2.2.21. ログ解析¶
2.2.21.1. ログ解析 画面¶
[ログ]をクリックします。
ログ解析 画面が開きます。前回の検索結果が残っているときなど、検索結果が表示された状態で詳細画面が開くことがあります。
検索結果は初期状態で、お客さまの全てのデバイスの48時間分のログが20ログずつ、タイムスタンプの降順に表示されます。これらの条件は「絞り込み」から変更することができます。
検索結果が「表示行数」よりも多いときは、ページ ナビゲーションでページを移動します。
生ログは右端の[詳細]をクリックして表示されるログフィールドでも確認できます。
2.2.21.2. 検索ボックス¶
検索ボックスはパラメーターを入力して検索できます。
入力欄でスペース キーや矢印キーなど何かキーを押すと、検索条件として指定できる項目が表示されます。
これらの項目と、パラメーター、ANDやORなどの演算子を組み合わせることで任意の検索条件を指定することができます。
また、* (アスタリスク)をワイルドカードとして使用できます。
検索条件には日本語など2バイトの文字は使用できません。大文字と小文字を区別します。
入力例で説明します。
入力例 | 説明 |
---|---|
* | すべてのログを検索します。
ただし、検索結果には[検索クエリ指定]で指定された時間範囲のログが表示されることに注意してください。
|
src_ip:10.0.0.1 | 発信元IPアドレスが10.0.0.1のログを検索します。 |
src_port:22 | 発信元ポートが22のログを検索します。 |
dst_ip:10.0.0.1 | 宛先IPアドレスが10.0.0.1のログを検索します。 |
dst_port:80 | 宛先ポートが80のログを検索します。 |
type:attack | ログのタイプがattackのログを検索します。 |
type:traffic | ログのタイプがtrafficのログを検索します。 |
src_ip:10.0.0.1 AND dst_port:22 | 発信元IPアドレスが10.0.0.1で宛先ポートが22のログを検索します。 |
src_ip:10.0.0.1 OR src_ip:10.0.0.2 | 発信元IPアドレスが10.0.0.1または10.0.0.2のログを検索します。 |
NOT(src_ip:10.0.0.1 OR src_ip:10.0.0.2) | 発信元IPアドレスが10.0.0.1でも10.0.0.2でもないログを検索します。 |
2.2.21.3. 検索クエリ指定¶
検索クエリ指定には初期状態で、すべてのデバイス、最新48時間以内(日本時間)、1ページにつき20ログ、タイム スタンプの降順に、ログ表示モードで表示されます。
これらの条件は赤枠の[絞り込み]、[表示件数]、[ログ表示モード]、 [簡易統計モード]で変更することができます。
項目 | 説明 |
---|---|
管理対象 | 選択したデバイスが検索対象のデバイスです。 |
Start date・End date | 検索対象とする期間の開始日時と終了日時です。カレンダーのボタンをクリックして指定してください。 |
含まれる時間帯 | 開始日時と終了日時の、範囲内を検索するか範囲外を検索するか、選択してください。 |
日付による並び替え | ログの並び順を日付の昇順・降順で指定します。 |
ログ表示モード | 検索結果にログを表示します。 |
簡易統計モード | 検索結果にログのフィールドごとの簡易統計を表示します。 |
表示件数 | ログ表示モードのとき、1ページに表示するログ数です。 |
検索対象とする期間は、「ログ解析の詳細画面を開いた時点から48時間以内」が指定されます。
表示行数を増やすと、検索に時間がかかる場合やWebブラウザーの警告が表示される場合があります。
2.2.21.4. 検索クエリ保存¶
[時間範囲指定]以外の検索条件に、名前を付けて保存することができます。
保存したい検索条件を指定した後、赤枠のアイコンをクリックする。
入力欄に検索クエリの名前を入力して[Save Query]をクリックします。
日本語など2バイトの文字は使用できません。英文字は小文字で入力しても大文字で保存されます。
検索クエリとして保存できるのは、[時間範囲指定]を除く検索条件です。
赤枠のボタンをクリックすると保存されたクエリが表示されます。利
用したいクエリの名前をクリックすると、保存した検索条件が呼び出されます。[時間範囲指定]は検索の都度、指定してください。
検索クエリとして保存できるのは、[時間範囲指定]を除く検索条件です。
検索クエリ名の[ゴミ箱アイコン]をクリックすると、保存されたクエリを削除します。
確認のダイアログが表示されます。
[OK]をクリックすると保存されたクエリを削除します。
2.2.21.5. ログフィールド¶
ログ解析 の詳細画面では、ログを要素ごとに分解しログフィールドに表示することができます。
検索結果の、右端の[詳細]ボタンをクリックすると、そのログのログフィールドが表示されます。
ログ フィールドの[+]ボタンをクリックするとその要素(項目と値)を検索条件に追加することができます。
例えば、* (アスタリスク)ですべてのログを検索したあとで、ログ フィールドから「src_ip 10.10.10.3」という要素を[+]で追加すると、検索ボックスに「* src_ip:10.10.10.3」と入力され検索結果が更新されます。
2.2.21.6. 簡易統計モード¶
簡易統計モードでは指定した項目ごとにログ数を確認できます。
指定できる項目は、ログフィールドで確認できる項目と同じです。入力欄をクリックすると表示されます。
複数の項目を追加できます。
項目は再度クリックすると選択から外れます。
簡易統計モードの検索結果は、指定した項目ごとにログ数が表示されます。
複数のフィールドを指定した場合は、最初の項目を主キーとして項目ごとに組合せカウントされます。
時間範囲指定のタイムゾーンにJSTを選択していても、簡易統計モードではUTCが用いられます。
2.2.21.7. クエリログのダウンロード¶
[Download report]をクリックすると、検索結果をCSVファイルとしてダウンロードすることができます。
ダウンロード対象フィールド
[列]で、ダウンロード対象とする項目名を選択します。
ダウンロード対象としない項目はチェックを外して除外します。
ダウンロード対象ログ
ダウンロードの対象となるのは、検索結果のすべてのログではなく、検索結果として表示されている分の先頭から10,000件のログまたは簡易統計結果です。
検索結果が10,007件あっても、[Download report]ボタンをクリックしたとき、先頭から10,000件のログだけがダウンロードされます。