Enquêter : Filtrer les résultats dans la vue Naviguer

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Lors d'une procédure d'enquête dans la vue Naviguer, il existe plusieurs méthodes disponibles pour affiner les résultats affichés lorsque des valeurs de clé méta sont chargées dans la vue Naviguer. Les méthodes basiques de filtrage dont disposent les analystes sont les suivantes :

Le reste de cette rubrique est axé sur les méthodes basiques de filtrage des données. En outre, des méthodes plus avancées permettent la configuration de groupes méta, profils et visualisations de coordonnées parallèles.

Une rubrique distincte est fournie pour chacune des méthodes plus avancées.

Définir la période

Lorsque vous menez une procédure d'enquête dans la vue Naviguer, les options de période limitent les résultats renvoyés. Vous pouvez sélectionner :

  • Une période relative à la collection. Les plages relatives à la collection sont basées sur la dernière heure de collecte pour les données.
  • Une période relative au calendrier.
  • Une période personnalisée.
  • Toutes les données.

La période sélectionnée (type) est affichée dans la barre d'outils de la vue Naviguer en tant que libellé Plage horaire ; par défaut, le libellé est 3 dernières heures. L'affichage Période affiche les premier et dernier horodatages pour la période utilisée pour les métadonnées.

Remarque :  La période est basée sur le fuseau horaire configuré dans le panneau Préférences du profil, comme indiqué dans « Définir les préférences utilisateur » dans le Guide de mise en route de RSA NetWitness Suite.

Pour sélectionner une plage horaire intégrée :

  1. Cliquez sur l'option Période dans la barre d'outils de la vue Naviguer. La période par défaut est 3 dernières heures, mais une valeur différente de la liste de sélection, par exemple Toutes les données ou Dernière heure, peut déjà être sélectionnée et utilisée en tant que libellé dans le panneau Options.
    La liste de sélection Période s'affiche.
    Time Range Selection List
  2. Exécutez l'une des opérations suivantes :
    • Si vous souhaitez afficher toutes les données, sélectionnez Toutes les données.
    • Si vous souhaitez définir une période en minutes, heures ou jours relative à la collection, sélectionnez une valeur telle que 10 dernières minutes, 3 dernières heures ou 5 derniers jours.
    • Sélectionnez Hier, Cette semaine(Version 11.1), La semaine dernière (Version 11.1), Toute la journée ou une partie de la journée, telle que Début de matinée, Matin, Après-midi ou Soir.
    • Si vous souhaitez définir une période unique, sélectionnez Personnalisé dans le menu Période et suivez la procédure ci-dessous.
      La période sélectionnée est appliquée aux résultats en cours dans le panneau Valeurs.

Pour spécifier une période personnalisée :

  1. Sélectionnez Personnalisé dans le menu Période.
    Les options de sélection de date s'affichent dans la barre d'outils.
    Custom Time Range
  2. Dans les champs Date de début et Date de fin, procédez comme suit pour spécifier la date et l'heure :
    1. Cliquez sur une date dans le calendrier.
    2. (Facultatif) Sélectionnez l'heure dans les champs Heure, Minute et Seconde, ou cliquez sur Maintenant. La sélection de l'heure est l'heure actuelle par défaut.

Remarque : Si vous spécifiez une heure de début ou de fin personnalisée en secondes, l'heure de début en secondes a toujours la valeur par défaut :00, alors que l'heure de fin en secondes a toujours la valeur par défaut :59. Par exemple, si vous utilisez une valeur temporelle pour effectuer une recherche verticale d'un problème, l'heure de recherche est interprétée sous la forme suivante : « HH:MM:00  HH:MM:59 ». Les secondes s'affichent dans ce format dans les fonctions Procédure d'enquête > Naviguer.

  1. Pour appliquer la plage, cliquez sur OK.
    La période sélectionnée est appliquée aux résultats en cours dans le panneau Valeurs.

Définir la méthode de quantification et trier la séquence des résultats de clé méta

Cette rubrique fournit une procédure pour sélectionner la façon dont les résultats de chaque clé méta sont quantifiés et séquencés dans la vue Naviguer.

Remarque : Si des entités méta (version 11.1 ou supérieure) sont utilisées dans les groupes méta, les résultats afficheront les 20 valeurs qui correspondent le mieux aux clés méta contenues dans l'entité méta.

Chaque section de clé méta dans la vue Naviguer contient une liste classée des valeurs qui affichent chaque valeur de clé méta (Valeur) et son nombre (Total). Vous pouvez indiquer si :

  • Les résultats de chaque section de clé méta sont triés selon la Valeur ou le Total.
  • Les résultats sont triés en ordre croissant ou décroissant.
  • Les valeurs affichées pour chaque clé méta sont quantifiées par le nombre de paquets (Nombre de paquets), le nombre de sessions ou de logs (Quantifier par nombre d'événements) ou la taille des événements (Quantifier par taille d'événement).

Remarque :  Si vous possédez un décodeur de log et un décodeur de paquet pour lequel vous affichez les métadonnées, le calcul des éléments réellement comptés dépend du type de clé. Si vous sélectionnez Quantifier par nombre de paquets et observez les logs, la sortie de la vue Parcourir est identique à celle que vous auriez obtenue en sélectionnant Quantifier par nombre d'événements (voir Vue Naviguer pour plus de détails).

Cette image montre la clé méta Event Type présentée selon le Total dans l'ordre Décroissant. La valeur possédant le plus grand nombre de correspondances est présentée en premier. La valeur failure audit possède 71 correspondances et est répertoriée en premier. La valeur logon ne possède qu'une correspondance et est présentée en dernier. La méthode de quantification est Décompte d'événements.

Meta key in order descending by total

Cette image montre les clés méta Event Type présentées selon la Valeur dans l'ordre Décroissant. Les noms de valeur sont présentés par ordre alphabétique, en commençant par la fin de l'alphabet. La valeur success audit est répertoriée en premier. La valeur connect est présentée en dernier. La méthode de quantification est Décompte d'événements.

Meta key in order descending alphabetically

Pour sélectionner la méthode de quantification du nombre de clés méta et l'ordre des résultats de clé méta affichés dans la vue Naviguer :

  1. Dans la barre d'outils, sélectionnez Décompte d'événements, Taille des événements ou Nombre de paquets et choisissez l'une des options de quantification dans le menu déroulant. Le libellé du menu affiche l'option sélectionnée.
    Quantification Menu
    L'affichage actuel est rechargé selon votre sélection.
  2. Dans la barre d'outils, sélectionnez Total ou Valeur et choisissez l'une des méthodes de classement dans le menu déroulant. Le libellé du menu affiche l'option sélectionnée.
    Order Menu
    L'affichage actuel est rechargé selon votre sélection.
  3. Dans la barre d'outils, sélectionnez Croissant ou Décroissant et choisissez l'une des options d'ordre de tri dans le menu déroulant. Le libellé du menu affiche l'option sélectionnée.
    L'affichage actuel est rechargé selon votre sélection.
    Sort Menu

Gérer et appliquer des clés méta par défaut dans une procédure d'enquête

Lorsque les analystes mènent une procédure d'enquête sur les données capturées, un ensemble de clés méta par défaut est chargé et affiché dans une séquence par défaut dans la vue Naviguer > panneau Valeurs. Le contenu par défaut et la séquence sont basés sur les clés méta pour le service en cours d'étude. Les analystes peuvent spécifier les clés méta à afficher pendant la navigation en sélectionnant les clés méta par défaut ou en sélectionnant un groupe de clés méta définies par l'utilisateur, ce qui offre une grande souplesse pour définir les clés méta. Cela peut aider à approfondir la recherche des données souhaitées et à réduire le temps de chargement en empêchant le chargement des méta qui n'ont pas d'intérêt pour la procédure d'enquête en cours.

Remarque : Dans la version 11.1 ou supérieure, chaque fois que les clés méta sont utilisées, vous pouvez également utiliser des entités méta configurées.

Si aucun groupe de méta personnalisé n'est effectif, la vue Naviguer est affichée avec la visibilité des clés méta spécifiées dans la boîte de dialogue Clés méta par défaut. Pour optimiser le chargement des clés méta dans la vue Naviguer > panneau Valeurs, NetWitness Suite n'ouvre pas les clés méta non indexées par défaut. Lorsque vous ouvrez une clé méta non indexée dans la vue Valeurs, NetWitness Suite commence à charger les valeurs de cette clé méta. Si le temps de chargement est excessif, un message d'expiration met fin au chargement de la clé méta. Les titres, les valeurs et les nombres des clés méta non indexées ne sont pas accessibles dans le panneau Valeurs. Un étiquetage supplémentaire dans la procédure d'enquête identifie les clés méta non indexées.

Pour sélectionner les clés méta à appliquer à votre procédure d'enquête, vous pouvez :

  • Sélectionner les clés méta par défaut.
  • Sélectionner un ensemble de clés méta définies par l'utilisateur, appelé métagroupe.

Remarque :  Une fois créés, les métagroupes définis par l'utilisateur peuvent être modifiés, supprimés, importés pour être utilisés sur d'autres services, et importés dans le service concerné par la procédure d'enquête. Toutes ces procédures sont fournies dans une rubrique distincte : Gérer les groupes méta.

La boîte de dialogue Clés méta par défaut vous permet de spécifier la vue par défaut et la séquence d'affichage des clés méta pendant la navigation dans Enquêter > vue Naviguer pour un service spécifique. Pour chaque clé ou pour toutes les clés, vous pouvez définir la vue par défaut :

  • Masqué : Les résultats d'une clé méta par défaut sont masqués et ne peuvent pas être chargés.
  • Ouvert : Les résultats d'une clé méta par défaut sont ouverts avec toutes les valeurs et les nombres affichés.
  • Fermé : Les résultats d'une clé méta par défaut sont fermés avec uniquement le nom du méta visible.
  • Auto : Le chargement des clés méta par défaut doit être indexé par la valeur, autrement dit, il est contrôlé par le niveau d'index. 

Lorsque vous utilisez les clés méta par défaut, sachez qu'elles peuvent être modifiées pour les différents services, et qu'il se peut que vous ne visualisiez pas le même ensemble de clés méta par défaut lors de la navigation à un point de recherche verticale sur les différents services. Si vous ne voyez pas les données souhaitées, vous devrez peut-être modifier l'affichage initial des clés méta par défaut.

Lorsque vous modifiez l'état initial des clés méta par défaut à partir de la vue Naviguer, la modification reste appliquée à ce service. Lorsque de nouvelles clés sont ajoutées au fichier d'index personnalisé pour un service Core (par exemple, concentrator-custom-index.xml ou decoder-custom-index.xml), les nouvelles clés sont ajoutées à la liste des clés méta par défaut. Les modifications apportées à la vue Naviguer s'appliquent uniquement au service actif.

Pour spécifier que la vue Naviguer initiale s'ouvre à l'aide des clés méta par défaut :

  1. Accédez à ENQUÊTER > Parcourir.
  2. Sélectionnez un service puis Naviguer.
  3. Dans le menu Méta, sélectionnez Utiliser les clés méta par défaut.
    Si une procédure d'enquête est déjà en cours, les données seront rechargées dans la vue active et une icône mettra en évidence l'option sélectionnée. Si aucune donnée n'est encore chargée, les clés méta par défaut seront utilisées pour le chargement suivant.

Configurer les clés méta par défaut

Pour configurer la vue par défaut des clés méta dans la vue Naviguer :

  1. Dans la barre d'outils de la vue Naviguer, sélectionnez Méta > Gérer les clés méta par défaut.
    La boîte de dialogue Gérer les clés méta par défaut s'affiche avec la liste des clés méta disponibles pour le service.
    This is the Manage Default Meta Keys dialog
  2. (Facultatif) Pour modifier l'ordre des clés, sélectionnez une ou plusieurs clés, puis faites glisser les valeurs de la liste des clés vers le haut ou vers le bas.
  3. Exécutez l'une des opérations suivantes :
    • (Facultatif) Pour modifier l'affichage par défaut pour toutes les clés méta, assurez-vous qu'aucune clé n'est sélectionnée, puis dans la barre d'outils, sélectionnez Option Drop-down Menu.
    • (Facultatif) Pour modifier l'affichage par défaut pour une ou plusieurs clés, sélectionnez les clés et dans la barre d'outils, sélectionnez Options Drop-down Menu.
      Un menu déroulant des vues initiales possibles pour toutes les clés méta par défaut s'affiche.
    • (Facultatif) Pour restaurer la vue par défaut des clés méta comme spécifié dans le fichier d'index du service, vérifiez qu'aucune clé n'est sélectionnée, puis dans la barre d'outils sélectionnez Options Drop-down Menu > Auto.
      Lorsque vous modifiez les clés méta par défaut pour une clé méta non indexée, vous ne pouvez pas définir la clé sur OUVERT. Si vous modifiez la vue par défaut d'un groupe de clés méta sur OUVERT et si certaines des clés méta ne sont pas indexées, ces dernières reprennent la valeur AUTO. La clé méta est donc automatiquement chargée uniquement si elle est indexée, et les clés méta non indexées adoptent l'état FERMÉ jusqu'à ce qu'elles soient ouvertes manuellement.
  4. Sélectionnez l'une des vues.
  5. Pour enregistrer les modifications, cliquez sur Appliquer.
    Les clés méta affichées dans la vue Naviguer sont définies en fonction de vos spécifications. Si les clés méta par défaut sont masquées, leurs valeurs n'apparaîtront pas du tout dans la procédure d'enquête. Si les clés méta par défaut sont fermées, leurs valeurs ne seront pas chargées par défaut, mais vous pourrez les charger individuellement et manuellement dans la vue Naviguer.

Effectuer une recherche verticale dans les données au sein du graphique chronologique de la vue Naviguer

La visualisation Graphique chronologique permet aux analystes de visualiser l'activité dans le temps. Vous pouvez explorer les données en sélectionnant une période et l'option Examiner. Vous pouvez ensuite réinitialiser la navigation à la période effective avant l'analyse.

  1. Accédez à ENQUÊTER > Naviguer.
    Le graphique chronologique pour le point d'extraction actuel et la période sélectionnée s'affiche.
    Navigate view Time Chart Visualization
  2. Pour mettre en surbrillance une période sur le graphique chronologique, cliquez sur la période souhaitée et faites glisser la souris.
    Le graphique chronologique est redessiné pour la période sélectionnée, mais les valeurs méta restent inchangées.
  3. Pour effectuer une recherche verticale dans les données pour la plage sélectionnée, cliquez sur Examiner.
    L'URL est mise à jour pour refléter le changement de période et le panneau des options de procédure d'enquête est mis à jour pour refléter la période personnalisée. Le graphique chronologique est redessiné et les métavaleurs sont chargées pour la période sélectionnée.
  4. Pour réinitialiser le graphique chronologique à la période d'origine, cliquez sur Réinitialiser le zoom.
    L'URL est mise à jour pour refléter l'URL d'origine avant l'analyse des données et le panneau des options de procédure d'enquête est mis à jour pour refléter la période sélectionnée avant l'analyse. Le graphique chronologique est redessiné pour la période sélectionnée et les métavaleurs sont chargées pour cette période.

Effectuer une recherche verticale dans les données dans le panneau Valeurs

NetWitness Suite affiche l'activité et les valeurs du service sélectionné dans la vue Procédure d'enquête > Naviguer. Pour rechercher des données, les analystes effectuent une recherche verticale dans les données en cliquant sur une clé méta ou une valeur méta, qui est traitée comme une requête. Dans le panneau Valeurs, chaque requête est ajoutée aux données du fil d'Ariane. Cela entraîne l'affichage d'un fil d'Ariane en haut avec un fil pour chaque requête. Vous pouvez modifier le fil d'Ariane pour insérer ou supprimer une requête.

Effectuer une recherche verticale dans un sous-ensemble de métadonnées :

  1. Lancez une procédure d'enquête pour afficher les métadonnées dans la vue Naviguer.
    Navigate view with metadata in the values panel
  2. Pour effectuer une recherche verticale dans les métadonnées, effectuez une ou plusieurs des opérations suivantes :
    1. Cliquez sur une clé méta, par exemple, Type de service.
    2. Cliquez sur une valeur méta, le texte en bleu dans les résultats. Par exemple, AUTRE.
      Chaque fois que vous cliquez sur une clé méta ou une valeur méta, la requête de procédure d'enquête pivote vers un point focal ou un point de recherche verticale rétréci, au sein des données. À chaque point de recherche verticale, le panneau Valeurs est mis à jour et le nouveau point de recherche verticale s'affiche dans le fil d'Ariane. Voici un exemple du premier fil.
      First breadcrumb
      Ceci est l'exemple d'un long fil d'Ariane qui ne rentre pas dans la barre d'outils. La dernière requête qui s'insère est suivie d'un menu déroulant qui répertorie les requêtes supplémentaires. Pour sélectionner un point de recherche verticale dans le dépassement de capacité, cliquez sur l'icône correspondante et sur une requête dans la liste déroulante.
      Overflow drop-down

Pour ajouter une requête au fil d'Ariane :

Dans le fil d'Ariane, vous pouvez cliquer sur l'un des fils pour afficher le menu Requête. Vous pouvez insérer une nouvelle requête avant un fil et en ajouter une nouvelle à la fin d'un fil. Après chaque modification dans le fil, NetWitness Suite actualise les résultats.

Pour ajouter une requête au fil d'Ariane :

  1. Cliquez sur un fil.
    Le menu Fil d'Ariane s'affiche.
    Breadcrumb menu
  2. Pour ajouter une requête au fil d'Ariane, sélectionnez Ajouter ou Insérer avant.
    La boîte de dialogue Créer un filtre s'affiche.
    Create Filter dialog
  3. Créez la requête comme décrit dans la rubrique Créer une requête personnalisée.

Pour modifier une requête dans le fil d'Ariane :

Dans le fil d'Ariane, vous pouvez cliquer sur l'un des fils pour afficher le menu Requête. Vous pouvez supprimer un fil et modifier une requête dans un fil. Après chaque modification dans le fil, NetWitness Suite actualise les résultats.

Pour utiliser les requêtes dans le fil d'Ariane :

  1. Cliquez sur un fil.
    Le menu Fil d'Ariane s'affiche.
    Breadcrumb menu
  2. Pour modifier une requête dans le fil d'Ariane, sélectionnez Modifier.
    La boîte de dialogue Créer s'affiche avec la requête sélectionnée ouverte à des fins de modification.
    Edit Filter dialog
  3. Modifiez les champs comme décrit dans la rubrique Créer une requête personnalisée.

Pour effectuer une recherche rapide dans une clé méta :

  1. Déplacez la souris sur une section de clé méta, puis cliquez sur la loupe.
    Le formulaire Recherche rapide, qui contient un comparateur et un opérande facultatif pour la recherche, s'affiche.
    Quick Search form
  2. (Facultatif) Si vous souhaitez fermer le formulaire de recherche, cliquez de nouveau sur la loupe.
  3. Sélectionnez l'opération dans la liste déroulante située à gauche, puis saisissez la valeur du texte à rechercher. Ensuite, cliquez sur Recherche verticale pour effectuer l'opération.
    Les métadonnées de cette clé méta servent à effectuer une recherche verticale dans les métadonnées actuelles.

Pour afficher des informations sur la clé méta :

Pour consulter les détails relatifs à une clé méta, en particulier le nom de la clé, le niveau d'index défini pour afficher la clé méta, ainsi que la vue par défaut définie pour la clé méta :

  1. Cliquez sur le menu déroulant en regard de la clé méta. Ces deux chiffres affichent le menu déroulant pour la version 11.0.0.x et 11.1 ou supérieure.
    Meta Key drop-down et Meta key drop-down for Version 11.1
  2. Sélectionnez Info sur la clé méta.
    La boîte de dialogue Info sur la clé méta s'affiche.
    the Meta Key Information dialog
  3. Lorsque vous avez terminé de la consulter, cliquez sur Close icon.
  4. (Facultatif pour la version 11.0) Pour afficher les noms des méta trouvés pour la clé méta sous la forme d'une liste de valeurs séparées par des virgules, cliquez sur le menu déroulant en regard de la clé méta et sélectionnez Afficher comme CSV.
    La boîte de dialogue Affichage des valeurs au format CSV s'affiche. Lorsque vous avez terminé de la consulter, cliquez sur Fermer.
  5. (Facultatif pour la version 11.1) Pour afficher les noms des méta trouvés pour la clé méta sous la forme d'une liste, cliquez sur le menu déroulant en regard de la clé méta et sélectionnez Exporter des valeurs.
    La boîte de dialogue Exporter des valeurs s'affiche.
    the Export Values dialog
  6. (Facultatif) Si vous souhaitez masquer les résultats de la clé méta au niveau du point de recherche verticale actif, cliquez sur le menu déroulant en regard de la clé méta, puis cliquez sur Masquer les résultats.

Pour afficher des événements associés à une valeur méta :

La vue Événements fournit des détails supplémentaires sur un événement en deux points de vue différents : Liste des événements et vue Détails.

  1. Dans la vue Naviguer, effectuez une recherche verticale dans les métadonnées sur lesquelles votre procédure d'enquête est axée.
  2. Cliquez sur le nombre (en vert) en regard de la valeur méta bleue.
    La vue Événements correspondant au point de recherche verticale actif s'affiche.
    Les opérations que vous pouvez effectuer dans la vue Événements sont décrites dans Examiner les événements bruts dans la vue Événements.

Pour rechercher des événements spécifiques associés à une valeur méta :

  1. Dans la vue Naviguer, effectuez une recherche verticale dans les métadonnées qui font l'objet de votre investigation (cliquez sur une valeur méta ou ajoutez une requête).
  2. Saisissez une chaîne de recherche dans le champ Rechercher et appuyez sur Entrée ou cliquez sur Rechercher.
    Vous pouvez également sélectionner et définir des préférences pour le mode de recherche. Consultez Rechercher des modèles de texte pour obtenir des informations détaillées sur la recherche.
    La vue Événements s'ouvre dans un nouvel onglet et affiche les résultats de la recherche. Si vous ne voyez pas le terme de recherche mis en surbrillance, cliquez sur Afficher les méta supplémentaires. Votre sélection de période et vos recherches verticales (requêtes) sont reportées dans la vue Événements.
    Events view

Pour afficher une valeur méta sélectionnée dans RSA Live :

  1. Dans la vue Naviguer, effectuez une recherche verticale dans les métadonnées sur lesquelles votre procédure d'enquête est axée.
  2. Cliquez avec le bouton droit de la souris sur une valeur méta (le texte en bleu).
    Le menu déroulant Valeur méta s'affiche.
  3. Pour rechercher la métavaleur dans RSA Live, sélectionnez Recherche dans Live.
    La vue Live Search s'affiche avec la valeur méta saisie dans le champ Valeurs méta générées ; elle est prête pour une recherche.

    Live Search View

Pour recentrer la procédure d'enquête sur un point de recherche verticale :

  1. Cliquez avec le bouton droit de la souris sur une valeur méta (le texte en bleu).
    Le menu déroulant Valeur méta s'affiche.
    Meta value drop-down menu
  2. Choisissez l'une des options de recentrage.
    La recherche verticale est recentrée en fonction de votre choix.

Pour rechercher un nombre spécifique dans un nouvel onglet :

Pour afficher le nombre d'une valeur méta dans un nouvel onglet ou pour afficher un Geomap des emplacements de la valeur méta sélectionnée :

  1. Cliquez avec le bouton droit sur un nombre correspondant à une valeur méta (le nombre en vert suivant la valeur méta en bleu).
    Le menu contextuel s'affiche.
  2. (Facultatif) Pour ouvrir une procédure d'enquête distincte pour la valeur méta spécifique, sélectionnez Ouvrir dans un nouvel onglet.
  3. (Facultatif) Pour ouvrir un Geomap affichant les emplacements d'origine de la valeur méta choisie, sélectionnez Emplacements de géo-mappage dans un nouvel onglet.
You are here
Table of Contents > Procédure d'enquête relative aux métadonnées dans la vue Naviguer > Filtrer les résultats dans la vue Naviguer

Attachments

    Outcomes