調査：イベントの再構築と分析

［ナビゲート］ビューまたは［イベント］リストでイベントを絞り込んだら（「結果セットの絞り込み」を参照）、次のステップは、イベントの再構築、添付ファイルの確認、サード パーティ ルックアップまたは内部ルックアップでの追加コンテキストの表示を行って、イベントについて詳しく理解することです。

再構築は［イベント］ビューまたは［レガシー イベント］ビューで行います。［ナビゲート］ビューから開始する場合は、［イベント］ビューまたは［レガシー イベント］ビューに移動して再構築を表示する必要があります。

注： ［レガシー イベント］ビューはデフォルトで無効になっています。管理者は、『システム構成ガイド』の「調査の設定の構成」の説明に従って有効にすることができます。

［イベント］ビューでイベントを表示するには、次のいずれかを実行します。

1. ［イベント］ビューを開くには、［調査］＞［イベント］に移動します。
2. ［調査］＞［ナビゲート］に移動して、メタ値のメタ数を右クリックします（メタ数は緑のテキストで表示されます）。コンテキスト メニューが表示されたら、［イベントを新しいタブで開く］を選択します。
   
   選択したメタ値のイベントが［イベント］ビューに表示されます。 
   
   

このビューで使用できる分析のタイプの詳細については、「［イベント］ビューでのイベントの再構築」を参照してください。

［レガシー イベント］ビューでイベントを表示するには、次のいずれかを実行します。

1. デフォルト サービスのデフォルト クエリを使用して［レガシー イベント］ビューを開くには、［調査］＞［レガシー イベント］に移動します。
   
2. 特定のメタ値のイベントを［レガシー イベント］ビューに表示するには、［調査］＞［ナビゲート］に移動して、値パネルにイベントがロードされたら、メタ数をクリックします（メタ数は緑のテキストで表示されます）。メタ値のメタ数を右クリックすることもできます。コンテキスト メニューが表示されたら、［レガシー イベントを新しいタブで開く］をクリックします。
   選択したメタ値のイベントが［レガシー イベント］ビューに表示されます。［レガシー イベント］ビューには、詳細ビュー、リスト ビュー、ログ ビューという、標準提供の3種類の表示形式でイベント データを表示できます。この図は詳細ビューの例です。［レガシー イベント］ビューに表示されるイベントをフィルタリングするには、クエリ、時間範囲設定、プロファイルを使用します。ファイルの抽出、イベントのエクスポート、ログのエクスポートを行うことができます。また、イベントをダブル クリックすると、［イベントの再構築］パネルが開きます。これらの機能の詳細については、「結果のダウンロードと処理」を参照してください。
   NetWitness Platformは、デフォルトのサービス（設定されている場合）の直近3時間についてデフォルト クエリを実行するか、またはサービスを選択するダイアログを表示してからデフォルト クエリを実行します。デフォルト クエリではすべてのイベントが選択され、選択したサービスのイベントが古い順に［イベント］ビューに表示されます。
   
   リスト内の最初のイベントの再構築を表示するには、そのイベントをダブルクリックします。
   ［イベント］リストの前のポップアップ ウィンドウに再構築が表示されます。