Investigate: Crear una consulta personalizada

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

En Investigar > vista Navegar o vista Eventos, puede crear una consulta en lugar de hacer clic en las claves y los valores de metadatos para desglosar a los metadatos. Los cuadros de diálogo para la creación de una consulta ofrecen ayuda de sintaxis con listas desplegables de las claves y los operadores de metadatos aplicables. Cuando observa la lista desplegable, puede expandir y contraer cada grupo de metadatos para ver u ocultar las claves de metadatos individuales en ese grupo.

Note: En la versión 11.1 y superior, puede consultar las entidades de metadatos y también las claves de metadatos.

Cuando selecciona un grupo de metadatos, NetWitness Suite genera la consulta compleja igual a una consulta con todas las claves de metadatos en ese grupo reunidas mediante OR. Entonces, si un grupo de metadatos contiene ip.src e ip.dst, la consulta generada es ip.src = <value> OR ip.dst = <value>. Si el grupo de metadatos contiene claves de metadatos que tienen diferentes tipos de valores de metadatos, el valor de entrada se deshabilita y la consulta utiliza declaraciones exists. Por ejemplo, un grupo de metadatos que contiene ip.src, ip.dst y alias.host incluye claves de metadatos que tienen diferentes tipos de valores; ip.src e ip.dst son las direcciones IP y alias.host es el texto. La consulta generada es ip.src exists OR ip.dst exists OR alias.host exists.

Una consulta básica tiene el siguiente formato:

<metakey> <operator> [<metavalue>]

Estos son algunos ejemplos:
action exists
action = 'get'
alias.host = '10.25.55.115'
extension = 'exe'
orig_ip != "10.0.0.0" - "10.255.255.255"

Crear una consulta con el método básico

Cuando crea una consulta con el método básico, NetWitness Suite proporciona listas desplegables de metadatos y operadores.

  1. En la barra de herramientas de la vista Navegar o de la vista Eventos, seleccione Consulta.
    El cuadro de diálogo Consulta se muestra con la opción Simple seleccionada.
    Simple Query drop-down
  2. En el campo Seleccionar metadatos, haga clic para mostrar la lista desplegable. La lista desplegable tiene dos secciones: Grupos de metadatos y Todos los metadatos.
  3. Seleccione una única clave de metadatos bajo Todos los metadatos o seleccione un grupo de metadatos bajo Grupos de metadatos. También puede ingresar en el campo una clave de metadatos o un grupo de metadatos.
  4. En el campo Operador, escriba un operador o haga clic en la lista desplegable para seleccionar un operador válido.
  5. (Opcional) Si ha seleccionado un operador que requiere un valor, por ejemplo, comienza, en el tercer campo escriba el valor de la clave de metadatos.
  6. En las casillas de verificación Red, Registro y Terminal, seleccione el tipo de datos para consultar. Realice una de las siguientes acciones:
    1. Para limitar la consulta a paquetes, seleccione Red y deseleccione Registro y Terminal.
    2. Para limitar la consulta a registros, seleccione Registro y deseleccione Red y Terminal.
    3. Para limitar la consulta a eventos de terminal, seleccione Terminal y deseleccione Red y Registro.

    4. Para aplicar la consulta a paquetes, registros y terminales, seleccione Red, Registro y Terminal.
  7. Realice una de las siguientes acciones:
    1. Haga clic en Aplicar.
      La ventana se cierra y la vista se actualiza con los resultados de la nueva consulta. La consulta se muestra en la ruta de navegación.
    2. Haga clic en Cancelar.
      La ventana se cierra y no se realizan cambios en la vista ni en la consulta actual.

Crear una consulta con el método avanzado

  1. En la barra de herramientas de la vista Navegar o de la vista Eventos, seleccione Consulta.
    Se muestra el cuadro de diálogo Consulta.
    Simple Query drop-down
  2. Seleccione Avanzada.
    Se muestra el campo de consulta avanzada.
    Advanced Query drop-down
  3. En el campo, cree una consulta que pueda incluir la clave de metadatos, el operador y un valor. Cuando comienza a escribir una clave de metadatos en el campo, se muestra una lista desplegable de las claves de metadatos disponibles para el servicio seleccionado.
  4. Seleccione la clave de metadatos para la consulta.
    Se actualiza la pantalla. Si la expresión no se ha completado, el estado indica que la consulta no es válida.
  5. Continúe con un operador, de la lista desplegable y, a continuación un valor si es necesario. La pantalla se actualiza a medida que sigue ingresando la consulta. Si ingresa un operador, como exists o !exists, que no utiliza el campo de valor, el campo de valor se desactiva y el estado no válido se borra. Si ingresa un operador, como =, que requiere el campo de valor, el estado no válido permanece hasta que se ingresa un valor. Cuando la consulta es válida, ya no se muestra el estado no válido.
    Invalid Expression Warning
  6. Realice una de las siguientes acciones:
    • Haga clic en Aplicar.
      La ventana se cierra y la vista se actualiza con los resultados de la nueva consulta. La consulta se muestra en la ruta de navegación.
    • Haga clic en Cancelar.
      La ventana se cierra y no se realizan cambios en la vista ni en la consulta actual.

Aplicar una consulta reciente

Puede ver consultas recientes y seleccionar una para aplicar al servicio actual que se investiga. Para seleccionar una consulta reciente:

  1. En la barra de herramientas de la vista Navegar o de la vista Eventos, seleccione Consulta.
    El cuadro de diálogo Consulta se muestra con la opción Simple seleccionada.
    Simple Query drop-down
  2. Seleccione la opción Reciente.
    La lista de consultas recientes se muestra en la parte inferior del cuadro de diálogo.
    Recent Query drop-down
  3. En la lista de consultas recientes, haga clic para seleccionar una consulta.
  4. Realice una de las siguientes acciones:
    • Haga doble clic en una consulta.
    • Seleccione una consulta y haga clic en Aplicar.
      La ventana se cierra y la vista se actualiza con los resultados de la nueva consulta. La consulta se muestra en la ruta de navegación.
    • Haga clic en Cancelar.
      La ventana se cierra y no se realizan cambios en la vista ni en la consulta actual.
You are here
Table of Contents > Consulta y realización de acciones en datos en las vistas Navegar y Eventos > Crear una consulta personalizada

Attachments

    Outcomes