Enquêter : Commencer une procédure d'enquête dans la vue Analyse d'événements

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Suite  version 11.1 ou ultérieure.

La vue Analyse d'événements propose la plupart des fonctionnalités disponibles dans la vue Naviguer et la vue Événements. À l'instar de la vue Naviguer, il existe une vue pour les clés méta et les valeurs méta des logs, points de terminaison et paquets. Comme dans la vue Événements, une liste d'événements affiche des événements répertoriés dans l'ordre par heure, et vous pouvez afficher l'événement brut, les métadonnées associées, et la reconstruction d'un événement. La reconstruction de l'Analyse d'événements dispose d'aides visuelles permettant d'identifier les points d'intérêt dans une reconstruction. Consultez la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements

Remarque : Dans la version 11.0, vous ne pouvez pas commencer une procédure d'enquête dans la vue Analyse d'événements. Au lieu de cela, vous commencez la procédure d'enquête dans la vue Naviguer ou dans la vue Événements et ouvrez un événement dans la vue Analyse d'événements. Dans la version 11.1, le sous-menu PROCÉDURE D'ENQUÊTE vous offre un accès direct à la vue Analyse d'événements, avec la possibilité de sélectionner un service différent, une période et de créer une requête.

Accéder à la vue Analyse d'événements (version 11.1 et supérieure)

Plusieurs méthodes permettent d'accéder à la vue Analyse d'événements dans la version 11.1.

  • Lorsque vous utilisez Actions > Accéder à un événement dans Analyse d'événements dans la vue Naviguer et saisissez un ID d'événement, la vue Analyse d'événements ouvre l'événement unique en tant que reconstruction. Pour simplifier l'affichage, la barre d'outils n'inclut pas d'options superflues pour développer, réduire et fermer les fenêtres. Vous pouvez commencer à travailler comme le décrit la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements.
  • Lorsque vous pointez le curseur de la souris sur un nombre (le nombre vert après une valeur méta) dans la vue Naviguer, puis cliquez sur Ouvrir l'analyse d'événements dans un nouvel onglet, la vue Analyse d'événements s'ouvre avec la liste d'événements pour le point de recherche verticale sélectionné et vous pouvez commencer à travailler comme le décrit la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements. La liste d'événements peut être très volumineuse, et il est possible que l'événement que vous avez sélectionné ne soit pas visible dans la page actuelle d'événements. Dans ce cas, un message vous conseille de faire défiler vers le bas pour afficher l'événement.
    Message to scroll down to see an event
  • Vous pouvez également accéder à la vue Analyse d'événements directement en accédant à ENQUÊTER > Analyse d'événements ou ENQUÊTER si vous avez fait de la vue Analyse d'événements celle qui s'ouvre lorsque vous cliquez sur Enquêter. Lorsque vous accédez à la vue Analyse d'événements pour la première fois, vous devez sélectionner un service pour commencer l'analyse. Si ce n'est pas la première fois que vous ouvrez Analyse d'événements, le dernier service utilisé est mémorisé jusqu'à ce que localstrorage soit effacé.
    Lorsque vous ouvrez la vue Analyse d'événements à partir de l'une des autres vues Enquêter, le service et la requête de cette vue s'appliquent. Vous pouvez modifier le service, sélectionner une période et saisir une requête si vous souhaitez affiner les résultats avant d'ouvrir la vue Analyse d'événements, comme décrit dans Filtrer les résultats dans la vue Analyse d'événements.

Pour accéder directement à la vue Analyse d'événements,

  1. accédez à ENQUÊTER > Analyse d'événements.
    La vue Analyse d'événements s'ouvre sur le premier service sélectionné de la liste de services et aucune donnée ne s'affiche. Le champ Sélectionner un service est d'abord renseigné avec le premier service de la liste ou le dernier service sélectionné. Un menu déroulant propose une liste de services disponibles par ordre alphabétique. Par défaut, la liste de services disponibles est extraite toutes les 12 heures et mise en cache dans le serveur NetWitness. Si un service est ajouté ou supprimé sur le serveur NetWitness, le cache est mis à jour avec la toute dernière liste de services. Au début du champ, une icône indique l'état de la requête.
    the database icon et aucun nom de service = aucun service n'est sélectionné.

    the database icon et un nom de service sélectionné = le service est sélectionné.
    spinner icon = Enquêter tente de se connecter au service sélectionné.
    the icon for a service that has not data = Enquêter ne peut pas se connecter au service sélectionné ou il n'y a pas de données. Dans cet état, la commande du sélecteur de services passe également au rouge, et une info-bulle explique pourquoi la tentative de connexion a échoué et vous conseille de choisir un autre service.
    example of the view when Investigate cannot connect to the service
  2. (Optionnel) Sélectionnez un service, en général un Concentrator, dans la liste déroulante.
    the Select a Service drop-down list
    Le sélecteur de période indique soit la période par défaut de 24 heures, soit la période que vous avez sélectionnée pour ce service. Le bouton Interroger des événements devient actif et vous pouvez saisir des filtres. Si vous lancez une requête maintenant, la période sélectionnée est utilisée.
  3. (Facultatif) Pour sélectionner une période à partir du sélecteur de période, cliquez sur le sélecteur de Période et sélectionnez une période dans la liste déroulante. Les options sont les 5, 10, 15 ou 30 dernières minutes, l'heure dernière ou les 3, 6, 12 ou 24 heures dernières, les 2, 5, 7, 14 ou 30 jours derniers, ou Toutes les données. (La période se base sur le jeu de préférences de la vue Analyse d'événements. La base par défaut pour la période est l'heure de la base de données. Vous pouvez la modifier pour le Temps Horloge.)
    La période sélectionnée est stockée dans votre navigateur pour ce service. Vous pouvez définir différentes périodes pour différents services.
    the Select a Time Range drop-down list
  4. Saisissez une requête en créant un ou plusieurs filtres qui contiennent au moins une clé méta ou une entité méta, un opérateur et une valeur facultative. Reportez-vous à la section Filtrer les résultats dans la vue Analyse d'événements pour plus d'informations sur la saisie de requêtes.
  5. Cliquez sur Événements de requête.
    La vue Analyse d'événements affiche l'activité pour le service sélectionné et la période, conformément aux autorisations attribuées à votre rôle par l'administrateur. Avec le service sélectionné et les données chargées, vous êtes prêt à commencer à analyser les données. Reportez-vous à la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements pour savoir comment utiliser la vue Analyse d'événements.

Accédez à la vue Analyse d'événements (version 11.0)

Pour ouvrir un événement dans la vue Analyse d'événements :

  1. Accédez à Naviguer > Événements.
  2. Cliquez avec le bouton droit sur un événement parmi les événements répertoriés, puis sélectionnez Analyse d'événements dans le menu.
    Context Menu in Evenst view to go to Event Analysis

Reportez-vous à la section Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements pour savoir comment utiliser la vue Analyse d'événements.

 

 

You are here
Table of Contents > Commencer une procédure d'enquête > Commencer une procédure d'enquête dans la vue Analyse d'événements

Attachments

    Outcomes