NetWitnessプラットフォーム内でのさまざまなインデックス作成タイプについて

Resolution

インデックス作成には、IndexNone、IndexKeys、および IndexValuesの3つのレベルまたはタイプがあります：

IndexNone:
このインデックスタイプは実際にインデックスされません。IndexNoneレベルのインデックスエントリーは、メタキーを定義し、文書化するためだけに存在します。IndexNoneエントリをDecoderのインデックスで使用すると、Decoder上のすべてのパーサーにわたってメタキーの特定のデータ型を強制できます。これらのメタキーはインデックスデータベース内でスペースを占有しません。このインデックスタイプを持つメタキーはクエリでは使用できませんが、メタは引き続きセッションで表示できます。

IndexKey:
IndexKeyは、インデックスがこのメタキー名で格納されているメタアイテムを含むセッションのみを追跡することを示します。しかし、メタデータベース内のメタキーに対して一意な値をインデックス化することはありません。このインデックスタイプを持つメタキーは、一般的に特定のタイプのクエリ（equals、not equals、exists、not exists）しか実行できません。

IndexValues:
IndexValueは、メタキーの個々の一意な値にインデックスを付けます。IndexKeyと比較して、クエリもしくは値呼び出しのwhere句を効率的に処理するために必要であり、すべての異なるタイプの句（equals、not equals、begins、ends、contains、existsなど）に対してクエリが可能です。

NetWitness UIでは、IndexKeysとIndexValuesには大きな違いがあります。IndexKeysは常に閉じた状態で表示され、最初の調査ページをレンダリングする際にプラスの効果があります。 IndexValuesは展開された状態で表示されます。バックグラウンドでは、IndexValuesを持つメタキーは各メタキーにクエリを発行しており、これは最初の調査ページをレンダリングする際にはマイナスに働きますが、後のドリルダウンを高速化します。

そのため、調査ページを最初に開いた時や、その後のお客様によるドリルダウンなど、クエリの遅さが見られる箇所に応じて、インデックスキーのレベル設定を変更してパフォーマンスを調整することができます。パフォーマンスに関するインデックス タイプについてさらにご質問がある場合は、NetWitnessサポートにお問い合わせください。

Notes

本ナレッジの英語版は Different types of Indexing within the NetWitness Platform となりますので、ご参照ください。

Product Details

NetWitness Product Set: NetWitness Platform
NetWitness Product/Service Type: Concentrator, Broker, Packet/Log Decoder
NetWitness Version/Condition: 11.x, 12.x
Platform: CentOS 7, AlmaLinux

Approval Reviewer Queue

Technical approval queue