Skip navigation
Log in to create and rate content, and to follow, bookmark, and share content with other members.

調査:[ナビゲート]ビューと[レガシー イベント]ビューでのクエリの作成

Document created by RSA Information Design and Development Employee on Oct 19, 2018Last modified by RSA Information Design and Development Employee on Dec 7, 2020
Version 4Show Document
  • Comment0
  • View in full screen mode
 

[ナビゲート]ビューまたは[レガシー イベント]ビューでは、適用可能なメタ キーまたはメタ エンティティと演算子のドロップダウン リストと構文ヘルプが備わったダイアログを使用してクエリを作成できます。

このドロップダウン リストを表示したときに、各メタ グループを展開したり折りたたんだりしてグループ内の個々のメタ キーを表示または非表示にできます。メタ グループを選択すると、そのグループ内のすべてのメタ キーをORで条件指定する複雑なクエリがNetWitness Platformによって生成されます。メタグ ループにip.srcip.dstが含まれている場合は、ip.src = <value> OR ip.dst = <value>というクエリが生成されます。異なるメタ値のタイプを使用するメタ キーがメタ グループに含まれる場合、メタキー値での条件指定は無効化され、クエリではexistsステートメントが使用されます。たとえば、ip.srcip.dstalias.hostを含むメタ グループには、異なる値のタイプを使用するメタ キーが含まれています。ip.srcip.dstはIPアドレスですが、alias.hostはテキストです。この場合、生成されるクエリはip.src exists OR ip.dst exists OR alias.host existsです。

基本的なクエリの形式は以下のようになります。

<metakey> <operator> [<metavalue>]

以下に、例をいくつか示します。
action exists
action = 'get'
alias.host = '10.25.55.115'
extension = 'exe'
orig_ip != "10.0.0.0" - "10.255.255.255"

基本的な方法を使用したクエリの作成

基本的な方法でクエリを作成する場合は、メタ キーと演算子のドロップダウン リストが表示されます。

  1. ナビゲート]ビューまたは[レガシー イベント]ビューのツールバーで、[クエリ]を選択します。
    [クエリ]ダイアログで[シンプル]オプションが選択されます。
    シンプルなクエリのドロップダウン
  2. メタの選択]フィールドをクリックして、ドロップダウン リストを表示します。ドロップダウン リストには、[メタ グループ]と[すべてのメタ]という2つのセクションがあります。
  3. すべてのメタ]で単一のメタ キーを選択するか、[メタ グループ]でメタ グループを選択します。メタ キーまたはメタ グループをこのフィールドに直接入力することもできます。
  4. 演算子]フィールドで、演算子を直接入力するか、ドロップダウン リストをクリックして有効な演算子を選択します。
  5. (オプション)値が必要な演算子(=など)を選択した場合は、3つ目のフィールドにメタ キーの値を入力します。
  6. [ネットワーク]、[ログ]、[エンドポイント]の各チェックボックスで、クエリの対象となるデータのタイプを選択します。次のいずれかを実行します。
    1. クエリの対象をパケットに限定する場合は、[ネットワーク]をオンにし、[ログ]と[エンドポイント]をオフにします。
    2. クエリの対象をログに限定する場合は、[ログ]をオンにし、[ネットワーク]と[エンドポイント]をオフにします。

    3. クエリの対象をエンドポイント イベントに限定する場合は、[エンドポイント]をオンにし、[ネットワーク]と[ログ]をオフにします。

    4. クエリをパケット、ログ、エンドポイントに適用する場合は、[ネットワーク]、[ログ]、[エンドポイント]をオンにします。
  7. 次のいずれかを実行します。
    1. 適用]をクリックします。
      ウィンドウが閉じ、新しいクエリの結果がビューに表示されます。階層リンクにクエリが表示されます。
    2. キャンセル]をクリックします。
      ウィンドウが閉じ、ビューや現在のクエリは何も変化しません。

高度な方法を使用したクエリの作成

  1. ナビゲート]ビューまたは[レガシー イベント]ビューのツールバーで、[クエリ]を選択します。
    [クエリ]ダイアログが表示されます。
    シンプルなクエリのドロップダウン
  2. 詳細]を選択します。
    詳細なクエリのフィールドが表示されます。
    詳細なクエリのドロップダウン
  3. このフィールドに、クエリを記述します。クエリには、メタ キー、演算子、値を含めることができます。このフィールドにメタ キーを入力し始めると、選択したサービスに対して使用可能なメタ キーのドロップダウン リストが表示されます。
  4. クエリのメタ キーを選択します。
    表示が更新されます。式がまだ完了していない場合、ステータスは、クエリが無効であることを示します。
  5. 演算子もドロップダウン リストが表示され、必要に応じて値も表示されます。クエリ入力の進行に伴って表示が更新されます。exists!existsなど、値フィールドを使用しない演算子を入力すると値フィールドが無効化され、無効のステータスがクリアされます。=など、値フィールドを必要とする演算子を入力すると、値を入力するまでは無効のステータスのままになります。クエリが有効になると、無効のステータスは表示されなくなります。
    無効な式の警告
  6. 次のいずれかを実行します。
    • 適用]をクリックします。
      ウィンドウが閉じ、新しいクエリの結果がビューに表示されます。階層リンクにクエリが表示されます。
    • キャンセル]をクリックします。
      ウィンドウが閉じ、ビューや現在のクエリは何も変化しません。

最近実行したクエリの適用

最近実行したクエリを表示し、いずれかを選択して現在調査中のサービスに適用できます。最近実行したクエリを選択するには、次の手順を実行します。

  1. ナビゲート]ビューまたは[イベント]ビューのツールバーで、[クエリ]を選択します。
    [クエリ]ダイアログで[シンプル]オプションが選択されます。
    シンプルなクエリのドロップダウン
  2. 最近]オプションを選択します。
    ダイアログの最後に、最近実行したクエリのリストが表示されます。
    最近のクエリ ドロップダウン
  3. 最近実行したクエリのリストから、クエリをクリックして選択します。
  4. 次のいずれかを実行します。
    • クエリをダブル クリックします。
    • クエリを選択して[適用]をクリックします。
      ウィンドウが閉じ、新しいクエリの結果がビューに表示されます。階層リンクにクエリが表示されます。
    • キャンセル]をクリックします。
      ウィンドウが閉じ、ビューや現在のクエリは何も変化しません。

You are here
Table of Contents > 結果セットの絞り込み > [ナビゲート]ビューと[レガシー イベント]ビューでのクエリの作成

Attachments

    Outcomes

      Visibility: RSA NetWitness Logs & Network 11.x Documentation (Japanese)66 Views
      Last modified on Dec 7, 2020 5:09 AM
      Tags:
      Ratings:

        Recommended Content

        Incoming Links