Sentinelでは、重大なイベントデータを簡単に検索して分析できる強力なツールのセットが提供されています。システムは特定の種類の分析に合わせて、効率が最大限になるように調整、最適化され、1つの種類の分析から別の分析にシームレスで簡単に移行できる方法が提供されています。
Sentinelでのイベントの調査は、ほぼリアルタイムのアクティブビューで開始する場合がよくあります。さらに高度なツールも使用できますが、アクティブビューではフィルタされたイベントストリームがサマリチャートと一緒に表示されるため、イベントの傾向とイベントデータのシンプルでおおまかな分析や、特定のイベントの識別に使用できます。時間の経過と共に、相関からの出力など、特定のクラスのデータに対して調整されたフィルタを構築します。アクティブビューは、運用とセキュリティに関する全般的な方針を示すダッシュボードとして使用できます。
さらにインタラクティブ検索を使用して、より詳細なイベントの分析を実行できます。これにより、特定のユーザや特定のシステムによる動作など、特定のクエリに関連するデータをすばやく簡単に検索して見つけることができます。イベントデータをクリックしたり、左側の絞り込みウィンドウを使用すると、簡単に目的のイベントに焦点を絞ることができます。
多数のイベントを分析する場合、Sentinelのレポーティング機能ではイベントのレイアウトに対するカスタムコントロールが提供されているため、より多くのデータを表示できます。Sentinelでは検索インタフェースで構築されたインタラクティブ検索をレポーティングテンプレートに移動できるため、この移行が簡単です。そのため、多数のイベントにより適した形式で同じデータを表示するレポートを即座に作成できます。
Sentinelにはこの目的のためのテンプレートが多数含まれています。一部のテンプレートは、認証データやユーザ作成など、特定の種類の情報を表示するように調整されています。また、一部のテンプレートは汎用的なテンプレートで、レポートのグループと列をインタラクティブにカスタマイズできます。
時間の経過と共に、共通して使用するフィルタとレポートを開発して、ワークフローをより簡単にできます。Sentinelでは、この情報の保存と、組織内のユーザへの配布が完全にサポートされています。詳細については、『NetIQ Sentinel 7.1 User Guide』を参照してください。