調査：［ナビゲート］ビューでの結果のフィルタリング

 

［ナビゲート］ビューで調査を実施する場合は、メタ キーの値を［ナビゲート］ビューにロードする時に、いくつかの方法で表示する結果を絞り込むことができます。このトピックの後半では、基本的なデータのフィルタリング方法を中心に説明します。

• 時間範囲の設定
• メタ キー結果の集計方法とソート順の設定
• 調査でのデフォルト メタ キーの管理と適用
• ［ナビゲート］ビューのタイム チャートでのデータのドリル ダウン
• ［値］パネルでのデータのドリルダウン

時間範囲の設定

［ナビゲート］ビューで調査を実施する際、返される結果を制限するには、時間範囲のオプション設定を使用します。次のオプションを選択できます。

• 収集データの時間範囲。最後に収集されたデータの時刻を基準にして、一定の時間範囲を選択します。
• カレンダーの日付を基準にした時間範囲。
• カスタムの時間範囲。
• すべてのデータ。

選択した日付範囲が［ナビゲート］ビューのツール バーに時間範囲ラベルとして表示されます。デフォルトのラベルは［直近3時間］です。タイムライン バナーに表示される時間範囲には、メタデータに使用されている日付範囲の最初と最後のタイムスタンプが表示されます。

注：  時間範囲の設定で使用する日付と時刻は、『RSA NetWitness Platformスタート ガイド』の「ユーザ環境設定の設定」で説明されているように、［プロファイル］の［環境設定］パネルに構成されている［タイム ゾーン］をベースとしています。

標準提供の時間範囲を選択するには、次の手順に従います。

1. ［ナビゲーション］ビューのツールバーの［時間範囲］オプションをクリックします。デフォルトの時間範囲は［直近3時間］ですが、すでに選択リストから別の値（［すべてのデータ］、［直近1時間］など）が選択され、オプション パネルのラベルとして表示されている場合があります。
   時間範囲の選択リストが表示されます。
   
2. 次のいずれかを実行します。
   • すべてのデータを表示する場合は、［すべてのデータ］を選択します。
   • 時間範囲を収集に対する分、時間、日単位で設定する場合は、［直近10分］、［直近3時間］、［直近5日］のような値を選択します。
   • 現在からの相対的な時間範囲を設定する場合は、［昨日］、［今週］（バージョン11.1）、［先週］（バージョン11.1）、［終日］、または［早朝］、［午前］、［午後］、［夕方］のような1日の一部を選択します。
   • カスタムの日付範囲を設定する場合は、［時間範囲］メニューの［カスタム］を選択し、以下の手順を実行します。
     選択した時間範囲は値パネルの上部にも表示されます。

カスタム時間範囲を指定するには、次の手順に従います。

1. ［時間範囲］メニューで［カスタム］を選択します。
   日付選択オプションはツールバーに表示されます。
   
2. ［開始日］および［終了日］フィールド内で、次の手順を実行して日付と時間を指定します。
   1. カレンダーから日付をクリックします。
   2. （オプション）［時間］および［分］フィールドから時間を選択するか、［現在］をクリックします。時間の選択は、デフォルトで日の現在時間となります。

注： 開始時刻の秒は常に:00に、終了時刻の秒は常に:59に変更されます。たとえば、時間を使用して問題にドリルダウンする場合、ドリル時間は「HH:MM:00～HH:MM:59」と解釈されます。

3. 範囲を適用するには、［表示］をクリックします。
   選択した時間範囲が、［値］パネルの現在の結果に適用されます。

メタ キー結果の集計方法とソート順の設定

［ナビゲート］ビューで各メタ キーの結果をどのようにカウントし、ソートするかを選択できます。

注： メタ グループでメタ エンティティ（バージョン11.1以降）が使用されている場合は、メタ エンティティに含まれるメタ キーのいずれかと一致する上位20の値が結果に表示されます。

［ナビゲート］ビューにある各メタ キーのセクションには、各メタ キーの値（［値］）とそのカウント（［件数］）が一定の順序でリストされます。次の設定を行うことができます。

• 各メタ キー セクションの結果を［値］または［合計］のどちらに基づいてソートするか。
• 結果を昇順でソートするか降順でソートするか。
• 各メタ キーに表示される値をパケット数で集計（［パケット数］）するか、セッションまたはログ数で集計するか（［イベント数で集計］）、イベントのサイズで集計（［イベント サイズで集計］）するか。

注：  Log DecoderとPacket Decoderの両方のメタを表示している場合、実際の算出される数はキーのタイプによって異なります。パケット数で集計することを選択した場合にログを調べると、［ナビゲート］ビューの出力は、［イベント数で集計］を選択した場合と同じ出力になります（詳細については、「［ナビゲート］ビュー」を参照してください）。

次の図では、「Event Type」というメタ キーは、［合計］の降順で表示されています。一致件数の最も多い値が最初に表示されています。値failure auditは一致件数が71件であり、先頭に表示されています。値logonは一致件数が1件しかなく、最後に表示されています。集計方法は［イベント数］です。

次の図では、「Event Type」というメタ キーが［値］の降順で表示されています。アルファベットの最後の文字から順に、値が表示されていることが分かります。値success auditが先頭に表示されています。値connectが最後に表示されています。集計方法は［イベント数］です。

［ナビゲート］ビューでメタ キーを集計する方法と結果の表示順を選択するには、次の手順を実行します。

1. ツールバーで、［イベント数］、［イベント サイズ］、［パケット数］のいずれかをクリックし、ドロップダウン メニューで集計オプションを1つ選択します。選択したオプションがメニューのラベルに表示されます。
   
   選択内容に応じて現在のビューが再ロードされます。
2. ツールバーで、［合計］または［値］をクリックし、ドロップダウン メニューからいずれかのソート条件を選択します。選択したオプションがメニューのラベルに表示されます。
   
   選択内容に応じて現在のビューが再ロードされます。
3. ツールバーで、［昇順］または［降順］をクリックし、ドロップダウン メニューからいずれかのソート順を選択します。選択したオプションがメニューのラベルに表示されます。
   選択内容に応じて現在のビューが再ロードされます。
   

調査でのデフォルト メタ キーの管理と適用

収集したデータの調査をアナリストがInvestigateで実施する際は、メタ キーのデフォルトのセットが［ナビゲート］ビューの［値］パネルにデフォルトの順序でロードされて表示されます。デフォルトのコンテンツと順序は、調査対象のサービスのメタ キーに基づきます。アナリストは、デフォルトのメタ キーを選択するかユーザ定義のメタ キーのグループを選択することにより、調査の際に表示するメタ キーを指定でき、メタ キーの定義や表示を柔軟に行うことができます。これにより、目的のデータにより直接的にドリル ダウンできるようになります。また、現在の調査には関係のないメタをロードせずに済むため、ロードの時間の短縮にも役立ちます。

注： バージョン11.1以降では、メタ キーを使用可能な場所では、構成済みのメタ エンティティも使用できます。

有効なカスタム メタ グループがない場合は、［デフォルトのメタ キーの管理］ダイアログの表示オプションで指定されたメタが表示されます。［ナビゲート］ビューの［値］パネルでのメタ キーのロードを最適化するために、NetWitness Platformはデフォルトではインデックスなしのメタ キーを展開しません。インデックスなしのメタ キーを［値］ビューで展開すると、NetWitness Platformによってそのメタ キーの値のロードが開始されます。ロード時間が長くなりすぎると、メッセージが表示されてメタ キーのロードはタイムアウトになります。インデックスなしのメタ キーのタイトル、値、数は、［値］パネルでは詳しく調べることができません。Investigationでラベル付けを行い、インデックスなしのメタ キーを識別します。

調査に使用するメタ キーを選択するには、次のいずれかの手順を実行します。

• デフォルトのメタ キーを選択する。
• メタ キー セット（メタ グループ）を選択する。

注：  調査には、標準提供のメタ グループとユーザ定義のメタ グループがあります。作成したユーザ定義のメタ グループは、編集と削除が可能であるほか、エクスポートやインポートが可能です。これらの手順については、「メタ グループを使用して関連性の高いメタ キーにフォーカス」という別のトピックで説明されています。

［デフォルトのメタ キー］ダイアログでは、［調査］＞［ナビゲート］ビューで特定のサービスについて調査するときに、メタ キーのデフォルト表示オプションを指定できます。キーごと、またはすべてのキーについて、デフォルトの表示を次のように設定できます。

• ［非表示］：デフォルトのメタ キーの結果を非表示にし、ロードしません。
• ［展開表示］：デフォルトのメタ キーの結果を展開し、値と数（セッションの合計）を表示します。
• ［折りたたみ表示］：デフォルトのメタ キーの結果を折りたたみ、メタの名前だけが表示されるようにします。
• ［自動］：デフォルトのメタ キーのロードをインデックス レベルで制御します。そのためには、値によってインデックスされている必要があります。 

デフォルトのメタ キーはさまざまなサービス向けに変更できるため、別のサービスのドリルダウン ポイントに移動したときに、同じデフォルトのメタ キーのセットが表示されないことがあります。デフォルトのメタ キーを使用する場合は、この点に注意してください。目的のデータが表示されない場合は、デフォルトのメタ キーの初期表示を変更する必要があります。

デフォルトのメタ キーの初期状態を［ナビゲート］ビュー内で変更した場合、変更はそのサービスに対して持続されます。コア サービスのカスタム インデックス ファイル（たとえば、concentrator-custom-index.xml、decoder-custom-index.xmlなど）に新しいキーを追加する場合、その新しいキーは、デフォルトのメタ キーのリストに追加されます。［ナビゲート］ビューで設定された変更は、現在のサービスにのみ適用されます。

初期の［ナビゲート］ビューがデフォルトのメタ キーを使用して開くように指定するには、次の手順を実行します。

1. ［調査］＞［ナビゲート］に移動します。
2. サービスを選択し、［ナビゲート］を選択します。
3. ［メタ］メニューで、［デフォルトのメタ キーを使用］を選択します。
   調査がすでに進行中である場合、データが現在のビューに再ロードされ、選択したオプションには目印のアイコンが表示されます。まだデータがロードされていない場合、デフォルトのメタ キーが次回のロードに使用されます。

デフォルトのメタ キーの構成

［ナビゲート］ビューでデフォルトのメタ キーのデフォルトの表示を構成するには、次の手順を実行します。

1. ［ナビゲート］ビューのツールバーで、［メタ］＞［デフォルトのメタ キーの管理］を選択します。
   ［デフォルトのメタ キーの管理］ダイアログが表示され、サービスで利用可能なメタ キーのリストが表示されます。
   
2. （オプション）キーの順序を変更するには、1つ以上のキーを選択し、上方向または下方向にドラッグします。
3. 次のいずれかを実行します。
   • （オプション）すべてのメタ キーのデフォルトの表示を変更するには、キーが選択されていないことを確認して、ツールバーでを選択します。
   • （オプション）1つ以上のキーのデフォルトの表示を変更するには、キーを選択して、ツールバーでを選択します。
     すべてのデフォルトのメタ キーに使用可能な初期表示のドロップダウン メニューが表示されます。
     
     
   • （オプション）メタ キーをサービス インデックス ファイルで指定されているとおりのデフォルトの表示に戻すには、キーが選択されていないことを確認して、ツールバーで＞［自動］を選択します。
     インデックスなしのメタ キーのデフォルト ビューを変更する場合、キーを展開表示に設定できません。メタ グループのデフォルト ビューを展開表示に変更し、一部のメタ キーがインデックスなしであった場合、インデックスなしのメタ キーは自動的に自動に戻ります。したがって、メタ キーはインデックス付きである場合にのみ自動的にロードされます。インデックスなしのメタ キーは手動で開くまで折りたたみ表示になります。
4. いずれかの表示方法を選択します。
5. ［適用］をクリックして、変更を保存します。
   ［ナビゲート］ビューに表示されるメタ キーは、指定された内容で設定されます。デフォルトのメタ キーが非表示の場合、そのメタ キーの値は調査では一切表示されません。デフォルトのメタ キーが折りたたみ表示の場合、そのメタ キーの値はデフォルトではロードされません。ただし、［ナビゲート］ビューで個々のメタ キーを手動でロードすることはできます。

［ナビゲート］ビューのタイム チャートでのデータのドリル ダウン

アナリストは、タイム チャートを使用して、時間の経過に従ってアクティビティを可視化することができます。時間範囲を選択して、［調査］オプションを選択して、データにズーム インすることができます。その後、ズーム インの前に有効であった時間範囲にナビゲーションをリセットできます。

1. ［調査］＞［ナビゲート］に移動します。
   現在のドリルダウン ポイントおよび選択した時間範囲のタイム チャートが表示されます。
   
2. タイム チャート上でマウスのクリックとドラッグを行い、目的の時間範囲を選択します。選択した時間範囲がハイライト表示されます。
   選択した時間範囲のタイム チャートが再描画されます。ただし、メタ値は変更されません。
   
3. 選択した時間範囲のデータにドリル ダウンするには、［調査］をクリックします。
   URLが更新され、新しい時間範囲が反映されます。さらに、調査オプション パネルでは、時間範囲がカスタム時間範囲に変更されます。選択した時間範囲を使用して、タイム チャートが再描画され、メタ値がロードされます。
   
4. タイム チャートを元の時間範囲にリセットするには、［ズームのリセット］をクリックします。
   URLが、データのズームを行う前の元のURLに戻ります。また、調査オプション パネルでは、時間範囲がズームを行う前の時間範囲に戻ります。元の時間範囲を使用して、タイム チャートが再描画され、メタ値がロードされます。

［値］パネルでのデータのドリルダウン

NetWitness Platformでは、［調査］＞［ナビゲート］ビューに、選択したサービスのアクティビティと値が表示されます。調査のためにアナリストがメタ キーまたはメタ値をクリックしてデータをドリルダウンすると、クエリが実行されます。［値］パネルで、各クエリは階層リンクのデータに追加されます。これにより、各クエリへのリンクを含む階層リンクが画面上部に表示されます。階層リンクを編集して、クエリを挿入したり、削除したりできます。

メタデータのサブセットにドリルダウンするには、次の手順を実行します。

1. 調査を開始して、［ナビゲート］ビューにメタデータを表示します。
   
2. メタ データをドリル ダウンするには、次の操作を任意の組み合わせで実行します。
   1. メタ キー、たとえば、［Service Type］をクリックします。
   2. 結果内のメタ値（青色のテキストで表示）をクリックします。たとえば、［OTHER］をクリックします。
      メタ キーまたはメタ値をクリックするたびに、データを絞り込む焦点（ドリルダウン ポイント）を狭めながらクエリが実行されます。ドリルダウン ポイントごとに結果パネルが更新され、新しいドリルダウン ポイントが階層リンクに表示されます。次の図は、初期の階層リンクの例です。
      
      次の図は、ツールバーに収まらない長い階層リンクの例です。ツールバーの最後のクエリの後ろにドロップダウン メニューが表示され、その中にツールバーに収まらなかった他のクエリのリストが表示されます。このドロップダウン リストからクエリを選択して、ドリルダウン ポイントを選択することができます。
      

階層リンクでクエリを追加するには、次の手順を実行します。

階層リンクにある任意のクエリをクリックすると、クエリ メニューを表示できます。クエリの前に新しいクエリを挿入することや、階層リンクの末尾に新しいクエリを追加することができます。階層リンクを編集すると、その都度、NetWitness Platformによって結果が更新されます。

階層リンクでクエリを追加するには、次の手順を実行します。

1. 階層リンクにある任意のクエリをクリックします。
   階層リンク メニューが表示されます。
   
   
2. クエリを追加するには、［後にクエリを挿入］または［前にクエリを挿入］を選択します。
   ［フィルタの作成］ダイアログが表示されます。
   
3. 「［ナビゲート］ビューと［レガシー イベント］ビューでのクエリの作成」の記載に従って、クエリを作成します。

階層リンクでのクエリを編集するには、次の手順を実行します。

階層リンクにある任意のクエリをクリックすると、クエリ メニューを表示できます。クエリを削除したり、クエリを編集することができます。階層リンクを編集すると、その都度、NetWitness Platformによって結果が更新されます。

階層リンク内のクエリを操作するには、次の手順を実行します。

1. 階層リンクにある任意のクエリをクリックします。
   階層リンク メニューが表示されます。
   
2. クエリを編集するには、［編集］を選択します。
   ［作成］ダイアログに、選択したクエリの編集画面が表示されます。
   
   
   
3. 「［ナビゲート］ビューと［レガシー イベント］ビューでのクエリの作成」の記載に従って、フィールドを編集します。

メタ キー内でクイック検索を実行するには、次の手順を実行します。

1. メタ キー セクションに移動し、虫眼鏡アイコンをクリックします。
   ［クイック検索］フォームが開きます。演算子とテキスト入力ボックスが表示され、検索条件を指定できます。
   
2. （オプション）この検索フォームを閉じるには、虫眼鏡アイコンをもう一度クリックしてください。
3. 左のドロップダウン リストから演算子を選択し、検索するテキスト値を入力します。［ドリル ダウン］をクリックすると、検索が実行されます。
   指定したメタキーとメタ値を使用して現在表示中のメタデータが絞り込まれ、結果が表示されます。

メタ キー情報を表示して、メタ キーのメタ値をコピーするには、次の手順を実行します。

1. キー名、メタ キー表示用に設定されたインデックス レベル、メタ キーに設定されたデフォルト ビューを表示するには、メタ キーの横に表示されるドロップダウン メニューをクリックします。次の図は、バージョン11.1以降のドロップダウン メニューを示しています。
   
2. ［メタ キー情報］を選択します。
   ［メタ キー情報］ダイアログが表示されます。
   
3. ダイアログを閉じるには、をクリックします。
4. （バージョン11.1以降ではオプション）メタ キーの見つかったメタ値をコピー可能なシンプルなリストで表示するには、メタ キーの横にあるドロップダウン メニューをクリックします。
   ［値のエクスポート］ダイアログが表示されます。
   バージョン11.1のダイアログには、1行につき値を1つ含んだ値リストが表示されます。
   
   バージョン11.3のダイアログでは、値を区切る方法（改行またはCSV）を選択できます。
   
   
5. コピーする値を選択し、［値のエクスポート］をクリックします。
   値がローカルのクリップボードにコピーされ、ファイルにペーストして保存したり共有したりできるようになります。
6. ダイアログを閉じるには、［閉じる］をクリックします。
   
7. （オプション）現在のドリルダウン ポイントのメタ キーの結果を折りたたみ表示するには、メタ キーの横のドロップダウン メニューをクリックし、［結果の折りたたみ表示］をクリックします。

メタ値に関連づけられたイベントを表示するには、次の手順を実行します。

［イベント］ビューには、イベントに関する詳細な内容が2種類のビューで表示されます（イベント リストと詳細ビュー）。

1. ［ナビゲート］ビューで、調査の対象となるメタ データまでドリルダウンします。
2. 青色のメタ値の横に表示されるカウント（緑色の数字）をクリックします。
   現在のドリルダウン ポイントに対応する［イベント］ビューが表示されます。
   ［イベント］ビューで実行できる操作については、「結果のダウンロードと処理」で説明しています。

メタ値に関連づけられた特定のイベントを検索するには、次の手順を実行します。

1. ［ナビゲート］ビューで、調査の対象となるメタ データまでドリルダウンします（メタ値をクリックするか、クエリを追加します）。
2. ［イベントの検索］ボックスに検索文字列を入力し、Enterを押すか、［検索］をクリックします。
   検索モード環境設定を選択して設定することもできます。検索情報の詳細については、「［ナビゲート］ビューと［レガシー イベント］ビューでのテキスト パターンの検索」を参照してください。
   ［イベント］ビューの新しいタブが開き、検索結果が表示されます。ハイライト表示された検索語が見つからない場合は、［追加のメタの表示］をクリックします。時間範囲の選択とドリル（クエリ）が［イベント］ビューに継承されます。
   

選択したメタ値をRSA Liveで表示するには、次の手順を実行します。

1. ［ナビゲート］ビューで、調査の対象となるメタ データまでドリルダウンします。
2. メタ値（青色で表示されたテキスト）を右クリックします。
   ［メタ値］ドロップダウン メニューが表示されます。
3. RSA Liveでメタ値を検索するには、［Liveルックアップ］を選択します。
   Liveの［検索］ビューが開いて、入力したメタ値が［生成されるメタ値］フィールドに表示され、検索できる状態になります。

   

ドリルダウン ポイントで調査を再フォーカスするには、次の手順を実行します。

1. メタ値（青色で表示されたテキスト）を右クリックします。
   ［メタ値］ドロップダウン メニューが表示されます。
   
2. いずれかの再フォーカス オプションを選択します。
   選択内容に応じてドリル ダウンの対象が再設定されます。

新しいタブで特定のカウントを表示するには、次の手順を実行します。

「レガシー イベント」ビューまたは［イベント］ビューでメタ値のカウントを表示するには、メタ値のカウント（青色のメタ値の後の緑色の数字）を右クリックします。
コンテキスト メニューが表示されます。