このタブにアクセスするには、NetWitnessで[管理]>[イベント ソース]に移動します。[検出]タブが表示されます。
[検出]タブでは、NetWitnessが各アドレスについて検出したイベント ソース タイプと、システムがどの程度完全かつ正確にタイプを識別したかを示す信頼度を確認できます。検出されたイベント ソース タイプが正しい場合は、そのイベント ソースを確認することにより、デフォルトでビューに表示しないようフィルタできます。正しくない場合は、特定のアドレスに対して想定するイベント ソース タイプを設定することにより、今後のログを正しいParserで解析することができます。
注:RSA NetWitness® Platformバージョン11.1以降で、次の機能が追加されました。
- 複数のイベント ソースの一括確認
- イベント ソース タイプによるフィルタ
-(11.2以降)マッピング タイプ フィルタで、[なし]、[自動]、[手動]を選択可能
- 複数イベント ソースの一括マッピング
- イベント ソースの[検出]ページでのイベント ソースの検索
RSA NetWitness® Platformのバージョン11.2以降では、同じアドレスから以前に受信したログのタイプに基づいて、受信イベントに自動的にタイプをマッピングします。これにより、メッセージの解析ミスを減らし、検出ワークフローで注意が必要なアイテムの数を減らしています。[マッピング タイプ]列の[自動]の値は、アドレスが自動マッピングされたことを示しています。
ワークフロー
このワークフローは、イベント ソース構成の全体的なプロセスを示しています。
実行したいことは何ですか?
*このタスクはここで実行できます。
関連トピック
簡単な説明
次の例では、アドレスと、検出されたイベント ソース タイプのリストを表示します。イベント ソース タイプには、検出されたイベント ソースが表示されます。
これは、[検出]タブの例です。
1 | [検出]タブを開くと、[フィルタ]と[イベント ソース]パネルが表示されます。 |
2 | [イベント ソース フィルタ]フィールドでは、ドロップダウン メニューに次のオプションが表示されます。
注: 検索キーワードには、. - :(ピリオド、ダッシュ、コロン)を使用できます。 |
3 | [イベント ソース タイプ]ドロップダウン メニューでは、選択したイベント ソース タイプのすべてのアドレスをフィルタします。 |
4 |
注: マッピング タイプが選択されていない場合、デフォルトでは、マッピング タイプが[すべて]、[なし]、[手動]、[自動]のソースが表示されます。 |
5 |
|
6 | イベント ソースのステータスを、確認済み/未確認に切り替えます。 |
7 | 選択したイベント ソースをマッピングします。 |
8 | 選択したイベント ソースの詳細を表示する[詳細の表示]ボタンです。 |
9 | 選択したイベント ソースのアドレスを表示します。 |
10 | 選択したイベント ソースの検出スコアを表示します。 |
11 | 選択したイベント ソースが確認されたかどうかを表示します。 |
12 | 選択したイベント ソースのマッピング タイプを「自動」、「手動」、「なし」のいずれかで表示します。マッピングに対する変更が表示されるのはここだけです。 |
13 | イベント ソースがあるLog Collectorのホスト名を表示します。 |
14 | イベント ソースがあるLog Decoderのホスト名を表示します。 |
15 | 検出されたイベント ソース タイプと、割り当てられた検出スコアを表示します。 |
ツールバーと機能
[検出]タブには、次の機能が含まれています。
注:検出スコアは、Log Decoder 11.0以上でのみ使用できます。Log Decoder 11.0より前の検出スコアは、[使用不可]と表示されます。
次の表に、検出スコアのソート順序を示します。[ソート順序]ドロップダウン メニューにアクセスするには、[イベント ソース]列の下矢印をクリックします。