Enquêter : Filtrer les résultats dans la vue Analyse d'événements

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Remarque : Les informations de cette rubrique s'appliquent à RSA NetWitness® Suite  version 11.1 ou ultérieure.

Dans NetWitness Suite version 11.0, vous envoyez une requête dans la vue Naviguer ou Événements, et lorsque vous accédez à la vue Analyse d'événements, un fil d'Ariane en lecture seule affiche la requête soumise. Vous devez revenir à la vue Vue Événements ou la vue Naviguer si vous souhaitez saisir une requête différente.

Dans la version 11.1 ou supérieure, un générateur de requête renseigne le fil d'Ariane interactif dans la vue Analyse d'événements afin que vous puissiez créer et modifier chaque filtre <meta key> <operator> <meta value> dans le fil d'Ariane. En outre, vous pouvez sélectionner un service et une période différente sans revenir à la vue Naviguer ou Événements. Le reste de cette section fournit des informations sur l'utilisation des fonctions du Générateur de requête version 11.1.

Comment fonctionne le fil d'Ariane ?

Lorsque vous cliquez sur l'option Analyse d'événements sous Enquêter pour ouvrir la vue, le sélecteur de service et de période s'affiche. Par défaut, le premier service est sélectionné automatiquement (sauf si vous avez sélectionné précédemment un service et si le service sélectionné se trouve dans localStrorage). Si vous ne sélectionnez pas de période, la période par défaut est utilisée. Le champ Générateur de requête est un champ vide à droite de la période. La figure suivante illustre le fil d'Ariane avec uniquement un service et une période sélectionnée.

Empty query builder field in the Event Analysis view

Lorsque vous ouvrez la vue Analyse d'événements à partir de la vue Événements ou Naviguer, le service, la période et tous les filtres qui ont été sélectionnés dans la vue Événements ou Naviguer s'affichent dans le fil d'Ariane. Le service, la période et les filtres individuels peuvent être modifiés.

Remarque : Le Générateur de requête ne prend en charge que les filtres simples sous la forme <meta key><operator><meta value>. Si la vue Événements ou la vue Naviguer dispose d'un filtre avec plus d'un opérateur (||,&&, (), REGEX, ou LENGTH), le filtre est ajouté, mais la modification n'est pas prise en charge dans la vue Analyse d'événements.

Lorsque vous créez des filtres dans le Générateur de requête, le fil d'Ariane est mis à jour avec chaque filtre dans un champ modifiable. Lorsque vous exécutez la requête, AND est attribué à tous les filtres pour générer les résultats. La requête n'est envoyée que si vous cliquez sur Interroger des événements. Les filtres s'alignent de gauche à droite, selon l'ordre dans lequel ils ont été créés. Chaque filtre est une expression simple sous la forme <meta key> <operator> <optional value>. Si plusieurs filtres sont ajoutés et ne peuvent pas être affichés sur une seule ligne, ils s'affichent sur une autre ligne et la zone de saisie s'étend verticalement de façon à ce que tous les filtres soient visibles sans défilement vers la droite.

Lorsque vous créez et modifiez des filtres, vous obtenez une assistance sous forme de suggestions en saisie semi-automatique qui n'affichent que des clés méta et des opérateurs valides dans la liste déroulante. Vous pouvez effectuer une saisie ou une sélection dans la liste déroulante. Dans la liste déroulante, les opérateurs dont l'exécution prend plus de temps sont accompagnés d'une icône de chronomètre. Les filtres non valides sont encadrés en rouge et si vous passez la souris sur le filtre, un message expliquant l'erreur s'affiche.

Le bouton Interroger des événements se trouve sur le côté droit de la saisie du fil d'Ariane et il apparaît lorsqu'une saisie de requête est nécessaire. De nouveaux filtres s'appliquent lorsque vous cliquez sur Interroger des événements.

Remarque : Si vous modifiez le service, un appel réseau de données de reconstructions ou le panneau Événements (par exemple, Charger davantage) utilise les filtres précédemment utilisés pour le service/période/métadonnées. Il continue à utiliser les paramètres de la requête précédente jusqu'à ce que vous soumettiez la nouvelle requête. Lorsqu'un jeu de résultats est chargé et que vous modifiez le service, la période ou un filtre, le bouton Interroger des événements devient bleu, ce qui indique que les données de la vue sont obsolètes. Même si vous commencez à modifier l'un des paramètres, puis décidez de ne continuer, le bouton Interroger des événements devient bleu, ce qui indique que vous devez renvoyer la requête.

Actions du clavier à utiliser dans le fil d'Ariane

Le fil d'Ariane est conçu pour permettre la saisie, la modification et la suppression de filtres à l'aide du clavier, sans avoir à utiliser de pointeur. Bien que l'utilisation du pointeur soit possible, vous pouvez garder les doigts sur le clavier. Ce tableau identifie les actions du clavier disponibles lorsque le curseur se trouve dans la partie du Générateur de requête du fil d'Ariane. Celles-ci ne s'appliquent pas au sélecteur de service et de période.

                                                               
ActionSaisie clavier
Mettre à jour l'URL et renvoyer la requête.En pointant le Générateur de requête, appuyez sur Entrée.
Sélectionner le filtre situé immédiatement à gauche, s'il existe.Sans aucune sélection dans le Générateur de requête, appuyez sur la touche de la flèche vers la gauche.
Sélectionner le filtre situé immédiatement à droite, s'il existe.Sans aucune sélection dans le Générateur de requête, appuyez sur la touche de la flèche vers la droite.
Insérer un nouveau filtre immédiatement à gauche du filtre sélectionné.Lorsqu'un filtre est sélectionné, appuyez sur la touche de la flèche vers la gauche.
Insérer un nouveau filtre immédiatement à droite du filtre sélectionné.Lorsqu'un filtre est sélectionné, appuyez sur la touche de la flèche vers la droite.
Insérer un nouveau filtre immédiatement à droite du filtre sélectionné et l'ouvrir pour le modifier.Lorsqu'un filtre est sélectionné, appuyez sur les touches Maj + Flèche vers la gauche.
Insérer un nouveau filtre immédiatement à droite du filtre sélectionné et l'ouvrir pour le modifier.Lorsqu'un filtre est sélectionné, appuyez sur les touches Maj + Flèche vers la droite.
Sélectionner tous les filtres à droite du filtre actuel.Lorsqu'un filtre est sélectionné, appuyez sur les touches Maj + Flèche vers le bas.

Sélectionner tous les filtres à gauche du filtre actuel.

Lorsqu'un filtre est sélectionné, appuyez sur les touches Maj + Flèche vers le haut.

Désélectionner tous les filtres.Lorsqu'un filtre est sélectionné, appuyez sur la touche Échap.

Supprimer tous les filtres sélectionnés.

Lorsque des filtres sont sélectionnés, cliquez avec le bouton droit > Supprimer les filtres sélectionnés, appuyez sur Supprimer ou sur Retour arrière.

Mettre à jour la requête avec uniquement les filtres sélectionnés.Lorsque des filtres sont sélectionnés, cliquez avec le bouton droit > Requête avec des filtres sélectionnés.

Ouvrir un nouvel onglet avec les filtres sélectionnés.

Lorsque des filtres sont sélectionnés, cliquez avec le bouton droit > Requête avec des filtres sélectionnés dans un nouvel onglet.

Ajouter un filtre au fil d'Ariane

Pour filtrer les données affichées dans la vue Analyse d'événements :

  1. Accédez à la vue Analyse d'événements.
  2. Pour insérer un filtre, cliquez dans le champ vide du Générateur de requête, ou avant ou après un filtre existant.
    Si le point d'insertion se trouve entre deux filtres, un point vert marque le point d'insertion. Si le point d'insertion se trouve à la fin du fil d'Ariane existant, le champ de saisie de filtre s'ouvre. Il s'agit d'un champ vide du Générateur de requête.
    Empty query builder field in the Event Analysis view

  3. Cliquez sur le point d'insertion et un menu déroulant répertorie les clés méta disponibles pour le nouveau filtre. Les clés méta disponibles sont transmises par le service qui fait l'objet de la procédure d'enquête. Si vous commencez la saisie, la liste est mise à jour pour filtrer les clés méta.
    the Meta Key drop-down list

  4. Pour sélectionner une clé méta, effectuez l'une des actions suivantes :

    1. S'il n'existe qu'une seule option dans le menu déroulant, appuyez sur la barre d'espacement.
    2. S'il existe deux options ou plus dans le menu déroulant, cliquez sur la clé méta ou utilisez la flèche vers le haut/bas et appuyez sur Entrée.
    3. Saisissez la clé méta et un espace. Lorsque vous saisissez la clé méta, la liste est encore mise à jour.
      Lorsqu'une clé méta est sélectionnée, une liste d'opérateurs valides pour la clé méta sélectionnée s'affiche. Les opérateurs dont l'exécution prend plus de temps sont accompagnés d'une icône de chronomètre.
      the operators drop-down list with a stopwatch marking operators that take more time to query
  5. Pour sélectionner un opérateur, effectuez l'une des actions suivantes :

    1. S'il n'existe qu'une seule option dans le menu déroulant, appuyez sur la barre d'espacement.
    2. S'il existe deux options ou plus dans le menu déroulant, cliquez sur l'opérateur ou utilisez la flèche vers le haut/bas et appuyez sur Retour.
    3. Saisissez l'opérateur et appuyez sur Entrée.
      La liste déroulante se ferme et vous pouvez ajouter une valeur si l'opérateur accepte une valeur.
  6. (Facultatif) Saisissez une valeur et appuyez sur Entrée.

  7. Pour créer le filtre, appuyez sur Entrée. Si vous cliquez n'importe où en dehors du cadre avant d'appuyer sur Entrée, le filtre n'est pas créé.
    Le nouveau filtre est inséré et le curseur est recentré après le dernier filtre.
    Si le filtre comporte une erreur, il est signalé en rouge. Vous pouvez passer le curseur sur le filtre pour afficher une infobulle expliquant l'erreur.
  8. Corrigez tous les filtres qui présentent des erreurs.
  9. Lorsque vous êtes prêt à exécuter la requête dans le fil d'Ariane, cliquez sur Interroger des événements.
  10. La Liste d'événements est actualisée pour refléter la requête.

Modifier un filtre dans le fil d'Ariane

Pour modifier un filtre dans le Générateur de requête :

  1. Accédez à la vue Analyse d'événements.
  2. Pour modifier un filtre, double-cliquez dessus ou cliquez sur le filtre et appuyez sur Entrée.
  3. Lorsque la modification est terminée, appuyez sur Entrée pour mettre à jour le filtre.
  4. Pour désélectionner le filtre, cliquez sur un autre filtre.
  5. Si vous souhaitez exécuter de nouveau la requête, cliquez sur le bouton Requête.
    La Liste d'événements est actualisée pour refléter la mise à jour du filtre.

Requête à l'aide des filtres sélectionnés dans le fil d'Ariane

Lorsque deux filtres ou plus dans le fil d'Ariane, vous pouvez recentrer la même requête pour n'inclure que les filtres sélectionnés. Les résultats s'affichent dans l'onglet du navigateur actuel ou dans un nouvel onglet du navigateur.

Pour mettre à jour la requête avec uniquement les filtres sélectionnés :

  1. Commencez par un fil d'Ariane comprenant au moins deux filtres, par exemple, une requête avec trois filtres : risk.info = exists, direction ="lateral" et threat.category exists.
  2. Pour ouvrir un nouvel onglet avec les filtres sélectionnés, cliquez avec le bouton droit sur le filtre query direction = "lateral" et sélectionnez Requête avec des filtres sélectionnés dans un nouvel onglet dans le menu déroulant.
    the Query with selected filters in a new tab option selected
    Un nouvel onglet s'ouvre avec les résultats du filtre sélectionné.
    results in a new tab
  3. Pour effectuer une requête sur les filtres sélectionnés dans le même onglet, cliquez sur direction = "lateral" et threat.category exists. Ensuite, cliquez avec le bouton droit et sélectionnez Requête avec des filtres sélectionnés dans le menu déroulant.
    the Query with selected filters option selected in the drop-down menu

Supprimer un filtre dans le fil d'Ariane

Pour supprimer un filtre :

  1. Cliquez sur X dans un filtre, cliquez sur le filtre pour le sélectionner, puis appuyez sur Supprimer, ou cliquez avec le bouton droit sur un ou plusieurs filtres et sélectionnez Supprimer les filtres sélectionnés dans le menu déroulant.
  2. Si vous souhaitez exécuter de nouveau la requête, cliquez sur le bouton Requête.
    Le filtre sélectionné est supprimé et la Liste d'événements est actualisée.
You are here
Table of Contents > Analyse des événements bruts et des métadonnées dans la vue Analyse d'événements > Filtrer les résultats dans la vue Analyse d'événements

Attachments

    Outcomes