[イベント]ビューでは、[ナビゲート]ビューと[レガシー イベント]ビューの両方で使用可能な機能のほとんどが提供されます。[ナビゲート]ビューと同様に、ログ、エンドポイント、パケットのメタ キーとメタ値を表示するビューがあります。[レガシー イベント]ビューと同様に、イベント リストにイベントを時系列で表示し、RAWイベント、関連メタデータ、イベントの再構築を表示することができます。イベントの再構築では、着目点の特定に役立つヒントが表示されます。「[イベント]ビューでのイベントの分析」を参照してください。
次の図は、初期状態の[イベント]ビューを示しています。クエリの例と、キーボードとマウスの操作に関する情報が表示されています。次の図は、バージョン11.4.1の初期ビューを示しています。
![EvVwInit1141.png EvVwInit1141.png](https://community.securid.com/t5/image/serverpage/image-id/176210iC434186CD6996F11/image-size/large?v=v2&px=999)
次の図は、バージョン11.4の初期ビューを示しています。11.4には、クエリを作成する2つのモードがあります。
![EvVwInit114help.png EvVwInit114help.png](https://community.securid.com/t5/image/serverpage/image-id/176024i57A27C9CC681604F/image-size/large?v=v2&px=999)
[イベント]ビューへのアクセス
バージョン11.1以降では、いくつかの方法で[イベント]ビューにアクセスすることができます。
- [調査]>[イベント]に移動するか、[イベント]ビューが調査のデフォルト ビューに設定されている場合は、メイン メニューの[調査]オプションを選択します。詳細な手順は、後述します。
- [ナビゲート]ビューで、メタ値のカウント(メタ値の後の緑色の数字)をクリックします。[イベント]ビューが開き、選択したドリルダウン ポイントのイベントのリストが表示されます。「イベントの再構築と分析」の説明に従って分析を開始できます。
- カウントを右クリックし、[新しいタブで[イベント]を開く]をクリックします。新しいタブに[イベント]ビューが開き、選択したドリルダウン ポイントのイベントのリストが表示されます。「イベントの再構築と分析」の説明に従って分析を開始できます。次の図はイベント リストの例です。
![EvVwList114.png EvVwList114.png](https://community.securid.com/t5/image/serverpage/image-id/227736iCD2D5E9AA0D94C59/image-size/large?v=v2&px=999)
[イベント]ビューに直接アクセスして、調査を開始するには、次の手順を実行します。
- [調査]>[イベント]に移動します。
サービスが選択された状態で[イベント]ビューが開きます。データは表示されません。ドロップダウン リストには、アルファベット順で使用可能なサービスのリストが表示されます。[サービスの選択]フィールドでは、サービス リストの先頭のサービス、または最後に選択されたサービスがデフォルトで選択されます。デフォルトで、使用可能なサービスのリストは12時間ごとに取得され、NetWitness Server上にキャッシュされます。次回の取得の前にNetWitness Serverにサービスを追加または削除した場合は、キャッシュが最新のサービス リストに更新されます。アイコンにサービスのステータスが示されます。
と選択されたサービス名 = サービスが選択されています。
= 選択されたサービスへの接続を試みています。
= 選択したサービスへの接続中にエラーが発生したか選択したサービスにデータがありません。この状態では、サービス セレクタ コントロールも赤色に変わり、ツールチップに、接続の試行が失敗した理由と、別のサービスを選択するように勧めるメッセージが表示されます。
- (オプション)ドロップダウン リストからサービス(通常はBrokerまたはConcentrator)を選択します。
![sortservlist113.png sortservlist113.png](https://community.securid.com/t5/image/serverpage/image-id/176128iB2285192D14C6D7E/image-size/large?v=v2&px=999)
時間範囲セレクタには、デフォルトの24時間、またはこのサービスに対して最後に選択された時間範囲が表示されます。
(クエリ送信)ボタンがアクティブになり、フィルタを作成できるようになります。フィルタを作成しないでクエリを実行すると、選択された時間範囲が使用されます。
-
(オプション)「[イベント]ビューでの結果のフィルタリング」の説明に従って、時間範囲を編集します。
![InvTimeDD113.png InvTimeDD113.png](https://community.securid.com/t5/image/serverpage/image-id/230752i1BC1847F0938311A/image-size/large?v=v2&px=999)
このサービスに選択した時間範囲はブラウザに保存されます。サービスごとに異なる時間範囲を設定できます。
- クエリを作成します。クエリは、1つまたは複数のフィルタで構成され、各フィルタは、メタ キー、演算子、値(オプション)で構成されます。クエリの作成方法の詳細については、「[イベント]ビューでの結果のフィルタリング」を参照してください。
- クエリを送信する準備ができたら、
([クエリ送信])をクリックします。
管理者によってロールに割り当てられた権限に応じて、選択したサービス、時間範囲、クエリのデータが[イベント]ビューに表示されます。データの分析を開始する準備ができました。[イベント]ビューでの作業方法については、「[イベント]ビューでのイベントの再構築」および「[イベント]ビューでのイベントの分析」を参照してください。
[イベント]ビューへのアクセス(バージョン11.0)
[イベント]ビューでイベントを開くには、次の手順を実行します。
- [調査]>[イベント]に移動します。
- 次のいずれかを実行します。
- 一覧表示されたイベントのいずれかを右クリックし、[イベント分析]を選択します。
![EvVw2EvAn.png EvVw2EvAn.png](https://community.securid.com/t5/image/serverpage/image-id/230138i92222C98CC9392EE/image-size/large?v=v2&px=999)
- 一覧表示されたイベントのいずれかを右クリックし[イベント再構築]を選択します。再構築で[イベント分析]ボタンをクリックします。
[イベント]ビューでの作業方法については、「[イベント]ビューでのイベントの再構築」および「[イベント]ビューでのイベントの分析」を参照してください。
![docFeedback.png docFeedback.png](https://community.securid.com/t5/image/serverpage/image-id/176208iA38C28E81BFC5983/image-size/large?v=v2&px=999)
You are here
Table of Contents > 調査の開始 > [イベント]ビューでの調査の開始