調査:イベント リストでの列と列グループの使用

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

調査のイベント リストにイベントが読み込まれると、各列にメタ キーの値が表示されます。イベント リストに表示されるメタ キーの変更は、調査のフォーカスを絞り込むための便利な方法です。たとえば、同じイベントの異なる列を表示する2つの図で比較してみましょう。最初の図には、Collection TimeTypeThemeSizeSummaryという5つの列があります。これらは基本的な情報であり、特殊な情報ではありません。2番目の図には、メールを調査する際に役立つ情報を含んだ、より多くの列があります。右にスクロールして、追加の列を表示できます。

サマリー リスト列が表示されたイベント リスト

RSA Email Analysis列グループが適用されたイベント リスト

イベント リストでは、表示する別の列の選択、列の順序の変更、列幅の変更、リストをソートする列の選択などの調整を、作業しながら加えることができます。手動調整は、どのメタ キーが重要であるかがわかっていれば簡単ですが、現在のセッションにしか適用されません。

[レガシー イベント]ビューと[イベント]ビューでイベントを調べるときに、重要なメタ キーをすばやく確認できるようにするには、列グループを適用して、表示されるメタ キーのセットを変更します。列グループは、列として表示されるメタ キーまたはメタ エンティティ、イベント リスト内の列の位置、列のデフォルトの幅を定義します。列グループは、それ自体でも有益ですが、メタ グループおよびプレクエリと組み合わせてクエリ プロファイルを定義する場合はさらに役立ちます(「クエリ プロファイルを使用した調査の共通領域のカプセル化」を参照)。

注: バージョン11.4には、以前のバージョンで[イベント分析]ビューと呼ばれていた単一の[イベント]ビューがあります。バージョン11.3以前の[レガシー イベント]ビューは、管理者が『システム構成ガイド』の説明に従ってこのビューを有効にしている場合は、引き続き使用できます。[レガシー イベント]ビューが有効になっている場合は、[調査]サブメニューから両方のビューにアクセスできます。

同じ列グループが[レガシー イベント]ビューと[イベント]ビューの間で共有され、すべてのユーザに対してグローバルに表示されます。列グループをインポートする場合、インポートされるグループは、調査対象のサービスで使用可能なメタ キーに限定されます。

各メタ キーの値がイベント リストにロードされるため、大規模な列グループは、データのロード時にパフォーマンスに影響する可能性があります。パフォーマンスへの影響を最小限に抑えるため、[イベント]ビューには列グループ内のメタ キーの数に対して固定された制限があります。列グループ内のメタ キーの最大数は40個です。デフォルトのキーが含まれているため、40個を超えるメタ キーが画面に表示されることがあります。列グループには少なくとも1つの列が必要です。選択した列グループに含まれていないメタ キーは、イベント リストにロードされません。デフォルトでは、グループ内のすべての列がロードされますが、表示されるのは15列のみです。

[レガシー イベント]ビューには、列グループ内のメタ キーの数の制限がなく、40個を超えるメタ キーを列グループに含めることができます。[レガシー イベント]ビューで作成された40個を超えるメタ キーを含む列グループを適用すると、すべての列が[イベント]ビューにロードされます。ただし、制限を超えた列グループを編集する場合は、固定制限の40に従うよう、列の数を減らす必要があります。

注: バージョン11.3では、列グループは[イベント]ビューで作成および管理され、[イベント分析]ビューで使用できます。標準提供とカスタムの両方の既存の列グループが、11.4の[イベント]ビューで使用可能です。11.4の[レガシー イベント]ビューでは、完全な列グループ管理機能を使用できます。11.4の[イベント]ビューでは、列グループの複製、インポート、エクスポート以外のすべての機能を使用できます。

NetWitness Platformには、特定のタイプの調査に役立つメタ キーを含んだ標準提供の列グループがあります。標準提供のグループを編集または削除することはできませんが、グループのコピーを作成して、コピーを編集できます。[列グループ]メニューには、列グループがアルファベット順で表示され、インポートまたは作成したカスタム グループと標準提供のグループを区別できます。[レガシー イベント]ビューでは、標準提供の列グループの名前は「RSA」で始まります。[イベント]ビュー(バージョン11.4以降)では、名前が「RSA」で始まり、ロック記号(ロック アイコン)が表示されます。標準提供の列グループは次のとおりです。

  • RSA Email Analysis:メール関連のメタデータの調査に役立つメタ キーが含まれます。
  • RSA Endpoint Analysis:エンドポイント関連のメタデータの調査に役立つメタ キーが含まれます。
  • RSA Malware Analysis:潜在的なマルウェアの調査に役立つメタ キーが含まれます。
  • RSA Outbound HTTP:アウトバウンドHTTP関連の調査に役立つメタ キーが含まれます。
  • RSA Outbound SSL/TLS:アウトバウンドSSL/TLS関連の調査に役立つメタ キーが含まれます。
  • RSA Threat Analysis:データセット内の潜在的な脅威をマークするメタ キーが含まれます。
  • RSA User and Entity Behavior Analysis:UEBAデータの調査に役立つメタ キーが含まれます。
  • RSA Web Analysis:Webトラフィックの異常をマークするメタ キーが含まれます。
  • Summary List:一般的な調査に役立つメタ キーが含まれます。これは、デフォルトの列グループです。

カスタム列グループを作成して、調査中に頻繁に使用するシナリオをサポートできます。カスタム列グループを編集する場合、変更はグローバルに適用されます。カスタム列グループを削除すると、そのグループは削除され、すべてのアナリストが使用できなくなります。管理者が、サービスのカスタム インデックス ファイルを編集して、カスタム列グループを手動で追加した場合、サービスの再起動後に、調査で新しいグループが利用可能になります。

列グループを管理するためのダイアログ

[レガシー イベント]ビューと[イベント]ビューの列グループの機能は似ていますが、ユーザ インタフェースと一部の手順が異なります。次の図は、([イベント]ビューの)[列グループの作成]ダイアログと([レガシー イベント]ビューの)[列グループの管理]ダイアログを示しています。

[列グループの作成]ダイアログ


[列グループの管理]ダイアログ

[列グループの作成]ダイアログと[列グループの管理]ダイアログのオプションを使用して、次の操作を実行できます。

  • 列グループの詳細を表示します。
  • カスタム列グループを作成、編集、削除します。

[列グループの管理]ダイアログのオプションを使用すると、上記のすべての機能に加えて、次の機能を実行できます。

  • 標準提供またはカスタムの列グループを複製して、編集します。
  • 列グループをインポートおよびエクスポートします。

このトピックの残りの部分では、11.4の[イベント]ビュー、11.3以前の[イベント分析]ビュー、[レガシー イベント]ビューで列グループを操作する手順について説明します。

11.4の[イベント]ビューでの列と列グループの操作

バージョン11.4にアップグレードした後、既存のすべての列グループ(標準提供とカスタムの両方)が[イベント]ビューで管理できるようになります。特に記載のない限り、このセクションの手順は[イベント]ビューについて説明しています。

手動での表示する列の選択と列の順序と幅の調整

注: 列セレクターは、11.3の[イベント分析]ビューでも使用できました。管理者がブラックリスト(非表示)に登録しているメタ キーの列が列グループに含まれている場合、その列のデータは表示できません。この列は列セレクターで選択することができず、[イベント]パネルにも表示されません。

  1. [イベント]リストが開き、列グループが適用された状態で、設定アイコンをクリックして列セレクターを表示します。
    列セレクター フィルタリング リスト
  2. 列に追加したいメタ キーを選択するか、メタ キーの名前を入力します。 
  3. 列に表示しないメタ キーを選択解除します。
    選択した列を使用してデータが再表示されます。
  4. イベント リストの列の幅を変更するには、列のタイトルの上にカーソルを合わせて、列の境界線を右または左にドラッグします。
  5. イベント リストの列の配置を変更するには、列のタイトルの上にカーソルを合わせ、列を右または左にドラッグします。
    イベント リストで行った変更は、現在のセッション中は有効ですが、列グループの一部としては保存されません。列グループを次回適用したときには、元の構成と列の順序が適用されます。

[イベント]パネルでイベントをソートするための列の選択

注: 接続されているサービスがすべて11.4以降に更新されている場合は、結果のロードが完了した後で、[イベント]パネルでイベントをソートできます。接続されたサービスで以前のバージョンのNetWitness Platformが実行されている場合、列によるソートは無効になります。バージョン11.4.1では、列見出しのソート トグルがわかりやすくなり、ソートなしで結果を表示する機能が追加されていますが、それ以外はバージョン11.4と同じです。

[イベント]パネルのイベント リストの順序は、イベント内のメタ キーの値によって変更できます。各列のタイトルはメタ キーを表し、表示されているイベントのメタ キーに値があれば、列に読み込まれます。バージョン11.4では、[イベント]パネルのイベントは、[イベント環境設定]ダイアログで選択した方法(昇順または降順)でソートされます。ソート方法が選択されていない場合、デフォルトの順序は昇順です(「[イベント]ビューの構成」を参照)。バージョン11.4.1では、[イベント]パネルのイベントがソートされるのは、[イベント環境設定]ダイアログでソート順が選択され、それが昇順または降順のいずれかである場合だけです。[イベント環境設定]でソート順を選択していない場合、または[ソートしない]を選択した場合、イベントはソートされません。

その列でソートできるかどうかは、BrokerおよびConcentratorのインデックス ファイルでのメタ キーの定義によって決まります。値でインデックスされたメタ キーの列はソート可能です。メタ キーがインデックスされていない場合、メタキーでインデックスされている場合、または同じイベント内に複数の値を持つ場合、そのメタ キーではソートできません。

  • 値でインデックスされた、ソート可能なキーの例としては、timeeth.typecity.src ip.srcipv6.dst ipv6.srcがあります。
  • メタ エンティティはソートできません。たとえば、メタ エンティティipv6.allでソートできないのは、ipv6.dst ipv6.srcが含まれ、1つのイベントにipv6.dst ipv6.srcの両方のメタ値が含まれるためです。
  • ソートできない複数値のメタ キーの例としては、 filenamefiletypeattachmentがあります。単一のイベントに複数のファイルが含まれる可能性があるため、filenamefiletypeattachmentの値が複数になる場合があります。
  • インデックスされていない、または値レベルでインデックスされていないためにソートできないメタ キーの例としては、passwordquerysizeがあります。

バージョン11.4.1の列によるソート

環境設定でソート順が[ソートしない]に設定され、列によるソートが行われていない場合、[イベント]リストの初期ビューのタイトルには、イベント数が表示されるだけで、ソート順は表示されません。次の例では、1,000件を超えるイベントがクエリに一致しましたが、コア サービスが処理した順に1,000件のイベントのみが表示されています。黄色の三角形の警告をクリックすると、説明が表示されます。環境設定でソート順が[昇順]に設定されている場合、カウント ラベルには「最も古い1,000イベント」と表示されます。環境設定でソート順が[降順]に設定されている場合、カウント ラベルには「最も新しい1,000イベント」と表示されます。環境設定のソート順の設定については、「[イベント]ビューの構成」を参照してください。

ソートなしの[イベント]リスト

列のタイトルの上にマウスを移動すると、ソート可能な列の列タイトルの後に1組の矢印が表示されます。上矢印は昇順を、下矢印は降順を表します(ソート可能な列インジケータ)。ソート列1つとソートの方向を選択できます。青色の上矢印(昇順が有効)は、昇順のソート順が有効になっていることを示します。つまり、最も古いイベントや最も低い数値、または「A」で始まるテキスト文字列が最初に表示されます。青色の下矢印(降順が有効)は、降順のソート順が有効になっていることを示します。つまり、最も新しいイベントや最も高い数値、または「Z」で始まるテキスト文字列が最初に表示されます。

  • 列に青色の矢印が表示されている場合は、白色の矢印をクリックしてソート順を変更できます。ソート順を変更すると、進捗状況を示す青色の進捗状況バーが[イベント]リストのタイトル バーに表示されます。ソートが始まると、タイトルバーの左端に青色の短いバーが表示されます。ソートが進むにつれて、青色のバーが右に延び、タイトルバーの右端で終了します。方向矢印は、選択したソート順でイベントが再ソートされるまで変わりません。
  • その列のソートを解除する場合は、青色の矢印をクリックします。両方の矢印が白に変わり、その列がソートされていないことを示します。次の図は、昇順でソートされた[Type]列を示しています。
    昇順でソートされた、ソート可能な列のタイトル
  • 列がソート可能でない場合、列のタイトルの上にマウスを合わせても矢印は表示されません。その代わりに、ソートできない理由を説明したツールチップが表示されます。

表示された結果の数が、管理者によって設定されたイベント数の上限よりも少ない場合、列のソートは、クエリを再実行することなくクライアント側で実行されます。結果の数がイベント数の上限を超過したために表示されない結果が存在する場合は、新しいソート順で、同じサービス、時間範囲、フィルタを使用して新しいクエリが送信されます。現在の結果が削除され、スピナーに進行状況が示されます。[キャンセル]ボタンが使用可能になり、再構築が終了し、進行状況がクエリ コンソールに表示されます。

注: 元のクエリの結果の数が表示するイベントの閾値よりも少ない場合、イベントの再ソートはブラウザで行われます。

ソート順またはソート列を変更するには、次の手順を実行します。

  1. 列のタイトルの上にマウスを移動すると、ソート可能な列を見つけることができます。
    列がソート可能でない場合は、その理由を説明するツールチップが表示されます。
  2. リストを列でソートするには、ソート可能な列にマウスを移動し、上下どちらかの矢印(昇順が有効)をクリックします。
    矢印が青色に変わり、選択した順序でイベントが再ロードされます。両方の矢印が白色の場合、その列はイベント リストのソートに使用されていません。一方の矢印が青色の場合は、その列がイベント リストのソートに使用されており、ソート順(昇順または降順)がタイトル バーのイベント数の横に表示されます。次の図は、昇順でソートされた列を示しています。降順の場合は、[(降順)]がイベント数の横に表示されます。
    昇順でソートされた列
    1. 白色の矢印をクリックすると、その順序でイベント リストがソートされます。
    2. 青色の矢印をクリックすると、ソートなしの状態に戻ります。

バージョン11.4の列によるソート

列のタイトルの上にマウスを移動すると、ソート可能な列のタイトルの後に上矢印または下矢印(昇順ソート順インジケータまたは降順ソート順インジケータ)が表示されます。ソート列1つとソートの方向を選択できます。上矢印は、昇順のソート順が有効になっていることを示します。つまり、最も古いイベントや最も低い数値、または「A」で始まるテキスト文字列が最初に表示されます。下矢印は、降順のソート順が有効になっていることを示します。つまり、最も新しいイベントや最も高い数値、または「Z」で始まるテキスト文字列が最初に表示されます。ソート列を選択すると、その列によりデフォルトの降順でソートされ、メタ キーの値がNullのイベントが最初に表示されます。

  • イベント リストのソートに使用されている列には、ソート可能な方向を示す明るい白色の矢印が表示されます。昇順に変更する場合は、昇順ソート順インジケータをクリックし、降順に変更する場合は、降順ソート順インジケータをクリックします。昇順ソート順インジケータをクリックして昇順に変更すると、イベントが昇順で再ソートされるまで、方向矢印は変わりません。これと同じ動作は、降順ソート順インジケータをクリックして降順に変更した場合にも当てはまります。
  • ソート可能な列がイベント リストのソートに使用されていない場合、矢印はグレー表示になります。列がソート可能でない場合、列のタイトルの上にマウスを合わせても矢印は表示されません。その代わりに、ソートできない理由を説明したツールチップが表示されます。
  • 別の列の矢印をクリックすると、それまでアクティブであったソート列と同じソート順でソートされます。別のソート順を選択することもできます。

表示された結果の数が、管理者によって設定されたイベント数の上限よりも少ない場合、列のソートは、クエリを再実行することなくクライアント側で実行されます。結果の数がイベント数の上限を超過したために表示されない結果が存在する場合は、新しいソート順で、同じサービス、時間範囲、フィルタを使用して新しいクエリが送信されます。現在の結果が削除され、スピナーに進行状況が示されます。[キャンセル]ボタンが使用可能になり、再構築が終了し、進行状況がクエリ コンソールに表示されます。

注: 元のクエリの結果の数が表示するイベントの閾値よりも少ない場合、イベントの再ソートはブラウザで行われます。時間が完全に一致しているイベントがある場合、これらのイベントの順序は、ソート順を逆にしたときのようには変更されません。

ソート順またはソート列を変更するには、次の手順を実行します。

  1. 列のタイトルの上にマウスを移動すると、ソート可能な列を見つけることができます。
    列がソート可能でない場合は、その理由を説明するツールチップが表示されます。
  2. リストを列でソートするには、次の手順を実行します。
    1. ソート可能な列にマウスを移動し、矢印(昇順ソート順インジケータまたは降順ソート順インジケータ)をクリックします。
      イベントが正しいソート順でソートされます。列のタイトルの上にカーソルを合わせると、矢印の色がグレーでなくなったことを確認できます。イベント リストのソートに使用されている列には、明るい白色の矢印が表示され、これをクリックしてソートの方向を変更できます。
    2. ソート順を変更するには、昇順ソート順インジケータをクリックして昇順に変更するか、降順ソート順インジケータをクリックして降順に変更します。
      矢印の方向が変わり、選択した順序でイベントが再ロードされます。

列グループに含まれているメタ キーの表示

列グループの詳細を表示するには、次の手順を実行します。

  1. [調査]>[イベント]に移動し、クエリの送信ボタン(スパイグラス)をクリックしてイベントをロードします。
    デフォルト サービスとデフォルトの時間範囲のイベントが[イベント]パネルにロードされます。[Summary List]列グループまたは前回のセッションで使用されていた列グループがリストに適用されます。[列グループ]メニューのタイトルに、選択した列グループの名前が表示されます。次の図は、[Summary List]がデフォルトで選択され、リスト内の最初の列グループがハイライト表示されている、初期状態のメニューを示しています。
    [Summary List]が選択され、[RSA Email Analysis]がハイライト表示されている[列グループ]メニュー
  2. グループに含まれている列を確認するには、[Summary List]グループの上にカーソルを合わせて情報アイコン(情報アイコン)をクリックします。
    次の図は、[Summary List]の列を示しています。Collection TimeとTypeの2つは常にイベント リストの先頭の2列に表示されますが、[列グループの詳細]ダイアログには表示されません。
    [列グループの詳細]ダイアログの例
  3. 次のいずれかの操作を実行します。
    1. ダイアログを閉じるには、[閉じる]をクリックします。
    2. 列グループを適用する場合は、[列グループの選択]をクリックします。
      ダイアログが閉じ、選択した列グループを反映するようにイベント リストが更新されます。

列グループの選択

  1. 11.4の[イベント]ビューで[イベント]パネルを開き、[列グループ]メニュー タイトルをクリックします。
    メニューがドロップダウンし、列グループのリストが表示されます。列グループの絞り込みオプションと、[新しい列グループ]オプションも表示されます。標準提供の列グループは「RSA」で始まり(Summary Listを除く)、グループを編集できないことを示すロック アイコン(ロック アイコン)が表示されます。カスタム アイコン(カスタム列グループ アイコン)は、カスタムの列グループの名前の前に表示されます。リストはアルファベット順にソートされ、メニュー ラベルには選択中の列グループ名が表示されます。リストの最初のオプションがハイライト表示されます。選択中の列グループの背景色は、ハイライト表示されている列グループとわずかに異なります。
    次の図は、[RSA Email Analysis]が選択中で、[RSA Endpoint Analysis]をハイライト表示した状態のメニューを示しています。[Investigate Upgrade]はカスタム列グループの例です。
    [列グループ]メニューの例
  2. 次のいずれかを実行します。
    1. ハイライト表示されているグループを適用するには、ENTERキーを押します。
    2. 列グループ名を検索するには、[列グループの絞り込み]フィールドにテキストを入力します。入力に合わせてリストが絞り込まれ、入力した文字列を含む列グループ名のみが表示されます。
      フィルタにテキストを含む[列グループ]メニュー
      適用するグループが表示されたら、グループをクリックするか、下矢印または上矢印を使ってグループをハイライト表示してENTERキーを押します。
      イベント リストが更新され、選択した列グループに含まれる列のみが表示され、選択した列グループ名がメニューのタイトルに表示されます。[イベント]ビューから移動しても、選択内容は保持されます。イベント リストでの列の順序は、列グループ内のメタ キーの順序を反映しています。列グループには、右にスクロールしないと表示されない追加の列が含まれている場合があります。表示を最適化するため、列グループを選択すると、デフォルトで最初の15列が表示されます。

カスタムの列グループの作成

  1. [調査]>[イベント]に移動して、クエリを送信し、[イベント]パネルにデータをロードします。
  2. [イベント]パネルのツールバーで、[列グループ]メニュー タイトルをクリックします。
    メニューがドロップダウンし、列グループのリストが表示されます。[列グループの絞り込み]フィールドが一番上に、[+ 新しい列グループ]オプションが一番下に表示されます。リストの最初のグループがハイライト表示されます。ハイライト表示と選択中の違いがわかるよう、次の図は、[RSA Email Analysis]が選択中で、[RSA Endpoint Analysis]をハイライト表示した状態のメニューを示しています。
    [列グループ]メニューの例
  3. + 新しい列グループ]を選択します。
    [列グループの作成]ダイアログが表示されます。
    初めて開いたときの[列グループの作成]ダイアログ
  4. グループ名]フィールドに、新しい列グループの一意の名前(最大256文字)を入力します(たとえば「Custom Column Group A」)。
  5. 列グループにメタ キーを追加するには、次のように各メタ キーを選択して追加します。
    1. メタ キーの絞り込み]フィールドにテキスト文字列を入力すると、そのテキストを含んでいるメタ キーが[選択可能なメタ キー]リストに表示されます。
      フィルタリングされた[選択可能なメタ キー]リストの例
    2. 追加するメタ キーが表示されたら、メタ キー名の前にある追加アイコン(丸付きプラス アイコン)をクリックします。
      [表示するメタ キー]リストの最後尾にメタ キーが追加されます(このリストも、入力したテキストで絞り込み表示されます)。列グループに追加できるメタ キーの最大数は40個です。[表示するメタ キー]リストに含まれるメタ キーがすでに40個に達しているときに別のメタ キーを追加しようとすると、グループのメタ キーが最大数に達していることを示すメッセージが表示されます。
      複数のメタ キーが追加された[列グループの作成]ダイアログの例
  6. (オプション)列グループ内のメタ キーを検索して削除するには、[メタ キーの絞り込み]フィールドにテキスト文字列を入力し、そのテキストを含んでいるメタ キーを[表示するメタ キー]リストから検索します。[表示するメタ キー]リストに削除したい列が表示されたら、メタ キー名の前にある削除アイコン(削除アイコン)をクリックします。
    メタ キーが[選択可能なメタ キー]リストに戻ります。
  7. (オプション)[表示するメタ キー]リストでメタ キーの表示順を変更するには、リストの順序アイコン(リストの順序アイコン)の上にカーソルを置きます。カーソルがドラッグ アンド ドロップ アイコン(ドラッグ アンド ドロップ アイコン)に変わったら、リスト内でメタ キーを上下にドラッグします。
    [列グループの作成]ダイアログでのメタ キーの順序の変更
  8. 次のいずれかを実行します。
    1. カスタム列グループを作成せずにダイアログを閉じるには、[キャンセル]をクリックします。
    2. グループを作成するには、[列グループを保存]をクリックします。
      新しい列グループが保存され、すべてのアナリストが使用できるようになります。ボタンが[閉じる]と[列グループを選択]に変わります。
  9. 次のいずれかを実行します。
    1. ダイアログを閉じるには、[閉じる]をクリックします。
    2. ダイアログを閉じて新しい列グループを選択するには、[列グループを選択]をクリックします。
      新しいグループが[列グループ]メニューに(アルファベット順で)追加され、[イベント]リストが更新されて、新しい列グループの列が表示されます。

カスタム列グループの削除

[イベント]リストで現在適用されていないカスタムの列グループを削除できます。標準提供の列グループは読み取り専用であり、削除することはできません。カスタムの列グループを削除すると、標準提供の列グループと削除されていないグループのみが列グループ メニューに表示されます。

注意: 列グループの削除の影響はグローバルであり、すべてのアナリストがそのグループを使用できなくなります。

カスタムの列グループを削除するには、次の手順を実行します。

  1. [調査]>[イベント]に移動し、クエリの送信ボタン(スパイグラス)をクリックしてイベントをロードします。
    デフォルト サービスとデフォルトの時間範囲のイベントが[イベント]パネルにロードされます。[Summary List]列グループまたは前回のセッションで使用していた列グループがリストに適用されます。次の図は、[Summary List]列グループが選択されている初期状態のビューを示しています。[列グループ]メニューのラベルに、選択した列グループの名前が表示されます。
    [Summary List]列グループが選択されている[列グループ]メニューの例
  2. 列グループを削除するには、次の図に示すようにカスタム列グループをハイライト表示し、名前の右側の編集アイコン(編集アイコン)をクリックします。
    左側にカスタム記号のあるカスタム列グループ
  3. [列グループの詳細]ダイアログが開き、選択したグループの情報が表示されます。
    カスタム列グループの[列グループの詳細]ダイアログ
  4. グループの削除アイコン(CG削除アイコン)をクリックします。
    列グループが現在使用中の場合は、次のメッセージが表示されます:This column group cannot be deleted because it is currently active.
    列グループが使用中ではなく、標準提供の列グループではない場合、グループはただちに削除され、[列グループ]メニューから削除されます。削除した列グループは、調査を行うアナリストには表示されなくなります。列グループを削除する前に確認を求めるメッセージは表示されません。

カスタム列グループの編集

  1. [調査]>[イベント]に移動して、クエリを送信し、[イベント]パネルにデータをロードします。
  2. [イベント]パネルのツールバーで、[列グループ]メニュー タイトルをクリックします。
    メニューがドロップダウンし、列グループのリストが表示されます。[列グループの絞り込み]フィールドが一番上に、[+ 新しい列グループ]オプションが一番下に表示されます。リストの最初のグループがハイライト表示され、選択中のグループの背景は薄い青色になります。
  3. 編集する列グループをハイライト表示します。次の図は、ハイライト表示された「Custom Column Group A」を示しています。編集アイコンが右側に表示されます。
    編集用にハイライト表示された列グループ
  4. 編集アイコン(編集アイコン)をクリックします。
    [列グループの詳細]ダイアログが表示され、グループ名と表示するメタ キーを編集できるようになります。メタ キーの追加または削除に加え、リスト内のメタ キーの順序の変更が可能です。
    列グループが編集用に開かれている[列グループの詳細]
  5. (オプション)[グループ名]フィールドで、列グループの名前を編集します。
  6. (オプション)列グループにメタ キーを追加するには、次のように各メタ キーを選択して追加します。

    1. メタ キーの絞り込み]フィールドにテキスト文字列を入力すると、そのテキストを含んでいるメタ キーが[選択可能なメタ キー]リストに表示されます。または、リストをスクロールしてメタ キーを見つけます。
    2. 追加したいメタ キーが表示されたら、メタ キー名の前にある追加アイコン(丸付きプラス アイコン)をクリックします。
      [表示するメタ キー]リストの最後尾にメタ キーが追加されます(このリストも、入力したテキストで絞り込み表示されます)。次の図は、グループ名が[Column Group A]に変更され、access.pointが[表示するメタ キー]リストに追加された状態を示しています。
      列グループ名の変更とaccessメタ キーの追加
  7. (オプション)列グループ内のメタ キーを検索して削除するには、[メタ キーの絞り込み]フィールドにテキスト文字列を入力し、そのテキストを含んでいるメタ キーを[表示するメタ キー]リストから検索します。もしくは、単にリストをスクロールします。削除したい列が表示されたら、[表示するメタ キー]リストでメタ キー名の前にある削除アイコン(削除アイコン)をクリックします。
    メタ キーが[選択可能なメタ キー]リストに戻ります。
  8. (オプション)[表示するメタ キー]リストでメタ キーの表示順を変更するには、リストの順序アイコン(リストの順序アイコン)の上にカーソルを置きます。カーソルがドラッグ アンド ドロップ アイコン(ドラッグ アンド ドロップ アイコン)に変わったら、リスト内でメタ キーを上下にドラッグします。
  9. 次のいずれかを実行します。
    1. カスタムの列グループに対する変更を保存せずにダイアログを閉じるには、[リセット]をクリックします。
    2. 列グループの編集内容を保存するには、[列グループを更新]をクリックします。
      更新された列グループがすべてのアナリストに対してグローバルに保存され、ボタンが[閉じる]と[列グループを選択]に変わります。
  10. 次のいずれかを実行します。
    1. ダイアログを閉じるには、[閉じる]をクリックします。
    2. ダイアログを閉じて更新された列グループを選択するには、[列グループを選択]をクリックします。
      列グループが更新され、[イベント]リストが更新されて新しい列グループの列が表示されます。

列グループと列の選択(11.3以前の[イベント分析]ビュー)

11.3以前の[イベント分析]ビューでは、[イベント]リストに適用する列グループを選択できます。標準提供の列グループと[レガシー イベント]ビューで作成されたカスタムの列グループがあります。

列グループを選択するには、次の手順を実行します。

[列グループ]メニューで、次のいずれかを実行します。

  1. 列グループを選択します(たとえば[Summary List])。
  2. 列グループのリストを絞り込むには、列グループ名を入力します。1文字を入力すると、その文字を含む列グループのリストが表示されます。入力を続けると、入力に合わせてリストが絞り込まれていきます。目的の列グループが表示されたら、それをクリックして選択します。フィルタのテキストをクリアするには、[X]をクリックするか、入力したテキストを削除します。
    選択した列グループに含まれる列のデータが[イベント]パネルに表示されます。

表示する列を選択するには、次の手順を実行します。

  1. [イベント]リストが開き、列グループが選択された状態で、設定アイコンをクリックして列セレクターを表示します。
    列セレクター フィルタリング リスト
  2. 列に追加したいメタ キーを選択するか、メタ キーの名前を入力します。 
  3. 列に表示したくないメタ キーがある場合は、メタ キーの選択を解除します。
    選択した列を使用してデータが再表示されます。

[レガシー イベント]ビューでの列グループの操作

このセクションでは、11.4の[レガシー イベント]ビュー(および11.3の[イベント]ビュー)の操作手順について説明します。ハードコードされた列を含む3種類のイベント リストが組み込まれており、それぞれ詳細ビュー、リスト ビュー、ログ ビューと呼ばれます。列の削除、列の順序の変更、幅の変更を行うことができます。標準提供またはカスタムの列グループも使用できます。これにより、列をより柔軟に選択できるようになります。

列グループは、調査の中で、グローバルに共有され、サービスごとに定義されます。カスタムの列グループに対して行った変更はすべてグローバルに適用され、サービスを使用しているすべてのアナリストに影響します。列グループを削除すると、サービスを調査するすべてのアナリストがその列グループを使用できなくなります。

列グループの選択

注: 調査のプロファイルに、カスタム列グループを含めることができます。カスタム列グループがプロファイルで使用されていて、カスタム列グループを使用して[レガシー イベント]ビューでイベントを表示している場合は、ビューのタイプ(詳細、リスト、ログ)を変更できません。 

列グループを選択するには、次の手順を実行します。

  1. [レガシー イベント]ビューを開き、[ビュー]ドロップダウン メニューから[カスタム列グループ]を選択します。メニュー ラベルには、選択中のオプション(詳細ビュー、リスト ビュー、ログ ビュー、現在選択されている列グループ)が表示されます。
    [カスタム列グループ]メニュー
  2. サブメニューから列グループのいずれかを選択します。
    レガシー イベントビューが更新され、カスタムの列グループが反映されます。

[レガシー イベント]ビューでのカスタム列グループの作成

  1. [調査]>[レガシー イベント]に移動します。
  2. ビュー]ドロップダウン メニューから[列グループの管理]を選択します。[ビュー]ドロップダウン メニューのラベルには、現在選択中のオプション(詳細ビュー、リスト ビュー、ログ ビュー、現在選択されている列グループ名など)が表示されます。
    [列グループの管理]ダイアログが表示されます。
    [列グループの管理]ダイアログ
  3. 列グループ パネルに新しい列グループを追加するには、[追加]アイコンをクリックし、表示されたフィールドに新しいグループの名前を入力します。
    列定義パネルが右側に表示され、グループ名が入力されます。グループ名を編集することもできます。
  4. グループに列を追加するには、[追加]アイコンをクリックします。追加された空の[メタ キー]フィールドをクリックし、[メタ キー]ドロップダウン リストを表示します。リストからメタ キー フィールドを選択します。この手順を、列セットが完成するまで繰り返します。
    新しい列とメタ キー ドロップダウン リストが表示された[列グループの管理]ダイアログ
  5. (オプション)列グループからメタ キーを削除するには、[削除]アイコンをクリックします。
  6. (オプション)[イベント]リストに表示される列の順序を変更するには、メタ キーをドラッグして適切な位置に移動します。
  7. (オプション)列のデフォルトの幅を設定するには、[]列にある目的の値をクリックして、新しい列の幅を入力します。
    メタ キーが定義された[列グループの管理]ダイアログ
  8. (オプション)列グループを以前の設定に復元し、これまでに加えた変更をすべて取り消すには、[キャンセル]をクリックします。
  9. 保存する準備ができたら、次のいずれかを実行します。
    1. 編集した列グループを保存し、その列グループの設定を使って[レガシー イベント]ビューを更新するには、[保存して適用]をクリックします。
    2. [レガシー イベント]ビューを更新せずに、編集した列グループを保存するには、[保存]をクリックします。

列グループの削除([レガシー イベント]ビュー)

  1. [調査]>[レガシー イベント]に移動します。
  2. ビュー]ドロップダウン メニューから[列グループの管理]を選択します。[ビュー]ドロップダウン メニューのラベルには、現在選択中のオプション(詳細ビュー、リスト ビュー、ログ ビュー、現在選択されている列グループ名など)が表示されます。
    [列グループの管理]ダイアログが表示されます。
    [列グループの管理]ダイアログ
  3. 列グループ パネルでカスタム列グループを削除するには、1つまたは複数のカスタム列グループを選択し、ツールバーの[削除]アイコンをクリックします。
    確認を求めるメッセージが表示されます。
  4. 次のいずれかを実行します。
    1. 列グループを削除して[レガシー イベント]ビューを更新するには、[はい]をクリックします。
    2. 列グループを削除しない場合は、[いいえ]をクリックします。
      選択した列グループが削除され、どこにも表示されなくなります。

列グループの編集([イベント]ビュー)

  1. [調査]>[レガシー イベント]に移動します。
  2. ビュー]ドロップダウン メニューから[列グループの管理]を選択します。[ビュー]ドロップダウン メニューのラベルには、現在選択中のオプション(詳細ビュー、リスト ビュー、ログ ビュー、現在選択されている列グループ名など)が表示されます。
    [列グループの管理]ダイアログが表示されます。
    [列グループの管理]ダイアログ
  3. 次のいずれかを実行します。
    1. 列グループ パネルでカスタム列グループを編集するには、名前の前にあるチェックボックスを選択します。
      列定義パネルが右側に表示されます。
    2. 標準提供の列グループまたはカスタムの列グループを複製してから編集するには、名前の前にあるチェックボックスを選択して、複製アイコン(複製アイコン)をクリックします。
      列定義パネルが右側に表示されます。
  4. (オプション)グループの複製を編集している場合は、グループの新しい名前を入力します。
  5. グループに列を追加するには、[追加]アイコンをクリックします。追加された空の[メタ キー]フィールドをクリックし、[メタ キー]ドロップダウン リストを表示します。リストからメタ キー フィールドを選択します。この手順を、列セットが完成するまで繰り返します。
    新しい列とメタ キー ドロップダウン リストが表示された[列グループの管理]ダイアログ
  6. (オプション)列グループからメタ キーを削除するには、[削除]アイコンをクリックします。
  7. (オプション)[イベント]リストに表示される列の順序を変更するには、メタ キーをドラッグして適切な位置に移動します。
  8. (オプション)列のデフォルトの幅を設定するには、[]列にある目的の値をクリックして、新しい列の幅を入力します。
    メタ キーが定義された[列グループの管理]ダイアログ
  9. (オプション)列グループを以前の設定に復元し、これまでに加えた変更をすべて取り消すには、[キャンセル]をクリックします。
  10. 保存する準備ができたら、次のいずれかを実行します。
    1. 編集した列グループを保存し、その列グループの設定を使って[レガシー イベント]ビューを更新するには、[保存して適用]をクリックします。
    2. [レガシー イベント]ビューを更新せずに、編集した列グループを保存するには、[保存]をクリックします。

列グループのインポートとエクスポート([レガシー イベント]ビュー)

カスタムの列グループをエクスポートして他のチーム メンバーと共有できます。エクスポートしたファイルのコピーを他のアナリストに提供すれば、そのアナリストは列グループをインポートできます。

列グループをエクスポートするには、次の手順を実行します。

  1. [調査]>[レガシー イベント]に移動します。
  2. ビュー]ドロップダウン メニューから[列グループの管理]を選択します。[ビュー]ドロップダウン メニューのラベルには、現在選択中のオプション(詳細ビュー、リスト ビュー、ログ ビュー、現在選択されている列グループ名など)が表示されます。これらのビューはそれぞれ異なる形式のイベント リストであり、各列が1つのメタ キーを表します。
    [列グループの管理]ダイアログが表示されます。
    [列グループの管理]ダイアログ
  3. 列グループをエクスポートするには、名前の前にあるチェックボックスを選択して、[エクスポート]オプション(エクスポート ボタン)をクリックします。
    列グループが.jsnファイル(たとえばCustomColumnGroupsExport.jsn)としてローカルのファイル システムにエクスポートされます。別のグループをエクスポートする場合は、その次のファイルには、重複を避けるためCustomColumnGroupsExport-2.jsnという名前が付けられます。
  4. ローカル ファイル システムに保存した列グループをインポートするには、[インポート]オプション(インポート ボタン)をクリックします。
    [列グループのインポート]ダイアログが表示されます。
  5. ローカル ドライブを参照して列グループ(jsnファイル)を見つけて、[アップロード]をクリックします。
    列グループがリストに追加されます。同名の既存の列グループが存在する場合は、メッセージが表示され、列グループはインポートされません。

 

You are here
Table of Contents > 結果セットの絞り込み > イベント リストでの列と列グループの使用

Attachments

    Outcomes