Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:イベント リストでの列と列グループの使用

Document created by RSA Information Design and Development Employee on Oct 19, 2018Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 4Show Document
  • View in full screen mode
 

調査のイベント リストにイベントが読み込まれると、各列にメタ キーの値が表示されます。イベント リストに表示されるメタ キーの変更は、調査のフォーカスを絞り込むための便利な方法です。たとえば、同じイベントの異なる列を表示する2つの図で比較してみましょう。最初の図には、Collection TimeTypeThemeSizeSummaryという5つの列があります。これらは基本的な情報であり、特殊な情報ではありません。2番目の図には、メールを調査する際に役立つ情報を含んだ、より多くの列があります。右にスクロールして、追加の列を表示できます。

サマリー リスト列が表示されたイベント リスト

RSA Email Analysis列グループが適用されたイベント リスト

イベント リストでは、表示する別の列の選択、列の順序の変更、列幅の変更、リストをソートする列の選択などの調整を、作業しながら加えることができます。手動調整は、どのメタ キーが重要であるかがわかっていれば簡単ですが、現在のセッションにしか適用されません。

[レガシー イベント]ビューと[イベント]ビューでイベントを調べるときに、重要なメタ キーをすばやく確認できるようにするには、列グループを適用して、表示されるメタ キーのセットを変更します。列グループは、列として表示されるメタ キーまたはメタ エンティティ、イベント リスト内の列の位置、列のデフォルトの幅を定義します。列グループには少なくとも1つの列が必要です。列グループは、それ自体でも有益ですが、メタ グループおよびプレクエリと組み合わせてクエリ プロファイルを定義する場合はさらに役立ちます(「クエリ プロファイルを使用した調査の共通領域のカプセル化」を参照)。

同じ列グループが、[レガシー イベント]ビューと[イベント]ビューの間で共有されます。列グループをインポートする場合、インポートされるグループは、調査対象のサービスで使用可能なメタ キーに限定されます。[イベント]ビューで作成されたプライベート列グループは、[レガシー イベント]ビューまたは[ナビゲート]ビューのクエリ プロファイルで使用できません。

注: [ナビゲート]ビューと[レガシー イベント]ビューでは、インデックスなしのメタ キー(またはインデックスにまったく含まれていないキー)をメタ グループまたは列グループに手動で追加できます。インデックスなしのメタ キーは、[ナビゲート]ビューと[レガシー イベント]ビューでは完全に使用可能(管理および表示可能)ですが、[イベント]ビューでは部分的にのみ使用可能([イベントの絞り込み]パネルに表示可能)です。[イベント]ビュー([イベントの絞り込み]パネル)では、メタ グループにすでに含まれているインデックスなしのメタ キーのデータを表示できますが、メタ グループの編集中にインデックスなしのメタ キーを追加することはできません。列グループ内のインデックスなしのメタ キーは列にデータを表示せず、新しいインデックスなしのメタ キーを[イベント]ビューの列グループに追加することはできません。

各メタ キーの値がイベント リストにロードされるため、大規模な列グループは、データのロード時にパフォーマンスに影響する可能性があります。パフォーマンスへの影響を最小限に抑えるため、[イベント]ビューには列グループ内のメタ キーの数に対して固定された制限があります。列グループ内のメタ キーの最大数は40個です(デフォルトのメタ キーがいくつか含まれているため、画面に表示される数が40を超える場合があります)。選択した列グループにないメタ キーは、イベント リストにロードされません。デフォルトでは、グループ内のすべての列がロードされますが、表示されるのは15列のみです。

[レガシー イベント]ビューには、列グループ内のメタ キーの数の制限がなく、40個を超えるメタ キーを列グループに含めることができます。[レガシー イベント]ビューで作成された40個を超えるメタ キーを含む列グループを適用すると、すべての列が[イベント]ビューにロードされます。40個を超える列を持つグループをコピーする場合は、列グループの編集時に余分な列を削除する必要があります。

注: バージョン11.3では、列グループは[イベント]ビューで作成および管理され、[イベント分析]ビューで使用できます。標準提供とカスタムの両方の既存の列グループが、11.4の[イベント]ビューで使用可能です。11.4の[レガシー イベント]ビューでは、完全な列グループ管理機能を使用できます。11.4の[イベント]ビューでは、列グループの複製、インポート、エクスポート以外のすべての機能を使用できます。バージョン11.5の[イベント]ビューでは、複製もできますが、インポートとエクスポートはできません。

標準提供の列グループ

NetWitness Platformには、特定のタイプの調査に役立つメタ キーを含んだ標準提供の列グループがあります。標準提供のグループを編集または削除することはできませんが、グループのコピーを作成して、コピーを編集できます。[列グループ]メニューには、列グループがアルファベット順で表示され、インポートまたは作成したカスタム グループと標準提供のグループを区別できます。

[列グループ]メニュー バージョン11.5の[列グループ]メニュー

[レガシー イベント]ビューでは、標準提供の列グループの名前は「RSA」で始まります。[イベント]ビュー(バージョン11.4以降)では、名前が「RSA」で始まり、ロック記号(ロック アイコン)が表示されます。次の図は、[列グループ]メニューで選択されている標準提供の列グループの例です。行の最後に情報アイコンが表示されます。

標準提供の列グループの例

標準提供の列グループは次のとおりです。

  • RSA Email Analysis:メール関連のメタデータの調査に役立つメタ キーが含まれます。
  • RSA Endpoint Analysis:エンドポイント関連のメタデータの調査に役立つメタ キーが含まれます。
  • RSA Malware Analysis:潜在的なマルウェアの調査に役立つメタ キーが含まれます。
  • RSA HTTP:HTTP関連のメタデータの調査に役立つメタ キーが含まれます。
  • RSA SSL/TLS:SSL/TLS分析関連のメタデータの調査に役立つメタ キーが含まれます。
  • RSA Threat Analysis:データセット内の潜在的な脅威をマークするメタ キーが含まれます。
  • RSA User and Entity Behavior Analysis:UEBAデータの調査に役立つメタ キーが含まれます。
  • RSA Web Analysis:Webトラフィックの異常をマークするメタ キーが含まれます。
  • Summary List:一般的な調査に役立つメタ キーが含まれます。これは、デフォルトの列グループです。

カスタム列グループ

カスタム列グループを作成して、調査中に頻繁に使用するシナリオをサポートできます。管理者が、サービスのカスタム インデックス ファイルを編集して、カスタム メタ グループを手動で追加した場合、サービスの再起動後に新しいメタ グループが利用可能になります。

バージョン11.4では、カスタム列グループが組織内でグローバルに共有されます。共有のカスタム列グループを編集する場合、変更はグローバルに適用されます。共有のカスタム列グループを削除すると、そのグループは削除され、すべてのアナリストが使用できなくなります。バージョン11.5以降では、共有列グループを以前と同様に作成できます。また、プライベート列グループを作成することもできます。バージョン11.5では、グループを作成する時に、共有するかプライベート(デフォルト)にするか選択できます。共有グループをプライベートに変更したり、プライベート グループを共有に変更することはできません。

注: [イベント]ビューで作成されたプライベート列グループは、[レガシー イベント]ビューで表示または使用できません。

[列グループ]メニューでは、グループ タイプはアイコンで識別されます。以下は、行の最後に編集アイコンが表示された各カスタム列グループ タイプの例です。

[列グループ]メニューのプライベート グループ [列グループ]メニューに表示された共有列グループの例

列グループを管理するためのダイアログ

[レガシー イベント]ビューと[イベント]ビューの列グループの機能は似ていますが、ユーザ インタフェースと一部の手順が異なります。次の図は、([イベント]ビューの)[列グループの作成]ダイアログと([レガシー イベント]ビューの)[列グループの管理]ダイアログを示しています。バージョン11.5のダイアログには、共有オプションが含まれています。

[列グループの作成]ダイアログ バージョン11.5の[列グループの作成]ダイアログ


[列グループの管理]ダイアログ

[列グループの作成]ダイアログと[列グループの管理]ダイアログのオプションを使用して、次の操作を実行できます。

  • 列グループの詳細を表示します。
  • カスタム列グループを作成、編集、削除します。

[列グループの管理]ダイアログのオプションを使用すると、上記のすべての機能に加えて、次の機能を実行できます。

  • 標準提供またはカスタムの列グループを複製して、編集します。
  • 列グループをインポートおよびエクスポートします。

このトピックの残りの部分では、バージョン11.4以降の[イベント]ビュー、11.3以前の[イベント分析]ビュー、[レガシー イベント]ビューで列グループを操作する手順について説明します。

11.4以降の[イベント]ビューでの列と列グループの操作

バージョン11.4にアップグレードした後、既存のすべての列グループ(標準提供とカスタムの両方)が[イベント]ビューで管理できるようになります。特に記載のない限り、このセクションの手順は[イベント]ビューについて説明しています。

手動での表示する列の選択と列の順序と幅の調整

注: 列セレクターは、11.3の[イベント分析]ビューでも使用できました。管理者がブラックリスト(非表示)に登録しているメタ キーの列が列グループに含まれている場合、その列のデータは表示できません。この列は列セレクターで選択することができず、[イベント]パネルにも表示されません。

  1. [イベント]リストが開き、列グループが適用された状態で、設定アイコンをクリックして列セレクターを表示します。
    列セレクター フィルタリング リスト
  2. 列に追加したいメタ キーを選択するか、メタ キーの名前を入力します。 
  3. 列に表示しないメタ キーを選択解除します。
    選択した列を使用してデータが再表示されます。
  4. イベント リストの列の幅を変更するには、列のタイトルの上にカーソルを合わせて、列の境界線を右または左にドラッグします。
  5. イベント リストの列の配置を変更するには、列のタイトルの上にカーソルを合わせ、列を右または左にドラッグします。
    イベント リストで行った変更は、現在のセッション中は有効ですが、列グループの一部としては保存されません。列グループを次回適用したときには、元の構成と列の順序が適用されます。

[イベント]パネルでイベントをソートするための列の選択(バージョン11.4)

注: 接続されているサービスがすべて11.4以降に更新されている場合は、結果のロードが完了した後で、[イベント]パネルでイベントをソートできます。接続されたサービスで以前のバージョンのNetWitness Platformが実行されている場合、列によるソートは無効になります。バージョン11.4.1では、列見出しのソート トグルがわかりやすくなり、ソートなしで結果を表示する機能が追加されていますが、それ以外はバージョン11.4と同じです。

[イベント]パネルのイベント リストの順序は、イベント内のメタ キーの値によって変更できます。各列のタイトルはメタ キーを表し、表示されているイベントのメタ キーに値があれば、列に読み込まれます。バージョン11.4では、[イベント]パネルのイベントは、[イベント環境設定]ダイアログで選択した方法(昇順または降順)でソートされます。ソート方法が選択されていない場合、デフォルトの順序は昇順です(「[イベント]ビューの構成」を参照)。バージョン11.4.1では、[イベント]パネルのイベントがソートされるのは、[イベント環境設定]ダイアログでソート順が選択され、それが昇順または降順のいずれかである場合だけです。[イベント環境設定]でソート順を選択していない場合、または[ソートしない]を選択した場合、イベントはソートされません。

その列でソートできるかどうかは、BrokerおよびConcentratorのインデックス ファイルでのメタ キーの定義によって決まります。値でインデックスされたメタ キーの列はソート可能です。メタ キーがインデックスされていない場合、メタキーでインデックスされている場合、または同じイベント内に複数の値を持つ場合、そのメタ キーではソートできません。

  • 値でインデックスされた、ソート可能なキーの例としては、timeeth.typecity.src ip.srcipv6.dst ipv6.srcがあります。
  • メタ エンティティはソートできません。たとえば、メタ エンティティipv6.allでソートできないのは、ipv6.dst ipv6.srcが含まれ、1つのイベントにipv6.dst ipv6.srcの両方のメタ値が含まれるためです。
  • ソートできない複数値のメタ キーの例としては、 filenamefiletypeattachmentがあります。単一のイベントに複数のファイルが含まれる可能性があるため、filenamefiletypeattachmentの値が複数になる場合があります。
  • インデックスされていない、または値レベルでインデックスされていないためにソートできないメタ キーの例としては、passwordquerysizeがあります。

列によるソート(バージョン11.4.1以降)

環境設定でソート順が[ソートしない]に設定され、列によるソートが行われていない場合、[イベント]リストの初期ビューのタイトルには、イベント数が表示されるだけで、ソート順は表示されません。イベントのソート設定が昇順に設定されている場合、カウント ラベルは「最も古い1,000イベント」です。イベントのソート設定が降順に設定されている場合、カウント ラベルは「最も新しい1,000イベント」です。次の図では、昇順が有効になっており、2,001個を超えるイベントがクエリに一致し、最も古い2,001個のイベントのみが表示されています。黄色の三角形の警告をクリックすると、説明が表示されます。ソート設定の詳細については、「[イベント]ビューの構成」を参照してください。

ソート情報がハイライト表示されているイベント リストの例

列のタイトルの上にマウスを移動すると、ソート可能な列の列タイトルの後に1組の矢印が表示されます。上矢印は昇順を、下矢印は降順を表します(ソート可能な列インジケータ)。ソート列1つとソートの方向を選択できます。青色の上矢印(昇順が有効)は、昇順のソート順が有効になっていることを示します。つまり、最も古いイベントや最も低い数値、または「A」で始まるテキスト文字列が最初に表示されます。青色の下矢印(降順が有効)は、降順のソート順が有効になっていることを示します。つまり、最も新しいイベントや最も高い数値、または「Z」で始まるテキスト文字列が最初に表示されます。

  • 列に青色の矢印が表示されている場合は、白色の矢印をクリックしてソート順を変更できます。ソート順を変更すると、進捗状況を示す青色の進捗状況バーが[イベント]リストのタイトル バーに表示されます。ソートが始まると、タイトルバーの左端に青色の短いバーが表示されます。ソートが進むにつれて、青色のバーが右に延び、タイトルバーの右端で終了します。方向矢印は、選択したソート順でイベントが再ソートされるまで変わりません。
  • その列のソートを解除する場合は、青色の矢印をクリックします。両方の矢印が白に変わり、その列がソートされていないことを示します。次の図は、昇順でソートされた[Type]列を示しています。
    昇順でソートされた、ソート可能な列のタイトル
  • 列がソート可能でない場合、列のタイトルの上にマウスを合わせても矢印は表示されません。その代わりに、ソートできない理由を説明したツールチップが表示されます。

表示された結果の数が、管理者によって設定されたイベント数の上限よりも少ない場合、列のソートは、クエリを再実行することなくクライアント側で実行されます。結果の数がイベント数の上限を超過したために表示されない結果が存在する場合は、新しいソート順で、同じサービス、時間範囲、フィルタを使用して新しいクエリが送信されます。現在の結果が削除され、スピナーに進行状況が示されます。[キャンセル]ボタンが使用可能になり、再構築が終了し、進行状況がクエリ コンソールに表示されます。

注: 元のクエリの結果の数が表示するイベントの閾値よりも少ない場合、イベントの再ソートはブラウザで行われます。

ソート順またはソート列を変更するには、次の手順を実行します。

  1. 列のタイトルの上にマウスを移動すると、ソート可能な列を見つけることができます。
    列がソート可能でない場合は、その理由を説明するツールチップが表示されます。
  2. リストを列でソートするには、ソート可能な列にマウスを移動し、上下どちらかの矢印(昇順が有効)をクリックします。
    矢印が青色に変わり、選択した順序でイベントが再ロードされます。両方の矢印が白色の場合、その列はイベント リストのソートに使用されていません。一方の矢印が青色の場合は、その列がイベント リストのソートに使用されており、ソート順(昇順または降順)がタイトル バーのイベント数の横に表示されます。次の図は、昇順でソートされた列を示しています。降順の場合は、[(降順)]がイベント数の横に表示されます。
    昇順でソートされた列
    1. 白色の矢印をクリックすると、その順序でイベント リストがソートされます。
    2. 青色の矢印をクリックすると、ソートなしの状態に戻ります。

列によるソート(バージョン11.4)

列のタイトルの上にマウスを移動すると、ソート可能な列のタイトルの後に上矢印または下矢印(昇順ソート順インジケータまたは降順ソート順インジケータ)が表示されます。ソート列1つとソートの方向を選択できます。上矢印は、昇順のソート順が有効になっていることを示します。つまり、最も古いイベントや最も低い数値、または「A」で始まるテキスト文字列が最初に表示されます。下矢印は、降順のソート順が有効になっていることを示します。つまり、最も新しいイベントや最も高い数値、または「Z」で始まるテキスト文字列が最初に表示されます。ソート列を選択すると、その列によりデフォルトの降順でソートされ、メタ キーの値がNullのイベントが最初に表示されます。

  • イベント リストのソートに使用されている列には、ソート可能な方向を示す明るい白色の矢印が表示されます。昇順に変更する場合は、昇順ソート順インジケータをクリックし、降順に変更する場合は、降順ソート順インジケータをクリックします。昇順ソート順インジケータをクリックして昇順に変更すると、イベントが昇順で再ソートされるまで、方向矢印は変わりません。これと同じ動作は、降順ソート順インジケータをクリックして降順に変更した場合にも当てはまります。
  • ソート可能な列がイベント リストのソートに使用されていない場合、矢印はグレー表示になります。列がソート可能でない場合、列のタイトルの上にマウスを合わせても矢印は表示されません。その代わりに、ソートできない理由を説明したツールチップが表示されます。
  • 別の列の矢印をクリックすると、それまでアクティブであったソート列と同じソート順でソートされます。別のソート順を選択することもできます。

表示された結果の数が、管理者によって設定されたイベント数の上限よりも少ない場合、列のソートは、クエリを再実行することなくクライアント側で実行されます。結果の数がイベント数の上限を超過したために表示されない結果が存在する場合は、新しいソート順で、同じサービス、時間範囲、フィルタを使用して新しいクエリが送信されます。現在の結果が削除され、スピナーに進行状況が示されます。[キャンセル]ボタンが使用可能になり、再構築が終了し、進行状況がクエリ コンソールに表示されます。

注: 元のクエリの結果の数が表示するイベントの閾値よりも少ない場合、イベントの再ソートはブラウザで行われます。時間が完全に一致しているイベントがある場合、これらのイベントの順序は、ソート順を逆にしたときのようには変更されません。

ソート順またはソート列を変更するには、次の手順を実行します。

  1. 列のタイトルの上にマウスを移動すると、ソート可能な列を見つけることができます。
    列がソート可能でない場合は、その理由を説明するツールチップが表示されます。
  2. リストを列でソートするには、次の手順を実行します。
    1. ソート可能な列にマウスを移動し、矢印(昇順ソート順インジケータまたは降順ソート順インジケータ)をクリックします。
      イベントが正しいソート順でソートされます。列のタイトルの上にカーソルを合わせると、矢印の色がグレーでなくなったことを確認できます。イベント リストのソートに使用されている列には、明るい白色の矢印が表示され、これをクリックしてソートの方向を変更できます。
    2. ソート順を変更するには、昇順ソート順インジケータをクリックして昇順に変更するか、降順ソート順インジケータをクリックして降順に変更します。
      矢印の方向が変わり、選択した順序でイベントが再ロードされます。

列グループに含まれているメタ キーの表示

列グループの詳細を表示するには、次の手順を実行します。

  1. [調査]>[イベント]に移動し、クエリの送信ボタン(スパイグラス)をクリックしてイベントをロードします。
    デフォルト サービスとデフォルトの時間範囲のイベントが[イベント]パネルにロードされます。[Summary List]列グループまたは前回のセッションで使用していた列グループがリストに適用されます。
  2. [列グループ]メニューを表示するには、[列グループ]メニュー タイトルをクリックします。[列グループ]メニューのタイトルに、現在選択されている列グループのタイトルが表示されます。ログイン後に初めてアクセスした場合は、[Summary List]グループが選択されています。2回目以降のアクセスでは、ブラウザのキャッシュがクリアされない限り、前のセッションで選択された列グループが使用されます。 このメニューを開くと、標準提供の列グループ(RSA)、共有カスタム列グループ、およびプライベート カスタム列グループのリストが表示されます。表示オプション(バージョン11.5)とフィルタ フィールドを使用すると、特定の列グループを見つけやすくなります。左の図は、[Summary List]がデフォルトで選択され、リスト内の最初の列グループがハイライト表示されている、バージョン11.4の初期状態のメニューを示しています。右の図は、[Summary List]がデフォルトで選択され、プライベート、共有、RSAというすべての列グループ タイプが表示された、バージョン11.5の初期状態のメニューを示しています。
    [Summary List]が選択され、[RSA Email Analysis]がハイライト表示されている[列グループ]メニュー バージョン11.5の[列グループ]メニュー 
  3. (オプション)リストに表示される列グループのタイプを制御するには、表示オプションを任意に組み合わせて使用します(青 = 選択済み、黒 = 未選択)。
    プライベート = 自分だけが管理できるプライベート グループを表示
    共有 = 組織内の誰でも管理できる共有グループを表示
    RSA = RSAのみが管理できる標準提供グループを表示
    表示オプションは、[列グループの絞り込み]フィールドと連動します。表示オプションによって標準提供グループ(グループ名に「RSA」を含むグループ)が非表示になっている場合に、「RSA」を含んだ名前を検索すると、リストは空になります。次の図は、プライベートおよび共有の表示オプションを選択した状態を示しています。
    プライベートおよび共有グループのみにリストを制限する表示オプション
  4. グループに含まれている列を確認するには、[Summary List]グループの上にカーソルを合わせて情報アイコン(情報アイコン)をクリックします。
    次の図は、[Summary List]の列を示しています。Collection TimeとTypeの2つは常にイベント リストの先頭の2列に表示されますが、[列グループの詳細]ダイアログには表示されません。
    [列グループの詳細]ダイアログの例
  5. 次のいずれかの操作を実行します。
    1. ダイアログを閉じるには、[閉じる]をクリックします。
    2. 列グループを適用する場合は、[列グループの選択]をクリックします。
      ダイアログが閉じ、選択した列グループを反映するようにイベント リストが更新されます。

列グループの選択

  1. 11.4以降の[イベント]ビューで[イベント]パネルを開き、[列グループ]メニュー タイトルをクリックします。
    メニューがドロップダウンし、列グループのリストが表示されます。列グループの絞り込み オプションと、[新しい列グループ]オプションも表示されます。リストはアルファベット順にソートされ、メニュー ラベルには選択中の列グループ名が表示されます。リストの最初のオプションがハイライト表示されます。選択中の列グループの背景色は、ハイライト表示されている列グループとわずかに異なります。
    以下の図は、[RSA Email Analysis]が選択中で、[RSA Endpoint Analysis]をハイライト表示した状態のメニューを示しています。
    [列グループ]メニューの例 1つの列グループが選択され、1つの列グループがハイライト表示
  2. 次のいずれかを実行します。
    1. ハイライト表示されているグループを適用するには、ENTERキーを押します。
    2. (バージョン11.5以降)特定のタイプのグループのみを表示する場合は、表示オプション([プライベート]、[共有]、[RSA])を使用して、1つまたは2つのグループ タイプを非表示にします。
    3. 列グループ名を検索するには、[列グループの絞り込み]フィールドにテキストを入力します。入力に合わせてリストが絞り込まれ、入力した文字列を含む列グループ名のみが表示されます。
      適用するグループが表示されたら、グループをクリックするか、下矢印または上矢印を使ってグループをハイライト表示してENTERキーを押します。
      イベント リストが更新され、選択した列グループに含まれる列のみが表示され、選択した列グループ名がメニューのタイトルに表示されます。[イベント]ビューから移動しても、選択内容は保持されます。イベント リストでの列の順序は、列グループ内のメタ キーの順序を反映しています。列グループには、右にスクロールしないと表示されない追加の列が含まれている場合があります。表示を最適化するため、列グループを選択すると、デフォルトで最初の15列が表示されます。

    注: 選択したサービスでサポートされない列グループ内のメタ キーは、[イベントの絞り込み]パネルまたは[イベント]パネルには表示されません。

カスタムの列グループの作成

  1. [調査]>[イベント]に移動して、クエリを送信し、[イベント]パネルにデータをロードします。
  2. [イベント]パネルのツールバーで、[列グループ]メニュー タイトルをクリックします。
    メニューがドロップダウンし、列グループのリストが表示されます。表示オプション(バージョン11.5)と[列グループの絞り込み]フィールドが一番上に、[+ 新しい列グループ]オプションが一番下に表示されます。
    [Summary List]が選択され、[RSA Email Analysis]がハイライト表示されている[列グループ]メニュー バージョン11.5の[列グループ]メニュー
  3. + 新しい列グループ]を選択します。
    [列グループの作成]ダイアログが表示されます。バージョン11.5には、共有オプションが含まれています。
    初めて開いたときの[列グループの作成]ダイアログ バージョン11.5の[列グループの作成]ダイアログ
  4. グループ名]フィールドに、新しい列グループの一意の名前(最大256文字)を入力します(たとえば「Custom Column Group A」)。
  5. (バージョン11.5以降)新しい列グループを組織内で共有する場合は、[組織内で共有]オプションを設定します。
    新しいカスタム列グループでの共有の有効化
  6. 列グループにメタ キーを追加するには、次のように各メタ キーを選択して追加します。
    1. メタ キーの絞り込み]フィールドにテキスト文字列を入力すると、そのテキストを含んでいるメタ キーが[選択可能なメタ キー]リストに表示されます。
      [列グループの作成]ダイアログでのメタ キーのフィルタリング
    2. 追加したいメタ キーが表示されたら、メタ キー名の前にある追加アイコン(丸付きプラス アイコン)をクリックします。
      [表示するメタ キー]リストの最後尾にメタ キーが追加されます(このリストも、入力したテキストで絞り込み表示されます)。列グループに追加できるメタ キーの最大数は40個です。[表示するメタ キー]リストに含まれるメタ キーがすでに40個に達しているときに別のメタ キーを追加しようとすると、グループのメタ キーが最大数に達していることを示すメッセージが表示されます。
      [列グループの作成]ダイアログで選択したメタ キー
  7. (オプション)列グループ内のメタ キーを検索して削除するには、[メタ キーの絞り込み]フィールドにテキスト文字列を入力し、そのテキストを含んでいるメタ キーを[表示するメタ キー]リストから検索します。削除したい列が表示されたら、[表示するメタ キー]リストでメタ キー名の前にある削除アイコン(削除アイコン)をクリックします。
    メタ キーが[選択可能なメタ キー]リストに戻ります。
  8. (オプション)[表示するメタ キー]リストでメタ キーの表示順を変更するには、リストの順序アイコン(リストの順序アイコン)の上にカーソルを置きます。カーソルがドラッグ アンド ドロップ アイコン(ドラッグ アンド ドロップ アイコン)に変わったら、リスト内でメタ キーを上下にドラッグします。
  9. 次のいずれかを実行します。
    1. カスタム列グループを作成せずにダイアログを閉じるには、[キャンセル]をクリックします。
    2. グループを作成するには、[列グループを保存]をクリックします。
      新しい列グループが保存され、すべてのアナリストが使用できるようになります。ボタンが[閉じる]と[列グループを選択]に変わります。
  10. 次のいずれかを実行します。
    1. ダイアログを閉じるには、[閉じる]をクリックします。
    2. ダイアログを閉じて新しい列グループを選択するには、[列グループを選択]をクリックします。
      新しいグループが[列グループ]メニューに(アルファベット順で)追加され、[イベント]リストが更新されて、新しい列グループの列が表示されます。

カスタム列グループの削除

現在イベント リストに適用されておらず、クエリ プロファイルの一部ではないカスタム列グループは削除できます。標準提供の列グループは読み取り専用であり、削除することはできません。バージョン11.5以降では、確認メッセージが表示され、削除を確認またはキャンセルできます。カスタム列グループを削除すると、その列は[列グループ]メニューに表示されなくなります。

注意: カスタム列グループ(バージョン11.4)または共有列グループ(バージョン11.5)の削除の影響はグローバルであり、すべてのアナリストがそのグループを使用できなくなります。

カスタムの列グループを削除するには、次の手順を実行します。

  1. [調査]>[イベント]に移動し、クエリの送信ボタン(スパイグラス)をクリックしてイベントをロードします。
    デフォルト サービスとデフォルトの時間範囲のイベントが[イベント]パネルにロードされます。[Summary List]列グループまたは前回のセッションで使用していた列グループがリストに適用されます。次の図は、[Summary List]列グループが選択されている初期状態のビューを示しています。[列グループ]メニューのラベルに、選択した列グループの名前が表示されます。
    [Summary List]列グループが選択されている[列グループ]メニューの例 バージョン11.5の[列グループ]メニュー
  2. 列グループを削除するには、次の図に示すようにカスタム列グループをハイライト表示し、名前の右側の編集アイコン(編集アイコン)をクリックします。
    左側にカスタム記号のあるカスタム列グループ
  3. [列グループの詳細]ダイアログが開き、選択したグループの情報が表示されます。
    カスタム列グループの[列グループの詳細]ダイアログ
  4. グループの削除アイコン(CG削除アイコン)をクリックします。
    列グループが現在有効になっている場合は、次のメッセージが表示されます。This column group cannot be deleted because it is currently active.
    バージョン11.5では、確認メッセージが表示され、削除を確認するかキャンセルすることができます。[キャンセル]または[列グループの削除]をクリックします。
    バージョン11.4では、列グループが有効になっておらず、標準提供の列グループでない場合、列が削除される前に確認は求められません。
    グループが削除され、[列グループ]メニューに表示されなくなります。削除した列グループは、調査を行うアナリストには表示されなくなります。

カスタム列グループの編集

編集用に開かれていない列グループの共有コピーまたはプライベート コピーを作成できます。コピーを作成したら、通常の方法で新しいグループを編集できます。

  1. [調査]>[イベント]に移動して、クエリを送信し、[イベント]パネルにデータをロードします。
  2. [イベント]パネルのツールバーで、[列グループ]メニュー タイトルをクリックします。
    メニューがドロップダウンし、列グループのリストが表示されます。
    バージョン11.5の[列グループ]メニュー
  3. 編集する列グループをハイライト表示します。次の図は、ハイライト表示されたカスタム列グループと、その右側に表示された編集アイコンを示しています。
    メニューでのカスタム列グループのエントリー
  4. 編集アイコン(編集アイコン)をクリックします。
    [列グループの詳細]ダイアログが表示され、グループ名と表示するメタ キーを編集できるようになります。メタ キーの追加または削除に加え、リスト内のメタ キーの順序の変更が可能です。
    列グループが編集用に開かれている[列グループの詳細]
  5. (オプション)[グループ名]フィールドで、列グループの名前を編集します。
  6. (オプション)列グループにメタ キーを追加するには、次のように各メタ キーを選択して追加します。

    1. メタ キーの絞り込み]フィールドにテキスト文字列を入力すると、そのテキストを含んでいるメタ キーが[選択可能なメタ キー]リストに表示されます。または、リストをスクロールしてメタ キーを見つけます。
    2. 追加したいメタ キーが表示されたら、メタ キー名の前にある追加アイコン(丸付きプラス アイコン)をクリックします。
      [表示するメタ キー]リストの最後尾にメタ キーが追加されます(このリストも、入力したテキストで絞り込み表示されます)。次の図は、グループ名が[Column Group A]に変更され、access.pointが[表示するメタ キー]リストに追加された状態を示しています。
      列グループ名の変更とaccessメタ キーの追加
  7. (オプション)列グループ内のメタ キーを検索して削除するには、[メタ キーの絞り込み]フィールドにテキスト文字列を入力し、そのテキストを含んでいるメタ キーを[表示するメタ キー]リストから検索します。もしくは、単にリストをスクロールします。削除したい列が表示されたら、[表示するメタ キー]リストでメタ キー名の前にある削除アイコン(削除アイコン)をクリックします。
    メタ キーが[選択可能なメタ キー]リストに戻ります。
  8. (オプション)[表示するメタ キー]リストでメタ キーの表示順を変更するには、リストの順序アイコン(リストの順序アイコン)の上にカーソルを置きます。カーソルがドラッグ アンド ドロップ アイコン(ドラッグ アンド ドロップ アイコン)に変わったら、リスト内でメタ キーを上下にドラッグします。
  9. 次のいずれかを実行します。
    1. カスタムの列グループに対する変更を保存せずにダイアログを閉じるには、[リセット]をクリックします。
    2. 列グループの編集内容を保存するには、[列グループを更新]をクリックします。
      更新された列グループがすべてのアナリストに対してグローバルに保存され、ボタンが[閉じる]と[列グループを選択]に変わります。
  10. 次のいずれかを実行します。
    1. ダイアログを閉じるには、[閉じる]をクリックします。
    2. ダイアログを閉じて更新された列グループを選択するには、[列グループを選択]をクリックします。
      列グループが更新され、[イベント]リストが更新されて新しい列グループの列が表示されます。

列グループのコピーの作成(バージョン11.5以降)

未保存の編集が進行中でない限り、標準提供またはカスタム、共有またはプライベートのいずれかにかかわらず、任意の列グループをコピーできます。この機能は、標準提供グループのカスタマイズされたバージョンが必要な場合に便利です。また、カスタム グループをプライベートから共有に、または共有からプライベートに変更することはできないため、コピーを作成することで、別の共有設定を選択できるようになります。列グループをコピーすると、同じ名前が使用され、番号が付記されます。たとえば、RSA Outbound HTTPをコピーすると、最初のコピーの名前はRSA Outbound HTTP-1になり、同じグループの2番目のコピーの名前はRSA Outbound HTTP-2になります。コピーを作成した後は、新しいグループを編集して新しい名前を指定し、グループ内のメタ キーを管理することができます。

注: [レガシー イベント]ビューで作成された一部の列グループには、[イベント]ビューの列グループの制限を上回る、40個を超える列が含まれている場合があります。40個を超える列を持つグループをコピーする場合は、列グループの編集時に余分な列を削除する必要があります。

列グループをコピーするには、次のようにします。

  1. [調査]>[イベント]に移動して、クエリを送信し、[イベント]パネルにデータをロードします。
  2. [イベント]パネルのツールバーで、[列グループ]メニュー タイトルをクリックします。
    メニューがドロップダウンし、列グループのリストが表示されます。[列グループの絞り込み]フィールドが一番上に、[+ 新しい列グループ]オプションが一番下に表示されます。リストの最初のグループがハイライト表示され、選択中のグループの背景は薄い青色になります。
  3. コピーする列グループをハイライト表示します。この図は、RSA Outbound HTTPがハイライト表示されていることを示しています。情報アイコン(情報アイコン)が右側に表示されます。左側はバージョン11.4のメニュー、右側はバージョン11.5のメニューです。
    標準提供の列グループが選択済み [列グループ]メニュー
  4. 次のいずれかを実行します。
    1. 情報アイコン(情報アイコン)をクリックします。
    2. 編集アイコン(編集アイコン)をクリックします。
      [列グループの詳細]ダイアログが表示されます。この図は、標準提供グループのダイアログを示しています。
      標準提供の列グループの[列グループの詳細]ダイアログ
  5. コピー アイコン(コピー アイコン)をクリックします。
    [列グループのコピー]ダイアログが開き、列グループ名に-nが付記されて表示されます。次の図の名前には、この列グループの2番目のコピーであることを示す-2が付いています。
    [列グループのコピー]ダイアログ
  6. (オプション)[グループ名]フィールドで、列グループの名前を編集します。
  7. 新しい列グループを組織内で共有する場合は、[組織内で共有]オプションを設定します。デフォルトで、新しいグループはプライベートです。
  8. 次のいずれかを実行します。
    1. グループをコピーせずにダイアログを閉じるには、[キャンセル]をクリックします。
    2. 列グループのコピーを保存するには、[列グループの保存]をクリックします。
      列グループのコピーが保存され、ボタンが[完了]と[列グループの選択]に変更されます。
  9. 次のいずれかを実行します。
    1. ダイアログを閉じるには、[閉じる]をクリックします。
    2. ダイアログを閉じて列グループのコピーを選択するには、[列グループを選択]をクリックします。
      列グループがコピーされ、[イベント]リストが更新されて列グループのコピーの列が表示されます。次の図は、RSA Outbound HTTP列グループの2つのコピーを示しています。1つは共有で、もう1つはプライベートです。
      RSA Outbound HTTPの2つのコピーが表示された[列グループ]メニュー

列グループと列の選択(11.3以前の[イベント分析]ビュー)

11.3以前の[イベント分析]ビューでは、[イベント]リストに適用する列グループを選択できます。標準提供の列グループと[レガシー イベント]ビューで作成されたカスタムの列グループがあります。

列グループを選択するには、次の手順を実行します。

[列グループ]メニューで、次のいずれかを実行します。

  1. 列グループを選択します(たとえば[Summary List])。
  2. 列グループのリストを絞り込むには、列グループ名を入力します。1文字を入力すると、その文字を含む列グループのリストが表示されます。入力を続けると、入力に合わせてリストが絞り込まれていきます。目的の列グループが表示されたら、それをクリックして選択します。フィルタのテキストをクリアするには、[X]をクリックするか、入力したテキストを削除します。
    選択した列グループに含まれる列のデータが[イベント]パネルに表示されます。

表示する列を選択するには、次の手順を実行します。

  1. [イベント]リストが開き、列グループが選択された状態で、設定アイコンをクリックして列セレクターを表示します。
    列セレクター フィルタリング リスト
  2. 列に追加したいメタ キーを選択するか、メタ キーの名前を入力します。 
  3. 列に表示したくないメタ キーがある場合は、メタ キーの選択を解除します。
    選択した列を使用してデータが再表示されます。

[レガシー イベント]ビューでの列グループの操作

このセクションでは、11.4の[レガシー イベント]ビュー(および11.3の[イベント]ビュー)の操作手順について説明します。ハードコードされた列を含む3種類のイベント リストが組み込まれており、それぞれ詳細ビュー、リスト ビュー、ログ ビューと呼ばれます。列の削除、列の順序の変更、幅の変更を行うことができます。標準提供またはカスタムの列グループも使用できます。これにより、列をより柔軟に選択できるようになります。

列グループは、調査の中で、グローバルに共有され、サービスごとに定義されます。カスタムの列グループに対して行った変更はすべてグローバルに適用され、サービスを使用しているすべてのアナリストに影響します。列グループを削除すると、サービスを調査するすべてのアナリストがその列グループを使用できなくなります。

列グループの選択

注: 調査のプロファイルに、カスタム列グループを含めることができます。カスタム列グループがプロファイルで使用されていて、カスタム列グループを使用して[レガシー イベント]ビューでイベントを表示している場合は、ビューのタイプ(詳細、リスト、ログ)を変更できません。 

列グループを選択するには、次の手順を実行します。

  1. [レガシー イベント]ビューを開き、[ビュー]ドロップダウン メニューから[カスタム列グループ]を選択します。メニュー ラベルには、選択中のオプション(詳細ビュー、リスト ビュー、ログ ビュー、現在選択されている列グループ)が表示されます。
    [カスタム列グループ]メニュー
  2. サブメニューから列グループのいずれかを選択します。
    レガシー イベントビューが更新され、カスタムの列グループが反映されます。

[レガシー イベント]ビューでのカスタム列グループの作成

  1. [調査]>[レガシー イベント]に移動します。
  2. ビュー]ドロップダウン メニューから[列グループの管理]を選択します。[ビュー]ドロップダウン メニューのラベルには、現在選択中のオプション(詳細ビュー、リスト ビュー、ログ ビュー、現在選択されている列グループ名など)が表示されます。
    [列グループの管理]ダイアログが表示されます。
    [列グループの管理]ダイアログ
  3. 列グループ パネルに新しい列グループを追加するには、[追加]アイコンをクリックし、表示されたフィールドに新しいグループの名前を入力します。
    列定義パネルが右側に表示され、グループ名が入力されます。グループ名を編集することもできます。
  4. グループに列を追加するには、[追加]アイコンをクリックします。追加された空の[メタ キー]フィールドをクリックし、[メタ キー]ドロップダウン リストを表示します。リストからメタ キー フィールドを選択します。この手順を、列セットが完成するまで繰り返します。
    新しい列とメタ キー ドロップダウン リストが表示された[列グループの管理]ダイアログ
  5. (オプション)列グループからメタ キーを削除するには、[削除]アイコンをクリックします。
  6. (オプション)[イベント]リストに表示される列の順序を変更するには、メタ キーをドラッグして適切な位置に移動します。
  7. (オプション)列のデフォルトの幅を設定するには、[]列にある目的の値をクリックして、新しい列の幅を入力します。
    メタ キーが定義された[列グループの管理]ダイアログ
  8. (オプション)列グループを以前の設定に復元し、これまでに加えた変更をすべて取り消すには、[キャンセル]をクリックします。
  9. 保存する準備ができたら、次のいずれかを実行します。
    1. 編集した列グループを保存し、その列グループの設定を使って[レガシー イベント]ビューを更新するには、[保存して適用]をクリックします。
    2. [レガシー イベント]ビューを更新せずに、編集した列グループを保存するには、[保存]をクリックします。

列グループの削除([レガシー イベント]ビュー)

  1. [調査]>[レガシー イベント]に移動します。
  2. ビュー]ドロップダウン メニューから[列グループの管理]を選択します。[ビュー]ドロップダウン メニューのラベルには、現在選択中のオプション(詳細ビュー、リスト ビュー、ログ ビュー、現在選択されている列グループ名など)が表示されます。
    [列グループの管理]ダイアログが表示されます。
    [列グループの管理]ダイアログ
  3. 列グループ パネルでカスタム列グループを削除するには、1つまたは複数のカスタム列グループを選択し、ツールバーの[削除]アイコンをクリックします。
    確認を求めるメッセージが表示されます。
  4. 次のいずれかを実行します。
    1. 列グループを削除して[レガシー イベント]ビューを更新するには、[はい]をクリックします。
    2. 列グループを削除しない場合は、[いいえ]をクリックします。
      選択した列グループが削除され、どこにも表示されなくなります。

列グループの編集([イベント]ビュー)

  1. [調査]>[レガシー イベント]に移動します。
  2. ビュー]ドロップダウン メニューから[列グループの管理]を選択します。[ビュー]ドロップダウン メニューのラベルには、現在選択中のオプション(詳細ビュー、リスト ビュー、ログ ビュー、現在選択されている列グループ名など)が表示されます。
    [列グループの管理]ダイアログが表示されます。
    [列グループの管理]ダイアログ
  3. 次のいずれかを実行します。
    1. 列グループ パネルでカスタム列グループを編集するには、名前の前にあるチェックボックスを選択します。
      列定義パネルが右側に表示されます。
    2. 標準提供の列グループまたはカスタムの列グループを複製してから編集するには、名前の前にあるチェックボックスを選択して、複製アイコン(複製アイコン)をクリックします。
      列定義パネルが右側に表示されます。
  4. (オプション)グループの複製を編集している場合は、グループの新しい名前を入力します。
  5. グループに列を追加するには、[追加]アイコンをクリックします。追加された空の[メタ キー]フィールドをクリックし、[メタ キー]ドロップダウン リストを表示します。リストからメタ キー フィールドを選択します。この手順を、列セットが完成するまで繰り返します。
    新しい列とメタ キー ドロップダウン リストが表示された[列グループの管理]ダイアログ
  6. (オプション)列グループからメタ キーを削除するには、[削除]アイコンをクリックします。
  7. (オプション)[イベント]リストに表示される列の順序を変更するには、メタ キーをドラッグして適切な位置に移動します。
  8. (オプション)列のデフォルトの幅を設定するには、[]列にある目的の値をクリックして、新しい列の幅を入力します。
    メタ キーが定義された[列グループの管理]ダイアログ
  9. (オプション)列グループを以前の設定に復元し、これまでに加えた変更をすべて取り消すには、[キャンセル]をクリックします。
  10. 保存する準備ができたら、次のいずれかを実行します。
    1. 編集した列グループを保存し、その列グループの設定を使って[レガシー イベント]ビューを更新するには、[保存して適用]をクリックします。
    2. [レガシー イベント]ビューを更新せずに、編集した列グループを保存するには、[保存]をクリックします。

列グループのインポートとエクスポート([レガシー イベント]ビュー)

カスタムの列グループをエクスポートして他のチーム メンバーと共有できます。エクスポートしたファイルのコピーを他のアナリストに提供すれば、そのアナリストは列グループをインポートできます。

列グループをエクスポートするには、次の手順を実行します。

  1. [調査]>[レガシー イベント]に移動します。
  2. ビュー]ドロップダウン メニューから[列グループの管理]を選択します。[ビュー]ドロップダウン メニューのラベルには、現在選択中のオプション(詳細ビュー、リスト ビュー、ログ ビュー、現在選択されている列グループ名など)が表示されます。これらのビューはそれぞれ異なる形式のイベント リストであり、各列が1つのメタ キーを表します。
    [列グループの管理]ダイアログが表示されます。
    [列グループの管理]ダイアログ
  3. 列グループをエクスポートするには、名前の前にあるチェックボックスを選択して、[エクスポート]オプション(エクスポート ボタン)をクリックします。
    列グループが.jsnファイル(たとえばCustomColumnGroupsExport.jsn)としてローカルのファイル システムにエクスポートされます。別のグループをエクスポートする場合は、その次のファイルには、重複を避けるためCustomColumnGroupsExport-2.jsnという名前が付けられます。
  4. ローカル ファイル システムに保存した列グループをインポートするには、[インポート]オプション(インポート ボタン)をクリックします。
    [列グループのインポート]ダイアログが表示されます。
  5. ローカル ドライブを参照して列グループ(jsnファイル)を見つけて、[アップロード]をクリックします。
    列グループがリストに追加されます。同名の既存の列グループが存在する場合は、メッセージが表示され、列グループはインポートされません。

 

You are here
Table of Contents > 結果セットの絞り込み > イベント リストでの列と列グループの使用

Attachments

    Outcomes