on Oct 19, 2018NetWitness Platformバージョン11.0では、設定ダイアログは、[ナビゲート]ビュー用のものと[レガシー イベント]ビュー用のものの2つがあります。バージョン11.1では、[イベント]ビュー用の設定ダイアログが追加されたので、調査の設定ダイアログは3つあります。
このダイアログの設定は、[プロファイル]>[環境設定]パネル>[調査]タブで行う調査の設定のサブセットです。アナリストは、[調査]ビューでこれらの設定を編集することにより、時間を節約できます。ここで設定を変更すると、[プロファイル]ビューで同じ設定が変更されます。[プロファイル]ビューで設定を変更すると、この場所の同じ設定が変更されます。
このダイアログにアクセスするには、[ナビゲート]ビューまたは[レガシー イベント]ビューに移動し、ツールバーの[設定]オプションを選択します。
[プロファイル]>[環境設定]パネルには、[イベント]ビューの設定に対応する設定はありません。
関連トピック
簡単な説明
ここでは、[ナビゲート]ビュー、[レガシー イベント]ビュー、[イベント]ビューの設定ダイアログについて簡単に説明します。
[ナビゲート]ビューの[設定]ダイアログ
次の図は、[ナビゲート]ビューの[設定]ダイアログを示しています。[値]パネルで値をロードするときのパフォーマンスに影響を与える設定には、一般的な使用方法に基づくデフォルト値があり、アナリストはこれらの設定を自分の調査内容に合わせて調整できます。以下の表は、機能についての説明です。![これは、[ナビゲート]ビューの[設定]ダイアログです。](../../Resources/Images/InvestigateUG/NavVwSettings.PNG)
| 機能 | 説明 |
|---|---|
| 閾値 | [値]パネルでメタ キー値にロードするセッションの最大数の閾値を設定します。閾値を高くすると、値が正確にカウントされますが、その分ロード時間が長くなります。デフォルト値は100000です。 |
| 結果の最大数 | この設定は、[ナビゲート]ビューで開いているメタ キーについて、[メタ キー]メニューで[最大まで表示]を選択した場合にロードする値の最大数を制御します。デフォルト値は1000です。 |
| 最大セッション エクスポート | エクスポートできるセッションの最大数を設定します。デフォルト値は100000です。 |
| ログのエクスポート形式 | エクスポートされたログのファイル形式を設定します。次の4つの形式を設定できます。
|
| メタのエクスポート形式 | エクスポートされたメタ値のファイル形式を設定します。次の4つの形式を設定できます。
|
| デバイスごとのローカル キャッシュを使用 | このチェックボックスをオフにすると、初回ロード後に[調査]ビューにキャッシュされたデータを表示するのではなく、新しいクエリがデータベースに送信されます。チェックボックスをオンにすると、ローカル キャッシュのデータを使用します。 |
| デバッグ情報の表示 | このオプションは、階層リンクの下のwhere句の表示と、Brokerで集計したサービスごとの経過したロード時間の表示を制御します。チェックボックスをオンにすると、デバッグ情報が表示されます。デフォルト値はオフ(チェックの外れた状態)です。 |
| 値の自動ロード | このオプションは、[ナビゲート]ビューで選択したサービスの値の自動ロードを制御します。チェックボックスをオンにすると、調査するサービスを選択したときに、値が自動的にロードされます。チェックボックスをオフにすると、[値のロード]ボタンが表示されます。値をロードする前に、オプションを変更することができます。デフォルト値はオフです。 |
| 完了したPCAPのダウンロード | この設定は、調査で抽出されたPCAPのダウンロードを自動化します。これにより、PCAPファイルをダウンロードし、PCAPフォームのデータを処理できるアプリケーション(Wiresharkなど)で抽出して開く操作を手動で実行する必要がなくなります。チェックボックスをオンにすると、オプションが有効になります。デフォルト設定は無効(チェックボックスはオフ)です。 |
| Live Connect:リスクのある値を強調表示 | このオプションのチェックボックスをオフにすると、Live Connectで使用可能なコンテキストを持つすべてのメタ値が、[ナビゲート]ビューの[値]パネルでハイライト表示されます。チェックボックスをオンにすると、Live Connectでコンテキストを持つ値のうち、コミュニティによってリスクが高い/不審である/安全でないと判断された値のみが強調表示されます。デフォルトでこのオプションは無効(チェックボックスはオフ)になっています。 |
| 適用 | 設定をただちに適用します。設定は、次回に値をロードしたときに表示されます。また、同じ変更が、[プロファイル]ビューにも適用されます。 |
| キャンセル | 編集操作をキャンセルし、設定を変更せずにダイアログを閉じます。 |
[レガシー イベント]ビューの[設定]ダイアログ
次の図は[レガシー イベント]ビューの[設定]ダイアログの例です。また、その機能について表で説明します。
![これは、[イベント]ビューの[設定]ダイアログです](../../Resources/Images/InvestigateUG/EvVwSettings.PNG)
| 機能 | 説明 |
|---|---|
| ログのエクスポート形式 | エクスポートされたログのファイル形式を設定します。次の4つの形式を設定できます。
|
| メタのエクスポート形式 | エクスポートされたメタ値のファイル形式を設定します。次の4つの形式を設定できます。
|
| 完了したPCAPのダウンロード | この設定は、調査で抽出されたPCAPのダウンロードを自動化します。これにより、PCAPファイルをダウンロードし、PCAPフォームのデータを処理できるアプリケーション(Wiresharkなど)で抽出して開く操作を手動で実行する必要がなくなります。 |
| Live Connect:リスクのある値を強調表示 | チェックボックスをオンにすると、フィルタを使用して、RSAコミュニティによってリスクが高いとみなされているIPアドレスのみがフェッチされます。チェックボックスをオフにすると、NetWitness PlatformによってすべてのIPアドレスが表示されます。デフォルトでこのオプションは無効(チェックボックスはオフ)になっています。 |
| 調査ページのロードを最適化 | ページング オプションを設定します。最適化した場合、イベント リストで可能な限り速く結果が返されますが、イベント リストのページ移動機能が無効になります。このチェックボックスをオフにすると、イベント リストのページ移動機能が有効になり、リストの特定のページ(または最後のページ)に移動できるようになります。デフォルト値は有効(チェックボックスはオン)です。 |
| イベント パネルのイベントを挿入モードで表示 | このオプションは、[レガシー イベント]パネルのページングに影響し、以前のリリースでは[ナビゲート]ビューの[設定]ダイアログにありました。チェックボックスをオンにすると、次のイベント グループがすでに表示されているイベントに追加されます。チェックボックスをオフにすると、前のイベントのページが次のページに置き換えられます。デフォルト値はオフ(チェックの外れた状態)です。 |
| デフォルト セッション表示 | [イベント]ビューでのデフォルトの再構築のタイプを選択します。デフォルト値は[最適な表示]で、イベントに最も適した表示方法でイベントが表示されます。 |
| WebビューのCSS再構築を有効化 | この設定では、Webコンテンツの再構築の実行方法が制御されます。有効化すると、Webの再構築にカスケード スタイル シート(CSS)とイメージが含まれるようになり、再構築の表示と元のWebブラウザの表示が一致するようになります。これには、イベントに関連するスキャニングと再構築、ターゲット イベントで使用されるスタイル シートとイメージの検索が含まれます。このオプションは、デフォルトで有効化されています。特定のWebサイトの表示に問題がある場合は、チェックボックスをオフにしてこのオプションを無効化してください。 |
| 適用 | 設定をただちに適用します。この設定は、次回にイベントを表示したときに示されます。また、同じ変更が、[プロファイル]ビューにも適用されます。 |
| キャンセル | 編集操作をキャンセルし、設定を変更せずにダイアログを閉じます。 |
[イベント]ビューの[環境設定]ダイアログ
バージョン11.1から、[イベント]ビューにユーザ環境設定が追加されました。この環境設定は、[イベント]ビュー>[イベント環境設定]ダイアログで設定できます。これらの設定は保持されるため、ログインして[イベント]ビューに移動するたびに適用されます。次の図は、バージョン11.3とバージョン11.4.1のダイアログの例です。次の表に、オプションの説明を示します。
![[イベント環境設定]ダイアログ](../../Resources/Images/InvestigateUG/113EAEvPref.png)
![バージョン11.4.1の[イベント環境設定]ダイアログ](../../Resources/Images/InvestigateUG/EvVwPref1141.png)
| 機能 | 説明 |
|---|---|
| デフォルトの[イベント]ビュー | [イベント]ビューを開くたびに表示されるデフォルトのイベント分析ビューを選択します。たとえば[ファイル]を選択すると、[イベント]ビューでイベントを調査するたびに[ファイル分析]パネルがハイライト表示されます。次にオプションを示します。
|
| デフォルトのログ形式 | ログをダウンロードする際のデフォルトの形式を選択します。
|
| デフォルトのパケット形式またはデフォルトのネットワーク形式 | パケットをダウンロードする際のデフォルトの形式を選択します。
|
| デフォルトのメタ形式 | メタデータをダウンロードする際のデフォルトの形式を選択します。
|
| クエリの時間形式 | [イベント]ビューには、データベースの時間または現在の時刻に基づいて結果を表示できます。この環境設定のデフォルト設定は[データベースの時間]です。これは[ナビゲート]ビューと[イベント]ビューでクエリ結果を表示するために使用される時間形式と同じです。 [現在の時間(Current Time)](バージョン11.3以前では[現在の時間(Wall Clock Time)])を選択した場合、クエリの実行に使用される終了時刻は現在のブラウザの時刻に基づく時刻になり、開始時刻は終了時刻と時間範囲に基づいて計算されます。 |
| イベントのソート順(バージョン11.4以降) | [イベント]パネルに表示されているイベントの収集時間に基づいて、ソート順を設定します。結果がイベント数の上限を超えている場合、すべてのイベントをロードすることはできません。結果として[イベント]パネルにロードされるイベントは、ソート順の設定と一致しています。つまり、昇順が選択されている時は、イベントの最も古い方から順にロードされ、降順が選択されている時は、イベントの最も新しい方から順にロードされます。この設定の変更は、次回のクエリ送信時に有効になります。 ソートなし:バージョン11.4.1のデフォルトのソート方法。Coreサービスによって処理されたとおりにイベントを一覧表示します。[ソートしない]は、処理が高速になります。これは、一致するイベントが見つかったら即座に表示するのと、すべてのコア サービスの応答を待ってから指定された順に結果を並べ替えて表示する違いによるものです。 昇順:バージョン11.4のデフォルトのソート方法。収集時間が最も古いイベントをリストの最初に配置します。 降順:収集時間が最も新しいイベントをリストの最初に配置します。ログを調査するにあたり、ソート順を「最も新しい収集時間が最初」に変更する必要が生じることがあります。 |
| 抽出したファイルを自動ダウンロード | [イベント環境設定]ダイアログの[デフォルトのログ形式]フィールドと[デフォルトのパケット形式]フィールドで選択したデフォルト形式のファイルの自動ダウンロードを有効にします。 選択した形式のファイルをローカル ファイル システムに自動的にダウンロードするには、このチェックボックスを選択します。このチェック ボックスを選択しない場合、ダウンロード ジョブがジョブ キューに入れられるのでファイルを手動でダウンロードできます。 |
| タイム ウィンドウを自動的に更新 | (バージョン11.3以降)サービスがポーリング(1分間隔)されたときのクエリ バーの時間範囲ウィンドウの自動更新を有効にして、最新の結果が送信されるようにします。デフォルト設定はdisabledです。 チェックボックスをオンにすると、時間範囲が更新されたときに、 チェックボックスをオフにすると、自動更新は無効になり、階層リンクの時間範囲ウィンドウが現在の結果と同期を維持します。 |
