Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:[イベント]ビューでのイベントのドリルダウン(ベータ)

Document created by RSA Information Design and Development Employee on Dec 7, 2020Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 2Show Document
  • View in full screen mode
 

注: このセクションはバージョン11.5以降に適用されます。この機能は、デフォルトで有効になっているベータ機能です。システム管理者は、『システム セキュリティとユーザ管理ガイド』の説明に従って無効にすることができます。

[イベント]ビューで作業する場合、調査の重点は、関連するイベントを最小限に絞り込み、シーケンシャルに表示することに置かれます。クエリ プロファイル、列グループ、メタ グループ、クエリを使用して、[イベント]ビューにロードして表示するイベントの数を減らすことができます。ただし、DecoderまたはLog Decoderに保存されている実際のイベントを表示する前に、Concentrator上のインデックスされたメタデータを使用してデータ セットを制限する方が効率的です。

バージョン11.4.x以前では、始めに[ナビゲート]ビューでConcentratorがインデックスしたメタ キーとメタ値を確認し、メタデータをドリルダウンすることによって、関連するイベントのセットを見つけ、そこから更にドリル ダウンやクエリによってデータ セットを制限するのが最善のアプローチでした。意味のあるデータ セットまたはドリルダウン ポイントを見つけた場合は、関連するイベントの詳細を[イベント]ビューにシーケンシャルに表示し、調べることができます。

バージョン11.5以降では、[イベント]ビューから移動することなく、[イベントの絞り込み]パネルでメタデータをドリルダウンできます。表示されるメタ キーとメタ値のリストは、クエリの時間範囲から確認されたすべてのイベントに関連するものです。[イベントの絞り込み]パネルで目的のドリルダウン ポイントを見つけたら、[イベント]パネルを開いて、イベントをシーケンシャルに表示し、確認できます。[イベント]ビューにロードされるイベントのセットが小さくなり、ロードが高速化します。ビューの間を移動する回数が減り、調査の流れがスムーズになります。次の図は、[イベント]パネルの左側にある[イベントの絞り込み]パネルを示しています。
[イベントの絞り込み]パネルの初期ビュー

注: [イベントの絞り込み]パネルの結果が予想どおりにならない状況が2つあります。
-バージョン11.5のBrokerとRSA NetWitness Platformバージョン11.4以前の一部のコア サービスで構成される混在モード環境の場合、[イベントの絞り込み]パネルではテキスト フィルタはサポートされません。[イベント]パネルのクエリにテキスト フィルタが含まれている場合は、[イベント]パネルの結果セットと[イベントの絞り込み]パネルの結果セットが異なる可能性があります。
-[イベント]ビューのクエリ ビルダのクエリに論理ORまたは&&が含まれている場合は、[イベント]ビューの結果が、[ナビゲート]ビューと[レガシー イベント]ビューでの同じクエリの結果と異なる可能性があります。[ナビゲート]ビューと[レガシー イベント]ビューでは、論理OR式が自動的に括弧で囲まれますが、[イベント]ビューでは括弧を手動で追加する必要があります。この問題が発生した場合は、もう1つ括弧を追加して論理OR式を囲む必要があります。クエリ バーの2つのフィルタを選択し、そのうちの1つを右クリックして、メニューの[括弧で囲む]を選択します。

動作モード

[イベントの絞り込み]パネルには2つの動作モードがあります。

  • 縮小[イベントの絞り込み]パネルは、データのファセット検索ビューの一部です(上図を参照)。メタ値を左クリックまたは右クリックすると、新しいフィルタが追加され、新しいクエリが自動的に実行されて、一致するイベントが順番に一覧表示されます。両方のパネルが開いている場合は、[イベントの絞り込み]パネルと[イベント]パネルの両方でデータをドリルダウンできます。[イベントの絞り込み]パネルでメタ値を左クリックするたびに、式がクエリ バーに追加され、クエリがデフォルトで実行されます。クエリ結果は、[イベントの絞り込み]パネルにフィルタとして使用する新しいメタデータを表示し、[イベント]パネルにはクエリと一致する結果のイベントが表示されます。サービスまたはその他のクエリ要素を[イベント]パネルで変更する場合は、クエリを実行して[イベントの絞り込み]パネルを再ロードする必要があります。
  • 完全に展開された[イベントの絞り込み]パネルは、ブラウザ ウィンドウの全幅を使用して、クエリの即時送信やシーケンシャルなイベントの表示に伴うパフォーマンス負荷なしに、メタデータを検索するための十分な領域を提供します。新しいメタ値をクリックしてメタ値をドリルダウンすると、各メタ値がクエリ フィルタに追加されて、[イベントの絞り込み]パネルで実行されるため、表示されるイベントの数が減少します。[イベント]パネルは閉じられているため、[イベント]パネルのクエリは更新されず、クエリは実行されません。[イベントの絞り込み]パネルを縮小して元のサイズに戻すと、[イベント]リストが開き、クエリが実行されます。次の図は、完全に展開されたパネルの例です。

完全に展開された[イベントの絞り込み]パネルの例

[イベントの絞り込み]パネルでのメタデータの表示

メタデータを[イベントの絞り込み]パネルで表示するには、次の手順を実行します。

  1. [調査]>[イベント]に移動し、調査するサービスを選択して、時間範囲を選択します。
  2. (オプション)列グループまたはクエリ プロファイルを選択します。
  3. [クエリ送信]ボタンをクリックして[イベント]パネルにイベントをロードします。
    クエリが[イベント]パネルで実行され、一致するイベントが表示されます。
  4. [イベント]パネルで[フィルタ]ボタン([フィルタ]ボタン)をクリックします。
    [イベントの絞り込み]パネルが[イベント]パネルの左に開きます。
    [イベントの絞り込み]パネルの初期ビュー

最初にログインしたときは、「Default Meta Keys 」メタ グループが有効になります。前回のログインで別のメタ グループを選択した場合は、ブラウザのキャッシュがクリアされるまで、そのメタ グループが引き続き有効です。 メタ グループの詳細については、「メタ グループを使用して関連性の高いメタ キーにフォーカス」を参照してください。サービスのインデックス ファイルの内容に基づいて、少なくとも1つのメタ値を持つ最初の25個のメタ キーが[イベントの絞り込み]パネルに読み込まれ、展開されます。[イベントの絞り込み]パネルで「Default Meta Keys 」グループを使用すると、値を持つ最初の30個のメタ キーのみが展開され、残りは閉じられます。閉じられたメタ キーがリストに表示される場合がありますが、25個または30個のメタ キーの総数にはカウントされません。値のないメタ キーは、パネルの最下部に表示されます。パネルの展開、縮小、クローズの操作には、標準のパネル コントロール(展開または縮小の左矢印アイコン展開または縮小の右矢印アイコン[閉じる]ボタン)を使用します。

表示されたメタデータの理解

各メタ キーには、メタ値のリストがあり、デフォルトで最大20個の値が表示されます。[さらに値を表示]をクリックすると、メタ値を20個単位で追加し、合計1,000個のメタ値を追加できます。この上限は、パフォーマンスを最適化するためにハードコードされています。サービスで検出された各メタ キーのメタ キー名と英語名称が、メタ値の有無にかかわらず表示されます。メタ値ごとに、現在の結果に含まれるその値を含んだイベントの件数(カウント)またはイベントのサイズ(サイズ)を確認できます。たとえば、次のように表示される場合があります。

Action Event [action] (3)
get(3016) login (1346) put (501)

この例では、メタ キー名はaction、英語名称はAction Eventで、このメタ キーには3つのメタ値が見つかりました。getを含むイベントが3,016個、loginを含むイベントが1,346個、putを含むイベントが501個ありました。値は、 カウント が最大の値から順に表示されます。

次の例では、同じメタ キーの値が イベント サイズ (バイト単位)の順に表示されています。最小サイズが最初に表示されます。

Action Event [action] (3)
login (13,034,588) put (21,848,760) get (1,409,079,256)

各メタ キー名の前にあるアイコンは、そのキーのインデックス方法を示しています。インデックス方法は、そのメタ キーを使用して実行できる操作やクエリのタイプを決定します。

  • 値によってインデックスされたメタ キーは「値によってインデックスされたメタ キー」のようになります。緑色は、すべての操作とクエリがサポートされていることを示します。メタ値を右クリックして、コンテキスト メニューで実行可能な操作を確認できます。
  • メタ キーによってインデックスされたメタ キーは「メタ キーによってインデックスされたメタ キー」のようになります。黄色は、一部の操作がサポートされていることを示します。このメタ キーのクエリには、値でインデックスされたメタ キーよりも長い時間がかかる場合があります。メタ値を右クリックして、コンテキスト メニューで実行可能な操作を確認できます。
  • インデックスなしのメタ キーは「インデックスなしのメタ キー」のようになります。インデックスなしのメタ キーの値をクエリに使用することはできません。インデックスなしのメタ キーでクエリを実行する必要がある場合、管理者が、そのメタ キーが値またはメタ キーでインデックスされるようにサービスのインデックス ファイルを編集する必要があります。

メタ キーのロード中にエラーが発生した場合、他のメタ キーは通常どおりにロードされ、ロードされなかったメタ キーにエラー メッセージが表示されます。新しいクエリを実行すると、一部のエラー メッセージは表示されなくなります。イベント セット内に値がないメタ キーは、パネルの最下部に表示されます。

メタ値の並べ替え方法の設定

[イベントの絞り込み]パネルが開いた状態では、各値の2つのパラメータ(イベント数またはイベント サイズ)を確認できます。メタ キーの各値には、イベント数またはイベント サイズが括弧で囲まれて値の後に表示されます。いずれの場合も、並べ替えには4つのオプションがあります。

並べ替えオプションを使用するには、次の手順を実行します。

  1. [イベントの絞り込み]パネルを開き、並べ替えメニュー ラベルをクリックします。ラベル名には、現在選択中の並べ替えオプションが表示されています。イベント数の合計で昇順に並べた場合のメニュー ラベルは、「選択中の方法を示す並べ替えメニュー ラベル」のようになります。
    並べ替えメニューが表示されます。次の図は、縮小表示されたメニューを示しています。
    [イベントの絞り込み]パネルの並べ替えメニュー イベント サイズのオプションが表示されている並べ替えメニュー
  2. 各値の後に括弧で囲まれたイベント数を表示するには、次のいずれかのオプションを選択します。デフォルトでは、メタ キーは[イベント数]>[合計数の降順]で表示されます。
    1. 値が見つかったイベントの合計数で並べ替えるには、[合計数の降順]または[合計数の昇順]のいずれかを選択します。
    2. 値の名前で並べ替えるには、[値の昇順]または[値の降順]のいずれかを選択します。
  3. 値が見つかったイベントのサイズをバイト単位で表示するには、次のいずれかのオプションを選択します。
    1. 値が見つかったイベントの合計サイズで並べ替えるには、[合計サイズの降順]または[合計サイズの昇順]のいずれかを選択します。
    2. 値の名前で並べ替えるには、[名前の昇順]または[名前の降順]のいずれかを選択します。
      [イベントの絞り込み]パネルの各メタ キーの下で、選択した設定に応じて値が並べ替えられます。
      イベント数の昇順でソートされた値

メタ値のドリルダウン

[イベントの絞り込み]パネルが開いている状態で、メタ値をドリルダウンして、関連するイベントを可能な限り最小セットに絞り込んで、集中的に調査することができます。完全に展開された[イベントの絞り込み]パネルをドリルダウンする場合、クエリ バーにフィルタが追加され、[イベントの絞り込み]パネルに表示されるメタデータは絞り込まれますが、[イベント]パネルではクエリは実行されません。縮小表示されたパネルを[イベント]パネルと並べてドリルダウンすると、クエリ バーにフィルタが追加され、[イベント]パネルと[イベントの絞り込み]パネルでクエリが実行されます。次の図は、一部のメタデータがロードされ、完全に展開されたパネルの例です。

メタ値が合計数でソートされた[イベントの絞り込み]パネルの例

完全に展開された[イベントの絞り込み]パネルでメタ値をドリルダウンするには、次の手順を実行します。

  1. 目的のメタ値を見つけて、値をクリックします。上記の図を例として使用すると、SMTPサービス タイプを調査して、他のサービス タイプを調査しないようにするには、[25[SMTP]]をクリックします。
    SMTP以外のサービス タイプは[イベントの絞り込み]パネルでメタデータから除外されますが、[イベント]パネルでクエリは実行されません。
  2. 別のメタ値でステップ1を繰り返します。たとえば、Action Event [action]メタ キーのwritetoexecutableで実行します。シーケンシャルに表示して調査したいイベントのセット(ドリルダウン ポイント)が見つかるまで、値をドリルダウンし続けます。
  3. ドリルダウン ポイントのイベントをシーケンシャルに表示するには、左二重矢印をクリックして[イベントの絞り込み]パネルを縮小します。
    [イベント]パネルが右側に開き、[イベント]パネルでクエリが実行されます。これにより、rawイベントが順番に表示されます。

縮小された[イベントの絞り込み]パネルでメタ値をドリルダウンするには、次の手順を実行します。

  1. 目的のメタ値を見つけて、値をクリックします。上記の図を例として使用すると、SMTPサービス タイプを調査して、他のサービス タイプを調査しないようにするには、[25[SMTP]]をクリックします。
    フィルタがクエリ バーの最後のフィルタとして追加され、SMTP以外のサービス タイプは[イベントの絞り込み]パネルでメタデータから除外され、[イベント]パネルでクエリが実行されます。
  2. 値をクリックしてイベントのセット(ドリルダウン ポイント)を絞り込む操作を続けます。イベントのセットを絞り込みながら、[イベント]パネルで同じセットのrawイベントを調べて再構築します。

メタ キーのメタ値をコピー

特定のメタ キーの表示中のすべてのメタ値をコピーするには、次の手順を実行します。

  1. メタ キー行で、メタ キー オプション ボタン(メタ キー オプション)をクリックします。
    メタ キー オプションが表示されます。この時点で使用できるオプションは[値のコピー]だけです。
    選択されたメタ キーの[値のコピー]オプション
  2. 値のコピー]をクリックします。
    カンマ区切りの値のリストがローカル クリップボードにコピーされます。「"get", "login", "put"」はクリップボードの内容の例です。

 

選択したメタ値をRSA Liveで検索する

  1. loginなどのメタ値を右クリックします。
    [コピー]オプションが選択された状態で[メタ値]ドロップダウン メニューが開きます。
    メタ値のオプションの例
  2. RSA Liveでメタ値(loginなど)を検索するには、[Liveルックアップ]を選択します。
    Liveの[検索]ビューが開いて、入力したメタ値が[生成されるメタ値]フィールドに表示され、検索できる状態になります。

    「[Live]の[検索]ビュー」

メタ値の調査の再フォーカス

メタ キーの下に表示される各値のフォーカスは<meta key> = <meta value>です。メタ値を右クリックすると、さまざまな再フォーカス オプションを含んだコンテキスト メニューが表示されます。再フォーカス アクションはいずれも、[イベント]パネルと[イベントの絞り込み]パネルでドリルダウン ポイントを更新します。

  1. さまざまな演算子(= !=contains)を使用して、キーと値のペアを既存のクエリに追加するには、メタ値(次の図のUDPなど)を右クリックして、[<演算子>ドリルダウン]オプションのいずれかを選択します。
    値を右クリックしたときに表示されるオプション
  2. キーと値のペアと別の演算子(= !=contains)を使用して新しいクエリを開始するには、値を右クリックして、[<演算子>ドリルダウンに再フォーカス]オプションのいずれかを選択します。
    再フォーカス オプション
  3. 新しいブラウザ タブを開き、キーと値のペアを既存のクエリに追加するか、キーと値のペアで新しいクエリを開始するには、値を右クリックして、[新しいタブで再フォーカス]>[新しいタブで<演算子>ドリルダウンに再フォーカス]または[新しいタブで<演算子>ドリルダウン]のいずれかを選択します。
    新しいタブの再フォーカス オプション
    選択内容に応じてドリルダウンの対象が再設定され、新しいクエリが[イベント]パネルで実行されます。
 

You are here
Table of Contents > 結果セットの絞り込み > [イベント]ビューでのイベントのドリルダウン(ベータ)

Attachments

    Outcomes