This website uses cookies. By clicking OK, you consent to the use of cookies. Click Here to learn more about how we use cookies.
OK
Register Now
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

RSA NetWitness® Platformプラットフォームのドキュメント(日本語)

RSA NetWitness Platformの公式ドキュメント(日本語)を参照して、役立つチュートリアル、ステップバイステップの手順、およびその他の貴重なリソースを確認してください。
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Versions
Collections
All Downloads

Product Resources

  

[Investigation]>[ナビゲート]ビューの[オプション]パネルでは、メタ キーや値をクリックする代わりにクエリーを作成して、メタ データをドリル ダウンします。クエリー作成のためのダイアログには、使用可能なメタ キーや演算子がドロップダウン リストで表示される構文ヘルプが用意されています。このドロップダウン リストを表示したときに、各メタ グループを展開したり折りたたんだりしてグループ内の個々のメタ キーを表示または非表示にできます。

メタ グループを選択すると、そのグループ内のすべてのメタ キーをOR条件で連結する複雑なクエリーがSecurity Analyticsによって生成されます。したがって、メタ グループにip.srcip.dstが含まれる場合、生成されるクエリーは「ip.src = <value> OR ip.dst = <value>」になります。異なる値タイプのメタ キーがメタ グループに含まれる場合、条件の値の入力は無効化され、existsステートメントを使用したクエリーが生成されます。たとえば、ip.srcip.dstalias.hostを含むメタ グループは、異なる値タイプのメタ キーを含んでいます。ip.srcip.dstはIPアドレスで、alias.hostはテキストです。この場合、生成されるクエリーはip.src exists OR ip.dst exists OR alias.host existsです。

基本的なクエリーの形式は以下のようになります。

<metakey> <operator> [<metavalue>]

以下に、例をいくつか示します。

action exists
action = 'get'
alias.host = '10.25.55.115'
extension = 'exe'
orig_ip != "10.0.0.0" - "10.255.255.255"

基本的な方法を使用したクエリーの作成

基本的な方法でクエリーを作成する場合は、Security Analyticsが提供するメタおよび演算子のドロップダウン リストを使用できます。

  1. ナビゲート]ビューのツールバーで、[クエリー]を選択します。
    [クエリー]ダイアログが表示され、デフォルトで[シンプル]オプションが選択されています。
    QueryDDSimple.png
  2. メタの選択]フィールドをクリックして、ドロップダウン リストを表示します。ドロップダウン リストには、[メタ グループ]と[すべてのメタ]の2つのセクションがあります。
  3. すべてのメタ]で単一のメタ キーを選択するか、[メタ グループ]でメタ グループを選択します。メタ キーまたはメタ グループをこのフィールドに直接入力することもできます。
  4. 演算子]フィールドで、演算子を直接入力するか、ドロップダウン リストをクリックして有効な演算子を選択します。
  5. (オプション)値が必要な演算子(beginsなど)を選択した場合は、3つ目のフィールドにメタ キーの値を入力します。
  6. [ネットワーク]および[ログ]のチェックボックスで、クエリーの対象となるデータのタイプを選択します。次のいずれかを実行します。
    1. クエリーの対象をパケットに限定する場合は、[ネットワーク]をオンにし、[ログ]をオフにします。クエリーには、「medium = 1」が追加されます。
    2. クエリーの対象をログに限定する場合は、[ログ]をオンにし、[ネットワーク]をオフにします。クエリーには、「medium = 32」が追加されます。
    3. クエリーをパケットとログの両方に適用する場合は、[ネットワーク]と[ログ]の両方をオンにします。
  7. 次のいずれかを実行します。
    1. OKをクリックします。
      ウィンドウが閉じ、新しいクエリーの結果がビューに表示されます。 階層リンクにクエリーが表示されます。
    2. キャンセル]をクリックします。
      ウィンドウが閉じ、ビューや現在のクエリーは何も変化しません。

高度な方法を使用したクエリーの作成

  1. ナビゲート ビュー]のツールバーで、[クエリー]を選択します。
    [クエリー]ダイアログが表示されます。
    QueryDDSimple.png
  2. 詳細]を選択します。
    詳細なクエリーのフィールドが表示されます。
    QueryDDAdv.png
  3. このフィールドに、クエリーを記述します。クエリーには、メタ キー、演算子、値を含めることができます。このフィールドにメタ キーを入力し始めると、選択したサービスに対して使用可能なメタ キーのドロップダウン リストが表示されます。
  4. クエリーのメタ キーを選択します。
    表示が更新されます。式がまだ完了していない場合、ステータスは、クエリーが無効であることを示します。
  5. 演算子もドロップダウン リストが表示され、必要に応じて値も表示されます。クエリー入力の進行に伴って表示が更新されます。exists!existsなど、値フィールドを使用しない演算子を入力すると値フィールドが無効化され、無効のステータスがクリアされます。=など、値フィールドを必要とする演算子を入力すると、値を入力するまでは無効のステータスのままになります。クエリーが有効になると、無効のステータスは表示されなくなります。
    QueryDDAdv_615x174.png
  6. 次のいずれかを実行します。
    1. OKをクリックします。
      ウィンドウが閉じ、新しいクエリーの結果がビューに表示されます。 階層リンクにクエリーが表示されます。
    2. キャンセル]をクリックします。
      ウィンドウが閉じ、ビューや現在のクエリーは何も変化しません。

最近実行したクエリーの適用

最近実行したクエリーを表示し、いずれかを選択して現在調査中のサービスに適用できます。最近実行したクエリーを選択するには、次の手順を実行します。

  1. ナビゲート ビュー]のツールバーで、[クエリー]を選択します。
    [クエリー]ダイアログが表示され、デフォルトで[シンプル]オプションが選択されています。
    QueryDDSimple.png
  2. 最近実行したクエリー]オプションを選択します。
    ダイアログに、最近実行したクエリーのリストが表示されます。
    QryDDRecent.png
  3. 最近実行したクエリーのリストから、クエリーをクリックして選択します。
  4. 次のいずれかを実行します。
    1. クエリーをダブル クリックします。
    2. クエリーを選択し、[OK]をクリックします。
      ウィンドウが閉じ、新しいクエリーの結果がビューに表示されます。 階層リンクにクエリーが表示されます。
    3. キャンセル]をクリックします。
      ウィンドウが閉じ、ビューや現在のクエリーは何も変化しません。
You are here
Table of Contents > 調査の実施 > [ナビゲート]ビューでのデータ クエリー > カスタム クエリーの作成
Labels (1)
Labels:
0 Likes
Was this article helpful? Yes No
No ratings

On this page

© 2020 RSA Security LLC or its affiliates.
All rights reserved.