調査:[イベント]ビューでの調査の開始

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

[イベント]ビューでは、[ナビゲート]ビューと[レガシー イベント]ビューの両方で使用可能な機能のほとんどが提供されます。[ナビゲート]ビューと同様に、ログ、エンドポイント、パケットのメタ キーとメタ値を表示するビューがあります。[レガシー イベント]ビューと同様に、イベント リストにイベントを時系列で表示し、RAWイベント、関連メタデータ、イベントの再構築を表示することができます。イベントの再構築では、着目点の特定に役立つヒントが表示されます。「[イベント]ビューでのイベントの分析」を参照してください。

次の図は、初期状態の[イベント]ビューを示しています。クエリの例と、キーボードとマウスの操作に関する情報が表示されています。次の図は、バージョン11.4.1の初期ビューを示しています。

初期状態の11.4.1[イベント]ビュー

次の図は、バージョン11.4の初期ビューを示しています。11.4には、クエリを作成する2つのモードがあります。

バージョン11.4のクエリの例

[イベント]ビューへのアクセス

バージョン11.1以降では、いくつかの方法で[イベント]ビューにアクセスすることができます。

  • [調査]>[イベント]に移動するか、[イベント]ビューが調査のデフォルト ビューに設定されている場合は、メイン メニューの[調査]オプションを選択します。詳細な手順は、後述します。
  • [ナビゲート]ビューで、メタ値のカウント(メタ値の後の緑色の数字)をクリックします。[イベント]ビューが開き、選択したドリルダウン ポイントのイベントのリストが表示されます。「イベントの再構築と分析」の説明に従って分析を開始できます。
  • カウントを右クリックし、[新しいタブで[イベント]を開く]をクリックします。新しいタブに[イベント]ビューが開き、選択したドリルダウン ポイントのイベントのリストが表示されます。「イベントの再構築と分析」の説明に従って分析を開始できます。次の図はイベント リストの例です。
    イベントがロードされた[イベント]ビュー

[イベント]ビューに直接アクセスして、調査を開始するには、次の手順を実行します。

  1. 調査]>[イベント]に移動します。
    サービスが選択された状態で[イベント]ビューが開きます。データは表示されません。ドロップダウン リストには、アルファベット順で使用可能なサービスのリストが表示されます。サービスの選択]フィールドでは、サービス リストの先頭のサービス、または最後に選択されたサービスがデフォルトで選択されます。デフォルトで、使用可能なサービスのリストは12時間ごとに取得され、NetWitness Server上にキャッシュされます。次回の取得の前にNetWitness Serverにサービスを追加または削除した場合は、キャッシュが最新のサービス リストに更新されます。アイコンにサービスのステータスが示されます。
    • データベース アイコンと選択されたサービス名 = サービスが選択されています。
    • スピナー アイコン = 選択されたサービスへの接続を試みています。
    • データのないサービスのアイコン = 選択したサービスへの接続中にエラーが発生したか選択したサービスにデータがありません。この状態では、サービス セレクタ コントロールも赤色に変わり、ツールチップに、接続の試行が失敗した理由と、別のサービスを選択するように勧めるメッセージが表示されます。
  2. (オプション)ドロップダウン リストからサービス(通常はBrokerまたはConcentrator)を選択します。

    時間範囲セレクタには、デフォルトの24時間、またはこのサービスに対して最後に選択された時間範囲が表示されます。クエリ送信ボタン(クエリ送信)ボタンがアクティブになり、フィルタを作成できるようになります。フィルタを作成しないでクエリを実行すると、選択された時間範囲が使用されます。
  3. (オプション)「[イベント]ビューでの結果のフィルタリング」の説明に従って、時間範囲を編集します。
    時間範囲ドロップダウン リスト
    このサービスに選択した時間範囲はブラウザに保存されます。サービスごとに異なる時間範囲を設定できます。

  4. クエリを作成します。クエリは、1つまたは複数のフィルタで構成され、各フィルタは、メタ キー、演算子、値(オプション)で構成されます。クエリの作成方法の詳細については、「[イベント]ビューでの結果のフィルタリング」を参照してください。
  5. クエリを送信する準備ができたら、クエリ送信ボタン([クエリ送信])をクリックします。
    管理者によってロールに割り当てられた権限に応じて、選択したサービス、時間範囲、クエリのデータが[イベント]ビューに表示されます。データの分析を開始する準備ができました。[イベント]ビューでの作業方法については、「[イベント]ビューでのイベントの再構築」および「[イベント]ビューでのイベントの分析」を参照してください。

[イベント]ビューへのアクセス(バージョン11.0)

[イベント]ビューでイベントを開くには、次の手順を実行します。

  1. 調査]>[イベント]に移動します。
  2. 次のいずれかを実行します。
    1. 一覧表示されたイベントのいずれかを右クリックし、[イベント分析]を選択します。
      [イベント]ビューのコンテキストメニューで[イベント分析]に移動
    2. 一覧表示されたイベントのいずれかを右クリックし[イベント再構築]を選択します。再構築で[イベント分析]ボタンをクリックします。

[イベント]ビューでの作業方法については、「[イベント]ビューでのイベントの再構築」および「[イベント]ビューでのイベントの分析」を参照してください。

 

 

You are here
Table of Contents > 調査の開始 > [イベント]ビューでの調査の開始

Attachments

    Outcomes