Security Analytics Investigationでイベントの再構築を表示しているとき、[アクション]メニューには、表示中のイベントからファイルを抽出し、それらをアーカイブしてエクスポートするオプションが提供されています。
注:表示またはアクセスの権限を持つセッション ファイルのみをエクスポートできます。
ファイルのエクスポート機能では、サービスのクエリーを実行し、選択した時間範囲とドリルダウン ポイントで指定したセッションをPCAPファイルにエクスポートします。エクスポートされる内容は、エクスポートするときの時間範囲やドリルダウン ポイントによって変わります。[ファイルの抽出]ダイアログでは、次の項目を選択できます。
- エクスポートするコンテンツのタイプ:アーカイブ、音声、BitTorrent、ドキュメント、実行可能ファイル、イメージ、動画、Webなど。
- エクスポートするアーカイブの形式。ZIPまたはGZIPファイル。
リクエストを送信すると、ジョブがスケジュールされ、ジョブ トレイでそのジョブのトラッキングができます。ログまたはPCAPをサービスから取得する際にエラーが発生すると、Security Analyticsはエラー通知を表示します。
イベントからファイルを抽出するには、次の手順を実行します。
- イベントの再構築の詳細ビューまたはリスト ビューで、イベントをクリックします。
- [イベントの再構築]ツールバーの[アクション]メニューをクリックします。
- イベントをエクスポートする場合は、ドロップダウン メニューで[PCAPのエクスポート]を選択します。
PCAPがダウンロード中であることを示すメッセージが表示されます。 - ファイルを抽出する場合は、[ファイルの抽出]を選択します。
- [ファイルの抽出]ダイアログ ボックスが表示されます。
- [名前]列で、抽出するコンテンツのタイプをクリックします。
- 選択したタイプのファイルをイベントから抽出するには、[エクスポート]をクリックします。
エクスポートするアーカイブ タイプを選択するためのドロップダウン リストが表示されます。 - [zipでエクスポート]または[gzipでエクスポート]を選択します。
指定したファイルがアーカイブに抽出され、ローカル ファイル システムにダウンロードされます。
