調査:[ナビゲート]ビュー

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

[ナビゲート]ビュー([調査]>[ナビゲート])には、選択したサービスの収集データで検出されたイベント メタデータ(メタ キーとメタ値)が表示されます。データは、プロファイル、時間範囲、メタ グループ、クエリで設定したオプションに基づいて、フィルタおよび表示されます。メタ キーとメタ値をクリックして、データをドリルダウンすることもできます。[ナビゲート]ビューは、NetWitness Investigateへのデフォルトのエントリー ポイントです。プロファイルの環境設定でデフォルトのエントリー ポイントを他のビューに変更することができます。

ワークフロー

次の図は、イベント メタデータを調査するための概要レベルのワークフローを示しています。このワークフローでは、バージョン11.4で名称変更されたビューが参照されています。[イベント分析]ビューは[イベント]ビューになり、[イベント]ビューは[レガシー イベント]ビューになりました。

[ナビゲート]ビューで実行されるタスクをハイライト表示した調査のワークフロー

[ナビゲート]ビューでは、次のタスクを実行できます。

  • [値]パネルでイベントのメタデータを表示する。
  • タイムラインまたは座標表示チャートでイベントを可視化する。
  • イベントの保存、イベントIDを使用したイベントへの移動、イベントの可視化、イベントの印刷を行う。
  • メタ キーと値の追加のコンテキスト データを表示する。
  • [レガシー イベント]または[イベント]ビューでドリルダウン ポイントまたはイベントを開く。

実行したいことは何ですか?

                                                          
ユーザ ロール実行したいこと手順
インシデント対応者

重要なインシデントまたはアラートの確認

NetWitness Respondユーザ ガイド

脅威ハンターサービス、メタデータ、時間範囲のクエリを実行*

[イベント]ビューでの結果のフィルタリング

[ナビゲート]ビューでの結果のフィルタリング

[ナビゲート]ビューと[レガシー イベント]ビューでのクエリの作成

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

メタデータの表示*

[イベント]ビューでのイベントの分析

結果セットの絞り込み

脅威ハンター

RAWイベント データの表示

[イベント]ビューでの結果のフィルタリング

[イベント]ビューでのイベントの分析

[レガシー イベント]ビューでの結果のフィルタリング

脅威ハンター

イベントの再構築

[イベント]ビューでのイベントの分析

[イベント]ビューでのイベントの再構築

[レガシー イベント]ビューでのイベントの再構築

脅威ハンターファイルの検証*

[イベント]ビューでのデータのダウンロード

[ナビゲート]ビューでのドリルダウン ポイントのエクスポートまたは印刷

[レガシー イベント]ビューでのイベントのエクスポート

脅威ハンタールックアップの実行*

結果の追加のコンテキストを検索

メタ キーのルックアップの起動

脅威ハンターインシデントの作成またはインシデントへの追加

[レガシー イベント]ビューでのインシデントへのイベントの追加

[イベント]ビューでのインシデントへのイベントの追加

脅威ハンター

Context Hubリストへのメタ値の追加*

結果の追加のコンテキストを検索

*このタスクは現在のビューで実行できます。

関連トピック

簡単な説明

次の図は、11.2の[ナビゲート]ビューを示しています。

[コンテキスト]パネルが表示されている[ナビゲート]ビュー(バージョン11.2)

次の図は、11.3の[ナビゲート]ビューを示しています。

値がロードされた[ナビゲート]ビュー

[ナビゲート]ビューは次の機能で構成されます。

  • ツールバー
  • 一時停止/再ロード ボタンと階層リンク
  • 時間バナー
  • オプションのデバッグ情報
  • 折りたたみ可能なチャート パネル
  • 値パネル
  • [コンテキスト ルックアップ]パネル
  • コンテキスト メニュー

ツールバー

次の図はツールバーの例です。ツールバーからは以下の操作を行うことができます。

  • 調査するサービスを変更する。
  • 表示されるデータの範囲を制御する。使用プロファイルの選択、時間範囲の設定、メタ グループの使用、データに適用するクエリの作成が可能です。
  • 値パネルのデータの集計方法とソート方法を設定する。
  • 結果に対してアクションを実行する。結果のエクスポートや印刷、イベントIDが分かっているイベントの[レガシー イベント]ビューまたは[イベント]ビューでの表示、Informerへのクエリの送信が可能です。
  • [調査]ビューを表示したまま調査の設定を構成する。

[ナビゲート]ビューのツールバー

ツールバーの一部のオプション ラベルでは、そのオプション名が表示されるのではなく、デフォルト値または選択された値がラベル表示されます。たとえば、前の図の例の時間範囲オプションは、現在選択されている値を反映して、「直近5分」というラベルで表示されています。これは、ツールバーのオプションです。

                                                           
オプション説明
サービス アイコン アイコンの横に選択したサービス名が表示されます。このアイコンをクリックすると、[サービスの調査]ダイアログが開きます。このダイアログで、調査するサービスを選択したり、調査するデフォルト サービスを設定したりできます(「[ナビゲート]ビューまたは[レガシー イベント]ビューでの調査の開始」を参照してください)。サービスを変更しても、データが再ロードされるわけではありません。
時間範囲時間範囲オプションが表示されます。ツールバーには現在選択されているオプションが表示されます(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。選択可能なオプションは次のとおりです。
  • すべてのデータ
  • 直近5、10、15、30分
  • 直近1、3、6、12、24時間
  • 直近2、5日間
  • 早朝
  • 午前
  • 午後
  • 夕方
  • 終日
  • 昨日
  • 今週
  • Last Week
  • カスタム

注: カスタムの開始時刻と終了時刻を秒単位で指定しても、開始時刻の秒は常に:00に、終了時刻の秒は常に:59に変更されます。たとえば、時間を使用して問題にドリルダウンする場合、ドリル時間は「HH:MM:00~HH:MM:59」と解釈されます。Investigate機能では、この形式で秒が表示されます。

クエリ[クエリ]ダイアログが表示されます。ここでは、データをドリルダウンするのではなく、カスタム クエリを直接入力できます。このダイアログの詳細については、「[クエリ]ダイアログ」を参照してください。
プロファイル[プロファイル]メニューを表示します。現在選択されているプロファイルがツールバーに表示されます。プロファイルでは、カスタム メタ グループ、デフォルトの列グループ、プレクエリなどを管理および使用できます。プロファイルは、[ナビゲート]ビュー(メタ グループとクエリ)、[レガシー イベント]ビュー、および[イベント]ビュー(列グループとクエリ)に適用されます。詳細については、「クエリ プロファイルを使用した調査の共通領域のカプセル化」を参照してください。
メタ[メタ グループ]メニューを表示します。デフォルトのメタ キーまたはカスタム メタ グループを使用できます。両方のグループ タイプで、設定を変更することができます(「メタ グループを使用して関連性の高いメタ キーにフォーカス」を参照してください)。
整列フィールド[ソート フィールド]メニューが表示されます。ツールバーには現在選択されているオプションが表示されます。このメニューには、[合計で並べ替え]と[値で並べ替え]という2つのオプションがあります。ソート フィールドはソート順オプションと一緒に使用します。各メタ キーのデータが、合計(緑の数字)またはメタ値(青のテキスト)に基づいて並べ替えられます(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。
ソート順[ソート順]メニューが表示されます。ツールバーには現在選択されているオプションが表示されます。このメニューには、[昇順でソート]と[降順でソート]という2つのオプションがあります。ソート順はソート フィールド オプションと一緒に使用します。各メタ キーについて選択したソート フィールドが昇順または降順で並べ替えられます(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。
集計方法 [集計方法]メニューが表示されます。ツールバーには現在選択されているオプションが表示されます。集計方法は、[値]パネルのメタ キーの結果にのみ適用されます。タイムラインには適用されません。
ドロップダウン メニューには、メタ値の個数(括弧で囲まれた緑色の数字)を計算するための、[イベント数で集計]、[イベント サイズで集計]、[パケット数で集計]という3つのオプションがあります(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。
これらのオプションがどのように適用されるかは、表示されているデータのタイプによって異なります。
パケット データの場合:
  • [イベント数で集計]を選択すると、セッション数が示されます。
  • [イベント サイズで集計]を選択すると、サイズ(バイト)が示されます。
  • [パケット数で集計]を選択すると、パケット数が示されます。
ログ データの場合:
  • [イベント数で集計]を選択すると、ログの数が示されます。
  • [イベント サイズで集計]を選択すると、サイズ(バイト)が示されます。
  • [パケット数で集計]を選択すると、ログの数が示されます。
イベントの保存[イベントの保存]メニューが表示されます。このメニューには、イベントに関連づけられているファイルを抽出するオプション、現在のドリルダウン ポイントをPCAPファイルとしてエクスポートするオプション、現在のドリルダウン ポイントをログ ファイルとしてエクスポートするオプションがあります(「ドリルダウン ポイントのエクスポート」を参照してください)。
アクションアクション メニューには、[ナビゲート]ビューで実行できるアクションが表示されます(「結果セットの絞り込み」を参照してください)。バージョン11.1以降では、オプションは[可視化]、[イベント再構築に移動]、[イベント ビューに移動]、[印刷]です。
イベントの検索現在のイベント セット内でテキスト パターンを検索できます。[検索]フィールドをクリックすると、検索オプションを示すドロップダウン メニューが表示されます。[適用]をクリックすると、選択したオプションが保存され、[レガシー イベント]ビューと[調査]プロファイルの検索オプションも更新されます(「[ナビゲート]ビューと[レガシー イベント]ビューでのテキスト パターンの検索」を参照してください)。
設定[ナビゲート]ビューの設定([プロファイル]ビューでも編集可能)が表示されます。これにより、[ナビゲート]ビューから移動せずに調査の設定を変更できます。[ナビゲート]ビューで変更した設定は、[プロファイル]ビューでも変更されます(「[ナビゲート]ビューおよび[レガシー イベント]ビューの構成」を参照してください)。

一時停止/再ロード ボタンと階層リンク

階層リンクでは、サービスのメタデータをドリル ダウンするときに、各クエリがトラッキングされます。次の図は階層リンクの例です。

[ナビゲート]ビューの階層リンクの例

各クエリは、ドロップダウン メニューにパイプ区切りの文字列として表示されます。最後尾のクエリが現在のドリルダウン ポイントです。チップとも呼ばれます。階層リンクの横のアイコンを使用して、メタ値のロードを一時停止したり、メタ値を再ロードしたりすることができます。階層リンクにはサービス名は含まれず、有効なクエリがある場合にのみクエリが表示されます。表示するドリル ポイントが多すぎて、表示しきれない場合には、階層リンクの最後尾に二重山括弧(>>)が表示されます。階層リンクの各ドロップダウン メニューは、リンクの位置に応じた多少の違いがあります。

次の表は、階層リンクのコントロールとメニュー オプションについて説明したものです。

                                           
機能説明
一時停止アイコン 一時停止/再ロード ボタン。ビューへのデータのロードを制御します。ロードの一時停止、ロードの続行、再ロードという3つの機能を備えています。
ここからナビゲート選択されているドリルダウン ポイントを現在の値パネルで開きます。
ここからナビゲート(新しいタブ)選択されているドリルダウン ポイントを新しい タブで開きます。
前にクエリを挿入現在のドリルダウン ポイントの前にクエリを挿入します。[フィルタの作成]ダイアログが開き、階層リンクに挿入するカスタム クエリを定義できるようになります(「[ナビゲート]ビューと[レガシー イベント]ビューでのクエリの作成」を参照してください)。
後にクエリを挿入現在のドリルダウン ポイントの後にクエリを追加します。[フィルタの作成]ダイアログが開き、階層リンクに挿入するカスタム クエリを定義できるようになります(「[ナビゲート]ビューと[レガシー イベント]ビューでのクエリの作成」を参照してください)。
削除選択されているドリルダウン ポイントを階層リンクから削除します。
編集選択されているドリルダウン ポイントが[フィルタの作成]ダイアログで開き、クエリを編集できるようになります。
>>二重山括弧をクリックすると、階層リンクに表示しきれなかったドロップ ポイントがドロップダウン メニューに表示されます。

(オプション)デバッグ情報

[デバッグ情報の表示]設定を有効化していて、ナビゲートしているサービスがBroker(NetWitness Platform)である場合、階層リンクの下にデバッグ情報が表示されます。

デバッグ情報とは、現在のクエリに含まれているWHERE句を指します。[時間範囲]オプションで[すべてのデータ]が選択され、ドリルダウン ポイントがない場合に限ってWHERE句は表示されません。Brokerにオフラインの集計サービスが少なくとも1つある場合は、デバッグ情報にもオフラインのサービスが表示されます。

次に例を挙げます。

(attachment exists)&&(tcp.dstport = '80')&&(risk.info exists)$$time='2014-05-04 18:50:00"-"2014-05-09 18:59:59(attachment exists) && (tcp.dstport = '80') && (risk.info exists) && time="2014-05-04 18:50:00"-"2014-05-09 18:50:59"

また、ロードに要する時間は値パネルの各メタ キーの末尾に表示されます。

時間バナー

階層リンクとデバッグ情報(ある場合)のすぐ下にある時間バナーには、チャートの作成に使用される時間範囲が示されます。次の図は時間バナーの例です。

[ナビゲート]ビューの時間バナーの例

ビジュアル画像

[ナビゲート]ビューの上部には、現在のドリルダウン ポイントが表示されます。これを使用して、[チャート]パネルのデータをドリル ダウンできます(「[ナビゲート]ビューでの結果のフィルタリング」を参照してください)。チャートの表示と非表示を切り替えて、[タイムライン]または[座標]のいずれかのチャート オプションを選択できます。最初に表示されるのは、前回保存したチャート設定です。

タイムライン チャート

タイムラインは、特定のインスタンスで発生するイベント数のカウントです。タイムラインでは、イベント数が特定のポイント イン タイムで急増したかどうかを確認できるように、イベントのカウントを提供します。タイムラインには、指定したサービスと時間範囲のアクティビティが表示されます。表示の形式は、[オプション]メニューでの選択に応じて、折れ線グラフか棒チャートになります。2番目の図は折れ線チャート、3番目の図は棒チャートを示しています。

[チャート オプション]ダイアログ

折れ線チャートの例

棒グラフの例

タイムラインには、指定したサービスと時間範囲のアクティビティが表示されます。表示の形式は、[オプション]メニューでの選択に応じて、折れ線グラフか棒チャートになります。

                                       
機能説明
イベント数(タイムライン)チャートのY軸はイベント数を表しています。
時間軸(タイムライン)チャートのX軸は、イベントが発生した時刻を表しています。
イベント ポイント(タイムライン)特定の時間範囲のセッションについて調査する場合は、チャートから範囲を選択します。新しい時間範囲がチャートに反映されます。
Investigate(タイムライン)選択した時間範囲のメタ値が結果パネルに表示されます。
ズームのリセット(タイムライン)元の時間範囲に戻るには、[ズームのリセット]をクリックします。
オプション[チャート オプション]ダイアログが表示されます。データ ポイントは折れ線チャート(デフォルト)、棒チャート、座標チャートのいずれかで表示できます。チャートのタイプを選択すると、関連するオプションが表示されます。
非表示チャートを折りたたみます。

座標表示チャート

座標表示チャートは、現在のドリルダウン ポイントをビジュアル化するために[オプション]メニューから選択できるオプションの1つです。[チャート オプション]ダイアログで[座標表示]が選択されている場合は、表示するメタ データを選択できます(「座標表示チャートへのメタデータの追加」を参照してください)。便利な座標表示チャートを表示するには、次の図に示すように、プロファイル グループを選択します。

座標表示チャートの例

                                   
機能説明
各軸はメタ キーです。メタ キーの数は、チャートのロード時間に影響します。すべてのメタ キーがロードされますが、メタ キーあたりのイベント数は制限されています。
線はイベントを表し、軸上の値を接続することで、複数のメタ キー間の相関関係を示します。
オプション[チャート オプション]ダイアログが表示されます。データ ポイントは折れ線チャート(デフォルト)、棒チャート、座標チャートのいずれかで表示できます。チャートのタイプを選択すると、関連するオプションが表示されます。
イベントのサブセットのみが表示されます。このメッセージは、値パネルのすべてのイベントがチャートに表示されているわけではないことを示す通知メッセージです。値パネルで軸を削除するか、データをフィルタすると、すべてのイベントを表示できる場合があります。
見つかったイベントの数 | 一意のパスの数チャートに表示されているイベントの総数とチャートに表示されている一意のパスの数の比率が表示されます。[すべてのメタ キーが1つのイベントに存在する必要があります]オプションを設定すると、チャートが再描画され、目的が明確で分かりやすくなります。
DNEこのメタ キーの値がイベント内にないことを示します。

座標表示の[チャート オプション]ダイアログでは、チャートに含めるメタ キーを選択できます。

                                               
機能説明
チャートの選択チャート タイプ([タイムライン]と[座標])のドロップダウン リストを表示します
すべてのメタ キーが1つのイベントに存在する必要がありますチャートに表示するデータを、選択したメタ キーをすべて含んでいるイベントのみに制限します。これにより、目的が明確で整然としたチャートになります。
[追加]アイコン [座標表示チャートへのキーの追加]ダイアログが表示され、チャートに軸を追加できるようになります。この機能は、デフォルトのメタ キーと追加のメタ キーとの間の関係を調べる場合に便利です。
[削除]アイコン 選択したキーを削除して、チャートの軸に表示されないようにします。これにより、チャートが整然とし、より多くのデータ ポイントをチャートに含められるようになります。
リバース アイコン チャートのメタ キーを、現在のドリルダウン ポイント内のすべてのメタ キーで構成されるデフォルト値に戻します。
情報アイコン 選択された軸の数と推奨される軸の数の比較に関する追加情報の表示を制御します。これにより、軸を削除することによるパフォーマンス向上の可能性について認識できます。
チャートで軸として選択されているメタ キーが表示されます。
キャンセルチャート オプションに対して加えられたすべての変更を取り消します。
適用チャート オプションに対する変更を保存し、現在のチャートに変更を適用します。

[座標表示チャートへのキーの追加]ダイアログでは、座標表示チャートの軸として使用するメタ キーまたはメタ グループを選択できます。

                           
機能説明
チャートの選択キーの選択:メタ キーを選択するためのオプションは次の2つです。
  • デフォルトのメタ キーから追加
  • メタ グループから追加
いずれのオプションにも、メタ キーを選択するためのドロップダウン リストがあります。
選択したメタ キーの追加オプションメタ キーの追加方法に関するオプションにより、次の操作を実行できます。
  • 現在のキーのリストを置き換え
  • 現在のキーのリストの後に挿入
  • 現在のキーのリストの先頭に挿入
キャンセルキーを追加せずにダイアログが閉じられます。
追加ダイアログが閉じられ、選択したキーが指定したとおりに追加されます。

値パネル

[ナビゲート]ビューの主要機能である[値]パネルには、調査中のサービスで見つかったメタ キーとメタ値が表示されます。[値]パネルでのデータの分析手順については、「[ナビゲート]ビューでの結果のフィルタリング」を参照してください。

[値]パネルのメタ キーの詳細

注: インデックスなしのメタ キーについては、タイトル、値、数でのドリル ダウンができません。これらのメタ キーの値と数は黒いテキストで表示されます。

 

                             
1

[値]パネルのメタ キーには、そのメタ キーに適用できるアクションを含んだドロップダウン メニューがあります。オプションを選択して、現在のビューにおけるメタ キーの結果の表示方法を変更できます。現在のビューのメタ キー表示に対して行った変更は、ページの表示を更新するか、[ナビゲート]ビューのツールバーで新しいサービスを選択するまで維持されます。「[値]パネルでのデータのドリルダウン」を参照してください。

ページの表示を更新すると、[デフォルトのメタ キーの管理]ダイアログで定義されているとおりに、メタ キーの現在のビューが復元されます(「調査でのデフォルト メタ キーの管理と適用」を参照してください)。[デフォルトのメタ キーの管理]ダイアログで変更を行ったことがない場合は、コア サービスに設定されているデフォルトのメタ キーがNetWitness Platformによって復元されます。

  • 表示範囲の拡大
  • 最大まで表示
  • 結果を折りたたみ表示
  • メタ キー情報
  • 値のエクスポート
2値が表示されているメタ キーの名前。バージョン11.3以降では、メタ キーのユーザ フレンドリー名が、角括弧で囲まれたメタ キーのインデックス ファイル名とともに表示されます。たとえば、Content Type [content]は、contentメタ キーのユーザ フレンドリー名と、括弧で囲まれたインデックス ファイル名を表しています。メタ グループの場合、グループ名は英語で表記され、括弧で囲まれたメタ グループ名とともに表示されます。All User Keys [users.all]は、[値]パネルに表示されるメタ グループ名の例です。
3および4インデックス付きのメタ キーに対して[検索]アイコンをクリックすると、[検索]ダイアログが開き、現在のメタ キーに適用するフィルタを入力できるようになります。検索機能は、インデックスなしのメタ キーでは使用できず、エイリアスではなく実際のメタの値に基づいています。エイリアスを使用した[検索]ダイアログのドリル ダウンはサポートされていません。
注:調査でメタ キーに使用されるエイリアスのリストを取得するには、管理者に問い合わせてください。エイリアスが使用されると、[検索]ダイアログには結果が表示されません。メタ キーのクエリには、エイリアスを使用するのではなく、右クリックのクエリ機能または[クエリ]ダイアログを使用する必要があります。
5見つかったメタ キーに関連づけられたメタ値。設定に応じて、メタ値の名前順、またはメタ値が見つかったイベント数順に表示されます。
6

メタ値を含むイベントの数。

7

ロードする値の数は、調査の環境設定の表示スレッド値によって指定されます。前の例では、メタ キーはContent Typeで、40個以上ある値のうちの40個が現在表示されています。[表示範囲の拡大]をクリックすると、追加の値を表示できます。セッションで特定のメタに対して見つかったインスタンスの数。

[値]パネルのロード動作

デフォルトのビューは、デフォルトのメタ キーと折りたたみ表示されたインデックスなしのメタ キーで構成され、過去3時間の収集データが表示されます。メタ グループ内のメタ キーは、NetWitness Platformによるキーのクエリ順に表示されます。NetWitness Platformは、[値]パネルへのデータのロード中に、結果の一部、ロードの進行状況、サービスのステータスを表示するよう最適化されています。

ロード動作は、複数の構成設定によって決まります。管理者によって構成された設定が最も優先されます。それらは次のとおりです。

  • このユーザに許可されているクエリの最大実行時間(クエリ タイムアウト)。
  • NetWitness Platformがセッション内のメタ値のカウントを停止する限界値(セッション閾値)。セッションの閾値を設定し、実際にユーザによるスキャンが閾値に達した場合、[ナビゲート]ビューは閾値に達したこと、またロードされた結果の割合を表示します。割合を表示しないセッションは正確であり、処理が完了しています。割合がある場合は、処理が完了した割合を反映しています。表示される割合は、残りの作業量を考慮し、処理が完了した時点の値から推定することよって見積もられます。推定があまり必要ないため、一般的に大きな割合ほど正確です
  • NetWitness Platformがセッション内のメタ値のカウントを停止する限界値(セッション閾値)。セッションの閾値を設定し、実際にユーザによるスキャンが閾値に達した場合、[ナビゲート]ビューは閾値に達したこと、また閾値に達するまでに要したクエリの時間の割合を表示します。

注: インデックスなしのメタ キーの値は、値パネルにロードされるのに時間がかかります。ロードを最適化するため、NetWitness Platformでは、インデックスなしのメタ キーはデフォルトで展開されません。調査での非インデックス メタ キーの詳細については、「調査でのデフォルト メタ キーの管理と適用」を参照してください。

サービスの調査を開始すると、NetWitness Platformによって結果が値パネルに表示されます。

  1. NetWitness Platformによってメタ キーとメタ値が値パネルにロードされます。各メタ キーのロードは次の段階に分けて行われます。
    1. ロードの待機中、または折りたたみ表示:折りたたみ表示の場合、そのキーのデータはロードされません。
    2. ロード中
      1. ロードの進行状況:NetWitness Platformによって進行状況メッセージが受信され、表示されます。
      2. 部分的結果:NetWitness Platformによって値のメッセージが受信され、部分的な結果が値パネルに表示されます。
    3. ロード完了:すべての結果のロードが完了しました。
  2. 各メタ キーのロードが完了すると、最終的な値が表示され、次のメタ キーのロードが開始されます。メタ キーごとに同時にロードされる値の数は、調査の環境設定の表示スレッド値によって指定されます。すべてのキーのロードが完了するまで、ロードが継続します。
  3. デバッグ情報の表示]が有効で、ナビゲートしているサービスが10.4以降のBrokerの場合、NetWitness Platformでは、各メタ キーの値の下にロード時間情報が表示され、サービス集計でのロードの詳細情報が表示されます。また、NetWitness Platformでは階層リンクの下にデバッグ情報も表示されます。

反復的結果

反復的結果では、クエリのステータスに関するフィードバックがインタフェース内に表示され、データ ロードの所要時間とサービス データの欠落の有無についてのコンテキストが提供されます。たとえば、2つのConcentratorから集計しているBrokerに対してクエリを実行する場合、2番目のConcentratorからの結果を待っている途中でも、最初のConcentratorからの結果が利用可能になり次第、NetWitness Platformは結果を表示します。

また、反復的結果には、サービスにアクセスできないことが原因でサービス データが欠落している場合に、そのことを示す通知も表示されます。

部分的結果

完全ではない部分的な値がコアサービスから返されると、値のロードの進行状況を示すメッセージがメタ キー リストの末尾に表示されます。たとえば、現在38 ip.src値を処理中(71%)とは、メタ キー値のロードが71%完了していることを示しています。

デバッグ情報

[デバッグ情報の表示]設定が有効な場合、値の末尾にあるフィールドには、NetWitness Platform内でクエリしている各システムのステータスが表示されます。たとえば、複数のConcentratorからデータを集計している10.4 Brokerに対してクエリを実行している場合は、各Concentratorに対するクエリのステータスがNetWitness Platformに表示され、各Concentratorからのデータ ロードの相対的な速度を把握できます。クエリで使用される各サービスは、クエリ全体の経過時間とともに表示されます。

クエリで使用される各サービスは、クエリ全体の経過時間とともに表示されます。前掲の例では、2つのサービスが3.207秒で結果を返し、localhost:50005は結果を2秒で返していることを示しています。また、階層リンクの下には、クエリのWHERE句も表示されます。この構文は、アプリケーション ルールまたはルールのレポート WHERE句に直接コピーできます。

ロード完了

現在のドリルダウン ポイントで見つかった各メタ キーの値(青のテキスト)とその数(緑のテキスト)のリストが表示されます。表示されているデータの特定のサブセットを詳しく調べるには、調査する値をクリックします。表示が更新され、新しいドリルダウン ポイントに移動します。ツールバーのオプションを使用して、値のソート方法と集計方法を指定することもできます。

You are here
Table of Contents > 調査の参考情報 > [ナビゲート]ビュー

Attachments

    Outcomes