Investigate: Comenzar una investigación en la vista Análisis de eventos

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by Susan Ewald on Oct 31, 2018
Version 3Show Document
  • View in full screen mode
 

Note: La información en este tema se aplica a RSA NetWitness® Suite Versión 11.1 y posterior. 

La vista Análisis de eventos ofrece la mayoría de las funciones que están disponibles en las vistas Navegar y Eventos. De manera similar a la vista Navegar, hay una vista de las claves y los valores de metadatos para los registros, los terminales y los paquetes. Al igual que en la vista Eventos, una lista de eventos muestra los eventos enumerados por hora y permite ver el evento crudo, los metadatos relacionados y una reconstrucción de un evento. La reconstrucción de Análisis de eventos tiene algunas indicaciones útiles para identificar los puntos de interés en una reconstrucción. Consulte Análisis de eventos crudos y metadatos en la vista Análisis de eventos.

Note: En la versión 11.0, no puede comenzar una investigación en la vista Análisis de eventos. En lugar de esto, debe comenzar la investigación en las vistas Navegar o Eventos y abrir un evento en la vista Análisis de eventos. En la versión 11.1, un submenú INVESTIGAR otorga acceso directo a la vista Análisis de eventos, junto con la capacidad de seleccionar un servicio y un rango de tiempo diferentes, y de crear una consulta.

Acceder a la vista Análisis de eventos (versión 11.1 y superior)

En la versión 11.1 están disponibles varias maneras de acceder a la vista Análisis de eventos.

  • Cuando utiliza la opción Acciones > Ir a evento en Análisis de eventos en la vista Navegar e ingresa un ID de evento, la vista Análisis de eventos abre este evento como una reconstrucción. Para simplificar la vista, la barra de herramientas no incluye las opciones innecesarias para ampliar, contraer y cerrar ventanas. Puede comenzar a trabajar como se describe en Análisis de eventos crudos y metadatos en la vista Análisis de eventos.
  • Cuando coloca el cursor sobre un conteo (el número verde después de un valor de metadatos) en la vista Navegar y hace clic en Abrir Análisis de eventos en una pestaña nueva, la vista Análisis de eventos se abre con la lista de eventos para el punto de desglose seleccionado y usted puede comenzar a trabajar como se describe en Análisis de eventos crudos y metadatos en la vista Análisis de eventos. La lista de eventos puede ser muy grande y existe la posibilidad de que el evento que seleccionó no esté visible en la página de eventos actual. En este caso, un mensaje le advierte de debe desplazarse hacia abajo para ver el evento.
    Message to scroll down to see an event
  • También puede acceder a la vista Análisis de eventos si va directamente a INVESTIGAR > Análisis de eventos o si va a INVESTIGAR en caso de que haya configurado la vista Análisis de eventos como la vista inicial de Investigate. Cuando abre la vista Análisis de eventos por primera vez, debe seleccionar un servicio para comenzar el análisis. Si esta no es la primera vez que abre Análisis de eventos, se recuerda el último servicio utilizado hasta que se borra localStorage.
    Cuando abre la vista Análisis de eventos desde una de las otras vistas de Investigate, el servicio y la consulta de esa vista están vigentes. Puede cambiar el servicio, seleccionar un rango de tiempo e ingresar una consulta si desea limitar los resultados antes de abrir la vista Análisis de eventos, como se describe en Filtrar los resultados en la vista Análisis de eventos.

Para acceder directamente a la vista Análisis de eventos:

  1. Vaya a INVESTIGAR> Análisis de eventos.
    La vista Análisis de eventos se abre con el primer servicio de la lista de servicios seleccionado y sin datos mostrados. El campo Seleccionar un servicio se completa inicialmente con el primer servicio de la lista o con el último servicio seleccionado. Un menú desplegable ofrece una lista de servicios disponibles en orden alfabético. De forma predeterminada, la lista de servicios disponibles se recupera cada 12 horas y se almacena en caché en el servidor de NetWitness. Si un servicio se agrega o se quita del servidor de NetWitness, la caché se actualiza con la lista de servicios más reciente. Al principio del campo, un icono proporciona el estado de la consulta.
    the database icon y sin nombre de servicio = no hay ningún servicio seleccionado.

    the database icon y nombre de servicio seleccionado = el servicio está seleccionado.
    spinner icon = Investigate está intentando conectarse al servicio seleccionado.
    the icon for a service that has not data = Investigate no puede conectarse al servicio seleccionado o no hay datos. En este estado, el control del selector de servicios también se vuelve rojo y un mensaje de globo explica por qué falló el intento de conexión y recomienda elegir otro servicio.
    example of the view when Investigate cannot connect to the service
  2. (Opcional) Seleccione un servicio, por lo general, un Concentrator, en la lista desplegable.
    the Select a Service drop-down list
    El selector del rango de tiempo muestra el rango de tiempo predeterminado de 24 horas o el rango de tiempo que usted seleccionó por última vez para este servicio. El botón Consultar eventos se activa y usted puede ingresar filtros. Si inicia una consulta ahora, se utiliza la hora seleccionada.
  3. (Opcional) Para seleccionar un rango de tiempo desde el selector de Rango de tiempo, haga clic en el selector de Rango de tiempo y seleccione un rango de tiempo en la lista desplegable. Las opciones son Últimos 5, 10, 15 o 30 minutos; las Últimas 1, 3, 6, 12 o 24 horas; los Últimos 2, 5, 7, 14 o 30 días o Todos los datos. (El rango de tiempo se basa en las preferencias configuradas para la vista Análisis de eventos. La base predeterminada para el rango de tiempo es la hora de la base de datos; puede cambiarla a la hora del reloj).
    El rango de tiempo seleccionado se almacena en el navegador para este servicio; puede configurar distintos rangos de tiempo para distintos servicios.
    the Select a Time Range drop-down list
  4. Escriba una consulta mediante la creación de uno o más filtros que incluyan, como mínimo, una clave o una entidad de metadatos, un operador y un valor opcional. Consulte Filtrar los resultados en la vista Análisis de eventos para obtener detalles acerca del ingreso de consultas.
  5. Haga clic en Consultar eventos.
    La vista Análisis de eventos muestra la actividad del servicio seleccionado y el rango de tiempo, de acuerdo con los permisos que el administrador asignó a su función. Con el servicio seleccionado y los datos cargados, está listo para comenzar a analizar los datos. Consulte Análisis de eventos crudos y metadatos en la vista Análisis de eventos para aprender a trabajar en la vista Análisis de eventos.

Acceder a la vista Análisis de eventos (versión 11.0)

Para abrir un evento en la vista Análisis de eventos:

  1. Vaya a NAVEGAR > Eventos.
  2. Haga clic con el botón secundario en un evento entre los enumerados y seleccione Análisis de eventos en el menú.
    Context Menu in Evenst view to go to Event Analysis

Consulte Análisis de eventos crudos y metadatos en la vista Análisis de eventos para aprender a trabajar en la vista Análisis de eventos.

 

 

 

You are here

Table of Contents > Inicio de una investigación > Comenzar una investigación en la vista Análisis de eventos

Attachments

    Outcomes