[調査]>[ナビゲート]ビューまたは[イベント]ビューでは、メタ キーや値をクリックする代わりにクエリを作成して、メタ データをドリル ダウンすることができます。クエリ作成のためのダイアログには、使用可能なメタ キーや演算子がドロップダウン リストで表示される構文ヘルプが用意されています。このドロップダウン リストを表示したときに、各メタ グループを展開したり折りたたんだりしてグループ内の個々のメタ キーを表示または非表示にできます。
注:バージョン11.1以降では、メタ キーだけでなく、メタ エンティティも問い合わせることができます。
メタ グループを選択すると、そのグループ内のすべてのメタ キーをOR条件で連結する複雑なクエリがNetWitness Suiteによって生成されます。したがって、メタ グループにip.srcとip.dstが含まれる場合、生成されるクエリは「ip.src = <value> OR ip.dst = <value>」になります。異なる値タイプのメタ キーがメタ グループに含まれる場合、条件の値の入力は無効化され、existsステートメントを使用したクエリが生成されます。たとえば、ip.src、ip.dst、alias.hostを含むメタ グループは、異なる値タイプのメタ キーを含んでいます。ip.srcとip.dstはIPアドレスで、alias.hostはテキストです。この場合、生成されるクエリはip.src exists OR ip.dst exists OR alias.host existsです。
基本的なクエリの形式は以下のようになります。
<metakey> <operator> [<metavalue>]
以下に、例をいくつか示します。
action exists
action = 'get'
alias.host = '10.25.55.115'
extension = 'exe'
orig_ip != "10.0.0.0" - "10.255.255.255"
基本的な方法を使用したクエリの作成
基本的な方法でクエリを作成する場合は、NetWitness Suiteが提供するメタおよび演算子のドロップダウン リストを使用できます。
- [ナビゲート]ビューまたは[イベント]ビューのツールバーで、[クエリ]を選択します。
[クエリ]ダイアログが表示され、デフォルトで[シンプル]オプションが選択されています。
- [メタの選択]フィールドをクリックして、ドロップダウン リストを表示します。ドロップダウン リストには、[メタ グループ]と[すべてのメタ]の2つのセクションがあります。
- [すべてのメタ]で単一のメタ キーを選択するか、[メタ グループ]でメタ グループを選択します。メタ キーまたはメタ グループをこのフィールドに直接入力することもできます。
- [演算子]フィールドで、演算子を直接入力するか、ドロップダウン リストをクリックして有効な演算子を選択します。
- (オプション)値が必要な演算子(beginsなど)を選択した場合は、3つ目のフィールドにメタ キーの値を入力します。
- [ネットワーク]、[ログ]、[エンドポイント]の各チェックボックスで、クエリの対象となるデータのタイプを選択します。次のいずれかを実行します。
- クエリの対象をパケットに限定する場合は、[ネットワーク]をオンにし、[ログ]と[エンドポイント]をオフにします。
- クエリの対象をログに限定する場合は、[ログ]をオンにし、[ネットワーク]と[エンドポイント]をオフにします。
クエリの対象をエンドポイント イベントに限定する場合は、[エンドポイント]をオンにし、[ネットワーク]と[ログ]をオフにします。
- クエリをパケット、ログ、エンドポイントに適用する場合は、[ネットワーク]、[ログ]、[エンドポイント]をオンにします。
- 次のいずれかを実行します。
- [適用]をクリックします。
ウィンドウが閉じ、新しいクエリの結果がビューに表示されます。階層リンクにクエリが表示されます。 - [キャンセル]をクリックします。
ウィンドウが閉じ、ビューや現在のクエリは何も変化しません。
- [適用]をクリックします。
高度な方法を使用したクエリの作成
- [ナビゲート]ビューまたは[イベント]ビューのツールバーで、[クエリ]を選択します。
[クエリ]ダイアログが表示されます。 - [詳細設定]を選択します。
詳細なクエリのフィールドが表示されます。
- このフィールドに、クエリを記述します。クエリには、メタ キー、演算子、値を含めることができます。このフィールドにメタ キーを入力し始めると、選択したサービスに対して使用可能なメタ キーのドロップダウン リストが表示されます。
- クエリのメタ キーを選択します。
表示が更新されます。式がまだ完了していない場合、ステータスは、クエリが無効であることを示します。 - 演算子もドロップダウン リストが表示され、必要に応じて値も表示されます。クエリ入力の進行に伴って表示が更新されます。existsや!existsなど、値フィールドを使用しない演算子を入力すると値フィールドが無効化され、無効のステータスがクリアされます。=など、値フィールドを必要とする演算子を入力すると、値を入力するまでは無効のステータスのままになります。クエリが有効になると、無効のステータスは表示されなくなります。
- 次のいずれかを実行します。
- [適用]をクリックします。
ウィンドウが閉じ、新しいクエリの結果がビューに表示されます。階層リンクにクエリが表示されます。 - [キャンセル]をクリックします。
ウィンドウが閉じ、ビューや現在のクエリは何も変化しません。
- [適用]をクリックします。
最近実行したクエリの適用
最近実行したクエリを表示し、いずれかを選択して現在調査中のサービスに適用できます。最近実行したクエリを選択するには、次の手順を実行します。
- [ナビゲート]ビューまたは[イベント]ビューのツールバーで、[クエリ]を選択します。
[クエリ]ダイアログが表示され、デフォルトで[シンプル]オプションが選択されています。 - [最近実行したクエリ]オプションを選択します。
ダイアログの最後に、最近実行したクエリのリストが表示されます。
- 最近実行したクエリのリストから、クエリをクリックして選択します。
- 次のいずれかを実行します。
- クエリをダブル クリックします。
- クエリを選択し、[適用]をクリックします。
ウィンドウが閉じ、新しいクエリの結果がビューに表示されます。階層リンクにクエリが表示されます。 - [キャンセル]をクリックします。
ウィンドウが閉じ、ビューや現在のクエリは何も変化しません。
