イベント証跡

[イベント証跡]ビューでは、アプリケーションから証跡(イベント検知の根拠となったネットワークデータフロー)をエクスポートすることができます。

イベント証跡は、[イベント詳細]の一部です。イベントに何らかのフローが直接添付されている場合([添付されたフロー]機能)、[Monitoring Center]サブタブと[添付されたフロー]サブタブが表示されます。フローが添付されていない場合、Monitoring Centerは表示されますが、サブタブは表示されません。

[添付フロー]サブタブには、イベント作成の根拠となった最初の20フローが表示されます。これらは検知中にADSによってキャプチャされ、ADSデータベースにイベントの一部として保存されたものです。この機能は、[設定] → [システム設定] → [ストレージ設定]で有効にできます。

[Monitoring Center]サブタブには、Monitoring Centerに保存されているフローが表示されます。イベント証跡を表示する際は、これらのフローがMonitoring Centerクエリフィルタを使用して読み込まれます。[FMCのクエリを表示]をクリックすると、このフィルタを表示してクリップボードにコピーできます。[FMCで開いてフィルタに追加]をクリックすると、事前に入力された時間範囲、フィルタおよびデータフィードチャネルでFMCを直接開くことができます。Monitoring Centerクエリフィルタは検知メソッドに基づいて定義されますが、フローはそのメソッドの特定のサブタイプに限定されないのでご注意ください。Monitoring Centerのフローデータは、イベントの検知直後には表示されないことがあります。この理由は、フローデータのストリーム処理を使用しているためです。この処理では、(検知に使用された)フローがディスクに保存される前にイベントが検知されます。

イベント証跡には、さまざまな組み合わせの変数間の関係を視覚的に表すヒストグラムが含まれています。ヒストグラムの基になる生のフローの表には、以下が含まれています。

• 送信元および宛先IPアドレス

• データフローのタイムスタンプ

• 期間

• プロトコル

• 送信元ポートと宛先ポート

• 転送されたデータ量

• 転送されたパケット数

• サービスのタイプ

• フローのタイプに応じた追加情報。

フローは列を基準にフィルタリングできます。列のリスト、関係のリストを選択し、テキストボックスに値を記入すると、フィルタを定義できます。

2つのデバイス間の単一ネットワーク接続のフロー(同じまたは逆の送信元IPアドレス、宛先IPアドレス、送信先ポート、宛先ポート、プロトコル)を強調表示するには、コンテキストメニュー(行頭にあるブラシのアイコン)を単一のフローに使用します(コンテキストメニュー → [フローの追跡])。対になる逆向きフローのないフローを強調表示するには、**コンテキストメニュー → [単一フロー]**項目を使用します。

ユーザインターフェースに表示されるリストは、10,000フローに制限されています。エクスポートされるテキストファイルにはフローレコードの完全なリストが含まれています。このファイルは[データのエクスポート]をクリックしてダウンロードできます。