調査:[ナビゲート]ビューと[レガシー イベント]ビューでのテキスト パターンの検索

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

[ナビゲート]ビュー、[イベント]ビュー、[レガシー イベント]ビューで、現在のイベント セット内のテキスト パターンを検索できます。このセクションでは、[ナビゲート]ビューと[レガシー イベント]ビューでの検索について説明します。[イベント]ビューでの検索の詳細については、「[イベント]ビューでの結果のフィルタリング」を参照してください。

キーワード テキスト検索または、regex(正規表現)による検索が可能です。[ナビゲート]ビューでは、HTTPなどのメタ値をクリックしてデータをドリル ダウンし、[検索]フィールドに検索文字列を入力して、データ サブセット内のイベントを検索できます。検索すると[レガシー イベント]ビューにタブが開き、指定した絞り込み条件と時間範囲が表示され、検索結果が表示されます。また、検索を開始する前にクエリを使用してデータをドリル ダウンできます。検索を実行するには、[検索]ボックスに検索文字列を入力して、Enterを押すか[検索]をクリックします。

注: デフォルトで、検索結果には、インデックスされたデータで見つかった完全一致のみが含まれます。[イベントの詳細]ビューで青色のリンクで表示されるメタ値のみがインデックスされています。値にスペースが含まれる場合は、正規表現オプションを選択する必要があります。検索範囲を広げるには、[イベントの検索]ドロップダウン メニューでオプションを変更します。

キーワード テキスト検索

テキスト検索の機能は次のとおりです。

  • スペースで区切られた単語はAND検索となり、すべての単語が検出されて初めて一致と見なされます。ただし、単語間の位置や順序は考慮されません。たとえば、「Mark Albert」を検索条件とした場合、セッションにMarkとAlbertの両方が存在している必要があります。ただし、1つのまとまりで出現している必要はなく、順序も問われません。
  • 「OR」という単語は特殊な意味を持ちます。「Mark OR Albert」を検索した場合、MarkとAlbertのどちらか一方がセッションに見つかれば一致と見なされます。両方が存在する必要はありません。
  • 1つの検索文字列で暗黙的なANDとORを組み合わせて検索することもできます。明示的に指定されたORは、暗黙的(スペースによる)ANDよりも優先されます。次の2つの例は、論理的には同じ意味を持ちます。つまり、「cheese」と「dumplings」の両方が存在し、「toast」か「bread」のどちらかが存在している必要があります。
    cheese toast OR bread dumplings
    cheese AND (toast OR bread) AND dumplings
  • 検索結果から除外したい単語は、-演算子で指定できます。たとえば、「cheese -toast」を検索した場合、cheeseという単語を含んだ結果のうち、toastを含んでいない結果がすべて返されます。
  • テキスト キーワード検索では、次のパターンの照合に対応しています。
    • IPv4およびIPv6アドレス。IPアドレスとして認識できる単語は、インデックスされたメタデータを検索できるように、メタデータ本来の形式に変換されます。
    • IPv4 CIDR範囲。CIDR表記を使用して範囲内のIPv4アドレスを検索できます。
    • タイムスタンプ。タイムスタンプは、ネイティブのtimeメタデータ、およびTimeタイプのその他のtimeメタ フィールドと照合されます。
    • 数字。検索条件に指定された10進数は自動的に認識され、数値メタ フィールドと照合されます。

検索の動作を制御するオプション

[ナビゲート]ビューまたは[レガシー イベント]ビューで検索ボックスと検索オプションにアクセスするには、次の手順を実行します。

  1. ツールバーに、[イベントの検索]フィールドが表示されます。
    これが[イベントの検索]フィールドです

    注: ツールバーに[イベントの検索]フィールドが表示されない場合は、ツールバーの右端の展開アイコンをクリックします。

  2. イベントの検索]フィールドをクリックすると、[検索オプション]ドロップダウン メニューが表示されます。バージョン11.2以降では、メニュー オプションは若干異なります。最初の図は、11.1以前のメニューを示しています。2番目の図は、バージョン11.2以降のメニューを示しています。
    これが[検索オプション]ドロップダウン メニューです

    [検索オプション]ドロップダウン メニュー

このボックスで選択したオプションで、検索の実行方法を変更します。デフォルトの検索モードでは、インデックスされたメタデータとrawデータのみを検索します。

注: [インデックス]または[インデックスされたメタデータのみ(デフォルト)]チェックボックスがデフォルトで選択されているため、インデックスされたデータに基づいて検索結果が返されます。メタデータまたはrawデータの完全なセットを検索する場合は、該当するチェックボックスをオンにして、[インデックス]または[インデックスされたメタデータのみ(デフォルト)]チェックボックスをオフにします。このタイプの検索には時間がかかりますが、より完全なデータのセットが含まれます。

次の表で、調査の検索オプションについて説明しています。

                                       
機能 説明

インデックスされたメタデータのみ(デフォルト)]チェックボックス(バージョン11.2以降)

インデックス]ラジオ ボタン(バージョン11.1)

この検索では、インデックスされたデータの結果のみが返されます。インデックス検索は、大量のデータ セットから最も迅速にキーワードを見つける方法です。インデックス検索は、データ コレクションにある関連するすべてのインデックスを利用します。

注意: サブストリング一致は、インデックス検索では検出されません。サブストリング一致を検出したい場合は、このチェック ボックスをオフにして、非インデックス検索モードを使用します。

すべてのメタデータ]ラジオボタン(バージョン11.2)

メタ]チェックボックス(バージョン11.1)

メタデータを検索します。キーワードや正規表現パターンは、解析済みメタデータと照合されます。

すべてのRAW]ラジオ ボタン(バージョン11.2以降)

RAW](ネットワーク/ログ/エンドポイント)チェックボックス(バージョン11.1)

ネットワーク、ログ、エンドポイントのイベント テキストを検索します。すべてのイベントがデコードされ、キーワードや正規表現パターンに一致するコンテンツが検索されます。
フィルタを指定せずにArchiver上のすべてのデータを検索対象にした場合、実行時間が極端に長くなり、警告が表示される場合があります。

注意: ネットワークのRAWデータを検索すると、セッションがデコードされるため、非常に時間がかかります。ネットワーク データのみのコレクションを検索する場合は、RAWオプションを無効にしてもかまいません。

すべてのメタデータとRaw]ラジオ ボタン(バージョン11.2)メタデータ および ログまたはイベント テキストを検索します。このオプションは、バージョン11.1のメタとRAW(ネットワーク/ログ/エンドポイント)の2つのオプションの組み合わせで、一緒に選択することができます。バージョン11.2では、ラジオ ボタンを1つだけ選択できます。
大文字と小文字を区別しない大文字と小文字を区別せずに検索します。
正規表現検索で、テキストではなくPerlの正規表現が使用されます。デフォルトでは、テキスト検索が実行されます。正規表現検索を実行するには、[正規表現]オプションを選択する必要があります。

注意:
-正規表現検索は、非常に低速になる可能性があります。
-正規表現とインデックス検索オプションを組み合わせると、メタ値ではなく固有のインデックス値に対して正規表現パターンが照合されます。これにより、結果の生成は速くなりますが、すべてのメタデータまたはRAWデータを完全に検索した結果ではありません。

適用[ナビゲート]ビューと[レガシー イベント]ビューでの検索に適用するデフォルトの検索オプションを設定します。これにより、プロファイルの調査設定([プロファイル]>[環境設定]>[調査]タブ)も更新されます。設定が保存され、すぐに反映されます。
デフォルトの検索設定を変更せずに、個別の検索に使用する検索オプションを選択できます。

正規表現検索の構文

正規表現検索には、Perlの正規表現の構文(http://perldoc.perl.org/perlre.htmlを参照)が使用されます。

Rawテキスト キーワード検索

Log Decoderには、パースされていないログ イベントのRawテキスト インデックスを作成する機能があります。この機能は、ConcentratorやArchiverなどのダウンストリーム サービス上にフル テキスト インデックスを形成する、メタデータ アイテムを作成します。検索オプションで[検索インデックス]を選択すると、自動的にこのテキスト インデックスを使用して検索が実行されます。テキスト インデックスのメタは、粒度が粗い点に注意してください。たとえば、デフォルトのテキスト インデックスの構成では、テキストの切り捨てが行われます。インデックスでの一致をRawデータと比較することにより、検索エンジンは正確な検索結果を得ることができます。ただし、検索オプションのRawチェックボックスをオフにすると、検索時間が短縮する可能性があります。この場合、結果は迅速に表示されますが、検索結果に誤検出が含まれる可能性があります。

検索手順

[ナビゲート]ビューでの検索

[ナビゲート]ビューに表示されているデータを検索するには、次の手順を実行します。

  1. [検索]フィールドに検索文字列を入力し、Enterを押すか、[検索]をクリックします。
  2. 検索ボックスをクリアして、検索によって結果がフィルタリングされていない以前の[ナビゲート]ビューに戻るには、検索ボックスの[X]をクリックします。

[レガシー イベント]ビューでの検索

[レガシー イベント]ビューに表示されているデータを検索するには、次の手順を実行します。

  1. [イベントの検索]ボックスに検索文字列を入力し、Enterを押すか、[検索]をクリックします。
    検索結果が表示されます。検索条件に一致するイベントが、[イベント]リストに表示されます。詳細ビューとリスト ビューでは、一致した文字列が[詳細]列でハイライト表示されます。加えて、RAWを検索対象とした場合、一致した文字列が、ログ ビューの[ログ]列でハイライト表示されます。
  2. 検索範囲を絞り込む場合は、クエリと時間を変更します。
  3. 検索を中止して[レガシー イベント]ビューに戻る場合は、[キャンセル]をクリックします。
    表示されている結果はそのままとなります。
  4. 検索ボックスをクリアして通常の[イベント]ビューに戻るには、検索ボックスの[X]をクリックします。

You are here
Table of Contents > 結果セットの絞り込み > [ナビゲート]ビューと[レガシー イベント]ビューでのテキスト パターンの検索

Attachments

    Outcomes