[レガシー イベント]ビューでイベントのリストを表示する際、イベントの元の形式と一致する読み取り可能な形式で安全にイベントを再構築することができます。再構築されたイベントの初期ビューには、最適な形式(「最適な表示」)がデフォルトで使用されます。たとえば、WebコンテンツはWebページとして再構築され、IMによる会話はチャットとして表示されます。再構築のデフォルト表示は、[プロファイル]>[環境設定]ビューで各ユーザが変更できます。
イベントのイベントIDがわかっている場合は、[ナビゲート]ビューから再構築を開くこともできます。
再構築では、次のことができます。
- 表示するイベント情報を選択。リクエスト データ、レスポンス データ、またはその両方を選択することができます。
- 再構築のタイプを選択。詳細、テキスト、16進数、パケット、Web、メール、IMのいずれかを選択できます。
- RAWログをエクスポート。
- イベントをPCAPファイルとしてエクスポート。
- イベントから任意のファイルを抽出。
- イベントに関連づけられたすべてのメタ データを抽出。
注意: 再構築でファイルへのリンクをクリックするときは気を付けてください。そのファイルに関連づけられているアプリケーションがシステムに含まれる場合、またはブラウザでそのファイルを開くことができる場合、それが悪意のある添付ファイルだと、システムに悪影響を及ぼすことがあります。
- イベントを個別のウィンドウまたはタブで表示(使用しているブラウザの構成により異なる)。
- 現在のビューでプレビューとして再構築を表示している場合、左下隅にあるナビゲーション ボタンで前後のページのイベントに移動することができます。
注: Investigationのアプリケーション パフォーマンスは、管理者が、[再構築の設定]と[再構築キャッシュの設定]で管理できます(『システム構成ガイド』を参照)。アナリストがセッションを再構築する場合、次の2つの状況でパフォーマンスと結果に影響が及ぶ可能性があります。
- サイズの大きなイベントには、何千ものソース パケットが含まれている場合があります。このようなセッションを再構築すると、アプリケーションのパフォーマンスが低下する可能性があります。
再構築キャッシュの表示内容が不正確である場合があります。このような理由から、1日以上経過したキャッシュは、24時間おきにNetWitness Platformによって消去されます。日次のキャッシュ クリーニングの合間に特定のアクションを実行すると、古いキャッシュの情報を使用して再構築が行われる可能性があります。管理者は必要に応じて、NetWitness Serverに接続する1つ以上のサービスのキャッシュを手動でクリアできます。
イベントIDを使用したイベントの再構築
イベントIDがわかっている場合に、イベントを[ナビゲート]ビューから直接再構築できます。このオプションを使用すると、調査の開始時に通常必要となる、クエリの実行は必要ありません。eventidだけを使用してイベントに直接移動できるようにするには、サービスと時間範囲を選択する必要があります。
再構築またはイベント分析を[ナビゲート]ビューから直接表示するには、次の手順を実行します。
- 調査>ナビゲートに移動して、[アクション]>[イベントでイベントに移動]または[イベントの再構築でイベントに移動]を選択します。
[イベントに移動]ダイアログが表示されます。ダイアログは2つ(イベント用とレガシー イベント再構築用に1つずつ)あります。いずれのダイアログでもイベントIDの入力を求められます。 - [イベントID]フィールドにIDを入力して、[移動]をクリックします。
指定されたイベントがレガシーの[イベント再構築]ビューまたは[イベント]ビューで再構築されます。
[ナビゲート]ビューでのドリルダウン ポイントからのイベントの再構築
- [ナビゲート]ビューの値の数(値に続く緑色の数字)をクリックすると、[イベント]ビューでドリルダウン ポイントが開きます。
- すべてのメタ データを表示するには、
をクリックします。
- [レガシー イベント]ビューでイベント再構築を表示するには、再構築するイベントを選択し、[アクション]>[イベントの表示]>[インライン プレビュー]を選択します。
同じビューのポップアップ ウィンドウに[イベントの再構築]が表示されます。デフォルトでは、イベントのコンテンツから判断されたイベントに最適な再構築形式か、NetWitness Platformの[デフォルト セッション表示]の設定で選択した再構築形式で表示されます。[イベントの再構築]ツールバーのオプションを使用して、再構築方法の変更、複数の結果の並行表示、イベントのエクスポート、メールの添付ファイルの表示、ファイルの抽出、新しいタブでのイベントの表示を行うことができます。ツールバーのオプションは、再構築中のイベントのタイプによって異なります(ネットワーク イベント、ログ イベント、エンドポイント イベント)。これは、ネットワーク イベントの再構築の例です。
- 次のイベントの再構築をプレビューするには、再構築の左下隅で
をクリックするか、前のイベントの再構築をプレビューするには、
をクリックします。
- 新しいタブでイベントの再構築を表示するには、次のいずれかを実行します。
セッションを左右/上下に並べて表示
イベントのリクエストやレスポンスの表示方法を選択するには、次の手順を実行します。
- [イベントの再構築]ツールバーで、[セッションを上下に並べて表示]または[セッションを左右に並べて表示]をクリックします。
- ドロップダウン メニューで、イベントで表示する情報([セッションを左右に並べて表示]または[セッションを上下に並べて表示])を選択します。
選択した情報で、再構築されたイベントが更新されます。
表示するイベント情報の選択
表示するイベント情報を選択するには、次の手順を実行します。
- [イベントの再構築]ツールバーで、[リクエストとレスポンス]をクリックします。
- ドロップダウン メニューで、イベントで表示する情報([リクエストとレスポンス]、[リクエスト]、[レスポンス])を選択します。
選択した情報で、再構築されたイベントが更新されます。
イベントの再構築のタイプの選択
イベントの再構築のタイプを選択するには、次の手順を実行します。
- [イベントの再構築]ツールバーで[最適な表示]をクリックします。
- ドロップダウン メニューから、表示する再構築のタイプ(メタ、テキスト、16進数、パケット、Web、メール、ファイル)を選択します。
再構築の表示が選択した再構築タイプで更新されます。
メールの添付ファイルの表示またはダウンロード
ファイルが添付されているメールの再構築を表示するときに、サポートされているファイル タイプを開くか、そのファイルをローカル システムにダウンロードできます。
注意: 添付ファイルを選択するときは気を付けてください。その添付ファイルに関連づけられているアプリケーションがシステムに含まれる場合、またはブラウザでそのファイルを開くことができる場合、それが悪意のある添付ファイルだと、システムに悪影響を及ぼすことがあります。
メールの添付ファイルを表示またはダウンロードするには:
- [イベントの再構築]ツールバーで、[表示]ドロップダウンを選択し、[メールの表示]を選択します。
[イベントの再構築]が表示されます。 - メールの[イベントの再構築]セクションで、添付ファイルをクリックします。
ファイル タイプがブラウザでサポートされている場合は、新しいタブで添付ファイルが開きます。
ファイル タイプがサポートされていない場合は、添付ファイルをダウンロードできるように[ダウンロード]ダイアログが表示されます。
イベントをPCAPファイルとしてエクスポート
PCAPエクスポート オプションにより、現在の時間範囲のセッションおよびPCAPファイルへのドリルダウン ポイントをダウンロードできます。イベントをPCAPファイルとしてエクスポートするには、次の手順を実行します。
- [イベントの再構築]ツールバーで、[アクション]をクリックします。
- [PCAPのエクスポート]をクリックします。
- 確認ダイアログが表示されます。
- [OK]をクリックします。
ジョブのスケジュールが設定され、完了すると、PCAPが生成されます。PCAPは、[プロファイル]>[ジョブ]タブでダウンロードできます。
再構築されたイベントからのファイルの抽出
イベントに関連するファイルは、[ファイルの抽出]オプションで抽出し、ダウンロードすることができます。ファイルを抽出するには、次の手順を実行します。
- [イベントの再構築]ツールバーで、[アクション]をクリックします。
- [ファイルの抽出]をクリックします。
[ファイルの抽出]ダイアログが表示されます。 - 抽出するファイルのタイプを選択し、[OK]をクリックします。
- ジョブのスケジュールが設定され、完了すると、選択したタイプのファイルが生成されます。このファイルは、[プロファイル]>[ジョブ]タブでダウンロードできます。