[ナビゲート]ビューで調査を実施する場合は、メタ キーの値を[ナビゲート]ビューにロードする時に、いくつかの方法で表示する結果を絞り込むことができます。アナリストが使用できる基本的なフィルタリング方法を以下に示します。
- 時間範囲の設定
- メタ キー結果の集計方法とソート順の設定
- Investigationでのデフォルト メタ キーの管理と適用
- [ナビゲート]ビューのタイム チャートでのデータのドリル ダウン
- [値]パネルでのデータのドリルダウン
このトピックの後半では、基本的なデータのフィルタリング方法を中心に説明します。加えて、より高度な方法では、メタ グループ、プロファイル、平行座標ビジュアル化の構成ができます。
より高度な方法ごとにトピックが分かれています。
時間範囲の設定
[ナビゲート]ビューで調査を実施する際、返される結果を制限するには、時間範囲のオプション設定を使用します。次のオプションを選択できます。
- 収集データの時間範囲。最後に収集されたデータの時刻を基準にして、一定の時間範囲を選択します。
- カレンダーの日付を基準にした時間範囲。
- カスタムの時間範囲。
- すべてのデータ。
時間範囲を選択すると、選択した時間範囲(タイプ)が[ナビゲート]ビューのツールバーに[時間範囲]のラベルとして表示されます。デフォルトでは、このラベルは[直近3時間]になっています。値パネル上部の[時間範囲]の表示には、メタデータに使用されている時間範囲の最初と最後のタイムスタンプも表示されます。
注: 時間範囲の設定で使用する日付と時刻は、「RSA NetWitness Suiteスタート ガイド」の「ユーザ環境設定の設定」で説明されているように、[プロファイル]の[環境設定]パネルに構成されている[タイム ゾーン]をベースとしています。
組み込み型の時間範囲を選択するには、次の手順に従います。
- [ナビゲーション]ツールバーの[時間範囲]オプションをクリックします。デフォルトの時間範囲は[直近3時間]ですが、すでに選択リストから別の値([すべてのデータ]、[直近1時間]など)が選択され、オプション パネルのラベルとして表示されている場合があります。
時間範囲の選択リストが表示されます。
- 次のいずれかを実行します。
- すべてのデータを表示する場合は、[すべてのデータ]を選択します。
- 収集の時間範囲を分、時間、日単位で設定する場合は、[直近10分]、[直近3時間]、[直近5日]のような値を選択します。
- 現在からの相対的な時間範囲を設定する場合は、[昨日]、[今週](バージョン11.1)、[先週](バージョン11.1)、[終日]、または[早朝]、[午前]、[午後]、[夕方]のような1日の一部を選択します。
- 時間範囲を設定する場合
- 固有の日付範囲を設定する場合は、[時間範囲]メニューの[カスタム]を選択し、以下の手順を実行します。
選択した時間範囲が、[値]パネルの現在の結果に適用されます。
カスタム時間範囲を指定するには、次の手順に従います。
- [時間範囲]メニューで[カスタム]を選択します。
日付の選択オプションはツールバーに表示されます。
- [開始日]および[終了日]フィールドで、次の手順を実行して日付と時間を指定します。
- カレンダーから日付をクリックします。
- (オプション)[時]、[分]、[秒]フィールドを選択するか、[現在]をクリックします。時間の選択は、デフォルトで現在の時刻になっています。
注:カスタムの開始時刻と終了時刻を秒単位で指定しても、開始時刻の秒は常に:00に、終了時刻の秒は常に:59に変更されます。たとえば、時間を使用して問題にドリルダウンする場合、ドリル時間は「HH:MM:00~HH:MM:59」と解釈されます。[調査]>[ナビゲート]機能では、この形式で秒が表示されます。
- 範囲を適用するには、[表示]をクリックします。
選択した時間範囲が、[値]パネルの現在の結果に適用されます。
メタ キー結果の集計方法とソート順の設定
[ナビゲート]ビューで各メタ キーの結果をどのようにカウントし、ソートするかを選択できます。
注:メタ グループでメタ エンティティ(バージョン11.1以降)が使用されている場合は、メタ エンティティに含まれるメタ キーのいずれかと一致する上位20の値が結果に表示されます。
[ナビゲート]ビューにある各メタ キーのセクションには、各メタ キーの値([値])とそのカウント([件数])が一定の順序でリストされます。次の設定を行うことができます。
- 各メタ キー セクションの結果を[値]または[合計]のどちらに基づいてソートするか。
- 結果を昇順でソートするか降順でソートするか。
- 各メタ キーに表示される値をパケット数で集計([パケット数])するか、セッションまたはログ数で集計するか([イベント数で集計])、イベントのサイズで集計([イベント サイズで集計])するか。
注: Log DecoderとPacket Decoderの両方のメタを表示している場合、実際の算出される数はキーのタイプによって異なります。パケット数で集計することを選択した場合にログを調べると、[ナビゲート]ビューの出力は、[イベント数で集計]を選択した場合と同じ出力になります(詳細については、「[ナビゲート]ビュー」を参照してください)。
次の図では、「Event Type」というメタ キーは、[合計]の降順で表示されています。一致件数の最も多い値が最初に表示されています。値failure auditは一致件数が71件であり、先頭に表示されています。値logonは一致件数が1件しかなく、最後に表示されています。集計方法は[イベント数]です。
次の図では、「Event Type」というメタ キーが[値]の降順で表示されています。アルファベットの最後の文字から順に、値が表示されていることが分かります。値success auditが先頭に表示されています。値connectが最後に表示されています。集計方法は[イベント数]です。
[ナビゲート]ビューでメタ キーを集計する方法と結果の表示順を選択するには、次の手順を実行します。
- ツールバーで、[イベント数]、[イベント サイズ]、[パケット数]のいずれかをクリックし、ドロップダウン メニューで集計オプションを1つ選択します。選択したオプションがメニューのラベルに表示されます。
選択内容に応じて現在のビューが再ロードされます。 - ツールバーで、[合計]または[値]をクリックし、ドロップダウン メニューからいずれかのソート条件を選択します。選択したオプションがメニューのラベルに表示されます。
選択内容に応じて現在のビューが再ロードされます。 - ツールバーで、[昇順]または[降順]をクリックし、ドロップダウン メニューからいずれかのソート順を選択します。選択したオプションがメニューのラベルに表示されます。
選択内容に応じて現在のビューが再ロードされます。
Investigationでのデフォルト メタ キーの管理と適用
収集したデータの調査をアナリストがInvestigationで実施する際は、メタ キーのデフォルトのセットが[ナビゲート]ビューの[値]パネルにデフォルトの順序でロードされて表示されます。デフォルトのコンテンツと順序は、調査対象のサービスのメタ キーに基づきます。アナリストは、デフォルトのメタ キーを選択するかユーザ定義のメタ キーのグループを選択することにより、調査の際に表示するメタ キーを指定でき、メタ キーの定義や表示を柔軟に行うことができます。これにより、目的のデータにより直接的にドリル ダウンできるようになります。また、現在の調査には関係のないメタをロードせずに済むため、ロードの時間の短縮にも役立ちます。
注:バージョン11.1以降では、メタ キーを使用する場合はいつでも、構成済みのメタ エンティティも使用できます。
有効なカスタム メタ グループがない場合は、[デフォルトのメタ キーの管理]ダイアログの表示オプションで指定されたメタが表示されます。[ナビゲート]ビューの[値]パネルでのメタ キーのロードを最適化するために、NetWitness Suiteはデフォルトではインデックスなしのメタ キーを展開しません。インデックスなしのメタ キーを[値]ビューで展開するときに、NetWitness Suiteではそのメタ キーの値のロードを開始します。ロード時間が長くなりすぎると、メッセージが表示されてメタ キーのロードはタイムアウトになります。インデックスなしのメタ キーのタイトル、値、数は、[値]パネルでは詳しく調べることができません。Investigationでラベル付けを行い、インデックスなしのメタ キーを識別します。
調査に使用するメタ キーを選択するには、次のいずれかの手順を実行します。
- デフォルトのメタ キーを選択する。
- ユーザ定義のメタ キー セット(メタ グループ)を選択する。
注: 作成したユーザ定義のメタ グループは、編集と削除が可能であるほか、エクスポートやインポートが可能です。これらの手順については、「メタ グループの管理」という別のトピックで説明します。
[デフォルトのメタ キー]ダイアログでは、[調査]>[ナビゲート]ビューで特定のサービスについて調査するときに、メタ キーのデフォルト表示オプションを指定できます。キーごと、またはすべてのキーについて、デフォルトの表示を次のように設定できます。
- [非表示]:デフォルトのメタ キーの結果を非表示にし、ロードしません。
- [展開表示]:デフォルトのメタ キーの結果を展開し、値と数(セッションの合計)を表示します。
- [折りたたみ表示]:デフォルトのメタ キーの結果を折りたたみ、メタの名前だけが表示されるようにします。
- [自動]:デフォルトのメタ キーのロードをインデックス レベルで制御します。そのためには、値によるインデックス付けが設定されている必要があります。
デフォルトのメタ キーはさまざまなサービス向けに変更できるため、別のサービスのドリルダウン ポイントに移動したときに、同じデフォルトのメタ キーのセットが表示されないことがあります。デフォルトのメタ キーを使用する場合は、この点に注意してください。目的のデータが表示されない場合は、デフォルトのメタ キーの初期表示を変更する必要があります。
デフォルトのメタ キーの初期状態を[ナビゲート]ビュー内で変更した場合、変更はそのサービスに対して持続されます。コア サービスのカスタム インデックス ファイル(たとえば、concentrator-custom-index.xml、decoder-custom-index.xmlなど)に新しいキーを追加する場合、その新しいキーは、デフォルトのメタ キーのリストに追加されます。[ナビゲート]ビューで設定された変更は、現在のサービスにのみ適用されます。
初期の[ナビゲート]ビューがデフォルトのメタ キーを使用して開くように指定するには、次の手順を実行します。
- 調査>[ナビゲート]に移動します。
- サービスを選択し、[ナビゲート]を選択します。
- [メタ]メニューで、[デフォルトのメタ キーを使用]を選択します。
調査がすでに進行中である場合、データが現在のビューに再ロードされ、選択したオプションには目印のアイコンが表示されます。まだデータがロードされていない場合、デフォルトのメタ キーが次回のロードに使用されます。
デフォルトのメタ キーの構成
[ナビゲート]ビューでデフォルトのメタ キーのデフォルトの表示を構成するには、次の手順を実行します。
- [ナビゲート]ビューのツールバーで、[メタ]>[デフォルトのメタ キーの管理]を選択します。
[デフォルトのメタ キーの管理]ダイアログが表示され、サービスで利用可能なメタ キーのリストが表示されます。
- (オプション)キーの順序を変更するには、1つ以上のキーを選択し、上方向または下方向にドラッグします。
- 次のいずれかを実行します。
- (オプション)すべてのメタ キーのデフォルトの表示を変更するには、キーが選択されていないことを確認して、ツールバーで
を選択します。 - (オプション)1つ以上のキーのデフォルトの表示を変更するには、キーを選択して、ツールバーでをクリックします。
すべてのデフォルトのメタ キーに使用可能な初期表示のドロップダウンが表示されます。 - (オプション)メタ キーをサービス インデックス ファイルで指定されているとおりのデフォルトの表示に戻すには、キーが選択されていないことを確認して、ツールバーで>[自動]を選択します。
デフォルトのメタ キーを変更する場合、インデックスなしのメタ キーを展開表示に設定できません。メタ グループのデフォルト ビューを展開表示に変更し、一部のメタ キーがインデックスなしであった場合、インデックスなしのメタ キーは自動的に自動に戻ります。したがって、メタ キーはインデックス付きである場合にのみ自動的にロードされます。インデックスなしのメタ キーは手動で開くまで折りたたみ表示になります。
- (オプション)すべてのメタ キーのデフォルトの表示を変更するには、キーが選択されていないことを確認して、ツールバーで
- いずれかの表示方法を選択します。
- [適用]をクリックして、変更を保存します。
[ナビゲート]ビューに表示されるメタ キーは、指定された内容で設定されます。デフォルトのメタ キーが非表示の場合、そのメタ キーの値はInvestigationでは一切表示されません。デフォルトのメタ キーが折りたたみ表示の場合、そのメタ キーの値はデフォルトではロードされません。ただし、[ナビゲート]ビューで個々のメタ キーを手動でロードすることはできます。
[ナビゲート]ビューのタイム チャートでのデータのドリル ダウン
アナリストは、タイム チャートを使用して、時間の経過に従ってアクティビティを可視化することができます。時間範囲を選択して、[調査]オプションを選択して、データにズーム インすることができます。その後、ズーム インの前に有効であった時間範囲にナビゲーションをリセットできます。
- 調査>[ナビゲート]に移動します。
現在のドリルダウン ポイントおよび選択した時間範囲のタイム チャートが表示されます。
- タイム チャート上でマウスのクリックとドラッグを行い、目的の時間範囲を選択します。選択した時間範囲がハイライト表示されます。
選択した時間範囲のタイム チャートが再描画されます。ただし、メタ値は変更されません。 - 選択した時間範囲のデータにドリル ダウンするには、[調査]をクリックします。
URLが更新され、新しい時間範囲が反映されます。さらに、[Investigation]オプション パネルでは、時間範囲がカスタム時間範囲に変更されます。選択した時間範囲を使用して、タイム チャートが再描画され、メタ値がロードされます。 - タイム チャートを元の時間範囲にリセットするには、[ズームのリセット]をクリックします。
URLが、データのズームを行う前の元のURLに戻ります。また、[Investigation]オプション パネルでは、時間範囲がズームを行う前の時間範囲に戻ります。元の時間範囲を使用して、タイム チャートが再描画され、メタ値がロードされます。
[値]パネルでのデータのドリルダウン
NetWitness Suiteでは、[調査]>[ナビゲート]ビューに、選択したサービスのアクティビティと値が表示されます。調査のためにアナリストがメタ キーまたはメタ値をクリックしてデータをドリルダウンすると、クエリが実行されます。[値]パネルで、各クエリは階層リンクのデータに追加されます。これにより、各クエリへのリンクを含む階層リンクが画面上部に表示されます。階層リンクを編集して、クエリを挿入したり、削除したりできます。
メタデータのサブセットにドリルダウンするには、次の手順を実行します。
- 調査を開始して、[ナビゲート]ビューにメタデータを表示します。
- メタ データをドリル ダウンするには、次の操作を任意の組み合わせで実行します。
- メタ キー、たとえば、[サービス タイプ]をクリックします。
- 結果内のメタ値(青色のテキストで表示)をクリックします。たとえば、[OTHER]をクリックします。
メタ キーまたはメタ値をクリックするたびに、データを絞り込む焦点(ドリルダウン ポイント)を狭めながらクエリが実行されます。ドリルダウン ポイントごとに結果パネルが更新され、新しいドリルダウン ポイントが階層リンクに表示されます。次の図は、初期の階層リンクの例です。
次の図は、ツールバーに収まらない長い階層リンクの例です。ツールバーの最後のクエリの後ろにドロップダウン メニューが表示され、その中にツールバーに収まらなかった他のクエリのリストが表示されます。このドロップダウン リストからクエリを選択して、ドリルダウン ポイントを選択することができます。
階層リンクでクエリを追加するには、次の手順を実行します。
階層リンクにある任意のクエリをクリックすると、クエリ メニューを表示できます。クエリの前に新しいクエリを挿入することや、階層リンクの末尾に新しいクエリを追加することができます。階層リンクを編集すると、その都度、NetWitness Suiteによって結果が更新されます。
階層リンクでクエリを追加するには、次の手順を実行します。
- 階層リンクにある任意のクエリをクリックします。
階層リンク メニューが表示されます。
- 階層リンクにクエリを追加するには、[後にクエリを挿入]または[前にクエリを挿入]を選択します。
[フィルタの作成]ダイアログが表示されます。
- 「カスタム クエリの作成」の記載に従って、クエリを作成します。
階層リンクでのクエリを編集するには、次の手順を実行します。
階層リンクにある任意のクエリをクリックすると、クエリ メニューを表示できます。クエリを削除したり、クエリを編集することができます。階層リンクを編集すると、その都度、NetWitness Suiteによって結果が更新されます。
階層リンク内のクエリを操作するには、次の手順を実行します。
- 階層リンクにある任意のクエリをクリックします。
階層リンク メニューが表示されます。
- 階層リンクのクエリを編集するには、[編集]を選択します。
[作成]ダイアログに、選択したクエリの編集画面が表示されます。
- 「カスタム クエリの作成」の記載に従って、フィールドを編集します。
メタ キー内でクイック検索を実行するには、次の手順を実行します。
- メタ キー セクションに移動し、虫眼鏡アイコンをクリックします。
[クイック検索]フォームが開いて、検索用の比較演算子とオプションのオペランドが表示されます。
- (オプション)この検索フォームを閉じるには、虫眼鏡アイコンをもう一度クリックしてください。
- 左のドロップダウン リストから演算子を選択し、検索するテキスト値を入力します。[ドリル ダウン]をクリックすると、検索が実行されます。
指定したメタキーとメタ値を使用して現在表示中のメタデータが絞り込まれ、結果が表示されます。
メタ キー情報を表示するには、次の手順を実行します。
メタ キーに関する詳細(キー名、メタ キー表示用インデックス レベルの設定、メタ キーのデフォルト ビューの設定)を表示するには、次の手順を実行します。
- メタ キーの横に表示されるドロップダウン メニューをクリックします。次の2つの図は、バージョン11.0.0.xとバージョン11.1以降のドロップダウン メニューを表しています。
および
- [メタ キー情報]を選択します。
[メタ キー情報]ダイアログが表示されます。
- ダイアログを閉じるには、
をクリックします。 - (バージョン11.0ではオプション)メタ キーの見つかったメタ名をコンマ区切り値リストとして表示するには、メタ キーの横にあるドロップダウン メニューをクリックし、[CSVとして表示]を選択します。
[CSV形式での表示]ダイアログが表示されます。ダイアログを閉じるには、[閉じる]をクリックします。 - (バージョン11.1ではオプション)メタ キーの見つかったメタ名をリストで表示するには、メタ キーの横にあるドロップダウン メニューをクリックし、[値のエクスポート]を選択します。
[値のエクスポート]ダイアログが表示されます。
- (オプション)現在のドリルダウン ポイントのメタ キーの結果を折りたたみ表示するには、メタ キーの横のドロップダウン メニューをクリックし、[結果の折りたたみ表示]をクリックします。
メタ値に関連づけられたイベントを表示するには、次の手順を実行します。
[イベント]ビューには、イベントに関する詳細な内容が2種類のビューで表示されます (イベント リストと詳細ビュー)。
- [ナビゲート]ビューで、調査の対象となるメタ データまでドリルダウンします。
- 青色のメタ値の横に表示されるカウント(緑色の数字)をクリックします。
現在のドリルダウン ポイントに対応する[イベント]ビューが表示されます。
[イベント]ビューで実行できる操作については、「[イベント]ビューでのRAWイベントの調査」で説明しています。
メタ値に関連づけられた特定のイベントを検索するには、次の手順を実行します。
- [ナビゲート]ビューで、調査の対象となるメタデータまでドリルダウンします(メタ値をクリックするか、クエリを追加します)。
- [イベントの検索]ボックスに検索文字列を入力し、Enterキーを押すか、[検索]をクリックします。
検索モード環境設定を選択して設定することもできます。検索情報の詳細については、「テキスト パターンの検索」を参照してください。
[イベント]ビューの新しいタブが開き、検索結果が表示されます。ハイライト表示された検索語が見つからない場合は、[追加のメタの表示]をクリックします。時間範囲の選択とドリル(クエリ)が[イベント]ビューに継承されます。
選択したメタ値をRSA Liveで表示するには、次の手順を実行します。
- [ナビゲート]ビューで、調査の対象となるメタ データまでドリルダウンします。
- メタ値(青色で表示されたテキスト)を右クリックします。
[メタ値]ドロップダウン メニューが表示されます。 - RSA Liveでメタ値を検索するには、[Liveルックアップ]を選択します。
Liveの[検索]ビューが開いて、入力したメタ値が[生成されるメタ値]フィールドに表示され、検索できる状態になります。
ドリルダウン ポイントで調査を再フォーカスするには、次の手順を実行します。
- メタ値(青色で表示されたテキスト)を右クリックします。
[メタ値]ドロップダウン メニューが表示されます。
- いずれかの再フォーカス オプションを選択します。
選択内容に応じてドリル ダウンの対象が再設定されます。
新しいタブで特定のカウントを表示するには、次の手順を実行します。
メタ値のカウントを新しいタブで表示したり、選択したメタ値に対応する場所のGeomapを表示したりするには、次の手順を実行します。
- メタ値のカウント(青色のメタ値の後に表示される緑色の数字)を右クリックします。
コンテキスト メニューが表示されます。 - (オプション)特定のメタ値に関して別のInvestigationタブを開くには、[新しいタブで開く]を選択します。
- (オプション)選択したメタ値の発生源となった場所を示すGeomapを開くには、[新しいタブでGeomap上の場所を開く]を選択します。