Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:イベントの再構築と分析

Document created by RSA Information Design and Development Employee on Oct 19, 2018Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 4Show Document
  • View in full screen mode
 

[ナビゲート]ビューまたは[イベント]リストでイベントを絞り込んだら(「結果セットの絞り込み」を参照)、次のステップは、イベントの再構築、添付ファイルの確認、サード パーティ ルックアップまたは内部ルックアップでの追加コンテキストの表示を行って、イベントについて詳しく理解することです。

再構築は[イベント]ビューまたは[レガシー イベント]ビューで行います。[ナビゲート]ビューから開始する場合は、[イベント]ビューまたは[レガシー イベント]ビューに移動して再構築を表示する必要があります。

注: [レガシー イベント]ビューはデフォルトで無効になっています。管理者は、『システム構成ガイド』の「調査の設定の構成」の説明に従って有効にすることができます。

[イベント]ビューでイベントを表示するには、次のいずれかを実行します。

  1. 調査]>[イベント]に移動します。
  2. [調査]>[ナビゲート]に移動して、メタ値のメタ数を右クリックします(メタ数は緑のテキストで表示されます)。コンテキスト メニューが表示されたら、[イベントを新しいタブで開く]を選択します。
    [イベント分析を新しいタブで開く]オプションと[イベントを新しいタブで開く]オプション
    [イベント]ビューが開き、選択したメタ値のイベントのリストが表示されます。 
    イベント リストが開いている[イベント]ビューの例

このビューで使用できる再構築と分析のタイプの詳細については、「[イベント]ビューでのイベント詳細の調査」を参照してください。

[レガシー イベント]ビューでイベントを表示するには、次のいずれかを実行します。

  1. デフォルトのサービスでデフォルト クエリを使用して[レガシー イベント]ビューを開くには、[調査]>[レガシー イベント]に移動します(このオプションは、管理者が表示を有効にしている場合にのみ使用できます)。
  2. 特定のメタ値のイベントを[レガシー イベント]ビューに表示するには、[調査]>[ナビゲート]に移動して、値パネルにイベントがロードされたら、メタ数をクリックします(メタ数は緑のテキストで表示されます)。メタ値のメタ数を右クリックすることもできます。コンテキスト メニューが表示されたら、[レガシー イベントを新しいタブで開く]をクリックします。
    選択したメタ値のイベントが[レガシー イベント]ビューに表示されます。[レガシー イベント]ビューには、詳細ビュー、リスト ビュー、ログ ビューという、標準提供の3種類の表示形式でイベント データを表示できます。この図は詳細ビューの例です。[レガシー イベント]ビューに表示されるイベントをフィルタリングするには、クエリ、時間範囲設定、プロファイルを使用します。ファイルの抽出、イベントのエクスポート、ログのエクスポートを行うことができます。また、イベントをダブル クリックすると、[イベントの再構築]パネルが開きます。これらの機能の詳細については、「結果のダウンロードと処理」を参照してください。
    NetWitness Platformは、デフォルトのサービス(設定されている場合)の直近3時間についてデフォルト クエリを実行するか、またはサービスを選択するダイアログを表示してからデフォルト クエリを実行します。デフォルト クエリではすべてのイベントが選択され、選択したサービスのイベントが古い順に[イベント]ビューに表示されます。 
    [レガシー イベント]ビュー
  3. リスト内の最初のイベントの再構築を表示するには、そのイベントをダブルクリックします。
    [イベント]リストの前のポップアップ ウィンドウに再構築が表示されます。
    メール再構築の例

You are here
Table of Contents > イベントの再構築と分析

Attachments

    Outcomes