Investigate: Filtrar y buscar resultados en la vista Eventos

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

Los analistas pueden filtrar los resultados en la vista Eventos mediante la búsqueda de eventos o la selección del servicio en el cual se verán, la configuración del rango de tiempo y la consulta de metadatos. 

Si abrió la vista Eventos desde un punto de desglose de la vista Navegar, de forma predeterminada la vista se abre en la Vista detallada de eventos. Los analistas que no tienen permisos para utilizar la vista Navegar pueden consultar servicios directamente en la vista Eventos. Hay varias opciones de configuración para filtrar la información que se muestra en la vista Eventos.

Note: Cuando un Archiver es el servicio seleccionado actualmente en la vista Eventos y se busca contra un Broker o un Concentrator, la búsqueda es más lenta que si se busca contra un Broker o un Concentrator porque los datos del Archiver están comprimidos y normalmente son más.

Filtrar los eventos que se muestran en la vista Eventos

Para filtrar los datos que se muestran en la vista Eventos:

  1. En la vista Investigate, seleccione la vista Eventos.
    Se muestra la vista Eventos.
    Events Detail view
  2. Para seleccionar un rango de tiempo distinto del predeterminado (Últimas 3 horas), haga clic en el campo de rango de tiempo de la barra de herramientas y seleccione un valor. Por ejemplo, Última hora.
    La vista Eventos se actualiza con el rango de tiempo seleccionado.
  3. Para ingresar una consulta para el servicio y el rango de tiempo seleccionados, en la barra de herramientas, haga clic en Consulta.
    Se muestra el cuadro de diálogo Consulta simple.
    Simple Query dialog
  4. Si desea ingresar una consulta simple con la función de autocompletado para seleccionar metadatos y operadores, realice una de las siguientes acciones:
    1. Haga clic en el campo Seleccionar metadatos y seleccione una clave de metadatos de la lista desplegable.
    2. En el campo Operador, seleccione un operador de la lista desplegable.
    3. Escriba un valor que coincida en el campo Valor.
    4. Seleccione datos de Red, Registro o Terminal y haga clic en Aplicar.
      Los datos coincidentes se muestran en la vista Eventos.
  5. Si desea ingresar una consulta más compleja en función de su conocimiento de los metadatos y operadores:
    1. Haga clic en Avanzada.
      Se muestra el cuadro de diálogo Consulta avanzada.
      Advanced Query dialog
    2. Escriba una consulta. A medida que escribe la consulta, a partir de la clave de metadatos, se muestran listas desplegables de claves de metadatos y operadores disponibles. Cuando termine, haga clic en Aplicar
  6. Si desea seleccionar una consulta en una lista de consultas recientes:
    1. Seleccione Reciente.
      Se muestra el cuadro de diálogo Consulta reciente.
      Recent Query dialog
    2. Seleccione una consulta y haga clic en Aplicar.
      Los resultados coincidentes de la consulta se muestran en la Vista detallada de la vista Eventos. La ruta de navegación refleja la consulta.
    3. En la ruta de navegación, puede hacer clic en cualquiera de las rutas para mostrar el menú Consulta. Puede insertar una nueva consulta antes de una ruta de navegación y agregar una nueva consulta al final de la ruta. Después de cada edición en la ruta de navegación, NetWitness Suite actualiza los resultados.

Buscar eventos en la vista Eventos

Puede buscar los datos que se muestran actualmente en la vista Eventos mediante el ingreso de una cadena de búsqueda en el campo Buscar. La cadena de búsqueda puede ser regex (expresión regular) o puede ser una búsqueda de texto simple. Se proporciona información detallada sobre estos tipos de búsqueda.

Para buscar en los datos que se muestran actualmente en la vista Eventos:

  1. Para ejecutar la búsqueda, coloque el cursor en el cuadro Buscar, escriba una cadena de búsqueda y presione Intro o haga clic en Buscar.
    Los resultados de búsqueda se muestran en la vista Eventos. Los eventos que coinciden con los criterios de búsqueda se muestran en la cuadrícula de la vista Eventos. En la vista Detalles y en la vista Lista, las coincidencias se resaltan en la columna Detalles. Además, cuando busca RAW, las coincidencias se resaltan en el columna Registros de la vista Registro. A continuación se muestra un ejemplo de los resultados de búsqueda para el término India en la vista Detalles de eventos. Observe que las coincidencias de la búsqueda no se resaltan en ninguna reconstrucción de evento.
    Events Detail view after searching for "India"
  2. Si desea limitar la búsqueda, cambie la consulta y la hora como se describe en Filtrar los eventos que se muestran en la vista Eventos.
  3. Si desea detener la búsqueda y volver a la vista Eventos, haga clic en Cancelar
    Se conserva cualquier resultado que se muestre.
  4. Para borrar el cuadro de búsqueda y volver a la vista Eventos normal, haga clic en X en el cuadro de búsqueda.
You are here
Table of Contents > Análisis de eventos crudos en la vista Eventos > Filtrar y buscar resultados en la vista Eventos

Attachments

    Outcomes