調査:テキスト パターンの検索

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

[ナビゲート]ビューと[イベント]ビューの両方で、現在のイベント セット内のテキスト パターンを検索できます。キーワード テキスト検索または、regex(正規表現)による検索が可能です。[ナビゲート]ビューでは、HTTPなどのメタ値をクリックしてデータをドリル ダウンし、[検索]フィールドに検索文字列を入力して、データ サブセット内のイベントを検索できます。検索すると[イベント]ビューにタブが開き、指定した絞り込み条件と時間範囲が表示され、検索結果が表示されます。また、検索を開始する前にクエリを使用してデータをドリル ダウンできます。検索を実行するには、[検索]ボックスに検索文字列を入力して、Enterキーを押すか[検索]をクリックします。

キーワード テキスト検索

キーワード テキスト検索の機能は次のとおりです。

  • スペースで区切られた単語はAND検索となり、すべての単語が検出されて初めて一致と見なされます。ただし、単語間の位置や順序は考慮されません。たとえば、Mark Albertを検索条件とした場合、セッションにMarkとAlbertの両方が存在している必要があります。ただし、1つのまとまりで出現している必要はなく、順序も問われません。
  • 「OR」という単語は特殊な意味を持ちます。Mark OR Albertを検索した場合、MarkとAlbertのどちらか一方がセッションに見つかれば一致と見なされます。両方が存在する必要はありません。
  • 1つの検索条件に、暗黙的なANDとORを組み合わせて使用することもできます。明示的に指定されたORは、暗黙的(スペースによる)ANDよりも優先されます。次の2つの例は、論理的には同じ意味を持ちます。つまり、「cheese」と「dumplings」の両方が存在し、「toast」か「bread」のどちらかが存在している必要があります。
    cheese toast OR bread dumplings
    cheese AND (toast OR bread) AND dumplings
  • 検索結果から除外したい単語は、-演算子で指定できます。たとえば、cheese -toastを検索した場合、cheeseという単語を含んだ結果のうち、toastを含んでいない結果がすべて返されます。
  • テキスト キーワード検索では、次のパターンの照合に対応しています。
    • IPv4およびIPv6アドレス。IPアドレスとして認識できる単語は、インデックス付けされたメタデータを検索できるように、ネイティブ メタデータ形式に変換されます。
    • IPv4 CIDR範囲。CIDR表記を使用して範囲内のIPv4アドレスを検索できます。
    • タイムスタンプ。タイムスタンプは、ネイティブのtimeメタ、およびTimeタイプのその他のtimeメタ フィールドと照合されます。
    • 数字。検索条件に指定された10進数は自動的に認識され、数値メタ フィールドと照合されます。

検索の動作を制御するオプション

[ナビゲート]ビューまたは[イベント]ビューで検索ボックスと検索オプションにアクセスするには、次の手順を実行します。

  1. ツールバーに、[イベントの検索]フィールドが表示されます。
    This is the Search Events field
    トラブルシューティング:ツールバーに[イベントの検索]フィールドが表示されない場合は、ツールバーの右端のThe Expand iconをクリックします。
  2. [検索]フィールドをクリックすると、[検索オプション]ドロップダウン メニューが表示されます。
    This is the Search Options drop-down menu

このボックスで選択したオプションで、検索の実行方法を変更します。デフォルトの検索モードでは、検索インデックスを使用し、メタデータおよびRawデータに対して、テキスト キーワード検索を実行します。

注:[検索インデックス]チェックボックスがデフォルトで選択されているため、インデックス付けされたデータに基づいて検索結果が返されます。メタデータまたはrawデータの完全なセットを検索する場合は、そのチェックボックスを選択して、[検索インデックス]チェックボックスをオフにします。検索には時間がかかりますが、より完全なデータのセットが含まれます。

次の表で、Investigationの検索オプションについて説明しています。

                                 
機能 説明
検索インデックスメタ データまたはRawデータをスキャンする前に、最初にインデックスを検索します。インデックス検索は、大量のデータ セットから最も迅速にキーワードを見つける方法です。インデックス検索は、データ コレクションにある関連するすべてのインデックスを利用します。

注意:
-インデックス検索では、インデックスされたデータの結果のみが返されます。
-サブストリング一致は、インデックス検索では検出されません。サブストリング一致を検出したい場合は、このチェック ボックスをオフにして、非インデックス検索モードを使用します。

メタメタデータを検索します。キーワードや正規表現パターンは、パース済みメタ データと照合されます。

RAW(ネットワーク/ログ/エンドポイント)

ログまたはイベント テキストを検索します。すべてのイベントがデコードされ、キーワードや正規表現パターンに一致するコンテンツが検索されます。
フィルタを指定せずにArchiver上のすべてのデータを検索対象にした場合、実行時間が極端に長くなり、警告が表示される場合があります。

注意:ネットワークのRAWデータを検索すると、セッションがデコードされるため、非常に時間がかかります。ネットワーク データのみのコレクションを検索する場合は、RAWオプションを無効にしてもかまいません。

大文字と小文字を区別しない大文字と小文字を区別せずに検索します。
正規表現検索で、テキストではなくPerlの正規表現が使用されます。デフォルトでは、テキスト検索が実行されます。正規表現検索を実行するには、[正規表現]オプションを選択する必要があります。

注意:
-正規表現検索は、非常に低速になる可能性があります。
-正規表現とインデックス検索オプションを組み合わせると、メタ値ではなく固有のインデックス値に対して正規表現パターンが照合されます。これにより、結果の生成は早くなりますが、すべてのメタ データまたはRawデータを完全に検索した結果ではありません。

適用[ナビゲート]ビューと[イベント]ビューでの検索に適用するデフォルトの検索オプションを設定します。これにより、プロファイルのInvestigation設定([プロファイル]>[環境設定]>[Investigation]タブ)も更新されます。設定が保存され、すぐに反映されます。
デフォルトの検索設定を変更せずに、個別の検索に使用する検索オプションを選択できます。

正規表現検索の構文

正規表現検索には、Perlの正規表現の構文(http://perldoc.perl.org/perlre.htmlを参照)が使用されます。

Rawテキスト キーワード検索

Log Decoderには、パースされていないログ イベントのRawテキスト インデックスを作成する機能があります。この機能は、ConcentratorやArchiverなどのダウンストリーム サービス上にフル テキスト インデックスを形成する、メタデータ アイテムを作成します。検索オプションで[検索インデックス]を選択すると、自動的にこのテキスト インデックスを使用して検索が実行されます。テキスト インデックスのメタは、粒度が粗い点に注意してください。たとえば、デフォルトのテキスト インデックスの構成では、テキストの切り捨てが行われます。インデックスでの一致をRawデータと比較することにより、検索エンジンは正確な検索結果を得ることができます。ただし、検索オプションのRawチェックボックスをオフにすると、検索時間が短縮する可能性があります。この場合、結果は迅速に表示されますが、検索結果に誤検出が含まれる可能性があります。

検索の例

[ナビゲート]ビューと[イベント]ビューからの検索の例を以下に示します。

[ナビゲート]ビューでの検索

[ナビゲート]ビューに表示されているデータを検索するには、次の手順を実行します。

  1. データをドリルダウンするには、[ナビゲート]パネルでHTTPなどのメタ値をクリックします。
    This is the HTTPS context menu
  2. [検索]フィールドに検索文字列を入力し、Enterキーを押すか、[検索]をクリックします。
  3. 検索ボックスをクリアして通常の[イベント]ビューに戻るには、検索ボックスの[X]をクリックします。

[イベント]ビューでの検索

[イベント]ビューに表示されているデータを検索するには、次の手順を実行します。

  1. [イベントの検索]ボックスに検索文字列を入力し、Enterキーを押すか、[検索]をクリックします。
    検索結果が[イベント]ビューに表示されます。検索条件に一致するイベントが、[イベント]ビューのグリッドに表示されます。詳細ビューとリスト ビューでは、一致した文字列が[詳細]列でハイライト表示されます。加えて、RAWを検索対象とした場合、一致した文字列が、ログ ビューの[ログ]列でハイライト表示されます。
  2. 検索範囲を絞り込む場合は、クエリと時間を変更します。
  3. 検索を中止して[イベント]ビューに戻る場合は、[キャンセル]をクリックします。
    表示されている結果はそのままとなります。
  4. 検索ボックスをクリアして通常の[イベント]ビューに戻るには、検索ボックスの[X]をクリックします。
You are here
Table of Contents > [ナビゲート]ビューおよび[イベント]ビューでのクエリとデータの処理 > テキスト パターンの検索

Attachments

    Outcomes