セルフサービス検索
セルフサービス検索とは何ですか?
セルフサービス検索機能を使用すると、データソースから受信したユーザーイベントを検索してフィルタ処理できます。基になるユーザーイベントとその属性を調べることができます。これらのイベントは、データの問題を特定し、トラブルシューティングするのに役立ちます。検索ページには、データソースのさまざまなファセット (ディメンション) と指標が表示されます。検索クエリを定義し、フィルタを適用して、定義した基準に一致するイベントを表示できます。デフォルトでは、セルフサービス検索ページには、過去 1 か月間のユーザーイベントが表示されます。
現在、セルフサービス検索機能は、次のデータソースで使用できます。
また、定義したポリシーに適合したイベントに対してセルフサービス検索を実行することもできます。詳しくは、「ポリシーのセルフサービス検索」を参照してください。
セルフサービス検索にアクセスする方法
次のオプションを使用して、セルフサービス検索にアクセスできます。
-
トップバー: トップバーの [検索] をクリックすると、選択したデータソースのすべてのユーザーイベントが表示されます。
-
ユーザープロファイルページのリスクタイムライン: [ イベント検索] をクリックして、各ユーザーのイベントを表示します。
トップバーからのセルフサービス検索
ユーザーインタフェースの任意の場所からセルフサービス検索ページに移動するには、このオプションを使用します。
-
[検索] をクリックして、セルフサービスページを表示します。
-
データソースと期間を選択して、対応するイベントを表示します。
ユーザーのリスクタイムラインからのセルフサービス検索
このオプションは、リスク指標に関連付けられたユーザーイベントを表示する場合に使用します。
ユーザーのタイムラインからリスク指標を選択すると、リスク指標情報セクションが右ペインに表示されます。[イベント検索] をクリックして、セルフサービス検索ページでユーザーおよびデータソース(リスク指標がトリガーされる)に関連付けられたイベントを確認します。
ユーザーリスクタイムラインについて詳しくは、リスクタイムラインを参照してください。
セルフサービス検索の使用方法
セルフサービス検索ページで、次の機能を使用します。
-
ファセットをクリックして、イベントをフィルタリングします。
-
検索ボックスをクリックして、クエリイベントとフィルターイベントを入力します。
-
時間セレクタをクリックして期間を選択します。
-
タイムラインの詳細をクリックして、イベントグラフを表示します。
-
イベントデータをクリックしてイベントを表示します。
-
CSV 形式にエクスポートをクリックして、検索イベントを CSV ファイルとしてダウンロードします。
ファセットを使用してイベントをフィルタリングする
ファセットは、イベントを構成するデータポイントの要約です。ファセットは、データソースによって異なります。たとえば、Access Controlデータソースのファセットには、レピュテーション、アクション、場所、カテゴリグループが含まれます。一方、Virtual Apps and Desktopsのファセットには、イベントタイプ、ドメイン、プラットフォームが含まれます。
ファセットを使用して、必要なユーザーイベントにフィルタを適用し、焦点を当てます。各データソースに対応するファセットについて詳しくは、この記事で前述したデータソースのセルフサービス検索の記事を参照してください。
検索ボックスで検索クエリを使用してイベントをフィルタリングする
検索ボックスにカーソルを置くと、データソースから受信したイベントに基づいてディメンションのリストが検索ボックスに表示されます。ディメンションを使用して検索基準を定義し、イベントを検索します。
たとえば、アクセスのセルフサービス検索では、アクセスイベントについて次のディメンションを取得します。これらのディメンションを使用してクエリを入力し、期間を選択して [ 検索] をクリックします。
検索クエリでは、次の演算子を使用することもできます。
| 演算子 | 説明 | 例 | 出力 |
|---|---|---|---|
| : | 検索クエリに値を割り当てる | User-Name : John | ユーザー John のイベントを表示します。 |
| = | 検索クエリに値を割り当てる | User-Name = John | ユーザー John のイベントを表示します。 |
| ~ | 類似した値を検索する | User-Name ~ test | 類似したユーザー名を持つイベントを表示します。 |
| ”” | 値をスペースで区切って囲みます。 | User-Name = “John Smith” | ユーザー John Smith のイベントを表示します。 |
| <, > | リレーショナル値の検索 | Data Volume > 100 | データ量が100 GBを超えるイベントを表示します。 |
| AND | 両方の条件が真である検索値 | User-Name : John AND Data Volume > 100 | データボリュームが100 GBを超えるユーザー「John」のイベントを表示します。 |
| * | 0 回以上の文字に一致する値を検索する | User-Name = John* | John で始まるすべてのユーザー名のイベントを表示します。 |
| User-Name = *John* | John を含むすべてのユーザー名のイベントを表示します。 | ||
| User-Name = *Smith | Smith で終わるすべてのユーザー名のイベントを表示します。 |
データソースの検索クエリを指定する方法について詳しくは、この記事で前述したデータソースのセルフサービス検索の記事を参照してください。
イベントを表示する時間を選択
プリセット時間を選択するか、カスタムの時間範囲を入力し、[ 検索 ] をクリックしてイベントを表示します。
タイムラインの詳細を表示する
タイムラインは、選択した期間のユーザーイベントをグラフィカルに表示します。セレクタバーを移動して時間範囲を選択し、選択した時間範囲に対応するイベントを表示します。
この図は、アクセスデータのタイムラインの詳細を示しています。
たとえば、2019 年 7 月 8 日から 2019 年 7 月 10 日の間に発生したイベントを表示するとします。セレクタバーを使用して、必要なタイムライン領域を選択し、選択した領域に対応するイベントを表示します。
イベントを見る
ユーザーイベントの詳細情報を表示できます。ユーザーをクリックすると、ユーザーのデータに関する洞察が得られます。
この図は、ユーザーのアクセスデータの詳細を示しています。
イベントテーブルに列を追加する
列を追加し、イベントテーブルに表示するデータポイントを選択できます。以下を実行します:
-
[ + ] をクリックして、データポイントの列を追加します。
-
[ 列の追加] ウィンドウで、データポイントを選択し、[ 列の追加 ] をクリックします。
[ 列の追加 ] リストからデータポイントを選択解除すると、対応する列がイベントテーブルから削除されます。ただし、ユーザーのイベント行を展開した後で、データポイントを表示できます。たとえば、 [列の追加] リストから TIME データポイントを選択解除すると、イベントテーブルから TIME 列が削除されます。時間レコードを表示するには、ユーザーのイベント行を展開します。
イベントを CSV ファイルにエクスポートする
検索したイベントを CSV ファイルにエクスポートし、後で参照できるようにレポートを保存できます。[ CSV 形式にエクスポート ] をクリックしてイベントをエクスポートし、生成された CSV ファイルをダウンロードします。
