調査：［イベント］ビューでの結果のフィルタリング

 

注： このセクションはバージョン11.1以降に適用されます。

クエリ バーでサービスと時間範囲を選択し、調査中のサービスに対してクエリを実行することにより、［イベント］ビューのイベントをフィルタリングできます。イベントをフィルタリングすることにより、より関連性の高い少数のイベントに調査の重点を絞り込むことができます。

バージョン11.4では、列グループを使用して、イベントに含まれる属性（メタ キー、メタ グループ、メタ エンティティ）の中から調べる必要のある属性の数を最適化することもできます（「イベント リストでの列と列グループの使用」を参照）。

次の図は、イベント リストの結果をフィルタリングするツールを備えたバージョン11.4以前のクエリ バーを示しています。ガイド モードとフリーフォーム モードという2つのモードを使用できます。

次の図は、ガイド モードとフリーフォーム モードが不要になったバージョン11.4.1以降のクエリ バーを示しています。シンプルになったフィルタ入力フォームでは、高度な自動提案オプションの使用と、フリーフォーム クエリの入力も可能です。

［調査］＞［イベント］に移動すると、クエリ バーには、［クエリ プロファイル］メニュー、サービスと時間範囲のセレクター、クエリ ビルダ フィールドが表示されます。

• ［クエリ プロファイル］メニューは、バージョン11.4以降で使用できます。クエリと列グループをプロファイルにカプセル化することにより、有用な属性の組み合わせを簡単に再使用して、イベント リストのイベントに適用できます（「クエリ プロファイルを使用した調査の共通領域のカプセル化」を参照）。

• デフォルトで、最初のサービスが自動的に選択されます（以前にサービスを選択し、そのサービスがブラウザのキャッシュに存在する場合を除く）。「［イベント］ビューでの調査の開始」の説明に従って、サービスを選択することもできます。
• 時間範囲を選択しない場合は、デフォルトの時間範囲（24時間）が使用されます。
• クエリ ビルダ フィールドは、時間範囲セレクターの右側にある空のフィールドです。ここでは、フィルタを作成することによってクエリを作成します。をクリックすると、クエリが送信され、選択したサービスにデータ ロード要求が送信されます。バージョン11.3以降では、（コンソール アイコン）をクリックすると、クエリ コンソールが開き、クエリの詳細なステータスが表示されます。

［レガシー イベント］または［レガシー イベント］ビューから［イベントレガシー イベント］ビューに移動したときに、プロファイルのプレクエリが有効になっている場合、階層リンクに表示されていたプレクエリが編集可能なフィルタとして［イベント］ビューのクエリ ビルダに表示されます。サービス、時間範囲、各フィルタを変更することができます。

イベントを右クリックまたはダブルクリックして［イベント］ビューに移動したときに、［レガシー イベント］ビューでプロファイルが選択されていた場合は、そのプロファイルのフィルタ（プレクエリ）が編集可能なフィルタとしてクエリ ビルダ フィールドに追加されます。次の図は、［レガシー イベント］ビューのプレクエリと、［イベント］ビューの最初のフィルタとして追加された同じクエリを示しています。

クエリ ビルダの概念

クエリ ビルダでは、シンプル、フリーフォーム、テキストの3種類のフィルタを作成して、関心のあるイベントを絞り込むことができます。

各フィルタの基本的な構文は、<meta key><operator><meta value>です。たとえば「direction = 'outbound'」のように入力します。

バージョン11.4では、クエリ バーにクエリを入力またはペーストすると、テキストの解析により、個々のフィルタに分割され、解析エンジンが必要と判断した場合には、各フィルタの間にAND演算子が追加されます。以前のバージョンでは、フィルタ間にはAND演算子のみが使用されるため、論理演算子は表示されません。

• 「action = 'get' action = 'put'」と入力すると、結果はANDで区切られた2つのフィルタになります。
• 「action = 'get' OR action = 'put'」と入力すると、結果はORで区切られた2つのフィルタになります。

event.timeのフィルタを入力またはペーストするときは、次のいずれかの形式を使用します。

• event.time = '2020-DEC-02 23:00:00'
• event.time = '2000-12-20 21:00:00.000'
• event.time = '2000-12-20 21:00:00'

バージョン11.4では、クエリ バーに長いテキスト文字列を入力またはペーストすると、解析エンジンによって個別のフィルタに変換されます。解析できない部分は、フリーフォーム フィルタに変換されます。以前のバージョンでは、長いテキスト文字列は単一のフィルタとしてクエリ バーに追加されます。バージョン11.4.1ではさらに機能が強化され、メタ キーと演算子または演算子と値などの任意のクエリのテキストをフリーフォーム クエリとして入力し続けることができます。フリーフォーム クエリは通常どおりに解析されます。

• クエリ バーに「action = 'GET' OR action is 20 || action = 'PUT'」と入力した場合は、フリーフォーム オプションが使用されます。このテキストの一部は解析できないため、結果はORで区切られた3つのフィルタになります。
  
• バージョン11.4.1では、メタ キー、演算子、値のシーケンスを入力し、Enterキーを押さずに入力を続けると、フリーフォーム オプションが自動的に使用されるため、そのままクエリを入力し続けることができます。たとえば、ORの前にEnterキーを押さずに、「medium = 1 OR medium = 2」と入力することができます。入力中はフリーフォーム オプションがハイライト表示され、最後にEnterキーを押すと、クエリ バーにフリーフォーム フィルタが作成されます。
  
• テキスト フィルタ（バージョン11.4以降）は、スペースを含まないテキスト文字列です。すべてのメタ キーではなく、インデックスされたメタ キーの完全一致をデータ セットから検索できます。failed, login,、attemptはその例です。

注： メタ キーと演算子のステートメントとほぼ一致するテキスト フィルタを入力しているときに、そのメタ キーと演算子を使用するフィルタが自動提案機能によって誤って提案されることがあります。この問題を回避するには、テキストの入力を開始し、自動提案機能によってテキストがメタ キーと演算子に変換されるポイントで［テキスト フィルタ］を選択します。たとえば、cryptoというメタ キーとcontainsという演算子がある場合に、cryptocurrencyを検索するテキスト フィルタを作成するとします。この場合、「c-r-y-p-t-o」と入力し、それに続く「currency」の「c」を入力すると、contains演算子がトリガーされ、1つの単語として入力を続けられなくなります。テキスト フィルタを完成させるには、contain演算子をトリガーするcurrencyの「c」を入力する直前に、［テキスト フィルタ］オプションをハイライト表示します。これによって、システムは入力をテキスト フィルタとみなします。

クエリ ビルダでは、各フィルタは編集可能なフィールドです。フィルタは、作成した順に左から右に並びます。追加したフィルタは1行に入りきらなくなると、次の行に折り返され、入力領域が縦に広がります。このため、右にスクロールしなくても、すべてのフィルタを表示できます。

RSA NetWitness Platform 11の後続バージョンでは、11.1の初期のクエリ バーに多くの機能追加が行われ、バージョン11.4では、クエリ作成を支援する広範なヘルプ機能を提供しています。

ガイド モードとフリーフォーム モード

注： バージョン11.4には、フィルタ入力フォームにクエリを入力する方法として、ガイド モードとフリーフォーム モードの2つがありました。バージョン11.4.1以降では、ガイド モードの強力なオートコンプリート機能および値候補表示機能と、フリーフォーム クエリを入力またはペーストする機能が完全に統合されました。このドキュメントでガイド モードとフリーフォーム モードを区別して説明している箇所は、バージョン11.4.0.x以前を使用するアナリスト向けです。

ガイド モードでは、オートコンプリート機能により表示される有効なメタ キー、演算子、値の候補の中から選択することによりフィルタを作成できます。バージョン11.4では、直接入力、ペースト、最近のクエリの選択、またはドロップダウン メニューからの選択が可能です。以前のバージョンでは、テキストのペーストと最近のクエリはサポートされていません。これは、11.4のフィルタ入力フォームの例です。

フィルタを作成すると、各フィルタの構文が検証され、無効なフィルタは赤い枠線でマークされます。フィルタの上にマウスを合わせると、エラーについて説明するメッセージが表示されます。

バージョン11.3以降では、フリーフォーム フィルタがサーバ側で検証されるため、余分に時間がかかる場合があります。サーバからフィルタ検証結果がされる前にクエリを送信した場サーバからフィルタ検証結果が返される前にクエリを送信した場合、はスピナー アイコンに変わります。サーバの検証結果が返されると、無効なフィルタを含んでいないクエリの場合は、実行が開始されます。クエリに無効なフィルタが含まれている場合は、実行が終了し、無効なフィルタが赤い枠線でマークされます。これは、無効なクエリの例です。

フリーフォーム モードでは、長いテキスト文字列を入力またはペーストできます。自動提案機能はなく、クエリを送信するとサーバ側で検証が実行されます。エラーが見つかった場合、クエリは実行されません。

注： バージョン11.3より前のバージョンでは、ボタンのラベルが異なります。以前は［クエリ イベント］と呼ばれていました。

［ガイド モード］または［フリーフォーム モード］をクリックすると、モードが切り替わります。最後にログインしたときにフリーフォーム モードを選択した場合、この選択はブラウザのキャッシュに保存され、ブラウザのキャッシュがクリアされない限り使用されます。

• ガイド モードからフリーフォーム モードに切り替えると、ガイド モードで作成したフィルタはフリーフォームのテキスト クエリに変換されます。
• フリーフォーム モードからガイド モードに切り替えると、入力済みのクエリが個別のシンプルなフィルタとしてクエリ バーに追加されます。ただし、自動提案オプションは表示されません。

  注： バージョン11.3以前は、フリーフォーム フィルタは、ガイド モードでは編集できませんでした。
  

次の図は、ガイド モードのクエリ ビルダといくつかのフィルタを含むクエリ バーの例です。

次の図は、フリーフォーム クエリ ビルダ使用中の例です。

複数のフィルタの編集に関する概念

クエリ ビルダで作業する際は、編集のフォーカスがあるフィルタは緑色の枠線でマークされ、選択中のフィルタには青色の背景が表示されます。この機能は、右クリック アクションに対して複数のフィルタを選択できる点で便利ですが、一度に編集できるフィルタは1つだけです。次の図は、フォーカスされたフィルタが緑色の枠線でマークされ、選択中の2つのフィルタが青色の背景で表示されている状態を示しています。

次の図は、先ほどと同じフィルタを使用し、今度はすべてのフィルタを選択し（青色の背景）、そのうちの1つのフィルタにフォーカスした（青色の背景と緑色の枠線）状態を示しています。

ドロップダウン メニューの右クリック アクションは、選択したすべてのフィルタに適用されます。次の図は、バージョン11.4のオプションを示しています。

バージョン11.4.1のメニューには、次の図に示すように、新しいコピー オプションが2つあります。これらのオプションを使用すると、クリップボードの内容を他のアナリストと共有したり、コンテンツをクエリ バーにペーストしたりすることができます。次の操作を実行できます。

• 1つのフィルタを選択して右クリックし、クエリ全体をローカルのクリップボードにコピーします。
• 複数のフィルタを選択し、そのうちの1つを右クリックして、選択したフィルタをコピーします。

以下は、クエリ ビルダでの作業方法について説明した基本的な概念です。

• 複数のフィルタを選択できますが、フォーカスできるのは1つのフィルタのみであり、最後に選択したフィルタで必ずフォーカスがアクティブになります。
• フィルタを選択してフォーカスするには、フィルタをクリックします。フィルタを選択解除してフォーカスを解除するには、フィルタを再度クリックするか、Escを押すか、またはページ内の別の場所をクリックします。
• フィルタを追加するには、既存のフィルタの前後をクリックします。フォーカス中のフィルタの前後に新しいフィルタを作成するには、右矢印キーまたは左矢印キーを押します。
• 編集するフィルタを開くには、フィルタをダブルクリックするか、フィルタをクリックしてEnterを押します。変更を保存せずに終了し、フィルタにフォーカスしたままにするには、Escを押します。
• フィルタを削除するには、フィルタをクリックしてDeleteを押すか、フィルタで［X］をクリックします。

バージョン11.3以前のクエリ ビルダ

バージョン11.1では、ユーザ インタフェースのガイドに従ってシンプルなフィルタ（<meta key> <operator> <meta value>）を作成および編集します。ユーザ インタフェースでは、シンプルなフィルタのみがサポートされています。［レガシー イベント］ビューまたは［ナビゲート］ビューからイベントを開き、フィルタに複数の演算子（||、&&、()、REGEX、LENGTH）が含まれている場合、フィルタは追加されますが、［イベント］ビューでの編集はサポートされません。詳細については、『NetWitness Platform 11.3 Investigateユーザ ガイド』を参照してください。PDF形式のドキュメントには、RSA NetWitness Platformバージョン11 総合目次からアクセスできます。

バージョン11.2では、ユーザ インタフェースにガイド モードとフリーフォーム モードの2つのモードがあります。ガイド モードでは、シンプルなフィルタ（<meta key> <operator> <meta value>）を作成および編集できます。デフォルトのモードはガイド モードで、自動提案と検証オプションが含まれます。長いテキスト文字列はフリーフォーム モードで入力できます。フリーフォーム モードの検証は、クエリを実行するときに行われます。詳細については、『NetWitness Platform 11.2 Investigateユーザ ガイド』を参照してください。PDF形式のドキュメントには、RSA NetWitness Platformバージョン11のマスター目次からアクセスできます。

バージョン11.3では、ユーザ インタフェースに次の機能が追加されました。

• ［ナビゲート］または［イベント］ビューから［イベント］ビューに移動したときに、プロファイルのプレクエリが有効になっている場合、階層リンクに表示されていたプレクエリが編集可能なフィルタとして［イベント］ビューのクエリ ビルダに表示されます。
• ユーザ インタフェースの自動提案オプションは、フリーフォーム フィルタを作成できる［詳細オプション］セクションで補強されています。フリーフォーム モードは、長いテキスト文字列全体をペーストする場合にも役立ちます。
• クエリは、実行中にキャンセルできます。
• クエリ コンソールで、実行中のクエリの詳細なステータス情報を確認できます。
  

バージョン11.4のクエリ ビルダ

直接入力のほか、ドロップダウン メニューからのメタ キー、演算子、値の選択、クエリ バーへのフィルタのペーストを行えます。以下のセクションでは、ガイド モードのフィルタ入力フォームに追加された11.4の機能について詳しく説明します。

メタ キーのキャッシュによるロードの高速化

［イベント］ビューを開くときに、接続されているすべてのサービスのメタ キーがキャッシュされるため、データのロードが高速になります。これらのメタ キーは、ユーザ インタフェースでメタ キーを自動提案するために使用されます。（列グループまたはプロファイルを作成しているときに、本来は表示されるべきメタ キーが表示されない場合は、キーが追加されているサービスを選択して、キャッシュを強制的に更新します。通常、この問題は、メタ キーが追加されていないConcentratorが存在する場合にのみ発生します）。

テキスト フィルタ

データ セット内のテキスト文字列を検索するテキスト フィルタを作成できます。テキスト フィルタは、値を格納するメタ キーについての知識がなくても使用できます。クエリあたり1つのテキスト フィルタがサポートされています。テキスト フィルタが検索の対象とするのは、すべてのメタ キーではなく、インデックスされたメタ キーです。

テキストを直接入力する代わりにペースト

フィルタを作成するときに、フィルタ入力フォームにメタ キーまたは値をペーストできます。フィルタ入力フォームにテキストを直接入力するのではなく、ペーストすると、テキストが適切に解析され、1つまたは複数のフィルタが作成されます。解析できない部分は、フリーフォーム フィルタに変換されます。

すべてのフィルタの選択とすべてのフィルタのコピー（バージョン11.4.1）

［イベント］ビューのクエリ バーでフィルタを作成するときに、キーボード コマンドを使用して、すべてのフィルタを選択（MacOSの場合はCmd-A、Windowsの場合はCtrl-A）してから、選択内容をクリップボードにコピー（MacOSの場合はCmd-c、Windowsの場合はCtrl-C）できます。クリップボードのテキストは、他のアナリストと共有したり、Cmd-VまたはCtrl-Vを使用してクエリ バーにペーストしたりできます。

最近のクエリの使用

フィルタ入力フォームには、［メタ］タブと［最近のクエリ］タブという、メタ キー、演算子、値を入力する2つの方法があります。［メタ］タブは、以前のバージョンのフィルタ入力フォームと同じですが、条件に一致するメタ キーの数が［メタ］タブのラベルに表示されるようになった点と、各メタ キーのアイコンにより、キーでインデックスされているか、値でインデックスされているか、インデックスされていないかが表示されるようになった点が異なります。［最近のクエリ］タブには、最大100個の最近のクエリが表示されます。リストは入力されたテキストによって絞り込まれ、入力されたテキストを含んだクエリのみが表示されます。このリストからクエリを選択できます。

高度な演算子の使用

自動提案機能の解析エンジンは、フィルタ入力フォームにペーストまたは手入力された高度な演算子（<、 >、<=、>=、OR、||、AND、&&、()、regex、length）を解析できます。テキストは複数のフィルタとして解析されます。たとえば、「medium > 0 && medium <= 100」を直接入力またはペーストした場合、このテキストは、明示的なAND演算子を使用する2つのシンプルなフィルタ（medium > 0 AND medium <= 100）として解析されます。「bytes.src <= 5000 && medium = 1 || medium = 2 && bytes.src > 0」を直接入力またはペーストした場合は、ANDおよびOR演算子で区切られた4つのシンプルなフィルタ（bytes.src <= 5000 AND medium = 1 OR medium = 2 AND bytes.src > 0）と解析され、できる限り多くの有効なフィルタが作成されます。

このフィルタは、括弧を追加するのに適したフィルタの例です。「medium = 2」と「bytes.src > 0」を選択して右クリックし、ドロップダウン メニューから［括弧で囲む］を選択します。括弧内にテキスト フィルタを追加することは、サポートされていません。

結果として生成されるクエリは、bytes.src <= 5000 AND medium = 1 OR (medium = 2 AND bytes.src > 0)です。

フィルタの作成中にエラーが発生する場合は、ツールチップ メッセージを参照するか、ドキュメントを確認してください。

AND/OR演算子の使いやすさ

「||」および「&&」と入力すると、クエリ バーに「OR」および「AND」と表示されます。それぞれの演算子をクリックして、ORをANDに変更したり、ANDをORに変更することができます。フィルタを追加するためにカーソルを挿入すると、カーソルの前にAND演算子が追加されます。フィルタを削除すると、孤立したORおよびAND演算子も削除されます。テキスト フィルタは常にクエリとAND条件で処理されるため、テキスト フィルタの演算子はANDでなければなりません。

括弧の不均衡の自動修正

クエリ ビルダでフィルタを作成して編集するときは、括弧の不均衡が入力時に自動的に修正されます。編集中のフィルタ内、または選択したフィルタの前に開き括弧を入力した場合は、そのフィルタの最後に閉じ括弧が追加されます。ネストされた括弧がある場合に、括弧の両側と括弧の間に新しいフィルタを追加できるよう、この機能は入力に応じて直感的に機能します。孤立した括弧は自動的に削除されます。括弧を追加することによって無効なフィルタが作成される場合、括弧は追加されません。選択したフィルタを右クリックして［括弧で囲む］オプションを使用することによって、括弧を追加することもできます。このオプションは、結果が有効なフィルタになる場合にのみ使用できます。

使用可能な値に関するヒント

適切にインデックスされたメタ キーについては、クエリの時間範囲から選択可能な値の候補がユーザ インタフェースに表示されます。最大100個の候補値が返されます。テキストを入力すると、100個の値のリストが絞り込まれ、一致する値のみがリストに表示されます。一致する値がない場合は、「候補が見つかりません」というメッセージが表示されます（候補値は時間範囲のみに基づいています。クエリ内の他のフィルタは100個の値のリストの絞り込みには使用されません）。

CIDR表記と略記

フィルタにIPアドレスの値を指定する場合は、CIDR表記を使用して、アドレスの範囲を指定することができます。

IPv4 CIDRブロックの範囲は0～32です。たとえば、10.20.30.0/24は、サブネット マスクが 255.255.255.0の10.20.30.0を指定します。これは、10.20.30.0から10.20.30.255までの範囲のIPと一致します。

IPv6 CIDRブロックの範囲は0～128です。たとえば、 1203.0fe1:fe82:b896:89b0:8a7c:99bf:323d/32は1203:0fe1:0000:0000:0000:0000:0000:0000から1203:0fe1:ffff:ffff:ffff:ffff:ffff:ffff:ffffまでを意味します。

また、略記を使用して、IPv6アドレスの連続したゼロや先頭のゼロを削除することもできます。たとえば、次のように指定できます。

1203:fe1::

IPアドレスとCIDRマスクの間にスペースを挿入しないでください。

値の範囲またはリスト

数値データを含むメタ キーの場合は、値の範囲、値のリスト、またはその両方を使用して、フィルタに指定することができます。たとえば、「 src.port = 0-1023, 1024-1050, 65535」というクエリでは、カンマ区切りのリストを指定し、リスト内の2つは値の範囲です。カンマが値の一部である場合は、値を引用符で囲む必要があります。たとえば、get,postは2つの個別の値として解釈され、'get,post'は1つの値として解釈されます。値の範囲は、正の整数の有効な範囲でなければならず、ダッシュで区切ります（ダッシュの前後のスペースの有無は問いません）。範囲の最初の数字は2番目の数字より小さくする必要があります。たとえば、0-1023と0 - 1023は有効な範囲ですが、-10 - 50、50 - 10、50.8 - 60.2、50 - 70xは有効な範囲ではありません。

メタ キーと演算子の後に区切り文字のスペースは不要（バージョン11.4.1）

クエリ バーのフィルタには、メタ キーと演算子の間、および演算子と値の間にスペースが必要です。フィルタ入力フォームで演算子と値の自動提案機能を使用するには、演算子の前後で区切り文字のスペースを入力する必要がありました。クエリ入力時のユーザ エクスペリエンスを向上させるため、フィルタ入力フォームでは、メタ キーの後に区切り文字のスペースなしに演算子を入力できます。区切り文字のスペースなしで演算子を入力した場合、候補値が通常どおりに自動的に表示され、メタ キーと演算子の間にはスペースが追加されます。演算子と値の間に区切り文字のスペースを挿入していない場合、演算子と値の間に自動的にスペースが追加されます。

時間範囲を選択

［時間範囲］セレクターは、［イベント］ビューに返されるイベントを特定の時間範囲に制限します。時間範囲は、「開始時間 - 終了時間」の形式で表示され、ユーザのプロファイルに構成されたタイムゾーン設定に基づいて、現在のタイムゾーンの日付、時間、分を表示します。バージョン11.3以降では、現在の収集時間に対して相対的な時間範囲を選択するか、またはカスタムの時間範囲を指定できます。時刻と日付の形式は、［イベント］ビューの［ユーザ環境設定］ダイアログ（＞［プロファイル］を選択）の設定に基づきます。

• デフォルトの日付形式は、MM/DD/YYYYです。この形式は、［ユーザ環境設定］ダイアログでDD/MM/YYYYまたはYYYY/MM/DDに変更できます。
• 開始時間と終了時間はHH:MM形式で指定します。秒は表示されませんが、開始時間の値は常にHH:MM:00秒に、終了時間の値は常にHH:MM:59秒にデフォルトで設定されます。たとえば、「6:45 pm - 7:45 pm」という時間範囲は「06:45:00 - 07:45:59 pm」として解釈されます。
• デフォルトの時間範囲は24時間制です。12時間制に変更することができます。

クエリの時間形式は、［イベント］ビューの［イベント環境設定］ダイアログ（を選択）の設定に基づきます。時間形式は、データベースの時間または現在の時間のどちらかに設定することができます。［データベースの時間］を選択した場合、クエリの開始時刻と終了時刻は、イベントが収集された時刻（収集時間）に基づく時刻になります。［現在の時間］を選択した場合、クエリの実行に使用される終了時刻は現在のブラウザの時刻に基づく時刻になり、開始時刻は終了時刻と時間範囲に基づいて計算されます。その他の［イベント］ビューの環境設定については、「［イベント］ビューの構成」を参照してください。

時間範囲を編集するには、次のいずれかを実行します。

1. ［時間範囲］セレクターの内側にあるドロップダウン矢印をクリックして、リストから時間範囲を選択します。分単位、時間単位、日単位のオプションを選択するか、すべてのデータを選択できます。

   
   

2. （バージョン11.3以降）クエリ バーに表示されている年、月、日、時間、分をクリックして時間範囲を直接編集します。値がハイライト表示されたら、開始時間または終了時間のいずれかの新しい値を入力します。時間形式の環境設定が12時間制に設定されている場合は、［午前］または［午後］をクリックして2つのオプションを切り替えます。

   

   時間範囲が無効な場合（開始時間が終了時間よりも後である場合など）は、時間範囲セレクターに赤い枠線が表示されます。クエリが不可能になったためボタンが無効化され、何を変更する必要があるかを説明したエラー メッセージがツールチップに表示されます。次の図は、時間範囲が無効な状態を示しています。

   
   選択した時間範囲は、クエリの対象となるサービスごとにブラウザに保存されます。サービスごとに異なる時間範囲を設定できます。ツールチップには、計算されたクエリ期間が表示されます。次の図にツールチップの例を示します。
   

クエリの送信

ボタンは、クエリ バーの右端に表示され、必要に応じてクエリを送信するためにアクティブになります。バージョン11.3以前では、をクリックすると、すべてのフィルタがANDで連結され、ボタンが非アクティブになります。バージョン11.4では、AND以外の演算子もクエリに含まれている可能性があるため、クエリはそのまま送信されます。ボタンは、以下の場合に再びアクティブになります。

• クエリ バーでサービスを変更するか、［イベント］パネルで列グループを変更した時。［イベント］パネルの再構築のためのデータをネットワーク経由で取得する場合、新しいクエリを送信するまでは、以前のサービス、時間範囲、およびメタデータ フィルタが引き続き使用されます。ボタンは、ビュー内のデータが古くなっていることを示すインジケータとしてアクティブになります。
• 1分以上経過し、元のクエリの時間範囲を指定しても同じ結果セットが生成されそうにない場合は、結果が古くなっている可能性があることを示すインジケータとして、ボタンがアクティブになります。バージョン11.3以降では、［イベント］ビューの環境設定で［時間範囲を自動的に更新］オプションを有効または無効にすることにより、この動作が決まります（「［イベント］ビューの構成」を参照）。

クエリの実行のキャンセル

をクリックしてクエリを送信すると、ボタンが（クエリ停止オプション）に変わります。クエリ停止オプションは、すべてのイベントが［イベント］パネルにロードされるまで表示されたままになります。クエリをキャンセルするには、をクリックします。

すべての結果が返される前にクエリがキャンセルされた場合は、イベント リストの結果の最後に「クエリがキャンセルされたため、部分的な結果のみを表示しています」というメッセージが表示されます。

クエリのステータスの表示

クエリ コンソールを開くには、クエリを送信した後でクエリ バーの情報アイコン（）をクリックします。クエリ コンソールでは、クエリによって照会されたサービス、時間範囲、メタデータのほか、クエリのステータスに関するリアルタイム情報も確認できます。クエリ コンソールに表示される時間範囲の日付は、常にYYYY-MM-DDの形式で表示されます。「"2014-09-20 20:57:00"-"2018-11-02 18:57:59"」は、クエリ コンソールに表示される時間範囲の例です。

次の図は、クエリが正常に実行された場合のバージョン11.3のクエリ コンソールの例です。最も低速のサービスには黄色のストップウォッチ マークが表示されます。

次の図は、テキスト フィルタを含むクエリを実行した後でバージョン11.4のクエリ コンソールに表示される情報の例です。［メタ フィルタ］と［テキスト フィルタ］という2つのフィールドにクエリが表示されていることに注意してください。

クエリが実行されている間、コンソールの下部にある進行状況バーには、クエリの完了率が表示されます。ステータス情報からは、クエリで今行われている処理（実行中、キューに登録済み、クエリ対象サービスのインデックス ファイルの読み取り中、イベントの取得中、完了など）についての詳細を知ることができます。ステータスと致命的でないメッセージは受信するとすぐに表示され、致命的でないエラーの場合は、クエリ バーの枠線が黄色に変わります。

アイコンは、個々のサービスに関する追加情報を示します。

• 黄色のストップウォッチは、最も低速なサービスを示します。
• 黄色の三角形は警告を受信したことを示します。
• 赤い三角形は、サービスに対してクエリを実行しようとしたときにエラーが発生したことを示します。

イベントを検索するための実行とインデックス ファイルの読み取り。クエリの最初のステージは、クエリ対象サービスで結果が見つかったときに完了します。クエリ コンソールでは、クエリ対象のすべてのサービスがネスト構造の階層リストに表示され、どのサービスがオンラインかオフラインかを示すインジケータ、各サービスが結果を見つけるまでに要した時間（秒単位）も表示されます。

イベントの取得と［イベント］パネルへのロード。見つかったイベントを取得し、［イベント］パネルにロードしている間、進行状況バーには、視覚的なインジケータと現在実行中の処理を説明するテキストが表示されます。次の図は、結果が見つかり、取得中であることを示しています。

要求の完了。エラーまたは警告なしでロードが完了した場合、クエリ コンソールの枠線は青色になり、表示中のデータが最新であることを示すインジケータとしてボタンが無効になります。次の図は、エラーまたは警告なしにクエリが完了したときのクエリ コンソールの例です。

エラーと警告。致命的なエラー（クエリの構文エラー、クエリ対象サービスがオフラインなど）が発生すると、クエリの実行が停止されます。クエリが失敗したことを示す赤い三角形がクエリ コンソールの右上隅に表示され、赤い枠線が表示されます。クエリ対象サービスがオフラインの場合は、クエリ対象サービスのみが階層なしでクエリ コンソールに表示され、赤い三角形でマークされます。

致命的でないエラーが発生しても、クエリの実行は妨げられません。クエリは実行され、イベントはロードされますが、クエリ コンソールの右上隅に赤い三角形が表示され、警告を示す赤い枠線が表示されます。次の図は、クエリ対象サービスが別のオフライン状態のサービスのプロキシになっている場合に表示されるクエリ コンソールの例です。

警告が発生しても、クエリの実行は妨げられません。クエリは実行され、イベントはロードされますが、クエリ コンソールの右上隅に黄色の三角形が表示され、黄色の枠線が表示されます。

ガイド モードでのクエリの作成

ガイド モードは、様々な支援機能を備えており、アナリストが有効なクエリを作成する最も簡単な方法です。次の図は、クエリ バーでガイド モードが有効になった初期状態の［イベント］ビューを示しています（バージョン11.3以前）。

バージョン11.4.1には、すべてのガイド モード機能とその他の改善が組み込まれているため、ガイド モードを選択する必要がなくなりました。次の図は、バージョン11.4.1のクエリ バーを示しています。

ガイド モードで使用するキーボード操作

ガイド モードのクエリ ビルダでは、マウスを使用しなくても、キー操作でフィルタの入力、編集、削除ができます。マウスも使用できますが、キーボードだけで操作することもできます。この表は、カーソルをクエリ バーに合わせたときにガイド モードで使用できるキーボード操作を示しています。サービス セレクタ－と時間範囲には適用されません。

                                                                                                   

ガイド モードでの視覚的なフィードバック

ガイド モードは、クエリの作成中に視覚的なフィードバックを提供します。次の表は、可能性のあるフィードバックを特定して説明します。

                                                          

ガイド モードでのシンプルなフィルタの追加

ガイド モードでシンプルなフィルタを作成するには、次の手順を実行します。

1. ［イベント］ビュー（バージョン11.3以前では［イベント分析］ビュー）に移動し、次のいずれかを実行します。
   1. （バージョン11.4.1以降）クエリ バーをクリックし、フィルタ入力フォームが表示されたら、［メタ］タブを選択します（まだ選択されていない場合）。
   2. （バージョン11.4以降）［ガイド モード］を選択して、クエリ バーをクリックし、フィルタ入力フォームが表示されたら、［メタ］タブを選択します（まだ選択されていない場合）。
   3. （バージョン11.2以降）［ガイド モード］を選択して、クエリ バーをクリックします。
      
   4. （バージョン11.1）空のクエリ バーをクリックするか、既存のフィルタの前後をクリックします。次の図は、フィルタの入力を開始する前のガイド モードの空のクエリ バーの例です。
      
      挿入ポイントが2つのフィルタの間にある場合は、緑色の丸（バージョン11.3以前）または太字のカーソル（バージョン11.4以降）によって挿入ポイントがマークされます。挿入ポイントがクエリ バーの最後尾にある場合は、エントリー ポイントに点滅するカーソルが表示されます。ドロップダウン リストには、調査対象のサービスから取得した使用可能なメタ キーがアルファベット順に表示されます。次の図は、バージョン11.4のフィルタ入力フォームを示しています。
      
      

2. メタ キーを選択するには、次のいずれかを実行します。
   1. ドロップダウン リストにオプションが1つしかない場合は、Enterを押します。
   2. ドロップダウン リストに複数のオプションがある場合は、メタ キーをクリックするか、上/下矢印を使ってメタ キーを選択してから、Enterを押します。
      
   3. メタ キーの入力を開始します。入力に合わせて、入力したテキストを含んだメタ キーのみが表示されるようにリストが絞り込まれます。［メタ（0）］タブのラベルに表示されるカウントは、入力されたテキストに一致するインデックスされたメタ キーの数を反映して変化します。インデックスが作成されていないキーは無効化されて選択できず、カウントには含まれません。たとえば、次の図のalias.macはインデックスが作成されていないため、グレー表示になっています。メタ キーをクリックするか、上/下矢印を使ってメタ キーを選択してから、Enterを押します。
      
   4. ハイライト表示されているメタ キーを選択するには、Enterを押します。
      ［メタ］ラベルのカウントが1に変わります。

      注： ドロップダウン リストでメタ キーが選択されておらず、選択できるメタ キーがリストにない場合は、クエリ バーですでに入力されている内容に応じて、フリーフォーム フィルタまたはテキスト フィルタのいずれかのオプションがハイライト表示されます。
      --クエリ バーに入力されたテキストに、ユーザ インタフェースでまだサポートされていない形式のクエリ構文や演算子が含まれている場合は、フリーフォーム フィルタ オプションがハイライト表示され、フリーフォーム フィルタを作成できるようになります。バージョン11.3以前では、**、&&、||、()、AND、OR、comma、-、length、regexの各演算子は、ユーザ インタフェースでサポートされていません。バージョン11.4のユーザ インタフェースでは、これらの演算子がサポートされています。フリーフォーム フィルタがハイライト表示されておらず、クエリ バーに既存のテキスト フィルタがない場合は、テキスト フィルタがハイライト表示され、作成できるようになります。
      --最初の条件がtrueで、テキスト フィルタがすでに1つある場合は、フリーフォーム フィルタ オプションがハイライト表示され、フリーフォーム フィルタを作成できるようになります。
      

   5. メタ キーを編集または削除する場合は、BackspaceまたはDeleteを押します。
      キーを押して文字を削除するのに合わせて、メタ キー ドロップダウン リストが絞り込まれ、残りの文字を含むメタ キーが表示されます。メタ キーを選択するには、Enterを押します。
      メタ キーがフィルタ入力フォームに追加され、選択したメタ キーに対して有効な演算子のリストが表示されます。処理時間が長い演算子には、（ストップウォッチ アイコン）が表示されます。次の図は、ストップウォッチ アイコンが表示されたcontains演算子を示しています。
      
      
3. 演算子を選択するには、次のいずれかを実行します。
   1. 演算子ドロップダウン リストにオプションが1つしかない場合は、Enterを押してオプションを選択します。
   2. 演算子ドロップダウン リストに複数のオプションがある場合は、演算子をクリックするか、上/下矢印を使って演算子を選択してから、Enterを押します。
   3. 演算子を直接入力して、Enterを押します。入力に合わせて、演算子ドロップダウン リストが絞り込まれ、入力したテキストを含む演算子のみがリストに表示されます。演算子をクリックするか、上/下矢印を使って演算子を選択してから、Enterを押します。
      フィルタ入力フォームに演算子が追加されます。バージョン11.4以降では、演算子に値を指定できる場合は、候補値のドロップダウン リストが表示されます。以前のバージョンでは、値を入力できるように、フィルタ入力フォームにカーソルが置かれたままになります。
      
      
4. （オプション）フィルタ入力フォームの選択された演算子に値を指定できる場合は、次のいずれかを実行します。
   1. バージョン11.3以前では、値を直接入力してEnterを押します。
   2. バージョン11.4以降では、コピーした値をペーストしてEnterを押します。
   3. バージョン11.4以降では、［クエリ フィルタ］フィールドに入力し始めます。
      入力に合わせて、メタ値ドロップダウン リストが絞り込まれ、入力したテキストで始まる、最大100個のインデックスされた値が表示されます。候補値は時間範囲のみに基づいています。クエリ内の他のフィルタは100個の値のリストの絞り込みには使用されません。自動提案機能は、（最大1万件の）ダウンロードされたイベントだけでなく、現在のデータ セット内のすべてのイベントから一致を検索します。リスト内に完全に一致するものがない場合は、［クエリ フィルタ］フィールドに入力したテキストがハイライト表示され、候補が見つからなかったことがメッセージに示されます。serviceメタ キーの整数値のように、一部の値にはサービス タイプの定義も表示されます。
      
      完全一致がある場合は、その値がハイライト表示されます。次の例では、入力されたテキスト「modi」と完全に一致する値がありません。
      
      1. 入力したテキストをフィルタで使用する場合は、Enterを押します。
      2. クエリを実行したい値がリストに含まれているが、ハイライト表示されていない場合は、その値をクリックするか、上/下矢印を使ってその値をハイライト表示します。その後、Enterを押します。
      3. 値を編集または削除する場合は、BackspaceまたはDeleteを押します。
         キーを押して文字を削除するのに合わせて、メタ値ドロップダウン リストが絞り込まれ、残りの文字で始まる値が表示されます。値を選択するには、Enterを押します。
         値がフィルタ入力フォームに追加されます。
         
5. フィルタを作成するには、Enterを押します。Enterを押す前にボックスの外側をクリックした場合、フィルタは作成されません。
   新しいフィルタが挿入され、最後のフィルタの後ろで点滅するカーソルが再フォーカスされ、メタ キーのドロップダウン リストが表示されます。フィルタにエラーがある場合は、赤色の枠が表示されます。フィルタにポインターを合わせると、ツール チップにエラーが表示されます。この図は、エラーなしで作成されたクエリを示しています。
   
   
6. フィルタにエラーがない場合は、クエリ バーでクエリを実行する準備ができています。をクリックします。
   結果が返され、［イベント］パネルにロードされます。クエリに一致する最初の1万イベントの［イベント］パネルへのロードが開始されます。イベントがロードされる間、上部にあるステータス バーで進行状況を確認できます。リストの一番下までスクロールして、完了ステータスを確認できます。
7. （バージョン11.3以降のオプション）クエリ コンソールで詳細ステータスを表示するには、（情報アイコン）をクリックします。
   
8. （バージョン11.3以降のオプション）実行が完了する前にクエリをキャンセルする場合は、をクリックします。
   クエリが実行を停止し、クエリがキャンセルされたことを示す通知が表示されます。
   

ガイド モードでのフリーフォーム フィルタの追加（バージョン11.3以降）

ガイド モードでフリーフォーム フィルタを使用して、［イベント］ビューに表示されるデータをフィルタリングするには、次の手順を実行します。

1. ［イベント］ビューに移動し、クエリ バーの下にある［ガイド モード］を選択して、クエリ ビルダ フィールドをクリックします（バージョン11.4.1の場合は、クエリ ビルダ フィールドを単にクリックします）。
   挿入ポイントが2つのフィルタの間にある場合は、緑色の丸または太字のカーソルによって挿入ポイントがマークされます。挿入ポイントがクエリ バーの最後尾にある場合は、エントリー ポイントに点滅するカーソルが表示されます。ドロップダウン リストには、調査対象のサービスから取得した使用可能なメタ キーがアルファベット順に表示されます。
   
   
2. 次のいずれかを実行します。
   1. ［フリーフォーム フィルタ］フィールドにカーソルを置き、クエリの入力を開始します。
   2. メタ キーまたは開き括弧で始まるフィルタの入力を開始します。クエリ ビルダでフィルタを追加したり、編集するときは、括弧の不均衡が自動的に修正されます。開き括弧を入力した場合、閉じ括弧がフィルタに追加されます。
      一致するメタ キーまたは演算子がドロップダウン メニューにない場合は、［フリーフォーム フィルタ］オプションが使用可能になり、入力したテキストが［フリーフォーム フィルタ］フィールドに表示されます。
      
3. 式全体の入力を続けて、Enterを押します
   （Enterを押す前にボックスの外側をクリックした場合、フィルタは作成されません）。次の図は、値「GET」の後を入力し続けることによって作成されたフリーフォームの式を示しています。
   
   新しいフィルタが挿入され、最後のフィルタの後で点滅カーソルが再びフォーカスされて、新しいフィルタ入力フォームが表示されます。フィルタにエラーがある場合は、赤色の枠が表示されます。フィルタにポインターを合わせると、ツール チップにエラーが表示されます。
4. クエリを実行するには、をクリックします。クエリの実行中は、ボタンがに変わります。
   
5. 実行が完了する前にクエリをキャンセルする場合は、をクリックします。
   クエリをキャンセルしない場合は、をクリックしてクエリの実行ステータスを表示できます。クエリの実行が完了すると、［イベント］パネルにクエリの適切な結果が表示されます。

データ セット内の不特定の場所から値を検索するテキスト フィルタの追加（バージョン11.4以降）

バージョン11.4以降では、テキスト フィルタを使用して、現在のデータ セット（エンドポイント、ログ、ネットワーク イベント）から特定の値を検索できます。テキスト フィルタを使用すると、値でインデックスされたすべてのメタ キーのデータに対して、大文字と小文字を区別しない検索が実行されます。テキスト フィルタでは、メタ キーによってインデックスされた値とインデックスなしの値は検索対象とならないため、すべての結果が表示されるわけではありません。次のメッセージが表示されます「Results may be limited by a text filter, which matches only indexed meta keys. If you want to conduct a more exhaustive search against raw events, click here and choose the appropriate options in the Search Events drop-down menu.」。ドロップダウン リストのアイコンは、各メタ キーのインデックス レベルを示しています。

• - メタ キーによってインデックス
• - メタ値によってインデックス
• - インデックスなし

注： クエリ対象の階層内のサービス（Broker、Concentrator、Decoder）はすべて、バージョン11.3 以降でなければなりません。階層内にバージョン11.3より前のサービスがある場合は、ドロップダウン メニューでテキスト フィルタを選択できません。

テキスト フィルタは、どこを探すべきか（どのメタ キーまたはサービスか）がわからなくても、探しているものについてある程度わかっている場合に役立ちます。たとえば、ファイル名を検索したい場合、クエリ バーをクリックして、テキスト文字列全体を入力し、［テキスト フィルタ］をクリックします。テキスト フィルタは、調査対象のサービスと時間範囲内で、インデックスにあるすべてのデータを検索し、テキスト文字列の 完全一致 を返します。

クエリには、テキスト フィルタ1つと、シンプル フィルタとフリーフォーム フィルタの任意の組み合わせを含めることができます。テキスト フィルタは、クエリに含まれる他のすべてのフィルタの結果に対するフィルタとして機能するため、テキスト フィルタの演算子はANDでなければなりません。クエリ バーにテキスト フィルタがすでにある場合は、次の図に示すように［テキスト フィルタ］オプションが無効になります。テキスト フィルタを、括弧内に追加することはできません。

テキスト フィルタを作成するには、次の手順を実行します。

1. ［イベント］ビューに移動して、クエリ バーをクリックします。
   クエリ入力フォームが表示されます。
   
   
2. 検索するテキスト文字列を入力します（たとえば「http」）。
   テキスト文字列がメタ キー ドロップダウン リストの［詳細オプション］の下に表示されます。
   
   
3. ［詳細オプション］の下にある［テキスト フィルタ］をクリックします。
   テキスト フィルタがクエリ バーに追加されます。次の図は、テキスト フィルタとフリーフォーム フィルタの表示の違いを示しています。フリーフォーム フィルタは、固定スペース フォントで表示され、赤色の枠線で囲まれます。フリーフォーム フィルタでは有効な式を入力する必要があるため、赤色の枠線は構文エラーがあることを示しています。テキスト フィルタには、検索アイコンが表示されます。テキスト フィルタには、構文の要件は適用されません。
   
   
4. （オプション）シンプルまたはフリーフォームのフィルタをクエリ バーに追加します。クエリに使用できるテキスト フィルタは1つだけです。この例は、「http」をテキスト フィルタとして入力し、「action = 'get' OR action = 'put'」という2つのフィルタを追加して、クエリを完成しています。
   
5. クエリを送信するには、をクリックします。
   結果が［イベント］パネルに表示されます。次の図は、結果が見つからなかった［イベント］パネルと、結果を改善する方法を説明したメッセージを示しています。テキスト フィルタを使用するたびに、検索を拡張するためのリンクを提供するこのメッセージが、結果の下部に表示されます。
   
6. メッセージ内の［ここ］リンクをクリックします。
   新しいブラウザ タブが開き、クエリの結果が［レガシー イベント］ビューに表示されます。ここでは、検索を改善するための追加のオプションを使用できます。次の図は、インデックスなしのメタデータも対象に含めて同じクエリを実行した結果を示しています。
   
   
7. クエリのステータスを表示するには、クエリ コンソールで（情報アイコン）をクリックします。次の図は、クエリ コンソールに表示されたテキスト フィルタを示しています。
   
   

クエリ バーのすべてのフィルタの選択とすべてのフィルタのコピー（バージョン11.4.1以降）

［イベント］ビューのクエリ バーでフィルタを作成するときに、キーボード コマンドを使用して、すべてのフィルタを選択（Windows OSの場合はCtrl-A、MacOSの場合はCmd-A）してから、選択内容をローカルのクリップボードにコピー（Windows OSの場合はCtrl-C、MacOSの場合はCmd-C）できます。

すべてのフィルタを選択してクリップボードにコピーするには、次の手順を実行します。

1. ［イベント］ビューの［イベント］パネルで、フォーカスされた丸またはクエリ入力フォームをクリックして、Ctrl-A（Windows OS）またはCmd-A（MacOS）を押します。
   クエリ バーのすべてのフィルタが選択されます。
   
2. 選択したフィルタをクリップボードにコピーするには、Ctrl-C（Windows OS）またはCmd-C（MacOS）を押します。
   クリップボードの内容を他のアナリストと共有したり、コンテンツをクエリ バーにペーストしたりすることができます。

クエリ バーへのテキストのペースト（バージョン11.4以降）

［イベント］ビューのクエリ バーでフィルタを作成するときに、フィルタ全体を直接入力する代わりに、他の場所からコピーしたテキストをペーストすることができます。テキストを空のクエリ バーにペーストするか、クエリ バーの既存のフィルタの横にペーストできます。すでに入力済みのテキストに応じて、クエリ解析エンジンはペーストされた情報を解析し、新しいフィルタを作成します。これには、シンプル フィルタ、フリーフォーム フィルタ、テキスト フィルタが含まれます。

• 「<valid meta key> <valid operator> <optional value>」の形式のテキスト文字列が追加された場合、クエリ バーには新しいシンプル フィルタが追加されます。「alias.host contains 's'」はその例です。
• 「<valid meta key> <valid operator> <optional value> && <valid meta key> <valid operator> <optional value>」の形式のテキスト文字列が追加された場合、クエリ バーには2つのシンブル フィルタが追加されます。「alias.host contains 's' && action exists」はその例であり、「alias.host contains 's' AND action exists」に変換されます。
• 解析不可能なテキストを含んだテキスト文字列は、フリーフォーム フィルタに変換されます。たとえば、ガイド モードのフィルタの作成では、「NOT (device.ip = 10.10.10.10)」という形式はサポートされていないため、フリーフォーム フィルタに変換されます。フリーフォーム フィルタは、クエリ送信時にサーバによって検証されます。
• フィルタ構文に準拠していないテキストは、フリーフォーム フィルタとして追加されます。

テキストをペーストしてフィルタを作成するには、次の手順を実行します。

1. ［イベント］ビュー＞［イベント］パネルに移動し、クエリ バーの下にある［ガイド モード］を選択して、クエリ バーをクリックします（バージョン11.4.1の場合は、クエリ バーを単にクリックします）。
   クエリ入力フォームが表示されます。
   
   
2. Ctrl-V（Windows OS）またはCmd-V（MacOS）を押すか、右クリックして［ペースト］を選択して、クリップボードにコピーしたテキストをペーストします。次のいずれかを実行します。
   1. ペーストしたテキストが解析可能なステートメントである場合は、1つまたは複数のシンプル フィルタが作成されます。
      ペーストしたテキストが解析不可能なステートメントである場合は、新しいフリーフォーム フィルタが作成されます。
      ペーストしたテキストがステートメントではなく、有効なメタキ ーではない場合は、無効な構文エラーが表示されます。
      新しいフィルタで使用する有効なメタ キーをペーストした場合は、ドロップダウン リストでメタ キーがハイライト表示されます。演算子と値を入力することによって、通常どおりにフィルタの作成を続行できます。
      有効なメタ キーと有効な演算子（city.dst =など）を選択した後にペーストした場合、メタ キーがテキスト値をサポートしていれば、ペーストされたテキストはテキスト文字列として扱われ、フィルタが1つ作成されます。メタ キーがテキスト値をサポートしていない場合は、クエリ バー内のすべてのテキストが、前述の手順の説明に従って解析されます。
3. 必要に応じてクエリ バーにさらにフィルタを追加し、クエリを送信します。
   クエリが実行されます。

最近のクエリからのフィルタの挿入（バージョン11.4以降）

ガイド モードのクエリ バーでは、最近実行したクエリからフィルタを挿入できます。［最近のクエリ］タブを開いた時、クエリ バーに何も入力されていない場合は、最近実行した最大100件のクエリがスクロール可能なリストに表示されます。最新のクエリが一番上に表示されるようにリストがソートされ、［最近のクエリ］タブのカウントは0に設定されます。入力を開始すると、入力と一致するテキストを含んだ最大100件のクエリがクエリ履歴データベースから表示されます。 テキストが一致していれば、最新の100件のクエリに含まれていない場合でも表示されます。［最近のクエリ］カウントは、入力と一致するクエリの数を反映して変化します。

デフォルトで、リストの一番上の項目がハイライト表示されます。最近のクエリを選択するには、上下矢印を使用してハイライト表示を上下に移動するか、目的のクエリの上にマウスを合わせます。入力に合わせて、リストが絞り込まれ、ハイライト表示がリストの一番上に戻ります。クエリをクリックするか、クエリがハイライト表示された状態でEnterを押すと、選択したクエリのテキストを含んだ新しいフィルタが作成されます。

クエリを送信するたびに、リストがソートされ、そのクエリが最新のクエリとして一番上に追加されます。

最近のクエリからフィルタを作成するには、次の手順を実行します。

1. ［イベント］ビューに移動し、クエリ バーの下にある［ガイド モード］を選択して、クエリ バーをクリックします（バージョン11.4.1の場合は、クエリ バーを単にクリックします）。
   ［メタ キー］ドロップダウン リストが［メタ］タブに表示されます。
   
2. ［最近のクエリ］タブを選択します。
   ［最近のクエリ］ドロップダウン リストが表示され、カウントには0が表示されます。
   
   
3. 最近のクエリを検索するには、次のいずれかを実行します。
   1. テキストの入力を開始します。
      文字の入力に合わせて、またはBackspaceキーを押して文字を削除するのに合わせて、リストが絞り込まれ、入力したテキストを含む最近のクエリが表示されます。［最近のクエリ］ラベルのカウントは、入力と一致するクエリの数を反映して変化します。
      
   2. クエリを選択して新しいフィルタを追加するには、入力を続けて、新しいフィルタとして使用したいクエリを見つけ、上下矢印でハイライト表示します。
   3. クエリをハイライト表示してEnterを押すか、リストに表示されているクエリを単にクリックします。
      フィルタがクエリ バーに追加されます。
4. 必要に応じてクエリ バーにさらにフィルタを追加したら、クエリを送信します。
   クエリが実行され、リストがソートされ、そのクエリが最新のクエリとして一番上に追加されます。
   

ガイド モードでのフィルタの編集

ガイド モードのクエリ バーで、フィルタを編集できます。フィルタを編集するには、次の操作を行います。

1. フィルタをダブルクリックするか、フィルタをクリックしてEnterを押します。
2. フィルタを編集します。編集が終了したら、Enterを押してフィルタを更新します。
3. クエリを再度実行する場合は、をクリックします。
   更新されたフィルタの結果が［イベント］パネルに表示されます。

ガイド モードで選択したフィルタを使用したクエリ

ガイド モードのクエリ バーに1つまたは複数のフィルタがある場合は、選択したフィルタのみを含むクエリを再フォーカスし、現在のブラウザ タブまたは新しいブラウザ タブに結果を表示できます。バージョン11.4では、フィルタにネスト構造の括弧を使用した式が含まれる場合があり、そのようなフィルタの一部分を再フォーカスできます。選択したフィルタのみを使用してクエリを更新するには、次のいずれかを実行します。

1. 1つ以上のシンプル フィルタを含むクエリを使用します。たとえば、risk.info exists、direction ='lateral'、threat.category existsという3つのフィルタを含んだクエリを使用します。
   1. direction = 'lateral'を選択し、右クリックして［新しいタブで、選択したフィルタでクエリを実行］をドロップダウン メニューで選択します。
      
      選択したフィルタの結果が新しいタブに表示され、元のクエリは以前のタブにそのまま残ります。
      
   2. 選択したフィルタを使用して、同じタブでクエリを実行するには、direction = "lateral"とthreat.category existsを選択します。次に、右クリックして［選択したフィルタでクエリを実行］をドロップダウン メニューで選択します。
      
      選択したフィルタのみを含むクエリが送信され、残りのすべてのフィルタが削除されます。
2. （バージョン11.4）ネスト構造の括弧を使用したフィルタを含むクエリの場合（たとえば、action = 'get' AND (filename exists OR sourcefile exists OR content = 'application/octet-stream')）は、次のいずれかを実行します。
   
   
   1. 'application/octet-stream'の後の閉じ括弧を選択し、右クリックして［新しいタブで、選択したフィルタでクエリを実行］を選択します。
      (filename exists OR sourcefile exists OR content = 'application/octet-stream')の結果が新しいタブに表示されます。
   2. 同じものを選択し、右クリックして［選択したフィルタでクエリを実行］を選択します。
      (filename exists OR sourcefile exists OR content = 'application/octet-stream')の結果が現在のタブに表示されます。

ガイド モードでのフィルタの削除とフィルタ内のテキストまたは括弧の削除

バージョン11.4では、キー操作による編集機能が使用可能になりました。これらの機能は、各ステップに明記されています。

1. フィルタを削除するには、次のいずれかを実行します。
   1. フィルタの［X］をクリックします。
   2. フィルタを選択して、Delete（Windows OS）またはFn + Delete（MacOS）を押します。
   3. （バージョン11.4以降）フィルタを選択して、Backspace（Windows OS）またはDelete（MacOS）を押します。
   4. 1つまたは複数のフィルタを右クリックし、ドロップダウン メニューで［選択したフィルタを削除］または［選択項目の削除］（バージョン11.4以降）を選択します。
      フィルタとフィルタの右または左にある演算子が削除され、クエリ バーに余分な演算子が残っていないことが確認されます。
2. （バージョン11.4以降）フィルタ内の文字、またはフィルタ内の括弧とその中身を削除するには、次のいずれかの手順を実行します。
   
   1. 前の文字を削除する場合：クエリ バーで文字の横にカーソルを置いて、Backspace（Windows OS）またはDelete（MacOS）を押します。
   2. すべての文字を削除する場合：フィルタにカーソルを合わせて、Delete（Windows OS）またはFn + Delete（MacOS）を押します。
   3. 選択した文字を削除する場合：クエリ バーで文字を選択して、DeleteまたはBackspaceを押します。
   4. 括弧内の文字を残して括弧を削除するには、括弧のいずれかを選択してDelete（Windows OS）またはFn + Delete（MacOS）を押します。
   5. 括弧とその中身（たとえば「(filename exists OR sourcefile exists OR content = 'application/octet-stream')」）を削除するには、getの後の括弧を選択して、右クリックし、［選択項目の削除］を選択します。
      
      action = 'get'以外のすべてが削除されます。

フリーフォーム モードでのクエリの作成

フリーフォーム モードはバージョン11.2、11.3、11.4で使用されますが、バージョン11.4.1では使用できなくなりました。

フリーフォーム クエリが役立つのは、保存された長いテキスト文字列をペーストしたい場合や、すばやく入力したいクエリがあり、そのメタ キー、有効な演算子、値を入力するための正しい構文がわかっている場合です。次の図は、フリーフォーム クエリ ビルダのフィールドが空になっている、初期状態の［イベント］ビューを示しています。最初の例はバージョン11.2で、2番目の例はバージョン11.3です。

点滅するカーソルは、クエリを入力できることを示しています。ここにテキストを自由に入力できます。式を追加してゆき、1行に表示しきれなくなると、次の行に折り返され、入力領域が縦に広がります。このため、右にスクロールしなくても、すべてのフィルタを表示できます。

フリーフォーム モードで入力できるクエリの例を次に示します。

atreeman-72に類似した8～11文字のユーザ名でイベントを検索する場合：
user.all length 8-11 && (user.all regex '^a[a-z]{2}ee[a-z]{3}-[0-9]{2}')

HTTPネットワーク イベントとaixまたはciscoasaログに関連するイベントを検索する場合：
service=80 || (device.type = 'aix','ciscoasa')

カナダまたは米国以外に向けたアウトバウンド イベントを検索する場合：
direction = 'outbound' AND not(country.dst = 'united states' || country.dst = 'canada')

ガイド モードで送信済みのクエリがある場合、［フリーフォーム モードに切り替える］をクリックすると、クエリがテキストに変換されます。次の図は、ガイド モードで送信した2つのフィルタ（service = 80およびdirection = 'outbound'）を含むクエリを、フリーフォーム モードで表示した例です。

クエリ ビルダの右側のボタンは、必要に応じてクエリを送信するために表示されます。クエリは、をクリックすると送信されます。その時点でクエリが検証され、構文およびロジックのエラーが表示されます。

より多くの処理時間を必要とする演算子は、ガイド モードのようにハイライト表示されませんが、次の表は負荷の高い演算子の概要を示しています。