収集したデータの調査をアナリストがInvestigationで実施する際は、メタ キーのデフォルトのセットが[ナビゲート]ビューの[値]パネルにデフォルトの順序でロードされて表示されます。デフォルトのコンテンツと順序は、調査対象のサービスのメタ キーに基づきます。アナリストは、デフォルトのメタ キーを選択するかユーザー定義のメタ キーのグループを選択することにより、調査の際に表示するメタ キーを指定でき、メタ キーの定義や表示を柔軟に行うことができます。これにより、目的のデータにより直接的にドリル ダウンできるようになります。また、現在の調査には関係のないメタをロードせずに済むため、ロードの時間の短縮にも役立ちます。
有効なカスタム メタ グループがない場合は、[デフォルトのメタ キーの管理]ダイアログの表示オプションで指定されたメタが表示されます。[ナビゲート]ビューの[値]パネルでのメタ キーのロードを最適化するために、Security Analyticsはデフォルトでは、インデックスなしのメタ キーを展開しません。インデックスなしのメタ キーを[値]ビューで展開するときに、Security Analyticsでは、そのメタ キーの値のロードを開始します。ロード時間が長くなりすぎると、メッセージが表示されてメタ キーのロードはタイムアウトになります。インデックスなしのメタ キーのタイトル、値、数は、[値]パネルでは詳しく調べることができません。Investigationでラベル付けを行い、インデックスなしのメタ キーを識別します。この機能は以前のリリースでも提供されていました。
調査に使用するメタ キーを選択するには、次のいずれかの手順を実行します。
- デフォルトのメタ キーを選択する。
- ユーザー定義のメタ キー セット(メタ グループ)を選択する。
注: Security Analyticsには、デフォルト グループ以外にビルトインのメタ グループはありません。追加のメタ グループを[メタ グループの使用]メニューに表示するには、あらかじめ定義しておく必要があります。作成したユーザー定義のメタ グループは、編集と削除が可能であるほか、エクスポートやインポートが可能です。これらの手順については、ユーザー定義のメタ グループの管理.
[デフォルトのメタ キー]ダイアログでは、[Investigation]>[ナビゲート]ビューで特定のサービスについて調査するときに、メタ キーのデフォルト表示オプションを指定できます。キーごと、またはすべてのキーについて、デフォルトの表示を次のように設定できます。
- [非表示]:デフォルトのメタ キーの結果を非表示にし、ロードしません。
- [展開表示]:デフォルトのメタ キーの結果を展開し、値と数(セッションの合計)を表示します。
- [折りたたみ表示]:デフォルトのメタ キーの結果を折りたたみ、メタの名前だけが表示されるようにします。
- [自動]:デフォルトのメタ キーのロードをインデックス レベルで制御します。そのためには、値によるインデックス付けが設定されている必要があります。
デフォルトのメタ キーはさまざまなサービス向けに変更できるため、別のサービスのドリルダウン ポイントに移動したときに、同じデフォルトのメタ キーのセットが表示されないことがあります。デフォルトのメタ キーを使用する場合は、この点に注意してください。目的のデータが表示されない場合は、デフォルトのメタ キーの初期表示を変更する必要があります。
デフォルトのメタ キーの初期状態を[ナビゲート]ビュー内で変更した場合、変更はそのサービスに対して持続されます。コア サービスのカスタム インデックス ファイル(たとえば、broker-custom-index.xml、decoder-custom-index.xmlなど)に新しいキーを追加する場合、その新しいキーは、デフォルトのメタ キーのリストに追加されます。[ナビゲート]ビューで設定された変更は、現在のサービスにのみ適用されます。
デフォルトのメタ キーを使用
初期の[ナビゲート]ビューがデフォルトのメタ キーを使用して開くように指定するには、次の手順を実行します。
- Security Analyticsメニューで、[Investigation]>[ナビゲート]を選択します。
- サービスを選択し、[ナビゲート]を選択します。
- [メタ]メニューで、[デフォルトのメタ キーを使用]を選択します。
調査がすでに進行中である場合、データが現在のビューに再ロードされ、選択したオプションには目印のアイコンが表示されます。まだデータがロードされていない場合、デフォルトのメタ キーが次回のロードに使用されます。
デフォルトのメタ キーの構成
[Investigation]>[ナビゲート]ビューでデフォルトのメタ キーのデフォルトの表示を構成するには、次の手順を実行します。
- [ナビゲート]ビューのツールバーで、[メタ]>[デフォルトのメタ キーの管理]を選択します。
[デフォルトのメタ キーの管理]ダイアログが表示され、サービスで利用可能なメタ キーのリストが表示されます。
- (オプション)キーの順序を変更するには、1つ以上のキーを選択し、上方向または下方向にドラッグします。
- 次のいずれかを実行します。
- (オプション)すべてのメタ キーのデフォルトの表示を変更するには、キーが選択されていないことを確認して、ツールバーで
を選択します。
- (オプション)
- (オプション)メタ キーをサービス インデックス ファイルで指定されているとおりのデフォルトの表示に戻すには、キーが選択されていないことを確認して、ツールバーで
>[自動]を選択します。
デフォルトのメタ キーを変更する場合、インデックスなしのメタ キーを展開表示に設定できません。メタ グループのデフォルト ビューを展開表示に変更し、一部のメタ キーがインデックスなしであった場合、インデックスなしのメタ キーは自動的に自動に戻ります。したがって、メタ キーはインデックス付きである場合にのみ自動的にロードされます。インデックスなしのメタ キーは手動で開くまで折りたたみ表示になります。
- (オプション)すべてのメタ キーのデフォルトの表示を変更するには、キーが選択されていないことを確認して、ツールバーで
- いずれかの表示方法を選択します。
- [適用]をクリックして、変更を保存します。
[ナビゲート]ビューに表示されるメタ キーは、指定された内容で設定されます。デフォルトのメタ キーが非表示の場合、そのメタ キーの値はInvestigationでは一切表示されません。デフォルトのメタ キーが折りたたみ表示の場合、そのメタ キーの値はデフォルトではロードされません。ただし、[ナビゲート]ビューで個々のメタ キーを手動でロードすることはできます。
