Untersuchen: Filtern von Ergebnissen in der Ansicht „Navigation“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Im Zuge von Untersuchungen in der Ansicht „Navigation“ können die angezeigten Ergebnisse beim Laden von Metaschlüsselwerten in der Ansicht „Navigation“ mithilfe von mehreren Methoden verfeinert werden. Analysten stehen folgende grundlegende Filtermethoden zur Verfügung:

Der Rest dieses Themas konzentriert sich auf die grundlegenden Methoden der Datenfilterung. Darüber hinaus ermöglichen erweiterte Methoden die Konfiguration von Metagruppen, Profilen und Parallelkoordinatenvisualisierungen.

Jeder der erweiterten Methoden ist ein separates Thema gewidmet.

Einstellen des Zeitbereichs

Bei der Durchführung einer Untersuchung in der Ansicht „Navigation“ werden die zurückgegebenen Ergebnisse durch die Optionen für den Zeitbereich eingeschränkt. Zur Auswahl stehen:

  • Ein Zeitbereich relativ zur Sammlung. Zeitbereiche relativ zur Sammlung basieren auf dem letzten Datenerfassungszeitbereich.
  • Ein Zeitbereich relativ zum Kalender.
  • Ein angepasster Datumsbereich.
  • Alle Daten.

Der ausgewählte Zeitbereich (Typ) wird in der Symbolleiste der Ansicht „Navigation“ unter der Bezeichnung „Zeitbereich“ angezeigt; standardmäßig lautet die Bezeichnung Letzte 3 Stunden. Die Ansicht „Zeitbereich“ zeigt den ersten und letzten Zeitstempel für den Datumsbereich, der für die Metadaten verwendet wird.

Hinweis:  Ein Zeitbereich basiert auf der Zeitzone, die unter „Profileinstellungen“ konfiguriert wurde, wie in „Festlegen von Benutzereinstellungen“ im „Leitfaden für die ersten Schritte mit RSA NetWitness Suite“ beschrieben.

So wählen Sie einen vordefinierten Zeitbereich aus:

  1. Klicken Sie auf der Symbolleiste der Ansicht „Navigation“ auf die Option Zeitbereich.Der standardmäßige Zeitraum lautet Letzte 3 Stunden, jedoch kann ein anderer Wert, z. B. Alle Daten oder Letzte Stunde, bereits aus der Auswahlliste ausgewählt worden sein und als Bezeichnung im Bereich „Optionen“ angezeigt werden.
    Die Auswahlliste „Zeitbereich“ wird angezeigt.
    Time Range Selection List
  2. Führen Sie einen der folgenden Schritte aus:
    • Wenn Sie alle Daten anzeigen möchten, wählen Sie Alle Daten aus.
    • Wenn Sie einen Zeitraum in Minuten, Stunden oder Tagen relativ zur Sammlung festlegen möchten, wählen Sie einen Wert wie z. B. Letzte 10 Minuten, Letzte 3 Stunden oder Letzte 5 Tage aus.
    • Wenn Sie einen Zeitraum relativ zum aktuellen Datum festlegen möchten, wählen Sie Gestern, Diese Woche (Version 11.1), Letzte Woche (Version 11.1), Den ganzen Tag oder einen Tagesabschnitt wie Morgen, Vormittag, Nachmittag oder Abend aus.
    • Wenn Sie einen eindeutigen Datumsbereich festlegen möchten, wählen Sie im Menü Zeitbereich die Option Angepasst und befolgen Sie das unten beschriebene Verfahren.
      Der ausgewählte Zeitbereich wird auf die aktuellen Ergebnisse im Bereich Werte angewendet.

So geben Sie einen benutzerdefinierten Zeitbereich an:

  1. Wählen Sie im Menü Zeitbereich die Option Benutzerdefiniert aus.
    In der Symbolleiste werden Optionen zur Auswahl des Datums eingeblendet.
    Custom Time Range
  2. Führen Sie die folgenden Schritte aus, um das Datum und die Uhrzeit anhand der in den Feldern Startdatum und Enddatum angegebenen Werte festzulegen:
    1. Klicken Sie im Kalender auf ein Datum.
    2. (Optional) Wählen Sie die Uhrzeit in den Feldern „Stunde“, „Minute“ und „Sekunde“aus oder klicken Sie auf Jetzt. Die Uhrzeitauswahl wird standardmäßig auf die aktuelle Uhrzeit eingestellt.

Hinweis: Wenn Sie die benutzerdefinierte Start- oder Endzeit in Sekunden angeben, wird der Wert für die Startzeit in Sekunden standardmäßig immer auf „:00“ und der Wert für die Endzeit in Sekunden standardmäßig immer auf „:59“ festgelegt. Wenn Sie zum Beispiel ein Drill-down in ein Problem durchführen, wird die Zeit für diesen Drill-down als „HH:MM:00 - HH:MM:59“ interpretiert. Sekunden werden in diesem Format in den Funktionen unter Investigation > Navigation angezeigt.

  1. Zum Anwenden des Zeitraums klicken Sie auf Start.
    Der ausgewählte Zeitbereich wird auf die aktuellen Ergebnisse im Bereich Werte angewendet.

Einstellen der Quantifizierungsmethode und Sortierreihenfolge von Metaschlüsselergebnissen

Sie können die Methode auswählen, mit der die Ergebnisse für den jeweiligen Metaschlüssel quantifiziert und in der Ansicht „Navigation“ in einer Reihenfolge sortiert werden.

Hinweis: Wenn Metaeinheiten (Version 11.1 oder höher) in Metagruppen verwendet werden, zeigen die Ergebnisse die 20 Top-Werte an, die mit einem beliebigen Metaschlüssel in der Metaeinheit übereinstimmten.

Jeder Metaschlüsselabschnitt in der Ansicht „Navigation“ enthält eine sortierte Liste von Werten, in der jeder Metaschlüsselwert (Wert) und dessen Anzahl (Gesamt) angezeigt werden. Sie können folgende Einstellungen festlegen:

  • Sortierung der Ergebnisse in jedem Metaschlüsselabschnitt anhand von „Wert“ oder „Gesamt“.
  • Sortierung der Ergebnisse in aufsteigender oder absteigender Reihenfolge.
  • Quantifizierung der Werte für jeden Metaschlüssel anhand der Anzahl von Paketen (Paketanzahl), der Anzahl von Sitzungen oder Protokollen (Nach Ereignisanzahl quantifizieren) oder nach der Größe von Ereignissen (Nach Ereignisgröße quantifizieren).

Hinweis:  Wenn Sie die Metaschlüssel sowohl für einen vorhandenen Log Decoder als auch für einen Packet Decoder anzeigen, hängt die Berechnung dessen, was tatsächlich gezählt wird, vom Schlüsseltyp ab. Wenn Sie die Option „Nach Paketanzahl quantifizieren“ auswählen, sehen Sie in den Protokollen, dass diese Ausgabe der Ansicht „Navigation“ mit der Ausgabe übereinstimmt, die Sie bei einer Auswahl der Option „Nach Ereignisanzahl quantifizieren“ erhalten würden. (Weitere Informationen hierzu erhalten Sie unter Ansicht „Navigation“.)

In diesem Bild wird der Metaschlüssel Event Type gezeigt, der nach Gesamt in der Reihenfolge Absteigend sortiert ist. Der Wert mit der höchsten Anzahl von Übereinstimmungen wird zuerst aufgeführt. Der Wert failure audit hat 71 Übereinstimmungen und wird zuerst aufgelistet. Der Wert logon hat nur eine Übereinstimmungen und wird an letzter Stelle aufgeführt. Die Quantifizierungsmethode ist Ereignisanzahl.

Meta key in order descending by total

In diesem Bild werden die Metaschlüssel Event Type gezeigt, die nach Wert in der Reihenfolge Absteigend sortiert sind. Die Namen der Werte werden in alphabetischer Reihenfolge aufgeführt, beginnend mit dem Ende des Alphabets. Der Wert success audit wird zuerst aufgeführt. Der Wert connect wird an letzter Stelle aufgeführt. Die Quantifizierungsmethode ist Ereignisanzahl.

Meta key in order descending alphabetically

So wählen Sie die Quantifizierungsmethode für die Metaschlüsselanzahl und die Sortierung der Metaschlüsselergebnisse aus, die in der Ansicht „Navigation“ angezeigt werden:

  1. Wählen Sie in der Symbolleiste Ereignisanzahl, Ereignisgröße oder Paketanzahl und im Drop-down-Menü eine der Quantifizierungsoptionen aus. Die Bezeichnung für das Menü zeigt die ausgewählte Option an.
    Quantification Menu
    Die aktuelle Ansicht wird gemäß Ihrer Auswahl erneut geladen.
  2. Wählen Sie in der Symbolleiste Gesamt oder Wert und im Drop-down-Menü eine Sortierreihenfolge aus. Die Bezeichnung für das Menü zeigt die ausgewählte Option an.
    Order Menu
    Die aktuelle Ansicht wird gemäß Ihrer Auswahl erneut geladen.
  3. Wählen Sie in der Symbolleiste Aufsteigend oder Absteigend und im Drop-down-Menü eine Sortierreihenfolge aus. Die Bezeichnung für das Menü zeigt die ausgewählte Option an.
    Die aktuelle Ansicht wird gemäß Ihrer Auswahl erneut geladen.
    Sort Menu

Verwalten und Anwenden von Standardmetaschlüsseln in einer Untersuchung

Wenn Analysten eine Ermittlung erfasster Daten in Investigation durchführen, wird eine Standardanzahl von Metaschlüsseln geladen und in einer Standardsequenz in der Ansicht „Navigation“ > Bereich „Werte“ angezeigt. Der Standardcontent und die Standardsequenz basieren auf den Metaschlüsseln für den Service, der ermittelt wird. Analysten können die Metaschlüssel, die während der Navigation angezeigt werden, spezifizieren, indem sie die Standardmetaschlüssel oder eine benutzerdefinierte Gruppe von Metaschlüsseln auswählen. Dies bietet große Flexibilität bei der Definition von Metaschlüsseln. Dies kann ein direktes Drill-down in die gewünschten Daten erleichtern und die Ladezeit verringern, indem Metadaten, die für diese Ermittlung nicht relevant sind, nicht geladen werden.

Hinweis: In Version 11.1 und höher können Sie bei Verwendung von Metaschlüsseln auch konfigurierte Metaeinheiten verwenden.

Wenn keine benutzerdefinierten Metagruppen aktiv sind, wird die Ansicht „Navigation“ mit der Metaschlüsselsichtbarkeit angezeigt, die im Dialogfeld „Standardmetaschlüssel“ angegeben ist. Um das Laden von Metaschlüsseln in der Ansicht „Navigation“ > Bereich „Werte“ zu optimieren, werden von NetWitness Suite nicht indizierte Metaschlüssel nicht standardmäßig geöffnet. Wenn Sie einen nicht indizierten Metaschlüssel in der Ansicht „Werte“ öffnen, beginnt NetWitness Suite, die Werte dieses Metaschlüssels zu laden. Handelt es sich um eine übermäßige Ladezeit, wird das Laden des Metaschlüssels angehalten und Sie erhalten eine Meldung. Für Titel, Werte und Zähler von nicht indizierten Metaschlüsseln kann kein Drill-down im Bereich Werte angewendet werden. Zusätzliches Bezeichnen bei der Ermittlung identifiziert die nicht indizierten Metaschlüssel.

Um die anzuwendenden Metaschlüssel für Ihre Ermittlung auszuwählen, können Sie:

  • Die Standardmetaschlüssel auswählen.
  • Einen benutzerdefinierten Metaschlüsselsatz – Metagruppe genannt – auswählen.

Hinweis:  Sobald benutzerdefinierte Metagruppen erstellt wurden, können diese bearbeitet, gelöscht, zur Verwendung in anderen Services exportiert und in den gerade ermittelten Service importiert werden. Diese Verfahren werden in einem separaten Thema behandelt: Metagruppen managen.

Das Dialogfeld „Standardmetaschlüssel“ ermöglicht es Ihnen, die Standardansicht zu spezifizieren und die Sequenz für Metaschlüssel während der Navigation in der Ansicht „Untersuchen > Navigation“ für einen spezifischen Service anzuzeigen. Sie können die Standardansicht für jeden einzelnen Schlüssel oder für alle Schlüssel folgendermaßen einstellen:

  • Ausgeblendet: Die Ergebnisse für Standardmetaschlüssel sind ausgeblendet und können nicht geladen werden.
  • Offen: Die Ergebnisse für Standardmetaschlüssel sind offen und alle Werte und Zähler werden angezeigt.
  • Geschlossen: Die Ergebnisse für Standardmetaschlüssel sind geschlossen und nur der Metaname ist sichtbar.
  • Auto: Der Ladevorgang von Standardmetaschlüsseln wird vom Index-Level kontrolliert, das nach Werten indiziert sein muss. 

Achten Sie bei der Verwendung von Standardmetaschlüsseln darauf, dass diese für verschiedene Services verändert werden können, und Sie möglicherweise bei der Navigation zu einem Drill-down-Punkt auf verschiedenen Services verschiedene Standardmetaschlüssel-Sets sehen. Wenn Sie nicht die erwarteten Daten sehen, müssen Sie möglicherweise die anfängliche Ansicht der Standardmetaschlüssel ändern.

Wenn Sie den anfänglichen Status der Standardmetaschlüssel in der Ansicht „Navigation“ ändern, bleiben die Änderungen für diesen Service erhalten. Wenn neue Schlüssel zu der angepassten Indexdatei für einen Core-Service hinzugefügt werden (zum Beispiel concentrator-custom-index.xml oder decoder-custom-index.xml), werden die neuen Schlüssel zur Liste der Standardmetaschlüssel hinzugefügt. Die in der Ansicht Navigieren durchgeführten Änderungen werden nur für den aktuellen Service angewendet.

So spezifizieren Sie, dass die anfängliche Ansicht „Navigation“ geöffnet wird, indem Standardmetaschlüssel verwendet werden:

  1. Navigieren Sie zu Ermittlung > Navigation.
  2. Wählen Sie einen Service und anschließend Navigation aus.
  3. Wählen Sie im Menü Meta die Option Standardmetaschlüssel verwenden aus.
    Wenn Ermittlungen bereits im Gange sind, werden die Daten in der aktuellen Ansicht neu geladen und ein Symbol hebt die gewählte Option hervor. Wenn noch keine Daten geladen sind, werden die Standardmetaschlüssel für das nächste Laden verwendet.

Konfiguration von Standardmetaschlüsseln

So konfigurieren Sie die Standardansicht der Standardmetaschlüssel in der Ansicht „Navigation“:

  1. Wählen Sie in der Symbolleiste der Ansicht Navigation die Optionen Meta > Standardmetaschlüssel managen aus.
    Das Dialogfeld „Standardmetaschlüssel managen“ wird mit der Liste der für den Service verfügbaren Metaschlüssel angezeigt.
    This is the Manage Default Meta Keys dialog
  2. (Optional) Um die Reihenfolge der Schlüssel zu ändern, wählen Sie einen oder mehrere Schlüssel aus und verschieben Sie die Werte in der Liste der Schlüssel nach oben oder nach unten.
  3. Führen Sie einen der folgenden Schritte aus:
    • (Optional) Um die Standardansicht für alle Metaschlüssel zu ändern, stellen Sie sicher, dass keine Metaschlüssel ausgewählt sind und wählen Sie in der Symbolleiste Option Drop-down Menu aus.
    • (Optional) Um die Standardansicht für einen oder mehrere Schlüssel zu ändern, wählen Sie die Schlüssel aus und wählen Sie in der Symbolleiste Options Drop-down Menu.
      Ein Drop-down-Menü der möglichen Anfangsansichten für alle Standardmetaschlüssel wird angezeigt.
    • (Optional) Um die Standardansicht für Metaschlüssel wie in der Serviceindexdatei angegeben wiederherzustellen, stellen Sie sicher, dass keine Schlüssel ausgewählt sind und wählen Sie in der Symbolleiste Options Drop-down Menu > Auto aus.
      Wenn Sie die Standardmetaschlüssel für einen nicht indizierten Metaschlüssel ändern, können Sie den Schlüssel nicht auf OPEN einstellen. Wenn Sie die Standardansicht für eine Gruppe von Metaschlüsseln in OPEN ändern und einige der Metaschlüssel nicht indiziert sind, werden die nicht indizierten Metaschlüssel auf AUTO zurückgesetzt. Daher wird der Metaschlüssel nur automatisch geladen, wenn er indiziert ist, und nicht indizierte Metaschlüssel haben den Status CLOSED, bis sie manuell geöffnet werden.
  4. Wählen Sie eine der Ansichten aus.
  5. Klicken Sie zum Speichern der Änderungen auf Anwenden.
    Die in der Ansicht „Navigation“ angezeigten Metaschlüssel werden auf Ihre Spezifikationen eingestellt. Wenn die Standardmetaschlüssel ausgeblendet sind, werden die Werte der Metaschlüssel in der Ermittlung nicht angezeigt. Wenn die Standardmetaschlüssel geschlossen sind, werden die Werte der Metaschlüssel nicht standardmäßig geladen. Sie können aber einzelne Metaschlüssel in der Ansicht „Navigation“ manuell laden.

Drill-down in die Daten im Zeitdiagramm der Ansicht „Navigation“

Das Zeitdiagramm bietet Analysten eine visuelle Darstellung der Aktivität im Zeitverlauf. Sie können die Daten mit Zoom vergrößern, indem Sie ein Zeitfenster und dann die Option Untersuchen auswählen. Sie können die Navigation auf den Zeitbereich zurücksetzen, der vor Anwendung des Zooms aktiv war.

  1. Navigieren Sie zu Ermittlung > Navigation.
    Das Zeitdiagramm für den aktuellen Drill-down-Punkt und den ausgewählten Zeitbereich wird angezeigt.
    Navigate view Time Chart Visualization
  2. Zur Markierung eines Zeitbereichs im Zeitdiagramm klicken Sie auf den gewünschten Zeitbereich und ziehen Sie die Maus.
    Das Zeitdiagramm wird für den ausgewählten Zeitbereich neu gezeichnet, die Metawerte bleiben jedoch unverändert.
  3. Zum Drill-down in die Daten für den ausgewählten Zeitbereich klicken Sie auf Untersuchen.
    Die URL und der Bereich mit den Investigation-Optionen werden aktualisiert, um den neuen Zeitbereich widerzuspiegeln. Das Zeitdiagramm wird neu gezeichnet und die Metawerte für den ausgewählten Zeitbereich werden geladen.
  4. Zum Zurücksetzen des Zeitdiagramms auf den ursprünglichen Zeitbereich klicken Sie auf Zoom zurücksetzen.
    Die URL und der Bereich mit den Ermittlungsoptionen werden aktualisiert und zeigen wieder den Zustand vor der Zoomanwendung an. Das Zeitdiagramm wird für den ausgewählten Zeitbereich neu gezeichnet und die Metawerte für diesen Zeitbereich werden geladen.

Drill-down zu Daten im Bereich „Werte“

NetWitness Suite zeigt die Aktivität und Werte des ausgewählten Services in der Ansicht „Investigation > Navigation“ an. Analysten führen zur Ermittlung von Daten einen Drill-down in Daten durch, indem sie auf einen Metaschlüssel oder einen Metawert klicken, der als Abfrage behandelt wird. Jede Abfrage wird im Bereich „Werte“ den Brotkrümelnavigationsdaten hinzugefügt. Dies führt zu einer Brotkrümelnavigation oben mit einem Brotkrümel-Element für jede Abfrage. Sie können die Brotkrümelnavigation bearbeiten, um eine Abfrage einzufügen oder zu entfernen.

So führen Sie einen Drill-down in einer Untermenge der Metadaten durch:

  1. Starten Sie eine Untersuchung, sodass Metadaten in der Ansicht „Navigation“ angezeigt werden.
    Navigate view with metadata in the values panel
  2. Um einen Drill-down in den Metadaten durchzuführen, führen Sie eine der folgenden Aktionen aus:
    1. Klicken Sie auf einen Metaschlüssel, z. B. Servicetyp.
    2. Klicken Sie auf einen Metawert. Dies ist der blaue Text in den Ergebnissen. Beispielsweise SONSTIGE.
      Jedes Mal, wenn Sie auf einen Metaschlüssel oder Metawert klicken, konzentriert sich die Ermittlungsabfrage auf einen Fokus- bzw. Drill-down-Punkt in den Daten. An jedem Drill-down-Punkt wird der Bereich Werte aktualisiert und der neue Drill-down-Punkt wird im Breadcrumb angezeigt. Unten stehend finden Sie ein Beispiel für das erste Breadcrumb.
      First breadcrumb
      Dies ist ein Beispiel eines langen Breadcrumbs, das zu lang für die Symbolleiste ist. Der letzten Abfrage, die in der Symbolleiste aufgelistet ist, folgt ein Drop-down-Menü, das die zusätzlichen Abfragen auflistet. Um einen Drill-down-Punkt innerhalb des Überlaufs auszuwählen, klicken Sie auf das Überlaufsymbol und auf eine Abfrage in der Drop-down-Liste.
      Overflow drop-down

So fügen Sie dem Breadcrumb eine Abfrage hinzu:

Sie können auf eines der Elemente der Brotkrümelnavigation klicken, um das Menü „Abfrage“ anzuzeigen. Sie können vor einem Breadcrumb-Element eine neue Abfrage einfügen und am Ende des Breadcrumbs eine neue Abfrage anfügen. Nach jeder Bearbeitung im Breadcrumb aktualisiert NetWitness Suite die Ergebnisse.

So fügen Sie dem Breadcrumb eine Abfrage hinzu:

  1. Klicken Sie auf ein Breadcrumb-Element.
    Das Breadcrumb-Menü wird angezeigt.
    Breadcrumb menu
  2. Um dem Breadcrumb eine Abfrage hinzuzufügen, klicken Sie auf Anfügen oder Einfügen vor.
    Das Dialogfeld „Filter erstellen“ wird angezeigt.
    Create Filter dialog
  3. Erstellen Sie die Abfrage wie unter Erstellen einer angepassten Abfrage beschrieben.

So bearbeiten Sie eine Abfrage in der Brotkrümelnavigation:

Sie können auf eines der Elemente der Brotkrümelnavigation klicken, um das Menü „Abfrage“ anzuzeigen. Sie können ein Breadcrumb-Element löschen und eine Abfrage in einem Breadcrumb-Element bearbeiten. Nach jeder Bearbeitung im Breadcrumb aktualisiert NetWitness Suite die Ergebnisse.

So arbeiten Sie mit Abfragen in einem Breadcrumb:

  1. Klicken Sie auf ein Breadcrumb-Element.
    Das Breadcrumb-Menü wird angezeigt.
    Breadcrumb menu
  2. Um eine Abfrage im Breadcrumb zu bearbeiten, klicken Sie auf Bearbeiten.
    Das Dialogfeld „Erstellen“ wird angezeigt und die ausgewählte Abfrage wird zur Bearbeitung geöffnet.
    Edit Filter dialog
  3. Bearbeiten Sie die Felder wie unter Erstellen einer angepassten Abfrage beschrieben.

So führen Sie eine Schnellsuche innerhalb eines Metaschlüssels durch:

  1. Bewegen Sie die Maus über den Abschnitt „Metaschlüssel“ und klicken Sie auf die Lupe.
    Das Formular „Schnellsuche“ mit einem Vergleichsoperator und einem optionalen Operanden für die Suche wird angezeigt.
    Quick Search form
  2. (Optional) Zum Schließen des Suchformulars klicken Sie nochmals auf die Lupe.
  3. Wählen Sie den Vorgang aus der Drop-down-Liste auf der linken Seite aus und geben Sie den zu suchenden Textwert ein. Klicken Sie anschließend auf Drill, um die Ausführung zu starten.
    Die Metadaten für diesen Metaschlüssel werden für den Drill-down in den aktuellen Metadaten verwendet.

So zeigen Sie die Metaschlüsselinformationen an:

So können Sie Details eines Metaschlüssels, im Besonderen den Schlüsselnamen, das festgelegte Indexlevel für die Anzeige des Metaschlüssels und die Standardansicht des Metaschlüssels anzeigen lassen.

  1. Klicken Sie auf das Drop-down-Menü neben dem Metaschlüssel. Diese zwei Abbildungen zeigen das Drop-down-Menü für die Versionen 11.0.0.x, 11.1 und höher.
    Meta Key drop-down und Meta key drop-down for Version 11.1
  2. Klicken Sie auf Metaschlüsselinformationen.
    Das Dialogfeld „Metaschlüsselinformationen“ wird angezeigt.
    the Meta Key Information dialog
  3. Klicken Sie nach dem Betrachten auf Close icon.
  4. (Optional für Version 11.0) Um die gefundenen Metanamen des Metaschlüssels als eine durch Kommas getrennte Werteliste anzeigen zu lassen, klicken Sie auf das Drop-down-Menü neben dem Metaschlüssel und wählen Sie Als CSV anzeigen aus.
    Das Dialogfeld „Werte werden im CSV-Format angezeigt“ wird angezeigt. Klicken Sie nach dem Betrachten auf Schließen.
  5. (Optional für Version 11.1) Um die gefundenen Metanamen des Metaschlüssels in einer Liste anzeigen zu lassen, klicken Sie auf das Drop-down-Menü neben dem Metaschlüssel und wählen Sie Werte exportieren aus.
    Das Dialogfeld „Werte exportieren“ wird angezeigt.
    the Export Values dialog
  6. (Optional) Wenn Sie die Ergebnisse für den Metaschlüssel im aktuellen Drill-down-PunktF ausblenden möchten, klicken Sie auf das Drop-down-Menü neben dem Metaschlüssel und klicken Sie auf Ergebnisse ausblenden.

So zeigen Sie Ereignisse an, die einem Metawert zugeordnet sind:

Die Ansicht „Ereignisse“ bietet zwei unterschiedliche Ansichten für zusätzliche Ereignisinformationen: Die Ereignisliste und die Detailansicht.

  1. Führen Sie in der Ansicht Navigieren einen Drill-down zu den Metadaten durch, die den Schwerpunkt Ihrer Ermittlungen bilden sollen.
  2. Klicken Sie auf den Zähler (grüne Nummer) neben dem blauen Metawert.
    Die Ansicht „Ereignisse“ des entsprechenden aktuellen Drill-down-Punkts wird geöffnet.
    Die verschiedenen Vorgänge, die Sie in der Ansicht „Ereignisse“ ausführen können, werden im Menüpunkt Untersuchen von Raw-Ereignissen in der Ansicht „Ereignisse“ beschrieben.

So suchen Sie nach bestimmten Ereignissen im Zusammenhang mit einem Metawert:

  1. Führen Sie in der Ansicht „Navigation“ einen Drill-down zu den Metadaten durch, die den Schwerpunkt Ihrer Ermittlungen bilden sollen (klicken Sie auf einen Metawert oder fügen Sie eine Abfrage hinzu).
  2. Geben Sie eine Suchzeichenfolge in das Suchfeld ein und drücken Sie die Eingabetaste oder klicken Sie auf Suche.
    Sie können Ihre Suchmoduseinstellungen auch auswählen und festlegen. Detaillierte Suchinformationen finden Sie unter Suchen nach Textmustern.
    Die Ansicht „Ereignisse“ wird in einer neuen Registerkarte geöffnet und zeigt die Suchergebnisse an. Wenn der Suchbegriff nicht markiert angezeigt wird, klicken Sie auf Zusätzliche Metadaten anzeigen. Ihre Zeitbereichsauswahl und Drill-downs (Abfragen) werden in die Ansicht „Ereignisse“ übertragen.
    Events view

So zeigen Sie einen ausgewählten Metawert in RSA Live an:

  1. Führen Sie in der Ansicht Navigieren einen Drill-down zu den Metadaten durch, die den Schwerpunkt Ihrer Ermittlungen bilden sollen.
  2. Klicken Sie mit der rechten Maustaste auf einen Metawert (den Text in Blau).
    Das Drop-down-Menü Metawert wird angezeigt.
  3. Um den Metawert in RSA Live zu suchen, klicken Sie auf Live-Suche.
    Die Ansicht „Live-Suche“ mit dem eingegebenen Metawert im Feld „Erzeugte(r) Metawert(e)“ wird angezeigt und Sie können die Suche starten.

    Live Search View

So fokussieren Sie die Untersuchungin einem Drill-down-Punkt neu:

  1. Klicken Sie mit der rechten Maustaste auf einen Metawert (den Text in Blau).
    Das Drop-down-Menü „Metawert“ wird angezeigt.
    Meta value drop-down menu
  2. Wählen Sie eine der folgenden Neufokussierungs-Optionen aus.
    Der Drill-down wurde gemäß Ihrer Auswahl neu fokussiert.

So betrachten Sie einen spezifischen Zähler in einer neuen Registerkarte:

So können Sie einen Zähler für einen Metawert in einer neuen Registerkarte oder eine Geomap der Speicherorte für den ausgewählten Metawert anzeigen lassen.

  1. Klicken Sie mit der rechten Maustaste auf einen Zähler für einen Metawert (die grüne Nummer, die nach dem blauen Metawert steht).
    Das Kontextmenü wird angezeigt.
  2. (Optional) Um eine separate Ermittlung für den spezifischen Metawert zu öffnen, wählen Sie In neuer Registerkarte öffnen aus.
  3. (Optional) Um eine Geomap mit den Speicherorten anzuzeigen, von denen der ausgewählte Metawert stammt, klicken Sie auf Geomap-Orte in neuer Registerkarte.
You are here
Table of Contents > Untersuchen von Metadaten in der Ansicht „Navigation“ > Filtern von Ergebnissen in der Ansicht „Navigation“

Attachments

    Outcomes