[イベント]ビューでイベントのリストを表示する際、イベントの元の形式と一致する読み取り可能な形式で安全にイベントを再構築することができます。再構築されたイベントの初期ビューには、最適な形式(「最適な表示」)がデフォルトで使用されます。たとえば、WebコンテンツはWebページとして再構築され、IMによる会話はチャットとして表示されます。再構築のデフォルト表示は、[プロファイル]>[環境設定]ビューで各ユーザが変更できます。
イベントのイベントIDがわかっている場合は、[ナビゲート]ビューから再構築を開くこともできます。
再構築では、次のことができます。
- 表示するイベント情報を選択。リクエスト データ、レスポンス データ、またはその両方を選択することができます。
- 再構築のタイプを選択。詳細、テキスト、16進数、パケット、Web、メール、IMのいずれかを選択できます。
- RAWログをエクスポート。
- イベントをPCAPファイルとしてエクスポート。
- イベントから任意のファイルを抽出。
- イベントに関連づけられたすべてのメタ データを抽出。
注意:再構築でファイルへのリンクをクリックするときは気を付けてください。そのファイルに関連づけられているアプリケーションがシステムに含まれる場合、またはブラウザでそのファイルを開くことができる場合、それが悪意のある添付ファイルだと、システムに悪影響を及ぼすことがあります。
- イベントを個別のウィンドウまたはタブで表示(使用しているブラウザの構成により異なる)。
- 現在のビューでプレビューとして再構築を表示している場合、左下隅にあるナビゲーション ボタンで前後のページのイベントに移動することができます。
注:Investigationのアプリケーション パフォーマンスは、管理者が、[再構築の設定]と[再構築キャッシュの設定]で管理できます。アナリストが調査対象のセッションを再構築する場合、パフォーマンスと表示結果に影響を与える要素が2つあります。
イベントによっては、サイズが極めて大きく、ソース パケットが膨大な数に上ることがあります。このようなセッションを再構築すると、アプリケーションのパフォーマンスが低下する可能性があります。
再構築キャッシュの表示内容が不正確である場合があります。このような理由から、1日以上経過したキャッシュは、24時間おきにNetWitness Suiteによって消去されます。日次のキャッシュ クリーニングの合間に特定のアクションを実行すると、古いキャッシュの情報を使用して再構築が行われる可能性があります。管理者は必要に応じて、NetWitness Serverに接続する1つ以上のサービスのキャッシュを手動でクリアできます。
[ナビゲート]ビューからのイベントの再構築
イベントIDがわかっている場合に、イベントを[ナビゲート]ビューから直接再構築できます。このオプションでは、調査の開始時に通常必要となる、クエリの実行は必要ありません。eventidだけを使用してイベントに直接移動できるようにするには、サービスと時間範囲を選択する必要があります。
再構築またはイベント分析を[ナビゲート]ビューから直接表示するには、次の手順を実行します。
- [調査]>[ナビゲート]に移動して、[アクション]>[イベント分析でイベントに移動]または[イベントの再構築でイベントに移動]を選択します。
[イベントに移動]ダイアログが表示されます。ダイアログは2つ(イベント分析用とイベント再構築用に1つずつ)あります。いずれのダイアログでもイベントIDの入力を求められます。
- [イベントID]フィールドにIDを入力して、[実行]をクリックします。
指定したイベントが[イベントの再構築]ビューまたは[イベント分析]ビューで再構築されます。
イベントの再構築
- [イベント]ビューでドリルダウン ポイントを開きます。
- すべてのメタ データを表示するには、
をクリックします。 - 現在のビューで[イベントの再構築]を表示するには、再構築するイベントを選択し、[アクション]>[イベントの表示]>[インライン プレビュー]を選択します。
同じビューに、[イベントの再構築]がポップアップ ウィンドウで表示されます。デフォルトでは、イベントのコンテンツから判断されたイベントに最適な再構築形式か、Investigationの[デフォルト セッション表示]の設定で選択した再構築形式で表示されます。[イベントの再構築]ツールバーのオプションを使用して、再構築方法の変更、複数の結果の並行表示、イベントのエクスポート、メールの添付ファイルの表示、ファイルの抽出、新しいタブでのイベントの表示を行うことができます。ツールバーのオプションは、再構築中のイベントのタイプによって異なります(ネットワーク イベント、ログ イベント、エンドポイント イベント)。これは、ネットワーク イベントの再構築の例です。
- 次のイベントの再構築をプレビューするには
を、前のイベントの再構築をプレビューするには
をクリックします。 - 新しいタブでイベントの再構築を表示するには、次のいずれかを実行します。
- 再構築するイベントを[イベント]ビューで選択し、[アクション]>[イベントの表示]>[新しいタブで開く]を選択します。
- プレビューした再構築の[イベントの再構築]ツールバーで、[イベントを新しいタブで開く]をクリックします。
[イベントの再構築]が新しいタブで表示されます。
セッションを左右/上下に並べて表示
イベントのリクエストやレスポンスの表示方法を選択するには、次の手順を実行します。
- [イベントの再構築]ツールバーで、[セッションを上下に並べて表示]または[セッションを左右に並べて表示]をクリックします。
- ドロップダウン メニューから、イベントに表示する情報を選択します。[セッションを左右に並べて表示]または[セッションを上下に並べて表示
]。選択した情報で、再構築されたイベントが更新されます。
表示するイベント情報の選択
表示するイベント情報を選択するには、次の手順を実行します。
- [イベントの再構築]ツールバーで、[リクエストとレスポンス]をクリックします。
- ドロップダウン メニューから、イベントに表示する情報を選択します。[リクエストとレスポンス]、[リクエスト]、[レスポンス]のいずれかを選択してください。
選択した情報で、再構築されたイベントが更新されます。
イベントの再構築のタイプの選択
イベントの再構築のタイプを選択するには、次の手順を実行します。
- [イベントの再構築]ツールバーで[最適な表示]をクリックします。
- ドロップダウン メニューから、表示する再構築のタイプを選択します。メタ、テキスト、16進数、パケット、Web、メール、ファイルのいずれかを選択できます。
再構築されたイベントが、選択された再構築のタイプで更新されます。
メールの添付ファイルの表示またはダウンロード
ファイルが添付されているメールの再構築を表示するときに、サポートされているファイル タイプを開くか、そのファイルをローカル システムにダウンロードできます。
注意:添付ファイルを選択するときは気を付けてください。添付ファイルに関連づけられているアプリケーションがシステムにインストールされている場合、またはブラウザでそのファイルを開くことができる場合、悪意のある添付ファイルを開くと、システムに悪影響を及ぼす可能性があります。
メールの添付ファイルを表示またはダウンロードするには:
- [イベントの再構築]ツールバーで、[表示]ドロップダウンを選択し、[メールの表示]を選択します。
[イベントの再構築]が表示されます。 - メールの[イベントの再構築]セクションで、添付ファイルをクリックします。
ファイル タイプがブラウザでサポートされている場合は、新しいタブで添付ファイルが開きます。
ファイル タイプがサポートされていない場合は、添付ファイルをダウンロードできるように[ダウンロード]ダイアログが表示されます。
イベントをPCAPファイルとしてエクスポート
PCAPエクスポート オプションにより、現在の時間範囲のセッションおよびドリルダウン ポイントをPCAPファイルにダウンロードできます。イベントをPCAPファイルとしてエクスポートするには、次の手順を実行します。
- [イベントの再構築]ツールバーで、[アクション]をクリックします。
- [PCAPのエクスポート]をクリックします。
- 確認ダイアログが表示されます。
- [OK]をクリックします。
ジョブのスケジュールが設定され、完了すると、PCAPが生成されます。PCAPは、[プロファイル]>[ジョブ]タブでダウンロードできます。
再構築されたイベントからのファイルの抽出
イベントに関連するファイルは、[ファイルの抽出]オプションで抽出し、ダウンロードすることができます。ファイルを抽出するには、次の手順を実行します。
- [イベントの再構築]ツールバーで、[アクション]をクリックします。
- [ファイルの抽出]をクリックします。
[ファイルの抽出]ダイアログ ボックスが表示されます。 - 抽出するファイルのタイプを選択し、[OK]をクリックします。
- ジョブのスケジュールが設定され、完了すると、選択したタイプのファイルが生成されます。このファイルは、[プロファイル]>[ジョブ]タブでダウンロードできます。