위트니스에서 이벤트 목록을 조회합니다.
netwitness-events profile=PROFILE [duration=NUM{mon|w|d|h|m|s}] [from=yyyyMMddHHmmss] [to=yyyyMMddHHmmss] [ip=IP] [ip2=IP2]
- profile=PROFILE
- 넷위트니스 접속 프로파일 식별자
- duration=NUM{mon|w|d|h|m|s}
- 현재 시각으로부터 일정 시간 범위 이내의 이벤트로 한정. s(초), m(분), h(시), d(일), mon(월) 단위로 지정할 수 있습니다. 예를 들면, 10s의 경우 현재 시각으로부터 10초 이전까지의 범위를 의미합니다.
- from=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 시작을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- to=yyyyMMddHHmmss
- yyyyMMddHHmmss 포맷으로 범위의 끝을 지정합니다. 뒷자리를 쓰지 않으면 0으로 채워집니다.
- ip=IP
- 첫번째 검색 대상 IP 주소
- ip2=IP2
- 두번째 검색 대상 IP 주소
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| _time | 날짜 | 시각 | 로그 시각 |
| profile | 문자열 | 접속 프로파일 | 넷위트니스 접속 프로파일 식별자 |
| session | 64비트 정수 | 세션 ID | |
| direction | 문자열 | 접속 방향 | 예: lateral, outbound |
| src_ip | IP 주소 | 출발지 IP | |
| src_port | 32비트 정수 | 출발지 포트 | |
| dst_ip | 문자열 | 목적지 IP | |
| dst_port | 32비트 정수 | 목적지 포트 | |
| protocol | 문자열 | 프로토콜 | |
| service | 문자열 | 서비스 | |
| src_mac | 문자열 | 출발지 MAC | |
| dst_mac | 문자열 | 목적지 MAC | |
| streams | 32비트 정수 | 스트림 수 | |
| bytes | 64비트 정수 | 바이트 수 | |
| pkts | 64비트 정수 | 패킷 수 | |
| payload | 64비트 정수 | 페이로드 | 바이트 수 |
| duration | 32비트 정수 | 기간 | |
| netname | 문자열 | 네트워크 이름 | 예: private src, other src |
| tcp_flags | 문자열 | TCP 플래그 | 예: syn, fin |
| alias.host | 문자열 | 호스트명 | |
| alias.ip | 문자열 | IP 별칭 | |
| src_country | 문자열 | 출발지 국가 | |
| dst_country | 문자열 | 목적지 국가 | |
| src_domain | 문자열 | 출발지 도메인 | |
| dst_domain | 문자열 | 목적지 도메인 | |
| src_org | 문자열 | 출발지 조직 | |
| dst_org | 문자열 | 목적지 조직 | |
| action | 문자열 | 행위 | 동일 세션 내 여러 행위는 개행으로 구분, 예: Query Info, Tree Connect, PUT, POST |
| directory | 문자열 | 디렉터리 | 예: \IPC$, /css/ |
| filename | 문자열 | 파일 이름 | |
| query | 문자열 | 쿼리 | |
| content | 문자열 | 컨텐트 유형 | 예: text/plain, image/gif |
| client | 문자열 | 클라이언트 | 예: HTTPS, Mozilla/4.0 |