調査:[イベント]ビューのフィルタおよび検索結果

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

アナリストは、[イベント]ビューで結果をフィルタ処理できます。そして、イベントを検索したり、イベントを表示するサービスを選択したりして、時間範囲を設定し、メタ データのクエリを実行することができます。 

[ナビゲート]ビューのドリルダウン ポイントから[イベント]ビューを開くと、デフォルトでイベントの詳細ビューが表示されます。[ナビゲート]ビューを使用する権限がないアナリストは、[イベント]ビューからサービスに直接クエリを実行できます [イベント]ビューに表示される情報をフィルタするための構成オプションがいくつか用意されています。

注:[イベント]ビューでサービスとしてArchiverを選択して検索を実行した場合は、BrokerまたはConcentratorを対象に検索を実行した場合よりも検索速度が遅くなります。通常、Archiver上のデータは圧縮され、より多くのデータが存在するためです。

[イベント]ビューに表示されるイベントのフィルタリング

[イベント]ビューに表示されるデータをフィルタリングするには、次の手順を実行します。

  1. Investigate]ビューで[イベント]ビューを選択します。
    [イベント]ビューが表示されます。
    Events Detail view
  2. デフォルト([直近3時間])以外の時間範囲を選択するには、ツールバーで[時間範囲]フィールドをクリックし、値を選択します。たとえば、[直近1時間]を選択します。
    選択した時間範囲で[イベント]ビューが更新されます。
  3. 選択したサービスと時間範囲を対象としたクエリを入力するには、ツールバーで、[クエリ]をクリックします。
    [シンプル]ダイアログが表示されます。
    Simple Query dialog
  4. オートコンプリート機能を使用してメタと演算子を選択し、シンプルなクエリを入力する場合は、次のいずれかを実行します。
    1. メタの選択]フィールドをクリックし、ドロップダウン リストからメタ キーを選択します。
    2. 演算子]フィールドで、ドロップダウン リストから演算子を選択します。
    3. 値]フィールドに、値を入力します。
    4. ネットワーク]データ、[ログ]データ、[エンドポイント]データのいずれかを選択して、[適用]をクリックします。
      条件に一致するデータが[イベント]ビューに表示されます。
  5. メタと演算子の知識があり、より複雑なクエリを入力する場合:
    1. 詳細設定]をクリックします。
      [詳細]ダイアログが表示されます。
      Advanced Query dialog
    2. クエリを入力します。クエリでメタ キーの先頭文字を入力すると、使用可能なメタ キーと演算子のドロップダウン リストが表示されます。終了したら、[適用]をクリックします。 
  6. 最近実行したクエリのリストからクエリを選択する場合:
    1. 最近実行したクエリ]を選択します。
      [最近実行したクエリ]ダイアログが表示されます。
      Recent Query dialog
    2. クエリを選択し、[適用]をクリックします。
      [イベント]ビューの詳細ビューに、一致するクエリ結果が表示されます。該当するクエリが階層リンクに反映されます。
    3. 階層リンクにある任意のクエリをクリックすると、クエリ メニューを表示できます。クエリの前に新しいクエリを挿入することや、階層リンクの末尾に新しいクエリを追加することができます。階層リンクを編集すると、その都度、NetWitness Suiteによって結果が更新されます。

[イベント]ビューでのイベントの検索

[イベント]ビューに表示されているデータから検索を実行するには、[検索]フィールドに検索文字列を入力します。検索文字列は、regex(正規表現)で入力することも、単純なテキストで入力することもできます。これらの検索タイプの詳細については、「」で説明しています。

[イベント]ビューに表示されているデータを検索するには、次の手順を実行します。

  1. 検索を実行するには、[イベントの検索]ボックスにカーソルを移動し、検索文字列を入力して、Enterキーを押すか[検索]をクリックします。
    検索結果が[イベント]ビューに表示されます。検索条件に一致するイベントが、[イベント]ビューのグリッドに表示されます。詳細ビューとリスト ビューでは、一致した文字列が[詳細]列にハイライト表示されます。加えて、RAWを検索対象とした場合、一致した文字列が、ログ ビューの[ログ]列にハイライト表示されます。以下の例は、[イベント]の詳細ビューで「India」を検索した結果を示しています。[イベントの再構築]では、検索条件との一致がハイライト表示されないことに注意してください。
    Events Detail view after searching for "India"
  2. 検索を絞り込むには、クエリと時間を変更します(前掲の「[イベント]ビューに表示されるイベントのフィルタリング」を参照)。
  3. 検索を中止して[イベント]ビューに戻る場合は、[キャンセル]をクリックします。
    表示されている結果はそのままとなります。
  4. 検索ボックスをクリアして通常の[イベント]ビューに戻るには、検索ボックスの[X]をクリックします。
You are here
Table of Contents > [イベント]ビューでのRAWイベントの調査 > [イベント]ビューのフィルタおよび検索結果

Attachments

    Outcomes