调查容器取证同时解释相邻事件

在调查事件时，应该关注并分析相关事件前后发生的事件。

要查看相关事件之前和之后发生的事件：

1. 在调查 → 容器取证部分的安全事件表中单击事件行中的任意地方。
2. 转到相邻事件选项卡。

默认情况下，解决方案会显示一个包含以下信息的表格：

• 正在审查的事件。
• 3 起在所检查事件之前发生的事件。
• 46 起在所检查事件之后发生的事件。

对于每个事件，您还可以查看 90 天范围内的事件。例如，如果您正在查看当天的事件，则可以打开过去 90 天的事件。如果有关事件发生在 45 天前，您可以打开被检查事件前 45 天发生的事件。

对于表中的每个事件，解决方案显示以下信息：

• 事件的日期和时间。
• 事件类型。
• 关于事件的其他信息
• 完整路径。

您可以通过单击表中的事件行打开有关所选事件的详细信息的侧边栏。

您还可以下载有关所有事件的信息，其中包含每个事件的详细描述（文本格式）。

页首