Enregistrements

Cliquez sur Enregistrements dans le menu supérieur pour créer une nouvelle requête d'enregistrement. Sur la page Nouvelle requête, vous pouvez spécifier un filtre et un type d'enregistrement.

Les résultats s'affichent sur la page principale des enregistrements.

Voici quelques façons d'explorer les résultats d'une requête d'enregistrement :

• Dans le tableau des enregistrements, survolez un intervalle de temps pour afficher le nombre d'enregistrements, ou cliquez-glissez sur le tableau pour réduire les résultats de la requête d'enregistrement à un intervalle de temps.
• Cliquez sur un nom d'hôte ou une adresse IP pour afficher les détails du périphérique ou du point de terminaison externe.
• Les enregistrements contenant des adresses IP, des noms d'hôte et des URI suspects apparaissent avec une icône de caméra rouge. Cliquez sur l'icône de la caméra pour afficher les renseignements sur les menaces pour l'enregistrement.
• Cliquez sur une icône de paquet pour lancer une requête de paquet filtrée par cet enregistrement.
• Par défaut, les résultats de l'enregistrement apparaissent dans un tableau. Cliquez sur les icônes Table View ou Verbose View pour basculer l'affichage de l'enregistrement.
• Une requête s'interrompt automatiquement si le nombre d'octets d'enregistrement analysés ou renvoyés est très élevé. En cas de pause, la requête affiche les enregistrements les plus récents. Cliquez sur Continuer la requête pour reprendre la recherche.
• Cliquez sur la liste déroulante Champs pour ajouter des informations supplémentaires à la vue des enregistrements.
• Dans la vue tableau, cliquez sur les en-têtes de colonne et faites-les glisser pour organiser les informations de l'enregistrement.
• Appliquez des filtres simplesou avancés pour trouver des problèmes potentiels, tels que des temps de traitement trop longs ou des tailles de réponse inhabituelles.

Vous pouvez filtrer les résultats de votre recherche d'enregistrements de plusieurs façons afin de trouver la transaction exacte que vous recherchez. Les sections ci-dessous décrivent chaque méthode et présentent des exemples avec lesquels vous pouvez commencer à vous familiariser.

Si vous essayez de filtrer les enregistrements selon des critères simples (par exemple, si vous voulez toutes les transactions HTTP d'un seul serveur qui a généré des 404), vous pouvez créer une requête simple de l'une des manières suivantes :

• Ajouter un filtre ou affiner les résultats à partir du volet de gauche
• Ajouter un filtre à partir du tri-champ
• Ajouter un filtre directement à partir des résultats de l'enregistrement

Pour un filtrage complexe, voir Interroger les enregistrements avec un filtre avancé.

Filtrer les résultats d'un enregistrement à partir du volet gauche

Lorsque vous cliquez sur Enregistrements dans le menu supérieur, tous les enregistrements disponibles pour l'intervalle de temps sélectionné s'affichent. Vous pouvez ensuite filtrer à partir du volet de gauche pour affiner vos résultats.

Le menu déroulant Type d'enregistrement affiche une liste de tous les types d'enregistrements que votre système ExtraHop est configuré pour collecter et stocker. Un type d'enregistrement détermine quelles données sont collectées et stockées dans le magasin d'enregistrements.

Remarque :

Comme vous devez écrire un déclencheur pour collecter des enregistrements, vous devez pouvoir identifier le type de données que vous allez collecter. Il existe des types d'enregistrement intégrés, qui collectent tous les champs connus disponibles pour un protocole. Vous pouvez commencer par un type d'enregistrement intégré (tel que HTTP) et écrire un déclencheur pour collecter uniquement les champs de ce protocole qui vous intéressent (tels que l'URI et le code d'état). Les utilisateurs avancés peuvent également créer un type d'enregistrement personnalisé s'ils ont besoin de collecter des informations propriétaires qui ne sont pas disponibles via un type d'enregistrement intégré.

Le menu déroulant Grouper par vous donne une liste de champs par lesquels vous pouvez filtrer davantage le type d'enregistrement.

La section Affiner les résultats présente une liste des filtres d'enregistrement courants pour le type d'enregistrement sélectionné, avec le nombre d'enregistrements correspondant au filtre entre parenthèses.

Filtrer les résultats d'un enregistrement à l'aide du tri-champ

Sélectionnez un champ dans la liste déroulante N'importe quel champ (tel que Serveur), sélectionnez un opérateur (tel que le signe égal (=)), puis tapez un nom d'hôte. Cliquez sur Ajouter un filtre et le filtre est ajouté au-dessus de la barre de filtre.

Vos résultats n'affichent que les enregistrements qui correspondent au filtre ; dans notre exemple, cela signifie que nous n'affichons que les résultats des transactions qui concernent le serveur nommé abc.

Les opérateurs suivants peuvent être sélectionnés en fonction du nom du champ sélectionné :

Opérateur	Description
=	Égal à
≠	N'est pas égal à
≈	InclutSi les enregistrements sont stockés dans un magasin d'enregistrements ExtraHop, l'opérateur inclut les mots entiers délimités par des espaces et des signes de ponctuation . Par exemple, une recherche sur "www.extra" donnerait " www.extra.com" mais pas "www.extrahop.com". Pour tous les autres magasins d'enregistrements, l'opérateur includes correspond à des sous-chaînes de mots, y compris les espaces et la ponctuation . Par exemple, une recherche pour "www. extra" correspondra à "www.extrahop.com", mais une recherche pour "www extra" ne correspondra pas à "www.extrahop.com". Les expressions rationnelles et les caractères génériques ne sont pas pris en charge .
≈/	ExclusionsSi les enregistrements sont stockés dans un magasin d'enregistrements ExtraHop, l'opérateur exclut les mots entiers délimités par des espaces et des signes de ponctuation. Par exemple, une recherche portant sur "extra" exclura "www.extra.com" mais pas "www.extrahop.com". Pour tous les autres disquaires, l'opérateur exclut les sous-chaînes de mots, y compris les espaces et la ponctuation. Par exemple, une recherche sur "www.extra" exclura "www.extrahop.com", mais une recherche sur "www extra" n'exclura pas "www.extrahop.com". Les expressions rationnelles et les caractères génériques ne sont pas pris en charge .
<	Moins que
≤	Inférieur ou égal à
>	Supérieur à
≥	Supérieur ou égal à
commence par	Commence par
existe	Existe
n'existe pas	N'existe pas

Filtrer directement à partir des résultats de l'enregistrement

Vous pouvez sélectionner n'importe quelle entrée de champ affichée en vue tableau ou en vue verbeuse dans les résultats de votre enregistrement, puis cliquer sur l'opérateur contextuel pour ajouter le filtre. Les filtres sont affichés sous le résumé du graphique (sauf pour le champ du type d'enregistrement, qui est modifié dans le volet gauche).

• Saisissez un terme de recherche dans le champ de recherche global situé en haut de l'écran et cliquez sur Rechercher des enregistrements pour lancer une requête sur tous les enregistrements stockés.
• Dans la page de présentation d'un appareil, cliquez sur Enregistrements pour lancer une recherche filtrée par cet appareil.
• Dans la page de présentation d'un groupe de dispositifs, cliquez sur Afficher les enregistrements pour lancer une requête filtrée par ce groupe de dispositifs.
• Dans une fiche de détection, cliquez sur Afficher les enregistrements pour lancer une requête filtrée sur les transactions associées à la détection.
• Cliquez sur l'icône Enregistrements à partir d'un widget graphique, comme illustré dans la figure suivante.
  
  
• Cliquez sur l'icône Records en regard d'une mesure détaillée après avoir approfondi une mesure de niveau supérieur. Par exemple, après avoir exploré les réponses HTTP par serveur, cliquez sur l'icône Enregistrements pour créer une requête sur les enregistrements contenant une adresse IP de serveur spécifique.