In diesem Thema werden die Funktionen im Bereich „Investigation“ „Konfiguration“ der Ansicht „System“ vorgestellt. Über diese Benutzeroberfläche können Administratoren die systemweiten Einstellungen konfigurieren, die NetWitness Suite Investigation zur Analyse von Daten und Rekonstruktion von Ereignissen verwendet.
Über die Investigation-Konfigurationseinstellungen kann ein Administrator die Anwendungsperformance für Ermittlungen managen. Wenn Analysten bei der Ermittlung Sitzungen analysieren und wiederherstellen, kann die Performance durch Operationen wie das Laden, Suchen, Visualisieren und Wiederherstellen großer Datenmengen beeinträchtigt werden.
Hinweis: Analysten können auch individuelle Einstellungen für Investigation in der Profilansicht und in der Navigationsansicht festlegen.
Workflow
Was möchten Sie tun?
Verwandte Themen
Überblick
Der Bereich „Investigation-Konfiguration“ umfasst drei Registerkarten: „Navigieren“, „Ereignisse“ und „Kontextabfrage“.
Obwohl die meisten Felder auf den Registerkarten eine Auswahlliste mit spezifischen Inkrementen über eine Reihe möglicher Werte haben, können Sie einen Wert innerhalb des erlaubten Bereichs auch manuell eingeben. Ein ungültiger Eintrag wird angezeigt, indem das Feld rot markiert wird. Wenn gültige Werte ausgewählt werden, werden die Änderungen durch ein Klicken auf Anwenden in einem gegebenen Bereich sofort wirksam.
Registerkarte Navigieren
Die folgende Abbildung zeigt die Registerkarte Navigieren.
1 | Der Bereich Investigation-Konfiguration wird angezeigt. |
2 | Zeigt die Registerkarte Navigieren. |
Symbolleiste und Funktionen
Die Registerkarte Navigieren hat zwei Abschnitte: Render-Threadeinstellung und Einstellungen zu Parallelkoordinaten.
Render-Threadeinstellung
Die Render-Threadeinstellung ist ein auswählbarer Wert zwischen 1 und 20, der die Anzahl gleichzeitiger Ladevorgänge (von Werten) in der Navigationsansicht definiert. Der Standardwert ist 1.
Einstellungen zu Parallelkoordinaten
Die Einstellungen zu Parallelkoordinaten gelten für die Parallelkoordinatenvisualisierung in der Navigationsansicht. Es gibt eine feste Höchstgrenze für die Datenmenge, die als Parallelkoordinatendiagramm gerendert werden kann. In NetWitness Suite kann der Administrator hier die Grenzwerte für Parallelkoordinaten konfigurieren.
Hinweis: Die empfohlenen Einstellungen für bessere Performance sind Scangrenzwert für Metawerte: 100.000 und Ergebnisgrenzwert für Metawerte: 1.000-10.000.
In der folgenden Tabelle werden die Einstellungen zu Parallelkoordinaten beschrieben.
Überblick
Registerkarte „Ereignisse“
Die folgende Abbildung zeigt die Registerkarte Ereignisse.
Diesem Bereich zugeordnete Verfahren werden zur Verfügung gestellt in Standardverfahren.
1 | Der Bereich Investigation-Konfiguration wird angezeigt. |
2 | Zeigt die Registerkarte „Ereignisse“ an. |
Symbolleiste und Funktionen
Auf der Registerkarte Ereignisse können Einstellungen bezüglich der Ermittlung von Ereignissen konfiguriert werden. Diese Registerkarte ist in vier Abschnitte aufgeteilt: Sucheinstellungen für Ereignisse, Rekonstruktionseinstellungen, Einstellungen für Rekonstruktion der Webansicht und Rekonstruktionscacheeinstellungen.
Sucheinstellungen für Ereignisse
Mithilfe der Sucheinstellungen für Ereignisse kann die Anzahl der gescannten Ereignisse bei der Suche in der Ereignisansicht begrenzt werden.
In der folgenden Tabelle werden die Sucheinstellungen für Ereignisse beschrieben.
Rekonstruktionseinstellungen
Wenn Analysten Sitzungen rekonstruieren, die sie untersuchen, können einige Ereignisse sehr groß sein und viele Tausend Quellpakete enthalten. Das Rekonstruieren dieser Sitzungen, insbesondere in einer Mehr-Benutzer-Umgebung, kann die Anwendungsperformance beeinträchtigen. Die Rekonstruktionseinstellungen erlauben es einem Administrator, die Anzahl der Pakete und die Größe eines einzelnen Ereignisses während der Rekonstruktion zu begrenzen.
Hinweis: Der Abschnitt Rekonstruktionseinstellungen kann für Webansichten außer Kraft gesetzt werden (unter Einstellungen für Rekonstruktion der Webansicht).
In der folgenden Tabelle werden die Funktionen der Rekonstruktionseinstellungen beschrieben.
Einstellungen für Rekonstruktion der Webansicht
Mithilfe der Einstellungen für Rekonstruktion der Webansicht kann ein Administrator Einstellungen konfigurieren, die die Rekonstruktion einer Webansicht verbessern, indem verbundene Ereignisse gescannt und rekonstruiert werden, die dieselben Begleitdateien enthalten. Wenn NetWitness Suite eine Webansicht rekonstruiert, die mehrere Ereignisse umfasst, kann die Rekonstruktion des Zielereignisses verbessert werden, indem verbundene Ereignisse gescannt und rekonstruiert werden, die dieselben Begleitdateien enthalten, wie etwa Bilder und CSS-Dateien (Cascading Style Sheet).
- Die einzigen gescannten verbundenen Ereignisse sind Ereignisse vom Servicetyp HTTP, mit derselben Quelladresse wie das Zielereignis und einem Zeitstempel innerhalb eines spezifizierten Zeitbereichs vor und nach dem Zielereignis.
- Die maximale Anzahl zu scannender verbundener Ereignisse ist konfigurierbar.
Durch Klicken auf die Option Erweiterte Einstellungen werden alle konfigurierbaren Einstellungen in diesem Abschnitt angezeigt.
In der folgenden Tabelle werden die Einstellungen für Rekonstruktion der Webansicht beschrieben.
Rekonstruktionscacheeinstellungen
In einigen Fällen kann der Rekonstruktionscache falsche Inhalte darstellen. Aus diesem Grund löscht NetWitness Suite Rekonstruktionen, deren Daten älter als einen Tag sind, aus dem Cache. Der Cache wird täglich um Mitternacht geleert. Zwischen den täglichen Cachebereinigungen können bestimmte Aktionen dazu führen, dass ein nicht mehr gültiger Cache für die Rekonstruktion verwendet wird. Bei Bedarf können Administratoren für einen oder mehrere Services, die mit dem aktuellen NetWitness-Server verbunden sind, den Cache manuell leeren.
In der folgenden Tabelle werden die Funktionen der Rekonstruktionscacheeinstellungen beschrieben.
Überblick
Registerkarte „Kontextabfrage“
In der folgenden Abbildung ist die Registerkarte „Kontextabfrage“ dargestellt.
Die Verfahren zu diesem Bereich finden Sie unter Managen der Metatyp- und Metaschlüsselzuordnung im Context Hub-Konfigurationsleitfaden.
1 | Der Bereich Investigation-Konfiguration wird angezeigt. |
2 | Zeigt die Registerkarte Kontextabfrage. |
Symbolleiste und Funktionen
In der Registerkarte „Kontextabfrage“ kann der Administrator die Zuordnung der Investigation-Metaschlüssel und des Investigation-Metadatentyps konfigurieren. Der Administrator kann Investigation-Metaschlüssel zur Liste der von Context Hub unterstützten Metadatentypen hinzufügen oder entfernen.
In der folgenden Tabelle sind die Funktionen der Registerkarte „Kontextabfrage“ beschrieben.