Cfg de NW : Panneau Configuration des procédures d'enquête

Document created by RSA Information Design and Development on Apr 24, 2018Last modified by RSA Information Design and Development on May 11, 2018
Version 2Show Document
  • View in full screen mode
 

La vue Système > Panneau Configuration des procédures d'enquête, qui est l'interface utilisateur des administrateurs pour configurer les paramètres de l'ensemble du système que NetWitness Suite Investigation utilise lors de l'analyse des données et de la reconstruction d'un événement.

Les paramètres de configuration des procédures d'enquête permettent à un administrateur de gérer les performances d'application des procédures d'enquête. Alors que les analystes procèdent à l'analyse et la reconstruction de sessions sur lesquelles ils enquêtent, les opérations de chargement, recherche, visualisation et reconstruction de grandes quantités de données peuvent avoir un effet sur les performances.

Remarque : Les analystes peuvent également définir les préférences individuelles d'Investigation dans la vue Profils et la vue Navigation. 

Workflow

Workflow Configuration des procédures d'enquête

Que voulez-vous faire ?

                       
Rôle Je souhaite...Me montrer comment
AdministrateurConfigurer les paramètres Naviguer, Événements et Recherche contextuelleConfigurer les paramètres du module Investigation
AdministrateurEffacer le cache de reconstruction pour les servicesConfigurer les paramètres du module Investigation

Rubriques connexes

Aperçu rapide

Le panneau Configuration des procédures d'enquête compte trois onglets : Naviguer, Événements et Recherche contextuelle.

Bien que la plupart des champs des onglets disposent d'une liste de sélection avec des incréments spécifiques aux valeurs possibles, vous pouvez saisir manuellement une valeur dans la plage autorisée. Lorsqu'une valeur n'est pas valide, le champ apparaît en surbrillance de couleur rouge. Lorsque des valeurs valides sont sélectionnées, cliquez sur Appliquer dans une section donnée pour que la modification prenne effet immédiatement.

Onglet Naviguer

La figure ci-dessous présente l'onglet Naviguer.
Onglet Naviguer du panneau Procédure d'enquête

             
1Le panneau Configuration des procédures d'enquête s'affiche.
2Affiche l'onglet Naviguer.

Barre d'outils et fonctions

L'onglet Naviguer présente deux sections : Paramètre Générer les threads et Paramètres de coordonnées parallèles.

Générer les paramètres de threads

Le Paramètre Générer les paramètres de threads est une valeur sélectionnable entre 1 et 20, qui détermine le nombre de charges (valeurs) simultanées dans la vue Naviguer. La valeur par défaut est 1.

Générer les paramètres de threads dans l'onglet Naviguer

Paramètres de coordonnées parallèles

Les Paramètres de coordonnées parallèles s'appliquent à la visualisation des coordonnées parallèles dans la vue Naviguer. Il existe une limite fixe pour la quantité de données qui peut être affichée sous la forme d'un graphique de coordonnées parallèles. Dans NetWitness Suite, l'administrateur peut configurer des limites de coordonnées parallèles ici.

Remarque : Pour de meilleures performances, les paramètres recommandés sont Limite d'analyse de valeurs méta : 100000 et Limite de résultat de valeurs méta : 1000-10000

Paramètres de coordonnées parallèles dans l'onglet Naviguer

Le tableau suivant décrit les Paramètres de coordonnées parallèles.

                     
ParamètreDescription
Limite d'analyse de valeurs métaNombre maximum de valeurs méta analysées dans la période Investigation sélectionnée par l'analyste dans la vue Naviguer. Les valeurs possibles se situent dans une plage entre 1 000 et 10 000 000. La valeur par défaut est 100 000.
Limite de résultat de valeurs métaNombre maximum de valeurs méta renvoyées dans la période Investigation sélectionnée par l'analyste dans la vue Naviguer. Les valeurs possibles se situent dans une plage entre 100 et 1 000 000 000. La valeur par défaut est 10 000.

Aperçu rapide

Onglet Événements

La figure ci-dessous présente l'onglet Événements.

Onglet Événements du panneau Procédure d'enquête

Les procédures associées à ce panneau sont présentées dans la section Procédures standard.

             
1Le panneau Configuration des procédures d'enquête s'affiche.
2Affiche l'onglet Événements.

Barre d'outils et fonctions

L'onglet Événements propose des paramètres configurables qui ont un impact sur la procédure d'enquête des événements. Cet onglet présente quatre sections : Paramètres de recherche d'événements, Paramètres de reconstruction, Paramètres de reconstruction de la vue Web et Paramètres du cache de reconstruction.

Paramètres de recherche d'événements

Les Paramètres de recherche d'événements aident à limiter le nombre d'événements analysés lors de la recherche dans la vue Événements.

Paramètres de recherche d'événements dans l'onglet Événements

Le tableau suivant décrit les Paramètres de recherche d'événements.

                 
ParamètreDescription
Limite des événements analysésNombre maximum d'événements à analyser lors de la recherche dans la vue Événements.
Limite des résultats d'événementsNombre maximum de résultats à renvoyer lors de la recherche dans la vue Événements.

Paramètres de reconstruction

Alors que les analystes reconstruisent des sessions sur lesquelles ils enquêtent, certains événements peuvent être très volumineux et contenir des milliers de paquets source. La reconstruction de ces sessions peut avoir un effet négatif sur les performances de l'application, en particulier dans un environnement avec de multiples utilisateurs. Les paramètres de reconstruction permettent à un administrateur de limiter le nombre de paquets et la taille d'un événement unique au cours de la reconstruction.

Remarque : Le remplacement de la section Paramètres de reconstruction est configurable pour la vue Web (dans Paramètres de reconstruction de la vue Web).

Paramètres de reconstruction dans l'onglet Procédure d'enquête

Le tableau suivant décrit les fonctions des Paramètres de reconstruction.

                         
ParamètreDescription
Nombre maximum de paquets pour un seul événementCe paramètre protège les performances en imposant une limite au nombre de paquets traités pour la reconstruction d'un seul événement.

Les valeurs possibles se situent dans une plage de 100 à 10 000 paquets, qu'il est possible de saisir manuellement ou de sélectionner dans la liste de sélection par incréments de 100. La valeur par défaut est 100 paquets.
Taille maximum en octets d'un seul événementCe paramètre protège les performances en imposant une limite à la taille maximum, en octets, pour la reconstruction d'un seul événement.
Les valeurs possibles se situent dans une plage de 102 400 à 104 857 600 octets, qu'il est possible de saisir manuellement ou de sélectionner dans la liste de sélection par incréments de 10 240. La valeur par défaut est 2 097 152 octets.

Autoriser le remplacement par la reconstruction complète des paquets

Lorsque cette case est cochée, les analystes disposent d'un bouton Utiliser plus de paquets dans le panneau Reconstruction. Cela permet au serveur NW de régénérer les événements en utilisant tous les paquets disponibles dans l'événement.

Autoriser l'analyse du jeu de caractères HTML pour les pages WebCette option permet au Serveur NetWitness d'identifier le codage des pages Web défini dans la balise Méta HTML au lieu de l'en-tête HTTP. Par défaut, cet élément est désactivé.

Paramètres de reconstruction de la vue Web

Les Paramètres de reconstruction de la vue Web permettent à un administrateur de configurer les paramètres qui améliorent la reconstruction d'une vue Web en analysant et reconstruisant les événements connexes qui contiennent les mêmes fichiers de prise en charge. Lorsque NetWitness Suite reconstruit une vue Web qui couvre plusieurs événements, il est possible d'améliorer la reconstruction de l'événement cible en analysant et en reconstruisant les événements connexes qui contiennent les mêmes fichiers de prise en charge, comme des images et des fichiers de feuilles de style en cascade (CSS).

  • Les seuls événements connexes qui sont analysés sont les événements de type service HTTP avec la même adresse source que l'événement cible, et un horodatage au sein d'une période spécifiée avant et après l'événement cible.
  • Le nombre maximum d'événements connexes à analyser est configurable.

Cliquez sur l'option Paramètres avancés pour afficher tous les paramètres configurables de cette section.

Paramètres de reconstruction de la vue Web dans l'onglet Événements

Le tableau suivant décrit les Paramètres de reconstruction de la vue Web.

                                     
ParamètreDescription
Activer la prise en charge des fichiers pour la vue WebCette option détermine comment les vues Web qui ont des données connexes dans d'autres sessions sont reconstruites. Le paramètre par défaut est activé.

Lorsque ce paramètre est activé, les fichiers de prise en charge provenant d'événements connexes peuvent être utilisés dans la reconstruction des vues Web. Dans cette section, d'autres paramètres pour la calibration des performances sont activés, et les analystes ont la possibilité d'activer l'utilisation des CSS dans les reconstructions.

Si le paramètre est désactivé, les fichiers de prise en charge provenant d'événements connexes ne sont pas utilisés et le paramètre permettant aux analystes d'activer les CSS dans les reconstructions est désactivé.
Période pour analyser les événements connexesDisponible lorsque l'option Activer la prise en charge des fichiers pour la vue Web est cochée. Configure la période pendant laquelle NetWitness Suite analyse les événements connexes qui sont de type de service HTTP et ont la même adresse source que l'événement cible. C'est une valeur comprise entre 0 et 60.
  • Secondes avant l'événement cible
  • Secondes après l'événement cible
Limiter le nombre d'événements connexes traitésPermet la configuration du nombre maximum d'événements connexes analysés par NetWitness Suite dans la plage spécifiée pour découvrir les fichiers de prise en charge pour l'événement cible. Par défaut, cette option est désactivée.  Lorsqu'elle est activée, le champ Maximum d'événements connexes devient actif.
Maximum d'événements connexesLorsque l'option Limiter le nombre d'événements traités est activée, ce champ spécifie le nombre maximum d'événements connexes que NetWitness Suite analyse dans la période de temps spécifiée pour découvrir les fichiers de prise en charge pour l'événement cible.

Il s'agit d'une valeur sélectionnable entre 10 et 1 000, avec des incréments de 100. La valeur par défaut est 100.
Limiter le nombre de paquets et la taille de chaque événement connexe
 
Remplace les paramètres généraux du nombre maximum de paquets et de la taille maximum (en octets) pour les événements individuels connexes.
Nombre maximum de paquets pour un seul événement connexeLes valeurs possibles se situent dans une plage de 100 à 10 000 paquets, par incrément de 100 à partir de la liste de sélection. La valeur par défaut est 100 paquets.
Taille maximale, en octets, d'un seul événement connexeLes valeurs possibles se situent dans une plage de 102 400 à 104 857 600 octets, par incrément de 10 240 à partir de la liste de sélection. La valeur par défaut est 524 288 octets.

Paramètres du cache de reconstruction

Dans certains cas, le cache de reconstruction peut présenter du contenu incorrect. Pour cette raison, NetWitness Suite supprime du cache les reconstructions qui datent de plus d'un jour.  Le cache est vidé tous les jours à minuit. Entre les vidages de cache quotidiens, certaines actions peuvent engendrer l'utilisation d'entrées de cache périmées pour une reconstruction, et en cas de besoin, les administrateurs peuvent vider le cache manuellement pour un ou plusieurs services connectés au serveur Serveur NetWitness actuel.

Paramètres du cache de reconstruction dans l'onglet Événements

Le tableau suivant décrit les fonctions des Paramètres du cache de reconstruction.

                       
FonctionnalitéDescription
Boîte de sélectionLa zone de sélection au niveau des lignes individuelles et dans la barre de titre permet la sélection d'un, de plusieurs ou de tous les services dont le cache doit être vidé manuellement.
Effacer le cache pour les services sélectionnésVide le cache de reconstruction pour chaque service sélectionné.
Effacer le cache pour tous les servicesVide le cache de reconstruction pour tous les services.

Aperçu rapide

Onglet Recherche contextuelle

La figure ci-dessous illustre l'onglet Recherche contextuelle.

Onglet Recherche contextuelle du panneau Procédure d'enquête

Les procédures associées à ce panneau sont fournies dans Gérer le mappage du type de méta et de la clé méta dans le Guide de configuration de Context Hub.

             
1Le panneau Configuration des procédures d'enquête s'affiche.
2Affiche l'onglet Recherche contextuelle.

Barre d'outils et fonctions

L'onglet Recherche contextuelle permet à l'administrateur de configurer le mappage des clés méta et du type de méta dans Investigation. L'administrateur peut ajouter ou supprimer les clés méta trouvées dans Investigation dans la liste des types de méta pris en charge par le service Context Hub.

Le tableau suivant décrit les fonctions de l'onglet Recherche contextuelle.

                   
FonctionnalitéDescription
Ajoute une clé méta au type de méta sélectionné pris en charge par Context Hub.
Supprime la clé méta du type de méta sélectionné.
AppliquerEnregistre les modifications apportées à l'onglet Recherche contextuelle.
You are here
Table of Contents > Références > Panneau Configuration des procédures d'enquête

Attachments

    Outcomes