[ルールのビルド]ビューでは、[ルール]で実行できるアクションと関連する手順について説明します。
ワークフロー
このワークフローは、ルールを作成または導入する手順を示しています。
実行したいことは何ですか?
| 管理者/アナリスト | Reporting Engineの構成 | 詳細については、「Reporting Engine構成ガイド」の「ステップ3:Reporting Engineのデータ ソースの構成」トピックを参照してください |
| 管理者/アナリスト | リストまたはリスト グループの作成/ルールの作成または導入/ルールのテスト* | ルールの構成 |
| 管理者/アナリスト | レポートの作成およびスケジュール設定 | レポートの作成およびスケジュール設定 |
| 管理者/アナリスト | レポートまたはすべてのレポートのリストの表示 | レポートの表示 |
| 管理者/アナリスト | レポートの調査 | レポートの調査 |
| 管理者/アナリスト | リスト、ルール、レポートの管理/アクセス制御 | リスト、ルール、レポートの管理 |
*これらのタスクはここで実行できます。
関連トピック
クイック ビュー
![[ルールのビルド]ビュー](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-89628-1-421727/770-346/110_build_rule_view.png)
[ルールのビルド]ビューにアクセスするには、次の手順を実行します。
- [監視]>[レポート]を選択します。
[管理]タブが表示されます。 - [ルール]ツールバーで、
![[追加]アイコン](https://community.rsa.com/servlet/JiveServlet/downloadImage/421856/110_add_button.png)
>[NetWitnessDB]をクリックします。
[ルールのビルド]ビューのタブが表示されます。
機能
[ルールのビルド]ビューは次のパネルで構成されます。
ルール パネル
ルール パネルでは、選択したデータベース タイプのルールを作成できます。
次の図は、[ルール]パネルを示しています。
![[ルールのビルド]パネル](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-89628-1-421703/110_build_rule_view1.png)
次の表で、[ルール]パネルの各機能について説明します。
| ルール タイプ | ルールを作成する際にサポートされるデータベース タイプのドロップダウン リスト。オプションは次のとおりです。NetWitness DB、IPDB、Warehouse DB。 |
| 名前 | 作成または編集しているルールの名前。 |
| サマライズ | サマライズ オプションのドロップダウン リスト。オプションは次のとおりです。なし、イベント数、パケット数、セッション数、カスタム。 |
| 選択 | 値を集計したいメタ キー。たとえば、ip.dest。 |
| where | ルールの実行をトリガーする条件を定義するWhere句。たとえば、ip.dest = 127.0.0.1。 |
| Group By | 結果をグループ化する方法。たとえば、ip.destを指定すると、ip.destの値がグループ化されたレポートが生成されます。 |
| Then | 出力への追加処理に関するルール アクションを定義するThen句。 |
| Order By | 結果の表示に使用される優先順位づけ方法。たとえば、[Order By]に[Total]列の値と昇順を指定すると、結果が[Total]列の値に基づいて昇順に格納されたレポートが生成されます。 |
| セッション閾値 | セッション閾値を選択するリスト。セッション閾値は、集計関数で処理されるセッションの最大数を指定します。 |
| 件数 | 取得される結果行の最大数を選択するリスト。 |
| 使用 | [使用]をクリックすると、ルールを使用してレポート、チャートのアラートを生成することができます。 |
| 保存 | [保存]をクリックすると、編集しているルールが保存されます。[ルールのビルド]パネルは開かれたままです。変更を維持する場合は、ルールをテストする前に保存する必要があります。 |
| リセット | [リセット]をクリックすると、フィールドのすべての情報がクリアされます。 |
| ルールのテスト | [ルールのテスト]をクリックすると、[ルールのテスト]ダイアログが開きます。 |
[ルールのテスト]ダイアログ
[ルールのテスト]ビューにアクセスするには、次の手順を実行します。
- [監視]>[レポート]を選択します。
[管理]タブが表示されます。 - [ルール リスト]パネルで、次のいずれかを実行します。
- ルールを選択し、[ルール]ツールバーの
をクリックします。 ![[アクション]ドロップダウン メニュー](https://community.rsa.com/servlet/JiveServlet/downloadImage/421858/110_star_a.png)
>[編集]をクリックします。
[ルールのビルド]ビューのタブが表示されます。
- [ルールのテスト]をクリックします。
[ルールのテスト]ビューが表示されます。
![[ルールのテスト]ビューが表示されます](https://community.rsa.com/servlet/JiveServlet/downloadImage/421859/110_test_rule_page.png)
次の表で、[ルールのテスト]ダイアログの機能を説明します。
| データ ソース | テストしているルール タイプのデータ ソースを選択するドロップダウン リスト。選択可能なデータ ソースは次のとおりです。Concentrator、Broker、Decoder、Log Decoder。 |
| 形式 | ルールの結果を表示するための形式を選択するドロップダウン リスト。選択可能な形式は次のとおりです。表、面、横棒、バブル、カラム、折れ線、円、ステップ折れ線、ステップ面、スプライン面、スプライン。 |
| 時間範囲 | 時間範囲の指定方法を選択するドロップダウン リスト。 - [過去]を選択すると、年、月、日、週、時間の数を指定できます。たとえば、時間、日、週、月、年。
- [範囲]を選択すると、日付と時刻の範囲を指定できます。たとえば、開始日から終了日まで。
ユーザ インタフェースに表示される日付または時刻は、ユーザが選択したタイム ゾーン プロファイルによって異なります。 |
| 相対時間計算の使用 | このオプションを選択すると、現在の時刻からの時間範囲が計算されます。 |
| X軸 | [X軸]と[Y軸]では、チャートにプロットするメタデータを指定します。
[X軸]ドロップダウン リストには、ルールのGroup by設定のメタ タイプが表示されます。ルールのGroup by設定が1つの場合は、複数のメタ タイプを選択できます。
複数のGroup by値が含まれるカスタム ルールについては、[X軸]の最初のメタ タイプのみを選択できます。 |
| Y軸 | [Y軸]ドロップダウン リストには、ルールで使用される集計関数が表示されます。ルールに使用する集計関数では、Sum、Count、Countdistinct、Averageがサポートされています。
1つ以上の集計関数を選択できます。 |
| テストの実行 | [テストの実行]をクリックすると、[ルール ビルダ]ダイアログで最後に保存されたルールのテストが実行されます。テストが完了すると、選択した時間範囲のルール データが表示されます(存在する場合)。 |
メタ パネル
メタ パネルには、ルールのビルドに使用できるメタ タイプのリストが表示されます。メタ タイプは、Select、Where、Thenの各句で使用できます。Reporting Engineは、接続先のデータ ソースと定期的に同期して、使用可能なメタのリストを保持しています。
次の図に、[メタ]パネルを示します。
次の表で、[メタ]パネルの各機能について説明します。
| 選択 | 選択したルール タイプに基づいて、使用できるデータ ソースがメタ パネルのドロップダウン リストに表示されます。必要なデータ ソースを選択します。データ ソースで使用できるメタ タイプが表示されます。メタを選択します。 |
| フィルタ | 特定のメタ値でメタをフィルタします。 |
リスト パネル
リストは、メタまたは変数で使用できる値のセットのプレースホルダです。たとえば、信頼できるすべてのイベント ソースIPアドレスを使用してリストを定義できます。リストが定義されると、ルールでそのリスト名を使用できます。リストを使用するルールを定義したあとは、リスト内の値をメンテナンス(追加、変更、削除)することで、クエリを変更せずに検索条件の選択肢を柔軟に管理することができます。
リスト パネルは一連のリストを集めたものです。Reporting Engineは、接続先のデータ ソースと定期的に同期して、使用可能なリスト名のリストを保持しています。
次の図に、リスト パネルを示します。
次の表で、リスト パネルの各機能について説明します。
![[リストのインポートまたはエクスポート]アイコン](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-89628-1-421699/110_part_of_list_pane.png) | リストをインポートまたはエクスポートする。 |
![[更新]アイコン](https://community.rsa.com/servlet/JiveServlet/downloadImage/421860/110_refresh_button.png) | リストを更新します。 |
![[挿入]ドロップダウン メニュー](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-89628-1-421454/110_Insert_lists_pane.png) | [NetWitness DB]ルール タイプを選択した場合、オプションのWhereとThenが表示されます。ルールのWhereまたはThen句にリストを挿入します。 |
|
![[挿入]ドロップダウン メニュー](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-89628-1-421564/110_Warehouse%28Insertoption%29.png) | [Warehouse DB]ルール タイプを選択した場合、オプションのWhereが表示されます。ルールのWhere句にリストを挿入します。 |
You are here
Table of Contents > レポートに関する参考情報 > [ルールのビルド]ビュー
on Apr 20, 2018
![[ルールのビルド]ビュー](https://community.rsa.com/servlet/JiveServlet/showImage/102-89628-1-421727/110_build_rule_view.png)
![[追加]アイコン](https://community.rsa.com/servlet/JiveServlet/showImage/421856/110_add_button.png)
![[ルールのビルド]パネル](https://community.rsa.com/servlet/JiveServlet/showImage/102-89628-1-421703/110_build_rule_view1.png)
![[アクション]ドロップダウン メニュー](https://community.rsa.com/servlet/JiveServlet/showImage/421858/110_star_a.png)
![[ルールのテスト]ビューが表示されます](https://community.rsa.com/servlet/JiveServlet/showImage/421859/110_test_rule_page.png)
![[リストのインポートまたはエクスポート]アイコン](https://community.rsa.com/servlet/JiveServlet/showImage/102-89628-1-421699/110_part_of_list_pane.png)
![[更新]アイコン](https://community.rsa.com/servlet/JiveServlet/showImage/421860/110_refresh_button.png)
![[挿入]ドロップダウン メニュー](https://community.rsa.com/servlet/JiveServlet/showImage/102-89628-1-421454/110_Insert_lists_pane.png)
![[挿入]ドロップダウン メニュー](https://community.rsa.com/servlet/JiveServlet/showImage/102-89628-1-421564/110_Warehouse%28Insertoption%29.png){kind=small}