Untersuchen: Filter und Suchergebnisse in der Ansicht Ereignisse

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Analysten können die Ereignisse in der Ansicht „Ereignisse“ filtern und, indem sie nach Ereignissen suchen oder den Service auswählen, auf dem Ereignisse angezeigt werden sollen, den Zeitbereich festlegen und Metadaten abfragen. 

Wenn Sie die Ansicht „Ereignisse“ von einem Drill-down-Punkt der Ansicht „Navigation“ aus geöffnet haben, wird sie standardmäßig in der „Details“-Ansicht der Ereignisse geöffnet. Analysten, die nicht über die Berechtigungen zum Verwenden der Ansicht Navigieren verfügen, können die Services direkt in der Ansicht Ereignisse abfragen. Es gibt mehrere Konfigurationsoptionen, um die in der Ansicht „Ereignisse“ angezeigten Informationen zu filtern.

Hinweis: Wenn in der Ansicht „Ereignisse“ als Service zurzeit ein Archiver ausgewählt ist und Sie einen Broker oder Concentrator durchsuchen, erfolgt der Suchvorgang langsamer als beim Durchführen einer Suche für einen Broker oder Concentrator, da die Daten auf dem Archiver komprimiert wurden und normalerweise mehr Daten vorhanden sind.

Filtern von Ereignissen in der Ansicht Ereignisse

So filtern Sie die in der Ansicht „Ereignisse“ angezeigten Daten:

  1. Wählen Sie in der Ansicht Untersuchen die Ansicht Ereignisse aus.
    Die Ansicht „Ereignisse“ wird angezeigt.
    Events Detail view
  2. Wählen Sie einen anderen Zeitraum als den Standardzeitraum (Letzte 3 Stunden) aus, indem Sie auf der Symbolleiste in das Feld „Zeitraum“ klicken und einen Wert auswählen. Zum Beispiel Letzte Stunde.
    Die Ansicht „Ereignisse“ wird mit dem ausgewählten Zeitraum aktualisiert.
  3. Klicken Sie zum Eingeben einer Abfrage für den ausgewählten Service und Zeitraum auf der Symbolleiste auf Abfrage.
    Das Dialogfeld „Abfrage“ wird mit ausgewählter Option „Einfach“ angezeigt.
    Simple Query dialog
  4. Wenn Sie eine einfache Abfrage mit der AutoVervollständigen-Funktion eingeben möchten, um Metadaten und Operatoren auszuwählen, führen Sie einen der folgenden Schritte aus:
    1. Klicken Sie in das Feld Metadaten auswählen und wählen Sie in der Drop-down-Liste einen Metaschlüssel aus.
    2. Wählen Sie im Feld Operator in der Drop-down-Liste einen Operator aus.
    3. Geben Sie im Feld Wert einen entsprechenden Wert ein.
    4. Aktivieren Sie das Kontrollkästchen Netzwerk, Protokoll oder Endpunkt als zu verwendende Daten und klicken Sie auf Anwenden.
      Die entsprechenden Daten werden in der Ansicht „Ereignisse“ angezeigt.
  5. Wenn Sie eine komplexere Abfrage basierend auf Ihren Kenntnissen über Metadaten und Operatoren eingeben möchten:
    1. Klicken Sie auf Erweitert.
      Das Dialogfeld „Abfrage“ wird mit ausgewählter Option „Erweitert“ angezeigt.
      Advanced Query dialog
    2. Geben Sie eine Abfrage ein. Während der Eingabe, beginnend mit dem Metaschlüssel, werden Drop-down-Listen der verfügbaren Metaschlüssel und Operatoren eingeblendet. Klicken Sie abschließend auf Anwenden
  6. Wenn Sie eine Abfrage aus einer Liste aktueller Abfragen auswählen möchten:
    1. Wählen Sie Aktuell aus.
      Das Dialogfeld „Abfrage“ wird mit ausgewählter Option „Aktuell“ angezeigt.
      Recent Query dialog
    2. Wählen Sie eine Abfrage aus und klicken Sie auf Anwenden.
      Die übereinstimmenden Ergebnisse für die Abfrage werden in der Detailansicht der Ansicht „Ereignisse“ angezeigt. Die Brotkrümelnavigation spiegelt die Abfrage wider.
    3. Sie können auf eines der Elemente der Brotkrümelnavigation klicken, um das Menü „Abfrage“ anzuzeigen. Sie können vor einem Breadcrumb-Element eine neue Abfrage einfügen und am Ende des Breadcrumbs eine neue Abfrage anfügen. Nach jeder Bearbeitung im Breadcrumb aktualisiert NetWitness Suite die Ergebnisse.

Suchen nach Ereignissen in der Ansicht „Ereignisse“

Sie können die aktuell in der Ansicht „Ereignisse“ angezeigten Daten durchsuchen, indem Sie im Feld „Suche“ eine Zeichenfolge zum Suchen eingeben. Bei der Zeichenfolge zum Suchen kann es sich um einen RegEx (regulären Ausdruck) oder eine einfache Textsuche handeln. Zu diesen Suchtypen sind detaillierte Informationen verfügbar.

So führen Sie eine Suche in den aktuell angezeigten Daten in der Ansicht „Ereignisse“ durch:

  1. Führen Sie die Suche durch, indem Sie den Cursor im Feld „Suche“ platzieren, eine Zeichenfolge zum Suchen eingeben und die Eingabetaste drücken oder auf Suche klicken.
    Die Suchergebnisse werden in der Ansicht „Ereignisse“ angezeigt. Ereignisse, die den Suchkriterien entsprechen, werden im Raster der Ansicht „Ereignisse“ angezeigt. In den Ansichten „Details“und „Liste“ sind die Übereinstimmungen in der Spalte „Details“ markiert. Beim Durchsuchen von RAW sind Übereinstimmungen darüber hinaus in der Protokollansicht in der Spalte „Protokolle“ markiert. Im Folgenden ist ein Beispiel für die Suchergebnisse des Suchbegriffs India in der Ereignisdetailansicht angegeben. Beachten Sie, dass die Treffer der Suche bei Ereignisrekonstruktionen nicht markiert werden.
    Events Detail view after searching for "India"
  2. Wenn Sie die Suche eingrenzen möchten, ändern Sie die Abfrage und die Uhrzeit, wie oben unter »Filtern von angezeigten Ereignissen in der Ansicht „Ereignisse“« beschrieben.
  3. Wenn Sie die Suche beenden und zur Ansicht „Ereignisse“ zurückkehren möchten, klicken Sie auf Abbrechen.
    Alle angezeigten Ergebnisse bleiben erhalten.
  4. Um den Eintrag im Suchfeld zu löschen und zur normalen Ansicht „Ereignisse“ zurückzukehren, klicken Sie im Suchfeld auf X.
You are here
Table of Contents > Untersuchen von Raw-Ereignissen in der Ansicht „Ereignisse“ > Filtern und Durchsuchen von Ergebnissen in der Ansicht „Ereignisse“

Attachments

    Outcomes