This website uses cookies. By clicking Accept, you consent to the use of cookies. Click Here to learn more about how we use cookies.
Accept
Reject
Register Now
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
NetWitness Platform Documentation (Japanese)
NetWitness Platformの公式ドキュメント(日本語)を参照して、役立つチュートリアル、ステップバイステップの手順、およびその他の貴重なリソースを確認してください。
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Versions
Collections
All Downloads

Product Resources

調査:[イベント]ビューでの調査の開始

[イベント]ビューでは、[ナビゲート]ビューと[レガシー イベント]ビューの両方で使用可能な機能のほとんどが提供されます。[ナビゲート]ビューと同様に、ログ、エンドポイント、パケットのメタ キーとメタ値を表示するビューがあります。[レガシー イベント]ビューと同様に、イベント リストにイベントを時系列で表示し、RAWイベント、関連メタデータ、イベントの再構築を表示することができます。イベントの再構築では、着目点の特定に役立つヒントが表示されます。「[イベント]ビューでのイベントの分析」を参照してください。

次の図は、初期状態の[イベント]ビューを示しています。クエリの例と、キーボードとマウスの操作に関する情報が表示されています。次の図は、バージョン11.4.1の初期ビューを示しています。

EvVwInit1141.png

次の図は、バージョン11.4の初期ビューを示しています。11.4には、クエリを作成する2つのモードがあります。

EvVwInit114help.png

[イベント]ビューへのアクセス

バージョン11.1以降では、いくつかの方法で[イベント]ビューにアクセスすることができます。

  • [調査]>[イベント]に移動するか、[イベント]ビューが調査のデフォルト ビューに設定されている場合は、メイン メニューの[調査]オプションを選択します。詳細な手順は、後述します。
  • [ナビゲート]ビューで、メタ値のカウント(メタ値の後の緑色の数字)をクリックします。[イベント]ビューが開き、選択したドリルダウン ポイントのイベントのリストが表示されます。「イベントの再構築と分析」の説明に従って分析を開始できます。
  • カウントを右クリックし、[新しいタブで[イベント]を開く]をクリックします。新しいタブに[イベント]ビューが開き、選択したドリルダウン ポイントのイベントのリストが表示されます。「イベントの再構築と分析」の説明に従って分析を開始できます。次の図はイベント リストの例です。
    EvVwList114.png

[イベント]ビューに直接アクセスして、調査を開始するには、次の手順を実行します。

  1. 調査]>[イベント]に移動します。
    サービスが選択された状態で[イベント]ビューが開きます。データは表示されません。ドロップダウン リストには、アルファベット順で使用可能なサービスのリストが表示されます。サービスの選択]フィールドでは、サービス リストの先頭のサービス、または最後に選択されたサービスがデフォルトで選択されます。デフォルトで、使用可能なサービスのリストは12時間ごとに取得され、NetWitness Server上にキャッシュされます。次回の取得の前にNetWitness Serverにサービスを追加または削除した場合は、キャッシュが最新のサービス リストに更新されます。アイコンにサービスのステータスが示されます。
    • Ic-NewDB.pngと選択されたサービス名 = サービスが選択されています。
    • InvSpinner1_16x16.png = 選択されたサービスへの接続を試みています。
    • ic-servnodata.png = 選択したサービスへの接続中にエラーが発生したか選択したサービスにデータがありません。この状態では、サービス セレクタ コントロールも赤色に変わり、ツールチップに、接続の試行が失敗した理由と、別のサービスを選択するように勧めるメッセージが表示されます。
  2. (オプション)ドロップダウン リストからサービス(通常はBrokerまたはConcentrator)を選択します。
    sortservlist113.png
    時間範囲セレクタには、デフォルトの24時間、またはこのサービスに対して最後に選択された時間範囲が表示されます。EAQryIcBlu.png(クエリ送信)ボタンがアクティブになり、フィルタを作成できるようになります。フィルタを作成しないでクエリを実行すると、選択された時間範囲が使用されます。

  3. (オプション)「[イベント]ビューでの結果のフィルタリング」の説明に従って、時間範囲を編集します。
    InvTimeDD113.png
    このサービスに選択した時間範囲はブラウザに保存されます。サービスごとに異なる時間範囲を設定できます。

  4. クエリを作成します。クエリは、1つまたは複数のフィルタで構成され、各フィルタは、メタ キー、演算子、値(オプション)で構成されます。クエリの作成方法の詳細については、「[イベント]ビューでの結果のフィルタリング」を参照してください。
  5. クエリを送信する準備ができたら、EAQryIcBlu.png([クエリ送信])をクリックします。
    管理者によってロールに割り当てられた権限に応じて、選択したサービス、時間範囲、クエリのデータが[イベント]ビューに表示されます。データの分析を開始する準備ができました。[イベント]ビューでの作業方法については、「[イベント]ビューでのイベントの再構築」および「[イベント]ビューでのイベントの分析」を参照してください。

[イベント]ビューへのアクセス(バージョン11.0)

[イベント]ビューでイベントを開くには、次の手順を実行します。

  1. 調査]>[イベント]に移動します。
  2. 次のいずれかを実行します。
    1. 一覧表示されたイベントのいずれかを右クリックし、[イベント分析]を選択します。
      EvVw2EvAn.png
    2. 一覧表示されたイベントのいずれかを右クリックし[イベント再構築]を選択します。再構築で[イベント分析]ボタンをクリックします。

[イベント]ビューでの作業方法については、「[イベント]ビューでのイベントの再構築」および「[イベント]ビューでのイベントの分析」を参照してください。

 

 

docFeedback.png

You are here

Table of Contents > 調査の開始 > [イベント]ビューでの調査の開始

Labels (2)
0 Likes
Was this article helpful? Yes No
No ratings

On this page

© 2022 RSA Security LLC or its affiliates. All rights reserved.