2.3.19.1. ログ解析 画面
ログ解析 画面が開きます。前回の検索結果が残っているときなど、検索結果が表示された状態で詳細画面が開くことがあります。
検索結果は初期状態で、お客さまの全てのデバイスの48時間分のログが10ログずつ、タイムスタンプの降順に表示されます。これらの条件は左側にある[デバイスを選択]、[時間範囲指定]、[表示指定]で変更することができます。
検索結果が「表示行数」よりも多いときは、ページ ナビゲーションでページを移動します。
生ログは1ログ目だけ全体が表示され、2ログ目以降は一部だけ表示されています。マウスポインターを合わせると、そのログの生ログ全体が表示されます。
生ログは左端の[+]をクリックして表示されるログフィールドでも確認できます。
2.3.19.2. 検索ボックス
検索ボックスはパラメーターを入力して検索できます。
入力欄でスペース キーや矢印キーなど何かキーを押すと、検索条件として指定できる項目が表示されます。
これらの項目と、パラメーター、ANDやORなどの演算子を組み合わせることで任意の検索条件を指定することができます。
また、* (アスタリスク)をワイルドカードとして使用できます。
検索条件には日本語など2バイトの文字は使用できません。大文字と小文字を区別します。
入力例で説明します。
入力例 |
説明 |
|---|
* |
すべてのログを検索します。
ただし、検索結果には[検索クエリ指定]で指定された時間範囲のログが表示されることに注意してください。
|
src_ip:10.0.0.1 |
発信元IPアドレスが10.0.0.1のログを検索します。 |
src_port:22 |
発信元ポートが22のログを検索します。 |
dst_ip:10.0.0.1 |
宛先IPアドレスが10.0.0.1のログを検索します。 |
dst_port:80 |
宛先ポートが80のログを検索します。 |
type:attack |
ログのタイプがattackのログを検索します。 |
type:traffic |
ログのタイプがtrafficのログを検索します。 |
src_ip:10.0.0.1 AND dst_port:22 |
発信元IPアドレスが10.0.0.1で宛先ポートが22のログを検索します。 |
src_ip:10.0.0.1 OR src_ip:10.0.0.2 |
発信元IPアドレスが10.0.0.1または10.0.0.2のログを検索します。 |
NOT(src_ip:10.0.0.1 OR src_ip:10.0.0.2) |
発信元IPアドレスが10.0.0.1でも10.0.0.2でもないログを検索します。 |
2.3.19.4. 検索クエリ保存
[時間範囲指定]以外の検索条件に、名前を付けて保存することができます。
保存したい検索条件を指定した後、赤枠の入力欄に検索クエリの名前を入力して[クエリ保存]をクリックします。
日本語など2バイトの文字は使用できません。英文字は小文字で入力しても大文字で保存されます。
検索クエリとして保存できるのは、[時間範囲指定]を除く検索条件です。
赤枠のボタンをクリックするか、入力欄でスペース キーや矢印キーなど何かキーを押すと、保存されたクエリが表示されます。利用したいクエリの名前をクリックすると、保存した検索条件が呼び出されます。[時間範囲指定]は検索の都度、指定してください。
検索クエリとして保存できるのは、[時間範囲指定]を除く検索条件です。
検索クエリ名の[×]をクリックすると、保存されたクエリを削除します。
[OK]をクリックすると保存されたクエリを削除します。
2.3.19.5. ログフィールド
ログ解析 の詳細画面では、ログを要素ごとに分解しログフィールドに表示することができます。
検索結果の、左端の[+]ボタンをクリックすると、そのログのログフィールドが表示されます。
ログ フィールドの緑色の[+]ボタンをクリックするとその要素(項目と値)を検索条件に追加することができます。
例えば、* (アスタリスク)ですべてのログを検索したあとで、ログ フィールドから「date 2020-09-10 18:24:45」という要素を[+]で追加すると、検索ボックスに「* date:"2020-09-10 18:24:45"」と入力され検索結果が更新されます。
[一致するクエリ]は、保存された検索クエリでそのログが検索できるかどうかを示します。
クエリ名の[インポート]ボタンをクリックすると、保存された検索クエリが呼び出され、検索結果の表示が更新されます。
検索クエリとして保存できるのは、[時間範囲指定]を除く検索条件です。
2.3.19.6. 簡易統計モード
簡易統計モードでは指定した項目ごとにログ数を確認できます。
指定できる項目は、ログフィールドで確認できる項目と同じです。入力欄をクリックすると表示されます。
複数の項目を追加できますが、組合せられない項目もあります。
組合せられない項目を追加すると、警告が表示されます。
警告が表示されたときは最後に追加された項目を削除し、項目の組合せを変更してください。
項目は[×]ボタンをクリックすると削除できます。
簡易統計モードの検索結果は、指定した項目ごとにログ数が表示されます。
複数のフィールドを指定した場合は、最初の項目を主キーとして項目ごとに組合せカウントされます。
時間範囲指定のタイムゾーンにJSTを選択していても、簡易統計モードではUTCが用いられます。
2.3.19.7. クエリログのダウンロード
[クエリログのダウンロード]をクリックすると、検索結果をCSVファイルとしてダウンロードすることができます。
ダウンロード対象フィールド
[クエリログのダウンロード]をクリックして表示される[エクスポートするフィールドを選択してください。]画面で、ダウンロード対象とするフィールド名を選択します。
初期状態ですべてのフィールドが選択されています。ダウンロード対象としないフィールドは×ボタンで選択を除外します。
[リセット]をクリックすると、選択がすべて除外されます。
除外したフィールドは、空欄のどこかをクリックして表示されたフィールド名から再度選択できます。
[OK]をクリックすると、ダウンロードが開始されます。
[OK]をクリックすると選択したフィールドが記憶され、次回[クエリログのダウンロード]をクリックしたとき同じフィールドが選択された状態の画面が開きます。
txtファイルには、この画面で選択した順番にフィールドが並びます。例えば、前回フィールドを[rawlog]のみ選択した場合は、次回 [rawlog]のみ選択された状態の画面が開きます。
ダウンロード対象ログ
ダウンロードの対象となるのは、検索結果のすべてのログではなく、検索結果として1ページに表示されている分のログまたは簡易統計結果です。
ログ表示モードで[表示行数]を「10行」としている場合、検索結果が1,007件あっても[クエリログのダウンロード]ボタンをクリックしたときそのページに表示されている10件のログだけがダウンロードされます。
簡易統計モードの場合は、項目ごとのカウント結果だけがダウンロードされます。ログは含まれません。
