セルフサービス検索
セルフサービス検索とは何ですか?
セルフサービス検索機能を使用すると、データソースから受信したユーザーイベントを検索してフィルタ処理できます。基になるユーザーイベントとその属性を調べることができます。これらのイベントは、データの問題を特定し、トラブルシューティングするのに役立ちます。検索ページには、データソースのさまざまなファセット (ディメンション) と指標が表示されます。検索クエリを定義し、フィルタを適用して、定義した基準に一致するイベントを表示できます。デフォルトでは、セルフサービス検索ページには、過去 1 か月間のユーザーイベントが表示されます。
現在、セルフサービス検索機能は、次のデータソースで使用できます。
また、定義したポリシーに適合したイベントに対してセルフサービス検索を実行することもできます。詳しくは、「ポリシーのセルフサービス検索」を参照してください。
セルフサービス検索にアクセスする方法
次のオプションを使用して、セルフサービス検索にアクセスできます。
-
トップバー: トップバーの [検索] をクリックすると、選択したデータソースのすべてのユーザーイベントが表示されます。
-
ユーザープロファイルページのリスクタイムライン: [イベント検索] をクリックして、各ユーザーのイベントを表示します。
トップバーからのセルフサービス検索
ユーザーインタフェースの任意の場所からセルフサービス検索ページに移動するには、このオプションを使用します。
-
[検索] をクリックして、セルフサービスページを表示します。
-
データソースと期間を選択して、対応するイベントを表示します。
ユーザーのリスクタイムラインからのセルフサービス検索
このオプションは、リスク指標に関連付けられたユーザーイベントを表示する場合に使用します。
ユーザーのタイムラインからリスク指標を選択すると、リスク指標情報セクションが右ペインに表示されます。[イベント検索] をクリックして、セルフサービス検索ページでユーザーおよびデータソース(リスク指標がトリガーされる)に関連付けられたイベントを確認します。
ユーザーリスクタイムラインについて詳しくは、リスクタイムラインを参照してください。
セルフサービス検索の使用方法
セルフサービス検索ページで、次の機能を使用します。
-
ファセットをクリックして、イベントをフィルタリングします。
-
検索ボックスをクリックして、クエリイベントとフィルターイベントを入力します。
-
時間セレクタをクリックして期間を選択します。
-
タイムラインの詳細をクリックして、イベントグラフを表示します。
-
イベントデータをクリックしてイベントを表示します。
-
CSV 形式にエクスポートをクリックして、検索イベントを CSV ファイルとしてダウンロードします。
-
複数列の並べ替え イベントを複数の列で並べ替えます。
ファセットを使用してイベントをフィルタリングする
ファセットは、イベントを構成するデータポイントの要約です。ファセットは、データソースによって異なります。たとえば、Access Controlデータソースのファセットは、レピュテーション、アクション、場所、およびカテゴリグループです。一方、Virtual AppsとDesktopのファセットは、イベントタイプ、ドメイン、およびプラットフォームです。
ファセットを選択して、検索結果をフィルタリングします。セルフサービス検索ページには、選択したファセットがチップとして表示されます。各データソースに対応するファセットについて詳しくは、この記事で前述したデータソースのセルフサービス検索の記事を参照してください。
検索ボックスで検索クエリを使用してイベントをフィルタリングする
検索ボックスにカーソルを置くと、検索ボックスにユーザーイベントに基づいたディメンションのリストが表示されます。これらのディメンションは、データソースによって異なります。ディメンションと有効な 演算子 を使用して、検索条件を定義し、必要なイベントを検索します。
たとえば、アクセスのセルフサービス検索では、アクセスイベントに対して次のディメンションを取得します。ディメンションを使用してクエリを入力し、期間を選択して、[検索]をクリックします。
検索クエリでサポートされている演算子
検索クエリで次の演算子を使用して、検索結果を絞り込みます。
| 演算子 | 説明 | 例 | 出力 |
|---|---|---|---|
| : | 検索クエリに値を割り当てる | User-Name : John | ユーザー John のイベントを表示します。 |
| = | 検索クエリに値を割り当てる | User-Name = John | ユーザー John のイベントを表示します。 |
| ~ | 類似した値を検索する | User-Name ~ test | 類似したユーザー名を持つイベントを表示します。 |
| ”” | 値をスペースで区切って囲みます。 | User-Name = “John Smith” | ユーザー John Smith のイベントを表示します。 |
| <, > | リレーショナル値の検索 | Data Volume > 100 | データ量が100 GBを超えるイベントを表示します。 |
| AND | 両方の条件が真である検索値 | User-Name : John AND Data Volume > 100 | データボリュームが100 GBを超えるユーザー「John」のイベントを表示します。 |
| * | 0 回以上の文字に一致する値を検索する | User-Name = John* | John で始まるすべてのユーザー名のイベントを表示します。 |
| User-Name = *John* | John を含むすべてのユーザー名のイベントを表示します。 | ||
| User-Name = *Smith | Smith で終わるすべてのユーザー名のイベントを表示します。 | ||
| != | 条件が真でない値を検索する | 国 != 米国 | 米国以外の国のイベントを表示します |
等しくない (!=) 演算子は次の次元で有効です。
| データソース | 寸法 |
|---|---|
| Access Control | 国、都市、アクション、URL、URLカテゴリ、レピュテーション、ブラウザ、OS、デバイス |
| Content Collaboration | 国、都市、クライアントOS |
| Gateway | 認証段階、クライアントIP |
| Virtual Apps and Desktops | 国、都市、アプリ名、クリップボード操作、ブラウザ、OS |
注
NOT EQUAL 演算子の場合、クエリにディメンションの値を入力するときに、データソースのセルフサービス検索ページで使用可能な正確な値を使用します。ディメンション値では大文字と小文字が区別されます。
データソースの検索クエリを指定する方法について詳しくは、この記事で前述したデータソースのセルフサービス検索の記事を参照してください。
イベントを表示する時間を選択
プリセット時間を選択するか、カスタムの時間範囲を入力し、[検索] をクリックしてイベントを表示します。
タイムラインの詳細を表示する
タイムラインは、選択した期間のユーザーイベントをグラフィカルに表示します。セレクタバーを移動して時間範囲を選択し、選択した時間範囲に対応するイベントを表示します。
この図は、アクセスデータのタイムラインの詳細を示しています。
イベントを見る
ユーザーイベントの詳細情報を表示できます。DATA テーブルで、各列の矢印をクリックして、ユーザーイベントの詳細を表示します。
この図は、ユーザーのアクセスデータの詳細を示しています。
列を追加または削除する
イベントテーブルに列を追加または削除して、対応するデータポイントを表示または非表示にすることができます。以下を実行します:
-
[列の追加または削除]をクリックします。
-
リストからデータ要素を選択または選択解除し、[更新]をクリックします。
リストからデータポイントの選択を解除すると、対応する列がイベントテーブルから削除されます。ただし、ユーザーのイベント行を展開すると、そのデータポイントを表示できます。たとえば、リストから TIME データポイントの選択を解除すると、 TIME 列がイベントテーブルから削除されます。時間レコードを表示するには、ユーザーのイベント行を展開します。
イベントを CSV ファイルにエクスポートする
検索結果をCSVファイルにエクスポートし、参照用に保存します。[CSV 形式にエクスポート] をクリックしてイベントをエクスポートし、生成された CSV ファイルをダウンロードします。
複数列の並べ替え
並べ替えは、データの整理に役立ち、可視性を向上させます。セルフサービス検索ページでは、ユーザーイベントを1つ以上の列で並べ替えることができます。列は、ユーザー名、日付と時刻、URLなどのさまざまなデータ要素の値を表します。これらのデータ要素は、選択したデータソースによって異なります。
複数列の並べ替えを実行するには、次の手順を実行します。
-
[並べ替え]をクリックします。
-
[並べ替え] リストから列を選択します。
-
並べ替え順序を選択します-昇順(上矢印)または降順(下矢印)を選択して、列内のイベントを並べ替えます。
-
クリック + 列を追加します。
-
リスト ではその後 から別の列を選択します。
-
並べ替え順序-昇順(上矢印)または降順(下矢印)を選択して、列内のイベントを並べ替えます。
注
最大6つの列を追加して、並べ替えを実行できます。
-
[Apply] をクリックします。
-
上記の設定を適用しない場合は、[キャンセル]をクリックしてください。選択した列の値を削除するには、[すべてクリア]をクリックします。
次の例は、Access Controlイベントの複数列の並べ替えを示しています。イベントは、時間(最新から古い順に)、次にURL(アルファベット順)でソートされます。
または、 Shift キーを使用して複数列の並べ替えを実行することもできます。Shift キーを押しながら列ヘッダーをクリックして、ユーザーイベントを並べ替えます。
セルフサービス検索を保存する方法
管理者は、セルフサービスクエリを保存できます。この機能により、分析やトラブルシューティングに頻繁に使用するクエリを書き直す時間と労力を節約できます。次のオプションがクエリとともに保存されます。
- 適用された検索フィルター
- 選択したデータソースと期間
セルフサービスクエリを保存するには、次の手順を実行します。
-
必要なデータソースと期間を選択します。
-
検索バーにクエリを入力します。
-
必要なフィルターを適用します。
-
[検索を保存]をクリックします。
-
カスタムクエリを保存する名前を指定します。
注
クエリ名が一意であることを確認してください。それ以外の場合、クエリは保存されません。
-
[保存] をクリックします。
保存された検索を表示するには:
-
[保存された検索の表示]をクリックします。
-
検索クエリを選択します。
この例では、セルフサービスクエリは User-Name = testuserです。また、 イベントタイプ、 ドメイン、 プラットフォーム などの適用されたフィルターがクエリとともに保存されます。
保存した検索を削除するには:
-
[保存された検索の表示]をクリックします。
-
保存した検索クエリを選択します。
-
[保存された検索を削除]をクリックします。
保存した検索を変更するには:
-
[保存された検索の表示]をクリックします。
-
保存した検索クエリの名前をクリックします。
-
要件に基づいて、検索クエリまたはファセットの選択を変更します。
-
Save Search > Replaceをクリックします。
検索を新しい名前に置き換えると、検索は新しいエントリとして保存されます。置換中に既存の検索名を保持すると、変更された検索データが既存の検索データを上書きします。
注
- 保存した検索を変更または削除できるのは、クエリの所有者だけです。
- 保存した検索リンクアドレスをコピーして、他のユーザーと共有することができます。