調査：［イベント］ビューでのデータのダウンロード

 

［イベント］ビューでは、［イベント］パネルと再構築からデータをダウンロードできます。バージョン11.4で使用可能な［イベント］パネルのダウンロード機能では、すべてのイベント タイプのログおよびネットワーク イベントが一括ダウンロードされます。バージョン11.4.1には、すべてのイベント タイプに対して表示可能なメタデータをダウンロードする機能が追加されています。再構築内からは、イベント、ログ、ファイルをダウンロードできます。

注： 表示およびダウンロードできる情報は、管理者が実装したロールベース アクセス制御（RBAC）によって管理されます。特定のデータがダウンロードされるのを防ぐようにRBACが設定されている場合、ダウンロード権限のないイベントが正常にダウンロードされたように見えることがありますが、サイズは0バイトです。特定のイベントが再構築されるのを防ぐようにRBACが設定されている場合、再構築は［イベント］パネルで無効になりますが、一括ダウンロード ボタンは有効なままになります。

［イベント］パネルでのログ、表示可能なメタデータ、ネットワーク イベントのダウンロード（バージョン11.4以降）

クエリの送信後は、イベントのログ、ネットワーク イベント、表示可能なメタデータを、［イベント］パネルから直接、指定した形式でダウンロードできます。環境設定は［イベント環境設定］ダイアログで設定され、変更はすべて［ダウンロード］メニューに反映されます。環境設定の詳細については、「［イベント］ビューの構成」を参照してください。

注： 表示可能なメタデータをダウンロードすると、［イベント］パネルの現在のソート順ではなく、収集時間の順でメタデータがソートされます。

［イベント］パネルでは、検索で返されたイベントを個別に選択するか、すべてのイベントを選択できます。選択チェックボックスは、イベントをダウンロードする権限がある場合にのみ表示されます。新しいクエリを送信すると、すべてのチェックボックスが選択解除されます。イベントを選択して［ダウンロード］をクリックすると、［ダウンロード］メニューが表示されます。各イベント タイプに対して選択されているイベントの数は、各オプションの横に「Events of this type selected/ Total number of events selected」形式で表示されます。イベント タイプでイベントが選択されていない場合は、対応するダウンロード オプションが無効になり、選択したイベントの数が「0 / Total number of events selected」として表示されます（次の図を参照）。バージョン11.4.1のメニューには、表示可能なメタデータをダウンロードするオプションがあり、バージョン11.4のメニューには、これらのオプションがありません。

 

［イベント］リストですべてのチェックボックスが選択されている場合、イベント数はメニューに表示されなくなります（次の図を参照）。バージョン11.4.1のメニューには、表示可能なメタデータをダウンロードするオプションがあり、バージョン11.4のメニューには、これらのオプションがありません。

注： すべてのイベントをダウンロードするよう選択すると、現在の結果セット内のイベントのみがダウンロードされます。すべての結果が返される前にクエリをキャンセルした場合は、ロードされたイベントのみがダウンロードされます。

［イベント］パネルで単一イベント、複数イベント、またはすべてのイベントのイベント データをダウンロードするには、次の手順を実行します。

1. 次のいずれかを実行します。
   1. イベントを個別に選択するには、ダウンロードする各イベントの横にあるチェックボックスをオンにして、［ダウンロード］メニュー ラベルをクリックしてオプションを表示します。バージョン11.4.1のメニューには、表示可能なメタデータをダウンロードするオプションがあり、バージョン11.4のメニューには、これらのオプションがありません。
      
   2. ［イベント］パネルに表示されているすべてのイベントを選択するには、［イベント］パネルの上部にあるチェックボックスをオンにして、［すべてダウンロード］メニュー ラベルをクリックします。
      

2. メニューの上部で有効になっている［デフォルトのオプション］を確認します。デフォルトの形式を使用しない場合は、メニューの［その他のオプション］セクションで別の形式を選択できます。
   

   • ［イベント環境設定］メニューで選択した形式（テキスト形式のログ、CSV形式のログ、JSON形式のログ、XML形式のログ）でログがダウンロードされます。このダウンロードに異なる形式を選択する場合は、メニューの下部にあるいずれかの形式を選択します。

   • ネットワーク イベントはPCAPとしてダウンロードされます。［イベント］パネルで複数のネットワーク イベントをダウンロードする場合、形式は常にPCAPとなります。［イベント環境設定］メニューで指定した形式（PCAP形式のネットワーク、ペイロード形式のネットワーク、リクエスト ペイロード形式のネットワーク、レスポンス ペイロード形式のネットワーク）はこのメニューでは無視されます。指定した形式は、ネットワーク再構築パネルでの単一ネットワーク イベントのダウンロードにのみ適用されます。
   • 表示可能なメタデータは、［イベント環境設定］メニューで選択した形式（テキスト形式の表示可能なメタ、CSV形式の表示可能なメタ、JSON形式の表示可能なメタ、TSV形式の表示可能なメタ）でダウンロードされます。このダウンロードに異なる形式を選択する場合は、メニューの下部にあるいずれかの形式を選択します。各イベントに対してダウンロードされるメタデータは、メタデータをダウンロードするときに表示される列に対応しています。［イベント］パネルでサマリー列グループが選択されている場合は、イベントのすべてのメタデータがダウンロードされます。
3. メニュー ラベル［ダウンロード］または［すべてダウンロード］をクリックします。
   ［抽出したファイルを自動ダウンロード］が設定されている場合（［イベント］ビュー＞）、ダウンロードはブラウザ ウィンドウ内でただちに始まります。この環境設定が設定されていない場合は、選択したイベントのダウンロード ジョブがジョブ トレイに追加され、そこからイベントをダウンロードできるようになります。
   ダウンロードが失敗した場合は、ダウンロードが失敗した理由についてのフィードバックがメッセージに表示されます。ダウンロード ボタンが再度有効になり、選択したイベントが選択されたままになります。次の例は、ダウンロードが失敗した理由（X分後のタイムアウト、接続障害、イベント制限に到達、権限の拒否）の例です。
4. ジョブ トレイを表示するには、［調査］＞［ナビゲート］または［調査］＞［イベント］に移動して、ストップウォッチに似ているジョブ アイコンをクリックします。
   ジョブがジョブ トレイに表示されます。
   

［テキスト］パネルでのログのダウンロード

［テキスト］パネルでログの再構築を表示しているときに、［ログのダウンロード］ドロップ ダウン メニューのオプションを使用して、次の形式でログ ファイルをダウンロードすることができます。

• RAWログ（ログ）。［ログのダウンロード］（11.3）または［テキストのダウンロード］（11.4以降）オプションを使用
• カンマ区切り値（CSV）。［CSVのダウンロード］オプションを使用
• 拡張可能マークアップ言語（XML）。［XMLのダウンロード］オプションを使用
• JavaScript Object Notation（JSON）。［JSONのダウンロード］オプションを使用

これは、［ログのダウンロード］（11.3）または［テキストのダウンロード］（11.4以降）メニュー オプションが表示されているログ再構築の例です。

注： ［ログのダウンロード］（11.3）または［テキストのダウンロード］（11.4以降）オプションは、少なくとも1つのメタ値が256文字を超えているエンドポイント イベントにのみ適用されます。エンドポイント イベントの場合、メタ値が256文字を超える場合にのみ、RAWログが取り込まれます。長時間実行されているか、履歴をダウンロードしたファイルはダウンロード可能ではありません。
たとえば、起動の引数のようなメタ値は256文字を超えることができます。この場合、256文字はメタ値として使用でき、完全な値はRAWログで表示できます。

ダウンロードしたログ ファイルにはログが含まれ、ログを収集したサービス、セッションID、ファイル タイプが識別できるようファイル名が付けられます。RAWログのファイル名は「Concentrator_SID2.log」のようになります。エクスポートされたログ ファイルの名前は、次の規則で決まります。

<service-ID or host name>_SID<n>.<filetype>

各項目の意味は次のとおりです。

• <service-ID or host name>は、セッションが保存されたサービスの名前（たとえばConcentratorまたはBroker）です。
• SID<n>は、セッションID番号です。
• <filetype>は、ダウンロードしたログの形式です。ログの形式には、RAWログ、CSV、XML、JSONがあります。デフォルトの形式は、RAWログです。

注： 一部の形式では、タイム スタンプまたはイベントが生成されたデバイスIPが含まれません。このためCSV、XML、JSON形式でダウンロードされたログには、RAWログの内容とともにtimestampという追加の値が含まれます。追加の情報は「Log timestamp="1490824512" source="10.12.35.65"」形式でログに含まれます。

セッションのログをダウンロードするには、次の手順を実行します。

ログ イベントの［テキスト］パネルで、ダウンロードするログのファイル形式を選択します。

• RAWログ（デフォルトの形式）としてログをダウンロードするには、［ログのダウンロード］（または11.4では［テキストのダウンロード］）をクリックします。
• 他のいずれかの形式でログをダウンロードするには、 ［ログのダウンロード］（11.3）または［テキストのダウンロード］（11.4以降）ボタンの下矢印をクリックして、ダウンロードしたログのいずれかのファイル形式を選択します。

ログ ファイルは、指定した形式で、ローカル ファイル システムにダウンロードされます。ダウンロードを選択してから、ダウンロードが開始する前にログを抽出している途中でブラウザのページを移動すると、ログはダウンロードされません。ジョブ キューからログをダウンロードできるというメッセージが通知されます。

［テキスト］パネルまたは［パケット］パネルでのネットワーク イベント データのダウンロード

［パケット］パネルまたは［テキスト］パネルで再構築されたネットワーク イベントを表示しているときに、詳細な分析用にネットワーク データ ファイルをエクスポートすることができます。ダウンロードには、現在の時間範囲やドリル ポイントのイベントが含まれています。次の形式でデータをダウンロードすることができます。

• イベント全体をパケット キャプチャ（*.pcap）ファイルとして。［PCAPのダウンロード］オプションを使用。
• ペイロードを*.payloadファイルとして。［すべてのペイロードのダウンロード］（11.3）または［ペイロードのダウンロード］（11.4）オプションを使用。
• リクエスト ペイロードを*.payload1ファイルとして。［リクエスト ペイロードのダウンロード］オプションを使用。
• レスポンス ペイロードを*.payload2ファイルとして。［レスポンス ペイロードのダウンロード］オプションを使用。

ダウンロード メニューボタンのラベルは、［イベント環境設定］ダイアログで選択した設定に基づいており、これらの形式のいずれかです。イベントにその日付のタイプがない場合、メニュー ボタンはグレー表示になります。メニュー ボタンをクリックして、どのオプションが使用可能かを確認できます。たとえば、イベントにリクエスト ペイロードがあり、レスポンス ペイロードがない場合、［レスポンス ペイロードのダウンロード］ボタンはグレー表示になります。ボタンをクリックして、［リクエスト ペイロードのダウンロード］をこのダウンロードに選択できます。有効な形式を選択した後でボタンをクリックすると、ダウンロードが実行されます。

PCAPファイルのファイル名は「C01 - Concentrator_SID1697309.pcap」のようになります。エクスポートされたネットワーク データ ファイルの名前は、次の規則で決まります。

<service-ID or host name>_SID<n>.<filetype>

各項目の意味は次のとおりです。

• <service-ID or host name>は、セッションが保存されたサービスの名前（たとえばConcentratorまたはBroker）です。
• SID<n>は、セッションID番号です。
• <filetype>は、pcap、payload、payload1、payload2のいずれかです。

ネットワーク データは、ダウンロードが迅速な場合、ブラウザに直接ダウンロードされます。ネットワーク要因やファイル サイズによりダウンロードに時間がかかる場合、ファイルは、バックグラウンドでダウンロードされ、タスクはジョブキューでトラッキングされます。この場合は、キューでジョブを確認し、ダウンロードが完了するとファイルを取得できます。

注： ダウンロードを選択してから、ダウンロードが開始する前にファイルを抽出している途中でブラウザのページを移動すると、ファイルはダウンロードされません。ジョブ キューからファイルをダウンロードできるというメッセージが通知されます。

イベントをネットワーク データ ファイルにエクスポートするには、次の手順を実行します。

ネットワーク イベントの［パケット］パネルに移動し、［ダウンロード］メニュー ボタンをクリックします。ラベルは、［イベント環境設定］ダイアログで設定されているダウンロード オプションと同じです。選択可能なその他の形式を確認するには、［ダウンロード］メニュー ラベルをクリックします。

• イベントをPCAPファイル（システム定義のデフォルト形式）としてダウンロードするか、ユーザ定義のデフォルト形式でダウンロードするには、［<形式>のダウンロード］ボタンをクリックします。
• 他のいずれかの形式でイベントをダウンロードするには、ボタン上の下向き矢印をクリックして、ダウンロードしたイベント データのファイル形式を選択します。

ネットワーク データ ファイルは、指定した形式で、ローカル ファイル システムにダウンロードされます。

［ファイル］パネルでのネットワーク イベントからファイルのダウンロード

［ファイル］パネルでファイルを含む再構築ネットワーク イベント表示しているときに、1つまたは複数のファイル、すべてのファイルを選択してローカル ファイル システムにダウンロードすることができます。

注： ダウンロードを選択してから、ダウンロードが開始する前にファイルを抽出している途中でブラウザのページを移動すると、ファイルはダウンロードされません。ジョブ キューからファイルをダウンロードできるというメッセージが通知されます。

ファイルを選択したら、［ファイルのダウンロード］ボタンがアクティブになり、選択したファイルの数が反映されます。

［ファイルのダウンロード］をクリックすると、選択したファイルがパスワード保護されたzipアーカイブとしてエクスポートされます。エクスポートされたアーカイブを開くためのパスワードはnetwitnessです。この形式でファイルをエクスポートすることにより、次のことが保証されます。

• アーカイブは、ウイルス対策ソフトウェアによって隔離されません。
• 悪意のある可能性のあるファイルがデフォルトのアプリケーションによって自動的に開かれたり、実行されません。

アーカイブのファイル名は「C01 - Concentrator_SID1697309_FC1.zip」のようになります。エクスポートされたアーカイブの名前には、次の規則を使用します。

<service-ID or host name>_SID<n>_FC<n>.zip

各項目の意味は次のとおりです。

• <service-ID or host name>は、セッションが保存されたサービスの名前（たとえばConcentratorまたはBroker）です。
• SID<n>は、セッションID番号です。
• FC<n>は、ファイル数またはアーカイブ内のファイルの数です。

注意： デフォルトのアプリケーションに関連づけられているファイルを解凍または開くときは、十分に注意してください。たとえば、Excelスプレッドシートは、ファイルの安全性を検証する前にExcelで自動的に開かれる可能性があります。

再構築されたイベントでファイルをエクスポートするには、次の手順を実行します。

1. ［イベント］ビューで、ファイルを含んでいるイベントの［ファイル］パネルに移動します。
   
   
2. 抽出する1つまたは複数のファイルをクリックして、［単一ファイルのダウンロード］または［複数ファイルのダウンロード］をクリックします。
   ジョブがスケジュールされ、完了すると、選択したファイルがパスワード保護されたzipアーカイブ形式でローカル ファイル システムにダウンロードされます。
3. ローカル ファイル システム上のアーカイブを開くには、プロンプトが表示されたら、パスワードnetwitnessを入力します：