Untersuchen: Filtern von Ergebnissen in der Ansicht „Ereignisanalyse“

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Thema gelten für RSA NetWitness® Suite Version 11.1 und höher.

In NetWitness SuiteVersion 11.0 senden Sie eine Abfrage in der Ansicht „Navigation“ oder der Ansicht „Ereignisse“ und wenn Sie zur Ansicht „Ereignisanalyse“ wechseln, zeigt eine schreibgeschützte Brotkrümelnavigation die eingereichte Abfrage an. Sie müssen zur Ansicht „Ereignisse“ oder zur Ansicht „Navigation“ zurückkehren, wenn Sie eine andere Abfrage eingeben möchten.

In Version 11.1 oder höher füllt eine Abfrageerstellung die interaktive Brotkrümelnavigation in der Ansicht „Ereignisanalyse“ auf, sodass Sie jeden <meta key> <operator> <meta value>-Filter in der Brotkrümelnavigation erstellen und bearbeiten können. Darüber hinaus können Sie einen anderen Service und Zeitbereich auswählen, ohne zur Ansicht „Navigation“ oder „Ereignisse“ zurückzukehren. Der Rest dieses Abschnitts enthält Informationen zur Verwendung der Funktionen der Abfrageerstellung in Version 11.1.

Funktionsweise der Brotkrümelnavigation

Wenn Sie in Investigate auf die Option „Ereignisanalyse“ klicken, um die Ansicht zu öffnen, wird die Service- und Zeitbereichsauswahl angezeigt. Standardmäßig ist der erste Service automatisch ausgewählt (es sei denn, Sie haben zuvor einen Service ausgewählt und der ausgewählte Service befindet sich im lokalen Speicher). Wenn Sie keinen Zeitbereich auswählen, wird der Standardzeitbereich verwendet. Das Abfrageerstellungsfeld ist ein leeres Feld rechts neben dem Zeitbereich. Die folgende Abbildung zeigt die Brotkrümelnavigation mit nur einem ausgewählten Service und Zeitbereich.

Empty query builder field in the Event Analysis view

Wenn Sie die Ansicht „Ereignisanalyse“ über die Ansicht „Ereignisse“ oder die Ansicht „Navigation“ öffnen, werden der Service, der Zeitbereich und alle Filter, die in der Ansicht „Ereignisse“ oder der Ansicht „Navigation“ ausgewählt wurden, in der Brotkrümelnavigation angezeigt. Der Service, der Zeitbereich und die einzelnen Filter können geändert werden.

Hinweis: Die Anfrageerstellung unterstützt nur einfache Filter im Format <meta key><operator><meta value>. Wenn die Ansicht „Ereignisse“ oder die Ansicht „Navigation“ über einen Filter mit mehr als einem Operator, ||, & & (), REGEX oder LÄNGE verfügt, wird der Filter hinzugefügt. Eine Bearbeitung wird in der Ansicht „Ereignisanalyse“ allerdings nicht unterstützt.

Wenn Sie Filter in der Anfrageerstellung erstellen, wird die Brotkrümelnavigation mit jedem Filter in einem bearbeitbaren Feld aktualisiert. Wenn Sie die Abfrage übermitteln, werden alle Filter mit UND verknüpft, um Ergebnisse zu erzeugen. Die Abfrage wird erst übermittelt, wenn Sie auf „Ereignisse abfragen“ klicken. Filter werden von links nach rechts in der Reihenfolge aufgelistet, in der sie erstellt wurden. Jeder Filter ist ein einfacher Ausdruck des Formats <meta key> <operator> <optional value>. Wenn weitere Filter hinzugefügt werden und sie nicht in einer einzelnen Zeile angezeigt werden können, werden sie in eine andere Zeile umgebrochen und der Eingabebereich wird vertikal erweitert, sodass alle Filter ohne Bildlauf nach rechts sichtbar sind.

Beim Erstellen und Bearbeiten von Filtern werden Sie mit Vorschlägen für Autovervollständigung unterstützt, die nur gültige Metaschlüssel und Operatoren in der Drop-down-Liste anzeigen. Sie können Daten eingeben oder aus der Drop-down-Liste auswählen. In der Drop-down-Liste sind Operatoren, deren Ausführung länger dauert, mit einem Stoppuhrsymbol markiert. Ungültige Filter sind durch einen roten Rahmen gekennzeichnet und wenn Sie den Mauszeiger über den Filter bewegen, wird eine Meldung mit einer Erläuterung des Fehlers angezeigt.

Die Schaltfläche „Ereignisse abfragen“ befindet sich rechts neben der Brotkrümelnavigation und wird angezeigt, wenn dies zur Eingabe einer Abfrage erforderlich ist. Neue Filter werden angewendet, wenn Sie auf „Ereignisse abfragen“ klicken.

Hinweis: Wenn Sie den Service ändern, verwendet ein Netzwerkaufruf von Daten für Rekonstruktionen oder der Bereich „Ereignisse“ (z. B. „Weitere laden“) die vorherigen Service-/Zeitbereichs-/Metadatenfilter. Diese vorherigen Abfrageparameter werden so lange verwenden, bis Sie die neue Abfrage übermitteln. Wenn Sie über eine Reihe von geladenen Ergebnissen verfügen und Sie den Service, den Zeitraum oder einen Filter ändern, wird die Schaltfläche „Ereignisse abfragen“ blau dargestellt, was darauf hinweist, dass die Daten in der Ansicht veraltet sind. Selbst wenn Sie beginnen, einen der Parameter zu bearbeiten, und dann aufhören, wird die Schaltfläche „Ereignisse abfragen“ blau dargestellt, was darauf hinweist, dass Sie die Abfrage erneut übermitteln müssen.

Tastaturaktionen zur Verwendung in der Brotkrümelnavigation

Die Brotkrümelnavigation dient zum Eintragen, Bearbeiten und Löschen von Filtern über die Tastatur, ohne einen Zeiger verwenden zu müssen. Sie können den Zeiger zwar verwenden, doch Sie haben die Möglichkeit, die Finger auf der Tastatur zu lassen. In dieser Tabelle sind die verfügbaren Tastaturaktionen angegeben, wenn sich der Cursor im Bereich der Abfrageerstellung der Brotkrümelnavigation befindet; diese gelten nicht für die Serviceauswahl und den Zeitbereich.

                                                               
AktionTastatureingabe
Aktualisieren Sie die URL und übermitteln Sie die Abfrage erneut.Drücken Sie die Eingabetaste, während die Abfrageerstellung markiert ist.
Wählen Sie den Filter, der sich unmittelbar links befindet, falls vorhanden.Drücken Sie die linke Pfeiltaste, ohne eine Auswahl in der Abfrageerstellung vorgenommen zu haben.
Wählen Sie den Filter, der sich unmittelbar rechts befindet, falls vorhanden.Drücken Sie die rechte Pfeiltaste, ohne eine Auswahl in der Abfrageerstellung vorgenommen zu haben.
Fügen Sie direkt links neben dem ausgewählten Filter einen neuen Filter ein.Drücken Sie die linke Pfeiltaste, wobei ein Filter ausgewählt ist.
Fügen Sie direkt rechts neben dem ausgewählten Filter einen neuen Filter ein.Drücken Sie die rechte Pfeiltaste, wobei ein Filter ausgewählt ist.
Fügen Sie direkt links neben dem ausgewählten Filter einen neuen Filter ein und öffnen Sie ihn zur Bearbeitung.Drücken Sie gleichzeitig die Umschalttaste und die linke Pfeiltaste, wobei ein Filter ausgewählt ist.
Fügen Sie direkt links neben dem ausgewählten Filter einen neuen Filter ein und öffnen Sie ihn zur Bearbeitung.Drücken Sie gleichzeitig die Umschalttaste und die rechte Pfeiltaste, wobei ein Filter ausgewählt ist.
Wählen Sie alle Filter rechts neben dem aktuellen Filter aus.Drücken Sie gleichzeitig die Umschalttaste und Nach-unten-Taste, wobei ein Filter ausgewählt ist.

Wählen Sie alle Filter links neben dem aktuellen Filter aus.

Drücken Sie gleichzeitig die Umschalttaste und Nach-oben-Taste, wobei ein Filter ausgewählt ist.

Heben Sie die Auswahl aller Filter auf.Drücken Sie die ESC-Taste, wobei ein Filter ausgewählt ist.

Löschen Sie alle ausgewählten Filter.

Wählen Sie, wobei Filter ausgewählt sind, die Option Rechtsklick > Ausgewählte Filter löschen aus, drücken Sie Löschen, oder drücken Sie die Rücktaste.

Aktualisieren Sie die Abfrage nur mit den ausgewählten Filtern.Wählen Sie, wobei Filter ausgewählt sind, die Option Rechtsklick > Abfrage mit ausgewählten Filtern durchführen aus.

Öffnen Sie eine neue Registerkarte mit den ausgewählten Filtern.

Wählen Sie, wobei Filter ausgewählt sind, die Option Rechtsklick > Abfrage mit ausgewählten Filtern auf neuer Registerkarte durchführen aus.

Hinzufügen eines Filters zur Brotkrümelnavigation

So filtern Sie die Daten, die in der Ansicht „Ereignisanalyse“ angezeigt werden:

  1. Navigieren Sie zur Ansicht Ereignisanalyse.
  2. Wenn Sie einen Filter einfügen möchten, klicken Sie in das leere Abfrageerstellungsfeld oder vor oder nach einem vorhandenen Filter.
    Wenn sich die Einfügemarke zwischen zwei Filtern befindet, ist der Einfügepunkt durch einen grünen Punkt gekennzeichnet. Wenn sich die Einfügemarke am Ende der vorhandenen Brotkrümelnavigation befindet, wird das Filtereingabefeld geöffnet. Hierbei handelt es sich um ein leeres Abfrageerstellungsfeld.
    Empty query builder field in the Event Analysis view

  3. Klicken Sie auf die Einfügemarke und ein Drop-down-Menü listet die verfügbaren Metaschlüssel auf, die im neuen Filter verwendet werden können. Die verfügbaren Metaschlüssel werden vom Service übergeben, der untersucht wird. Wenn Sie mit der Eingabe beginnen, wird die Liste aktualisiert, um die Metaschlüssel zu filtern.
    the Meta Key drop-down list

  4. Führen Sie zum Auswählen eines Metaschlüssels einen der folgenden Schritte aus:

    1. Wenn das Drop-down-Menü nur eine Option enthält, drücken Sie die Leertaste.
    2. Wenn das Drop-down-Menü zwei oder mehr Optionen enthält, klicken Sie auf den Metaschlüssel oder verwenden Sie den Nach-oben-/Nach-unten-Pfeil und drücken Sie die Eingabetaste.
    3. Geben Sie den Metaschlüssel und ein Leerzeichen ein. Während Sie den Metaschlüssel eingeben, wird die Liste weiter aktualisiert.
      Wenn ein Metaschlüssel ausgewählt ist, wird eine Liste der gültigen Operatoren für den ausgewählten Metaschlüssel angezeigt. Operatoren, deren Verarbeitung mehr Zeit in Anspruch nimmt, sind durch ein Stoppuhrsymbol gekennzeichnet.
      the operators drop-down list with a stopwatch marking operators that take more time to query
  5. Führen Sie zum Auswählen eines Operators einen der folgenden Schritte aus:

    1. Wenn das Drop-down-Menü nur eine Option enthält, drücken Sie die Leertaste.
    2. Wenn das Drop-down-Menü zwei oder mehr Optionen enthält, klicken Sie auf den Operator oder verwenden Sie den Nach-oben-/Nach-unten-Pfeil und drücken Sie Eingabetaste.
    3. Geben Sie den Operator ein und drücken Sie die Eingabetaste.
      Die Drop-Down-Liste wird geschlossen und Sie können einen Wert hinzufügen, wenn der Operator einen Wert akzeptiert.
  6. (Optional) Geben Sie einen Wert ein und drücken Sie die Eingabetaste.

  7. Um den Filter zu erstellen, drücken Sie die Eingabetaste. Wenn Sie auf eine beliebige Stelle außerhalb des Felds klicken, bevor Sie die Eingabetaste drücken, wird der Filter nicht erstellt.
    Der neue Filter wird eingefügt und der Cursor wird nach dem letzten Filter neu fokussiert.
    Wenn der Filter einen Fehler enthält, wird er rot umrandet. Sie können den Mauszeiger über den Filter bewegen, um eine Kurzinformation zum Fehler anzuzeigen.
  8. Beheben Sie alle Filter, die Fehler aufweisen.
  9. Wenn Sie bereit sind, die Abfrage in der Brotkrümelnavigation auszuführen, klicken Sie auf Ereignisse abfragen.
  10. Die Ereignisliste wird aktualisiert und zeigt die Abfrage an.

Bearbeiten eines Filters in der Brotkrümelnavigation

So bearbeiten Sie einen Filter in der Abfrageerstellung:

  1. Navigieren Sie zur Ansicht Ereignisanalyse.
  2. Um einen Filter zu bearbeiten, doppelklicken Sie darauf oder klicken Sie auf den Filter und drücken Sie die Eingabetaste.
  3. Drücken Sie nach dem Bearbeiten die Eingabetaste, um den Filter zu aktualisieren.
  4. Wenn Sie die Auswahl des Filters aufheben möchten, klicken Sie auf einen anderen Filter.
  5. Wenn Sie die Abfrage erneut ausführen möchten, klicken Sie auf die Schaltfläche Abfrage.
    Die Ereignisliste wird aktualisiert und zeigt den aktualisierten Filter an.

Abfrage mit ausgewählten Filtern in der Brotkrümelnavigation

Mit zwei oder mehr Filtern in der Brotkrümelnavigation können Sie dieselbe Abfrage neu fokussieren, um nur ausgewählte Filter einzuschließen. Die Ergebnisse werden in der aktuellen Browser-Registerkarte oder einer neuen Browser-Registerkarte angezeigt.

So aktualisieren Sie die Abfrage nur mit ausgewählten Filtern:

  1. Beginnen Sie mit einer Brotkrümelnavigation, die mindestens zwei Filter enthält. Als Beispiel verwenden wir eine Abfrage mit drei Filtern: risk.info = exists, direction ="lateral" und threat.category exists.
  2. Um eine neue Registerkarte mit den ausgewählten Filtern zu öffnen, klicken Sie mit der rechten Maustaste auf den query direction = "lateral"-Filter und wählen Sie im Drop-down-Menü die Option Abfrage mit ausgewählten Filtern auf neuer Registerkarte durchführen aus.
    the Query with selected filters in a new tab option selected
    Eine neue Registerkarte mit den Ergebnissen für den ausgewählten Filter wird geöffnet.
    results in a new tab
  3. Um die ausgewählten Filter in der gleichen Registerkarte abzufragen, klicken Sie auf direction = "lateral" und threat.category exists. Klicken Sie dann mit der rechten Maustaste und wählen Sie im Drop-down-Menü die Option Abfrage mit ausgewählten Filtern durchführen aus.
    the Query with selected filters option selected in the drop-down menu

Löschen eines Filters in der Brotkrümelnavigation

So löschen Sie einen Filter:

  1. Klicken Sie in einem Filter auf X, klicken Sie auf den Filter, um ihn auszuwählen, und drücken Sie Löschen, oder klicken Sie mit der rechten Maustaste auf einen oder mehrere Filter und wählen Sie im Drop-down-Menü Ausgewählte Filter löschen aus.
  2. Wenn Sie die Abfrage erneut ausführen möchten, klicken Sie auf die Schaltfläche Abfrage.
    Der ausgewählte Filter wird gelöscht und die Ereignisliste wird aktualisiert.
You are here
Table of Contents > Analysieren von Raw-Ereignissen und Metadaten in der Ansicht „Ereignisanalyse“ > Filtern von Ergebnissen in der Ansicht „Ereignisanalyse“

Attachments

    Outcomes