This website uses cookies. By clicking OK, you consent to the use of cookies. Click Here to learn more about how we use cookies.
OK
Register Now
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

RSA NetWitness® Platformプラットフォームのドキュメント(日本語)

RSA NetWitness Platformの公式ドキュメント(日本語)を参照して、役立つチュートリアル、ステップバイステップの手順、およびその他の貴重なリソースを確認してください。
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Versions
Collections
All Downloads

Product Resources

  

アナリストは、[Investigation]>[イベント]ビューで結果をフィルタリングできます。そして、イベントを検索したり、イベントを表示するサービスを選択したりして、時間範囲を設定し、メタ データのクエリーを実行することができます。 

[ナビゲート]ビューのドリルダウン ポイントから[イベント]ビューを開くと、デフォルトでイベントの詳細ビューが表示されます。[ナビゲート]ビューを使用する権限がないアナリストは、[イベント]ビューからサービスに直接クエリーを実行できます [イベント]ビューに表示される情報をフィルタするための構成オプションがいくつか用意されています。

注:[イベント]ビューでサービスとしてArchiverを選択して検索を実行した場合は、BrokerまたはConcentratorを対象に検索を実行した場合よりも検索速度が遅くなります。通常、Archiver上のデータは圧縮され、より多くのデータが存在するためです。

[イベント]ビューに表示されるイベントのフィルタリング

[イベント]ビューに表示されるデータをフィルタリングするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Investigation]>[イベント]を選択します。
    [イベント]ビューが表示されます。
    EvDetVw_725x396.png
  2. デフォルト(直近3時間)以外の時間範囲を選択するには、ツールバーで[時間範囲]フィールドをクリックし、値を選択します。たとえば、[直近1時間]を選択します。
    選択した時間範囲で[イベント]ビューが更新されます。
  3. 選択したサービスと時間範囲を対象としたクエリーを入力するには、ツールバーで、[クエリー]をクリックします。
    [シンプル]ダイアログが表示されます。
    QueryDDSimple.png
  4. オートコンプリート機能を使用してメタと演算子を選択し、シンプルなクエリーを入力する場合は、次のいずれかを実行します。
    1. メタの選択]フィールドをクリックし、ドロップダウン リストからメタ キーを選択します。
    2. 演算子]フィールドで、ドロップダウン リストから演算子を選択します。
    3. 値]フィールドに、値を入力します。
    4. ネットワーク]データまたは[ログ]データを選択し、[適用]をクリックします。
      条件に一致するデータが[イベント]ビューに表示されます。
  5. メタと演算子の知識があり、より複雑なクエリーを入力する場合:
    1. 詳細をクリックします。
      [詳細]ダイアログが表示されます。
      QueryDDAdv.png
    2. クエリーを入力します。クエリーでメタ キーの先頭文字を入力すると、使用可能なメタ キーと演算子のドロップダウン リストが表示されます。終了したら、[適用]をクリックします。 
  6. 最近実行したクエリーのリストからクエリーを選択する場合:
    1. 最近実行したクエリー]を選択します。
      [最近実行したクエリー]ダイアログが表示されます。
      QryDDRecent.png
    2. クエリーを選択し、[適用]をクリックします。
      [イベント]ビューの詳細ビューに、一致するクエリー結果が表示されます。該当するクエリーが階層リンクに反映されます(この例では、tcp.dstportが存在します)。
      EvDetVwQry_701x418.png
    3. 階層リンクにある任意のクエリーをクリックすると、クエリー メニューを表示できます。クエリーの前に新しいクエリーを挿入することや、階層リンクの末尾に新しいクエリーを追加することができます。階層リンクを編集すると、その都度、Security Analyticsによって結果が更新されます。

[イベント]ビューでのイベントの検索

[イベント]ビューに表示されているデータから検索を実行するには、[検索]フィールドに検索文字列を入力します。検索文字列は、regex(正規表現)で入力することも、単純なテキストで入力することもできます。 Investigation:検索オプション で、これらの検索タイプの詳細について説明しています。

[イベント]ビューに表示されているデータ内を検索するには、次の手順を実行します。

  1. 検索を実行するには、[イベントの検索]ボックスにカーソルを移動し、検索文字列を入力して、Enterキーを押すか[検索]をクリックします。
    検索結果が[イベント]ビューに表示されます。検索条件に一致するイベントが、[イベント]ビューのグリッドに表示されます。詳細ビューとリスト ビューでは、一致した文字列が[詳細]列にハイライト表示されます。加えて、RAWを検索対象とした場合、一致した文字列が、ログ ビューの[ログ]列にハイライト表示されます。以下の例は、[イベント]の詳細ビューで「India」を検索した結果を示しています。[イベントの再構築]では、検索条件との一致がハイライト表示されないことに注意してください。
    EventsViewSearchEX2_700x418.png
  2. 検索を絞り込むには、クエリーと時間を変更します(前掲の「[イベント]ビューに表示されるイベントのフィルタリング」を参照)。
  3. 検索を中止して[イベント]ビューに戻る場合は、[キャンセル]をクリックします。 
    表示されている結果はそのままとなります。
  4. 検索ボックスをクリアして通常の[イベント]ビューに戻るには、検索ボックスの[X]をクリックします。
You are here
Table of Contents > 調査の実施 > イベントの調査 > [イベント]ビューのフィルタおよび検索結果
Labels (1)
Labels:
0 Likes
Was this article helpful? Yes No
No ratings

On this page

© 2020 RSA Security LLC or its affiliates.
All rights reserved.