Cisco Security MARS Local Controller および Global Controller ユーザ ガイド リリース 6.x
クエリーおよびレポート
クエリーおよびレポート
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

クエリーおよびレポート

クエリーについて

Global Controller のクエリー インターフェイス

Local Controller のクエリー インターフェイス

クエリー タイプの選択

[Result Format]

[Order/Rank By]

[Filter By Time]

[Use Only Firing Events]

[Maximum Number of Rows Returned]

[Select Query Criteria]

クエリー基準の説明

送信元 IP

宛先 IP

サービス

イベント

デバイス

報告されたユーザ

IPS リスク レーティング

IPS 脅威レーティング

IPS グローバル相関スコア

キーワード

操作

規則

処理

クエリーの保存

クエリー操作

クイック クエリーの実行

キーワード クエリーの実行

バッチ クエリー操作

バッチ クエリーの定義と実行

バッチ クエリーの停止

バッチ クエリーの再送信

バッチ クエリーの削除

レポートを使用した長期クエリーの実行

クエリーの結果表示のためのカスタム カラムの選択

[Report] タブでのクエリー結果の表示

リアルタイムでのイベントの表示

リアルタイム イベント ビューアの制限事項

Local Controller でのリアルタイム イベント ビューアの呼び出し

[Reports]

Global Controller のレポート

Local Controller のレポート

レポート タイプ ビュー:Total、Peak、Recent の比較

レポートのチャートとグラフ

レポートの作成

新しい Local Controller レポートの作成

新しい Global Controller レポートの作成

既存レポートへの操作

レポートの表示

レポートの実行

レポートの削除

レポートの編集

レポートの複製

クエリーおよびレポート

MARS には、クエリーとレポートの定義、表示、および保存を行うためのさまざまな機能が用意されています。クエリーとレポートの本質的な区別は、クエリーは一般に短く、応答が速く、その仕様は記録されないのに対し、レポートは長い傾向があり、仕様が定義されてシステムに記録される点です。ただし、クエリーをレポートまたは規則として保存して、後から使用することも可能です。また、レポートも(スケジューリングされているレポートであっても)必要に応じて実行することができます (規則については、「規則の概要」を、リストについては、付録の「カテゴリ別のシステム規則」を参照してください)。

バッチ クエリーは、膨大な処理を必要とする(可能性のある)比較的大規模なクエリーで、バックグラウンドで実行されます。膨大な処理を必要とする可能性があると見られるクエリーを実行すると、必ず MARX によってそれをバッチ クエリーとして、つまりバックグラウンドで実行するオプションが提示されます。

MARS には、そのままで使用できれば、特定の目的に合わせて修正することもできる一連の「ストック」の定義済みレポートが用意されています。レポートは、複製(「クローン化」)することができ、それを特定の要件に合わせて編集できます。

MARS 内でクエリーとレポートを定義することは、表示したい情報を含めるパラメータ(何を、どこで、いつ、だれがなど)を定義するフィルタを使用する練習になります。


) 非常に汎用的で、大量のデータを処理するクエリーまたはレポートを実行すると、予想外に多くのシステムリソースまたは時間を消費する場合があります。このため、クエリーの範囲を理解しておくことが重要です。クエリーをバッチ クエリーとして実行すると、処理を中止するという手段が残されます。


この章は、次の内容で構成されています。

「クエリーについて」

「クエリー操作」

「リアルタイムでのイベントの表示」

「[Reports]」

クエリーについて

[Query] サブタブからは、レポートをオンデマンド クエリーとしてロードして実行したり、クエリーを定義して実行したりできます。[Query] サブタブには、その他の多くのページに配置されたリンクから移動でき、クエリー基準の一部が自動的に読み込まれます。送信したクエリーは、レポートまたは規則として保存できます。

Global Controller で実行できるクエリーの範囲は、Local Controller でのものとは異なります。この相違点については、次の項で詳しく説明します。

ここでは、次の内容について説明します。

「Global Controller のクエリー インターフェイス」

「Local Controller のクエリー インターフェイス」

「クエリー タイプの選択」

「[Select Query Criteria]」

「クエリー基準の説明」

「クエリーの保存」

Global Controller のクエリー インターフェイス

Global Controller レベルで実行されるクエリーは、Local Controller でのクエリーとよく似ていますが、それに加えて Zone パラメータも持ちます(図 8-1 の項目(1)を参照してください)。Local Controller のゾーンを指定することにより、複数の Local Controller に渡ってクエリーを実行できます。これにより、Global Controller での 1 つのクエリーでゾーンに特化したオブジェクトを選択することが可能になります。

Global Controller からクエリーを送信すると、それは Zone パラメータで指定されている Local Controller へと送り出されます。Local Controller が実際のクエリーを実行し、それを Global Controller に送り返したら、Global Controller が結果をマージして、グローバル レベルでの結果を示します。

図 8-1 Global Controller のクエリー テーブル

 

1

クエリーの実行対象とする Local Controller を含むゾーンを選択する場合に、[Any] をクリックします。

2

クエリー タイプおよび時間範囲の基準を設定する場合にクリックします。「クエリー タイプの選択」を参照してください。

3

クエリー値をデフォルト値に戻す場合は、[Clear] をクリックします。

4

クイック クエリー フィールドを使用すると、フィールドに入力するためのダイアログボックスを開かなくても、IP およびサービスの値を入力できます。

5

フィールド値の下の [Any] をクリックすると、そのフィールドの基準を選択するためのダイアログボックスが表示されます。「[Select Query Criteria]」を参照してください。

6

クエリーは、レポートまたは規則として保存します。

 

 

7

クエリーを実行するには、[Submit Batch] をクリックします。

Zone パラメータ以外については、Global Controller と Local Controller のどちらでもクエリーは同じ方法で実行されます。

Local Controller のクエリー インターフェイス

Local Controller でのクエリーの作成は、Global Controller でのプロセスとほとんど同じですが、唯一の違いとしてゾーンを指定することができません(クエリーは、単純にその Local Controller 上で実行されます)。

次の表で、ローカル クエリーについて詳しく説明します。

図 8-2 Local Controller のクエリー テーブル

 

1

クエリー タイプおよび時間範囲の基準を設定する場合にクリックします。「クエリー タイプの選択」を参照してください。

2

クエリー値をデフォルト値に戻す場合は、[Clear] をクリックします。

3

クイック クエリー フィールドを使用すると、フィールドに入力するためのダイアログボックスを開かなくても、値を入力できます。

4

フィールドに対応するダイアログボックスを開くには、フィールド値をクリックします。「[Select Query Criteria]」を参照してください。

5

クエリーは、レポートまたは規則として保存します。

6

クエリーを実行するには、[Submit Inline] をクリックします。

クエリー タイプの選択

図 8-3 [Query Type] のリンクまたは [Edit] リンクをクリック

 

別のクエリー基準を選択するには、図 8-3 に示すように [Query Type] の リンクまたは [Edit] ボタンをクリックします。下に示す図 8-4 では、クエリーの結果フォーマット、ランク、時間、起動イベントだけを使用するのかどうか、および戻される行の最大数を指定できます。

図 8-4 クエリー基準:結果ページ

 

これらの各パラメータ、およびそれぞれに指定できる値の概略を、以降で詳しく説明します。

ここでは、次の内容について説明します。

「[Result Format]」

「[Order/Rank By]」

「[Filter By Time]」

「[Use Only Firing Events]」

「[Maximum Number of Rows Returned]」

[Result Format]

[Event Type Ranking]:最も多く報告されたイベント タイプを戻します。ランク基準は、少なくとも 1 つのイベント タイプを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Event Type Group Ranking]:定義済みまたはユーザ定義のグループ化されたイベント タイプを戻します。ランク基準は、グループ内の少なくとも 1 つのイベント タイプを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Network Group Ranking]:MARS 内の最上位ネットワーク グループを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。

[Network Ranking]:MARS 内の最上位ネットワークを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。

[Source Network Group Ranking]:MARS 内の最上位送信元ネットワーク グループを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。

[Source Network Ranking]:MARS 内の最上位送信元ネットワークを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。

[Source IP Address Ranking]:送信元 IP アドレスを戻します。ランク基準は、該当する送信元 IP アドレスを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Destination Network Group Ranking]:MARS 内の最上位宛先ネットワーク グループを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。

[Destination Network Ranking]:MARS 内の最上位宛先ネットワークを戻します。ランク基準は、クエリー基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。除外されたネットワークは、すべての結果から除外されます。

[Destination IP Address Ranking]:宛先 IP アドレスを戻します。ランク基準は、該当する宛先 IP アドレスを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Source Port Ranking]:送信元ポートを戻します。ランク基準は、該当する送信元ポートを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Destination Port Ranking]:宛先ポートを戻します。ランク基準は、該当する宛先ポートを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Protocol Ranking]:最も使用されているプロトコルを戻します。ランク基準は、該当するプロトコルを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Reporting Device Ranking]:最もアクティブなレポート デバイスを戻します。ランク基準は、そのデバイスからのイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Reporting Device Type Ranking]:最もアクティブなレポート デバイス タイプを戻します。ランク基準は、該当するタイプのデバイスからのイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Reported User Ranking]:レポート デバイス(Windows クライアント、Solaris クライアントなど)からのユーザ情報を戻します。ランク基準は、報告されたユーザからのイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Matched Rule Ranking]:最上位の起動規則を戻します。ランク基準は、インシデント数です。

[Matched Incident Ranking]:インシデントを戻します。ランク基準は、インシデントの原因となった基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内のリアルタイム送信バイト数です。

[All Matching Sessions]:インシデントを戻します。ランク基準は、インシデントの原因となった基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内のリアルタイム送信バイト数です。

[All Matching Sessions, Custom Columns]:インシデントを戻します。ランク基準は、インシデントの原因となった基準を満たすイベントを含むセッション数、またはクエリー基準を満たすイベントを含むセッション内のリアルタイム送信バイト数です。この結果フォーマットによって返されるカラムの数と順序はカスタマイズできます。詳細については、「クエリーの結果表示のためのカスタム カラムの選択」を参照してください。

[All Matching Events]:イベントを戻します。ランク基準は時間です(最新のものが先頭になります)。この結果タイプでは、結果をリアルタイムで表示できます。

[All Matching Event Raw Messages]:イベントに関連する未処理メッセージを戻します。ランク基準は時間です(最新のものが先頭になります)。この結果タイプでは、結果をリアルタイムで表示できます。

[NAT Connection Report]:NAT 接続を戻します。ランク基準は時間です(最新のものが先頭になります)。

[MAC Address Report]:MAC アドレスを戻します。ランク基準は時間です(最新のものが先頭になります)。

[Unknown Event Report]:MARS が完全に処理していないイベントを戻します。場合によっては、5 タプル(送信元 IP、送信元ポート、宛先 IP、宛先ポート、およびプロトコル)などのイベント情報が存在しないため、リアルタイムでのクエリーを実行できないことがあります。

[Detailed NAC Report]:MARS で受信されてそこに保存されている ACS Syslog メッセージ要素を戻します。

[Order/Rank By]

この基準を選択すると、クエリー結果のランキングまたは順番が決まります。これらの選択内容は、クエリーを実行する際に使用する結果フォーマットの種類によって決まります。

[Session Count]:インシデントの原因となった基準を満たすイベントを含むセッション数です。

[Bytes Transmitted]:クエリー基準を満たすイベントを含むセッション内の送信バイト数です。

[Time]:最新の結果が先頭に表示されます。

[Incident Count]:インシデント数が最大のものが先頭に表示されます。

[Filter By Time]

[Last]:現在時刻からさかのぼる日数、時間、および分を入力します。

 

[Start/End]:現在時刻からさかのぼる日数、時間、および分を入力します。

[Real Time]:少し前の時刻から現在までのリアルタイム結果がローリングして表示されます。[Real Time] で機能する [Result Format] は、次のとおりです。

[All Matching Sessions]

[All Matching Events]

[All Matching Event Raw Messages]

[Real Time] の結果は、通常のブラウザ ウィンドウに表示されます。スクロール バーを移動すると、「ローリング」動作が停止します。ページの下部にある [Resume] ボタンをクリックすると、ローリングが再開します。

図 8-5 [Resume] をクリックしてページのローリングを開始

 

1

表示されている一番上の行

2

表示されている一番下の行

3

開始以降にクエリーを実行された行の総数

4

[Query/Reports] > [Batch Query] ページの [Page Refresh Rate] 設定でこのページが最後にリフレッシュされたときにプルされた新しいクエリー数

[Use Only Firing Events]

情報を戻すインシデントを起動したイベントのみを表示する場合に、選択します。

[Maximum Number of Rows Returned]

表示する最大行数を選択します。

[Select Query Criteria]

初めて [Query Event Data] ページを表示したときには、図 8-2 に示すように、ほとんどの基準がデフォルト設定の [Any] に設定されています。絞り込みたい基準の下の [Any] をクリックすることで、基準をフィルタリングして絞り込むことができます。[Any] をクリックすると、その基準のフィルタリング ページが表示され、そこから適用するフィルタ要素を選択できます。


ステップ 1 対応する [Any] というテキストをクリックして、フィルタリングする基準を選択します。

図 8-6 [Any] をクリックした基準の絞込み:[Destination IP] の場合

 

その基準の入ったフィルタリング ページが表示されます。

ステップ 2 クエリーを実行する項目の横にあるチェックボックスを選択し、[Equal] および [Not Equal] ボタンをクリックして、フィルタの右から左にクエリーを実行する項目を移動します。

図 8-7 変数の選択

 

ステップ 3 フィルタ ページでは、さまざまな変数、イベント、デバイス、アドレスを選択できます。次に示す番号は、上の図の番号に対応します。

1. 選択されている送信元項目を equal から not equal に変更するには、[Sources Selected] フィールド(13)でその項目の横にあるチェックボックスをオンにして項目を選択してから、[Toggle Equal] ボタンをクリックします。

2. [Sources Selected] フィールド内のすべての項目を選択するには、[Select All] をクリックします (注:[Sources Selected] フィールドで強調表示にした項目がある場合に、[Select All] をクリックすると、強調表示された項目の選択が解除されます)。

3. 表示されている場合には、ドロップダウン リストでのフィルタ変数 (すべての変数にドロップダウンリストが表示されるわけではありません)。

4. [Equal] および [Not Equal] ボタンを使用して、[Sources Available] フィールド(7)から [Sources Selected] フィールド(13)に、強調表示された項目を移動します。

5. このドロップダウン リストで、送信元をフィルタリングします。

6. 検索テキストを入力し、[Search] をクリックすると、[Sources Available] リストがフィルタリングされ、検索条件に一致する項目だけが表示されます。その後、そのすべてまたは一部を [Sources Selected] フィールドに移動できます。

7. [Sources Available] リストには、現在選択されている基準を満たす項目が表示されます。

8. [Sources Available] リストに新しい項目を追加するには、[Add] ボタンをクリックします。既存の送信元を編集または削除するには、[Edit] または [Delete] ボタンをクリックします。詳細については、「IP 管理」を参照してください。

9. [Sources Selected] フィールドから項目を削除するには、項目(複数可)をクリックしてから [Remove] ボタンをクリックします。

10. [Sources Selected] フィールドに IP 値を移動するには、[Equal] (Up)アイコンまたは [Not Equal] (Up)アイコンをクリックします。

11. [Sources Selected] フィールドへの IP アドレスまたは範囲を入力するには、[IP] または [Range] の横のオプション ボタンを選択し、対応するフィールドに IP アドレスまたは IP アドレスの範囲を入力します (その後、[Equal] ボタンまたは [Not Equal] ボタンを使用して値をリストに移動します)。

12. [Sources Selected] フィールド内の項目をグループ化するには、項目を選択し、グループ名を入力し、[Grouped As] ボタンをクリックします。

13. 必要なクエリー基準を選択すると、それらが [Sources Selected] フィールド(13)にリストされるので、[Apply] をクリックして [Query] ページに戻ります。

その他のクエリー データにもこの選択手順を繰り返します。

ステップ 4 [Submit] ボタンをクリックして、クエリーを実行します。


 

クエリー基準の説明

次のリストに、[Query Event Data] テーブルの選択内容を示します。

送信元 IP

[Pre NAT source addresses]:入力した制約が、セッション エンドポイントとなるように指定します。

[Post NAT source addresses]:入力した制約が、宛先に表示される送信元となるように指定します。

[ANY]:送信元 IP アドレスに制約はありません。

[Variables]:選択内容に、[All]、[Network Groups]、[All Networks]、[All Devices]、[All IP Addresses] があります。

[IP]:システム内のデバイスに表示される IP アドレス、またはユーザが入力するドット付きの 4 つの数字列。

[Range]:ドットで区切られた 4 つの数字で表される 2 つのアドレスで指定される範囲。

[Networks]:トポロジ的に有効なネットワーク。

[Devices]:システム内にあるホストおよびレポート デバイス。

宛先 IP

[Post NAT destination addresses]:入力した制約が、セッション エンドポイントとなるように指定します。

[Pre NAT destination addresses]:入力した制約が、送信元に表示される宛先となるように指定します。

[ANY]:宛先 IP アドレスに制約はありません。

[Variables]:選択内容に、[All]、[Network Groups]、[All Networks]、[All Devices]、[All IP Addresses] があります。

[IP]:システム内のデバイスに表示される IP アドレス、またはユーザが入力するドット付きの 4 つの数字列。

[Range]:ドットで区切られた 4 つの数字で表される 2 つのアドレスで指定される範囲。

[Networks]:トポロジ的に有効なネットワーク。

[Devices]:システム内にあるホストおよびレポート デバイス。

サービス

[ANY]:送信元または宛先ポート、あるいはプロトコルには制約がありません。

[Service variables]:宛先ポートとプロトコルの特定のセットを示します。同じ変数を持つ複数のクエリーを同時に実行する場合のみ有効です。

[Defined services]:データベースのサービス。これらのサービスは、ユーザによって定義された後にだけリストされます。

イベント

[ANY]:イベント タイプに制約はありません。

[Event types]:タイプにマージされたイベント。

[Event type groups]:イベント タイプのグループ。

デバイス

[Device]:システム内にあるレポート デバイス。これにより、クエリー先は MARS に報告するデバイスのサブセットに制限されます。

報告されたユーザ

[Reported User]:システムの報告されたユーザ。これにより、クエリーが既知のユーザのサブセットに制限され、1 人以上の特定のユーザだけを含むようにできます。

IPS リスク レーティング

[IPS Risk Rating]:これを選択することにより、クエリーを次のように制限できます。

すべてのイベントに一致。

リスク レーティングのないイベントに一致。

指定したリスク レーティングを持つイベントに一致 (値は、特定の範囲で表すこともできれば、ブール演算子で表すこともできます)。図 8-8 を参照してください。

IPS 脅威レーティング

[IPS Threat Rating]:これを選択することにより、クエリーを次のように制限できます。

すべてのイベントに一致。

脅威レーティングのないイベントに一致。

指定した脅威レーティングを持つイベントに一致 (値は、特定の範囲で表すこともできれば、ブール演算子で表すこともできます)。図 8-8 を参照してください。

IPS グローバル相関スコア

[IPS Global Correlation Score]:これを選択することにより、クエリーを次のように制限できます。

すべてのイベントに一致。

グローバル相関スコアのないイベントに一致。

指定したグローバル相関スコアを持つイベントに一致 (値は、特定の範囲で表すこともできれば、ブール演算子で表すこともできます)。図 8-8 を参照してください。

図 8-8 IPS ベースのクエリーの実行

 

キーワード

[Keyword]:この基準を使用すれば、指定したストリングに基づいてクエリーを制限できます。複数のストリングを追加でき、AND/OR/NOT/None などの演算子を使用できます。

図 8-9 フリー形式のクエリーの実行

 

操作

操作フィールドは、クエリー基準としては使用されません。デフォルトの [Any] のままにしておいてください。

規則

空のフィールド - 規則が選択されているフィールド:このフィールドが空の場合は、[ANY] が選択されているように機能します。イベントのサブセットに制約はありません。

[Rule]:クエリー対象を、起動した指定の規則からなるインシデントの原因となったイベントのサブセットに限定します。さらに次の規則基準を指定できるようになります。

アクティブなシステム規則

アクティブなユーザ規則

アクティブでない規則

特定の規則グループ

処理

空のフィールド - 空のアクションが選択されているフィールド :このフィールドが空の場合は、[ANY] が選択されているように機能します。イベントのサブセットに制約はありません。

[Actions]:クエリー対象を、規則からなるインシデントの原因となったイベントのうち、指定された通知がアクションに含まれているイベントのサブセットに限定します

クエリーの保存

クエリー(基準の選択内容)は、レポートとして、または規則として再利用できるように、保存することができます。

[Save as a report]:使用しているクエリーを使用して、レポートを作成します。レポートの作成の詳細については、「「[Reports]」」を参照してください。

[Save as a rule]:[Rules] ページにクエリーを表示して、規則および選択されたクエリー基準を読み込みます。同様に、規則を完了するには追加基準を特定する必要があります。規則の作成の詳細については、「「規則」」を参照してください。

クエリー操作

ここでは、次の内容について説明します。

「クイック クエリーの実行」

「キーワード クエリーの実行」

「バッチ クエリー操作」

「レポートを使用した長期クエリーの実行」

「クエリーの結果表示のためのカスタム カラムの選択」

「[Report] タブでのクエリー結果の表示」

クイック クエリーの実行

クイック クエリー フィールド(「Local Controller のクエリー インターフェイス」 の項目(3))を使用すれば、そのフィールドのダイアログボックスを表示しなくても、IP およびサービス基準を入力できます。これは、クイック クエリーを実行できるシンプルな方法です。

IP またはサービス基準に基づいてクイック クエリーを実行する手順は次のとおりです。


ステップ 1 [Query] サブタブで、クエリー基準フィールドに送信元 IP、宛先 IP、およびサービスを必要な組み合わせで入力します。サービスを入力するには、ポートとプロトコルの組み合わせを入力する必要があります。

ステップ 2 [Apply] ボタンをクリックして、値をクエリー基準テーブルにロードします。

ステップ 3 [Submit Inline] ボタンをクリックして、クエリーを実行します。

クエリーの結果が表示されます。


 

キーワード クエリーの実行

キーワードに基づいて、簡単にクエリーを作成し、実行することができます。


ヒント キーワード クエリーでは、1 度だけ実行するための簡単なクエリーを作成することもできれば、保存してレポートまたは規則として繰り返し使用する(ストリングまたはストリングの組み合わせの包含、結合、排他を指定するような)込み入ったクエリーを作成することもできます。



ステップ 1 送信元 IP、宛先 IP、またはサービスを対応する基準フィールドに入力することにより、必要に応じて、クエリーの範囲を制限します。

ステップ 2 [Query] サブタブで、[Query type] 行の [Edit] (「Local Controller のクエリー インターフェイス」 の項目(2))をクリックします。

a. [Result Format] 基準を調べ、必要に応じて選択内容を変更します。

b. [Order/Rank By] 基準を調べ、必要に応じて選択内容を変更します。

c. [Filter by Time] 基準を調べ、必要に応じて選択内容を変更します。


ヒント [Filter by Time] 基準が検証しようとしている範囲と一致するように設定されていることを確認します。


d. [Use Only Firing Events] 基準を調べ、必要に応じて選択内容を変更します。

e. [Maximum number of rows returned] 基準を調べ、必要に応じて選択内容を変更します。

f. [Apply] をクリックします。

ステップ 3 [Keyword] という見出しの下の [ANY] をクリックします。

図 8-10

 

[Specify raw message keywords:] ボックスが表示されます。

ステップ 4 [Search String] という見出しの下に、クエリーで問い合せる 1 つ以上のストリングを入力し、必要に応じて、[Operation] の下で操作([AND]、[OR]、[NOT])を選択します (リスト内の最終的な項目については、操作を [None] に設定します)。


ヒント ネストされたクエリーを作成するには、括弧アイコン()をクリックして各行に括弧を追加したり、ゴミ箱アイコン()をクリックして括弧を削除したりします。


ステップ 5 [Apply] をクリックします。

ステップ 6 クエリーを実行するには、[Submit Inline] をクリックします。

MARS によってキーワード クエリーが処理され、結果が表示されます。クエリーをレポートとして保存するか、規則として保存するか、またはもう一度送信するためのオプションも使用できます。

ステップ 7 クエリーを保存するには


 

バッチ クエリー操作

ここでは、バッチ クエリーを実行する手順について詳しく説明します。

ここでは、次の内容について説明します。

「バッチ クエリーの定義と実行」

「バッチ クエリーの停止」

「バッチ クエリーの再送信」

「バッチ クエリーの削除」

バッチ クエリーの定義と実行

バッチ クエリーはバックグラウンドで実行され、その定義は [Batch Query] サブタブの下の [Batch Query Selection] リストに記録されます。このリストは、[Report Selection] リストと同じように機能します。以前のバッチ クエリーを実行するには、それを選択してから [Resubmit] をクリックします。詳細については、「レポートの実行」を参照してください。

初めてクエリーを定義したときには、MARS がクエリーの実行に必要な時間を計算し、次の 3 つの結果のいずれかを返します。

[Submit Inline]:クエリーは通常の処理能力内にあることを示します。バッチ クエリーとして実行することはできませんが、レポートとしてクエリーを保存することは可能です。

[Submit Batch]:クエリーが通常の処理能力を超えており、バッチ処理する(バックグラウンドで実行する)必要があることを示します。

[Submit . . .]:クエリーの処理要件が通常の能力の境界にあり、インライン クエリーとバッチ クエリーのどちらで送信してもかまわないことを示します。図 8-11 に示すように、インラインまたはバッチとして実行するオプションが表示されます([Submit Batch] ボタンは [Submit Inline] と一緒に表示されます)。


) [Submit Batch] ボタンが表示されたことは、インライン実行には現在のタイムアウト期間で許されるよりも長い時間がかかる可能性があることを示します。それでもクエリーをインライン モードで実行することにした場合、その実行が完了することは保証できません。


バッチ クエリーを定義して実行する手順は、次のとおりです。


ステップ 1 [Query / Reports] タブをクリックし、[Query] サブタブで、クエリーのタイプと基準を入力します。詳細については、「クエリー タイプの選択」および「[Select Query Criteria]」を参照してください。

ステップ 2 [Submit Batch] または [Submit...] をクリックします。どちらか片方だけが表示されます。[Submit...] をクリックした場合は、次のようなダイアログボックスが表示されます。

図 8-11 クエリーの送信方法の選択

 

クエリーをバッチ クエリーとして送信するには、[Submit Batch] をクリックします。クエリーが送信され、[Batch Query] タブに自動的に移動します。


ヒント クエリーの規模が非常に大きい場合は、[Save as Rule]、[Save as Report]、または [Submit Batch] のオプションのみが表示されます。一方、バッチ処理が必要ない場合は、[Submit Inline] だけが表示されます。



) [Submit Batch] ボタンが表示されたことは、インライン実行には現在のタイムアウト期間で許されるよりも長い時間がかかる可能性があることを示します。それでもクエリーをインライン モードで実行することにした場合、その実行が完了することは保証できません。



) バッチ クエリーがイベントでフィルタリングされるように設定されており、重大度(レッド、イエロー、グリーン)での制限が指定されている場合、[Batch Query] ページにクエリーはリストされますが、重大度の制限は表示されません。バッチ クエリーの結果には、すべての結果および基準が、インライン クエリーの結果と同じフォーマットでリストされます。


図 8-12 バッチ クエリーの選択

 

ステップ 3 クエリーのステータスをリアルタイムで表示するには、ドロップダウン リストを使用して、[Page Refresh Rate] を [Never](デフォルト)から [1 minute]、[3 minutes]、[5 minutes]、[10 minutes]、[15 minutes]、または [30 minutes] に変更します。

ステップ 4 実行中のバッチ クエリーの結果を表示するには、[View Results] をクリックします。この処理は、クエリーの進行中に実行できます。

MARS のユーザ プロファイル内の電子メール アドレスが有効な場合は、バッチ クエリーが完了すると、バッチ クエリーの結果がユーザに電子メールで送信されます。[QUERY / REPORTS] > [Batch Query] > [View Results] の順にクリックして、結果を表示することもできます。


) クエリーの進行中に、[View Results] をクリックすると、その時点までにコンパイルされた結果が再計算されます。これにより、表示に時間がかかるようになる場合があります。



 

バッチ クエリーの停止

バッチ クエリーの停止は、簡単に行えます。一方、インラインで送信されたクエリーを停止する方法はあらいません。


ステップ 1 [QUERY/REPORTS] をクリックし、[Batch Query] タブをクリックします。

ステップ 2 [Stop] をクリックします。

クエリーの [Status] が [Finished] に変わります。


 

バッチ クエリーの再送信

バッチ クエリーを再開する場合は、バッチ クエリーを再送信できます。再送信されたバッチ クエリーは以前の計算結果を使用するため、クエリーを最初に送信した場合よりも高速にクエリーが実行されます。


ステップ 1 [QUERY/REPORTS] をクリックし、[Batch Query] タブをクリックします。

ステップ 2 [Resubmit] をクリックします。

クエリーの [Status] が [In Progress] に変わります。


 

バッチ クエリーの削除


ステップ 1 [QUERY/REPORTS] をクリックし、[Batch Query] タブをクリックします。

ステップ 2 [Delete] をクリックします。

ステップ 3 確認ウィンドウで、[Delete] をクリックして確定します。


) 表示できるのは、自分のバッチ クエリーとその結果だけです。他のユーザのバッチ クエリーとその結果は、自分の画面には表示されません。自分のバッチ クエリーとその結果も、他のユーザの画面には表示されません。



 

レポートを使用した長期クエリーの実行

ここでは、MARS の長期クエリーを作成および表示する方法について説明します。MARS では長期クエリーを次の 2 つの方法で実行できます。

1. 既存レポートを修正します。

利点:

レポートは比較的短時間でコンパイルされます。

長期間に渡って収集されたデータをコンパイルできます。

欠点

このタイプのクエリーを使用できるのは、時間範囲以外のクエリー基準が変更されていない場合のみです。また、併用できるのは、次のレポートに限られます。

Activity: All - Top Destination Ports

Activity: All - Top Destinations

Activity: All - Top Event Types

Activity: All - Top Reporting Devices

Activity: All - Top Sources

Activity: Attacks Seen - Top Reporting Devices

Activity: Denies - Top Destination Ports

Activity: P2P File sharing/Chat - Top Event Types

Activity: Scans - Top Destination Ports

Activity: Scans - Top Destinations

Activity: Unknown Events - All Events

Activity: Web Usage - Top Destinations by Sessions

Activity: Web Usage - Top Sources

Attacks: All - Top Rules Fired

Attacks: All - Top Sources

2. バッチ クエリーを実行します。

利点:

どのクエリー基準も変更できます。

短期間のデータに最適です。

短所

このタイプのクエリーは低速であり、完了までにかなりの時間がかかることがあります。

バッチ クエリーを実行できるのは Admin ユーザだけです。

詳細については、「バッチ クエリーの定義と実行」を参照してください。

MARS のアクティビティを長期間観察する場合は、定期的に(1 時間ごと、1 日ごとなど)実行される既存レポートを、より長い期間実行されるように編集できます。


) 「オンデマンド」でのみ動作するレポートを使用して長期クエリーを実行しようとすると、クエリーを実行した場合と同じ効果になります。長期クエリーではデータをコンパイルする必要があるため、処理に時間がかかることがあります。一方、定期実行レポートのデータは継続的に事前コンパイルされます。


レポートを使用してクエリーを実行する手順は、次のとおりです。


ステップ 1 [QUERY / REPORTS] タブで、[Reports] タブをクリックしてメイン レポート ウィンドウを表示します。

 

図 8-13 メイン レポート ウィンドウ

 

ステップ 2 変更する定期レポートの横にあるオプション ボタンにナビゲートして、それをクリックします(この例では、[Activity: All - Top Destinations] を使用しています)。[Query] カラムをクリックして、レポートを編集します。[Build Report] ウィンドウが表示されます。

図 8-14 [Build Report] ウィンドウ

 

ステップ 3 [Build Report] ウィンドウの下部で、レポート(Activity: All - Top Destinations)がカバーする [Time Range] を、必要な期間に変更します。

ステップ 4 [Submit] ボタンをクリックしてレポートを実行し、メイン レポート ウィンドウに戻ります。


 

クエリーの結果表示のためのカスタム カラムの選択

[All Matching Sessions, Custom Columns] 結果フォーマットを指定するクエリー タイプを持っている場合は、表示のために戻される結果の数と順序を選択できます (詳細については、「クエリー タイプの選択」を参照してください)。

[All Matching Sessions] レポートのカラムの数と順序を設定する手順は、次のとおりです。


ステップ 1 [Query/Report] タブで、[Query Type] 行の [Edit] をクリックします。

図 8-4 が表示されます。

ステップ 2 [Result Format] リストから [All Matching Sessions, Custom Columns] を選択します。

図 8-15 結果ページ:カスタム カラム

 

クエリー基準結果ページの単一の [Order/Rank By] リスト ボックスがあった場所に、一連の [Select Columns] リスト ボックスが表示されます。

ステップ 3 [Select Columns] リスト ボックスを使用して、表示する 1 つ以上のカラムを一番上から選択していきます。


) 結果は、選択した最初のカラムで並べ替えられます。


ステップ 4 必要に応じて、「[Filter By Time]」「[Use Only Firing Events]」、および 「[Maximum Number of Rows Returned]」 の基準を指定します。

ステップ 5 [Apply] をクリックします。


 

[Report] タブでのクエリー結果の表示

[Report] タブにクエリーを表示する手順は、次のとおりです。


ステップ 1 メイン レポート ウィンドウの下部で、レポート(Activity: All - Top Destinations)の横にあるオプション ボタンをクリックします。

次の表のような表示が現れます。

図 8-16 メイン レポート ウィンドウ(下部)

 

ステップ 2 [Reports] ページの下部にあるドロップダウン リストで、次のいずれかを選択します。

[View HTML]:レポートを HTML ファイルとして表示します。

[View CSV]:レポートを CSV(カンマ区切り値)ファイルとして表示します。

ステップ 3 [View Report] ボタンをクリックします。


) [Status] カラムに、レポートの完了したパーセンテージが表示されます。完了していないレポートも表示できますが、必要なデータが含まれていない場合もあります。[Status] カラムは、[Query/Reports] > [Batch Query] ページの [Page Refresh Rate] の設定でページの表示が更新されたときに更新されます。



) 基本的に、MARS アプライアンスの GUI では、ブラウザの表示更新やブラウザのナビゲーション ボタンは使用しないでください。



 

リアルタイムでのイベントの表示

リアルタイム イベント ビューアは、次のようにリアルタイム イベントを表示することを可能にする Local Controller 上でのクエリー オプションです。

View セッション化される前、MARS にストリームされてきたときに、最大 5 秒の遅延で未処理イベントを表示します。

セッション化されたイベント ストリームを表示します。セッション内のイベント数が多い場合には、遅延が長くなる可能性があります。

リアルタイム イベントは、連続的にスクロールされる画面として表示されます。クエリー基準を設定すれば、表示内容をフィルタリングできます。未処理イベントを表示する場合、セッション化は妨げられず、解析されたすべての未処理イベントが、通常の MARS 操作でセッション化されます。

リアルタイム イベント ビューアが表示できるのは、時間を基準にしたランク付けをサポートしている([Order/Rank] フィールドが [Time] に設定されている)クエリー結果フォーマットだけです。これには、次のものが含まれます。

[Matched Incident Ranking]

[All Matching Sessions]

[All Matching Sessions, Custom Columns]

[All Matching Events]

[All Matching Event Raw Messages]

[NAT Connection Report]

[MAC Addresses Report]

[Unknown Event Report]

[Detailed NAC Report]

リアルタイム イベント ビューアの制限事項

リアルタイム イベント ビューアは、Local Controller にしか使用できません。

リアルタイム イベント クエリーは、MARS へのログインに使用されたブラウザ インスタンスから しか 作成できません。リアルタイム クエリーは、元のログイン インスタンスから別に開いたブラウザ インスタンス( Ctrl+N キー、[File] > [New] > [New Window]、または MARS GUI にあるリンクの 右クリック > [Open in New Window] による)から実行すると、信頼性のある結果が得られません。

複数のブラウザ インスタンスで複数のリアルタイム クエリーを同時に操作することは可能ですが、各ブラウザ インスタンスで MARS にログイン しなければなりません 。MARS は、クエリー インスタンスごとに受信イベントのために 1GB の共有バッファを割り当てます。同時に複数のリアルタイム イベント ビューア セッションを実行する場合には、モデルごとに次の制限事項があります。

MARS 20R および 25R は、イベント ビューアが 1 つまでに制限されています。

MARS 20 および 25 は、イベント ビューアが 2 つまでに制限されています。

MARS 50 および 55 は、イベント ビューアが 3 つまでに制限されています。

MARS 100、100e、200、110、110R、および 210 は、イベント ビューアが 5 つまでに制限されています。

Local Controller でのリアルタイム イベント ビューアの呼び出し

リアルタイム イベント ビューアを呼び出す手順は、次のとおりです。


ステップ 1 図 8-17 に示す [Query] ホーム ページにナビゲートします。

図 8-17 [Query] ホームページ

 

ステップ 2 [Edit] をクリックします。図 8-18 に示すような、クエリーの編集ダイアログが表示されます。

図 8-18 リアルタイム イベント ビューアのクエリーの設定

 

ステップ 3 次のサブステップを実行します。

a. [Result Format] ドロップダウン リストから、時間を基準にランク付けできるフォーマットを選択します。

グレーに表示されて選択不可になっていた [Real Time] オプション ボタンがクリックできるようになります。

b. [Real Time] オプション ボタンをクリックし、ドロップダウン リストから [Raw events] または [Sessionized Events] を選択します。

[Raw events] オプションを持つのは、[All Matching Events] と [All Matching Events Raw Messages] だけです。

[Raw events] を選択した [All Matching Events] では、[Event ID]、[Event Type]、[Source IP/Port]、[Destination IP/Port]、[Protocol Time]、および [Reporting Device] がフィールドとして表示されます。

[Raw events] を選択した [All Matching Events Raw Messages] では、[Event ID]、[Event Type]、[Time]、[Reporting Device]、および [Raw Message] がフィールドとして表示されます。

[Sessionized Events] オプションを選択した結果フォーマットでは、[Event/Session/Incident ID]、[Event Type]、[Source IP/Port]、[Destination IP/Port]、[Protocol]、[Time]、[Reporting Device]、[Path/Mitigation]、および [Tune] がフィールドとして表示されます。

c. [Apply] をクリックします。

図 8-19 に示すような [Save as Report] ボタンと [Save as Rule] ボタンがグレーで選択不可になった [Query Event Data] 画面が表示されます。

図 8-19 リアルタイム イベント クエリーの送信

 

ステップ 4 必要に応じて [Query Event Data] フィルタのパラメータを変更し、[Submit] をクリックします。


) [Query Event Data] フィルタの [Operation] パラメータ、[Rule] パラメータ、および [Action] パラメータは、リアルタイム イベント ビューアには機能しません。


図 8-20 に示すように、5 秒以内にリアルタイムの結果がページの下から上へとスクロールされ始めます。この例では、リアルタイムの未処理イベントが表示されています。

図 8-20 リアルタイムでのイベントの表示

 

リアルタイム イベント ビューアの表示は、次のコントロールによって制御されます。

[Scroll Speed]:4 つのスクロール速度からいずれかを選択します。

スクロール バー:表示可能なイベント リストを上下にスクロールできます。

[Pause] ボタン:スクロール表示を一時停止します。

[Restart] ボタン:表示を現在の時間から再開始します。このボタンは、スクロール表示を一時停止した場合に表示されます。

[Resume] ボタン:表示を一時停止した時点から再開始します。このボタンは、スクロール表示を一時停止した場合に表示されます。

[Clear]:リアルタイム クエリーを停止します。

[Number of Rows]:リストに表示する行数を選択します。指定できる範囲は、1 ~ 200 行です。

[Set Rows] ボタン:表示の行数を [Number of Rows] フィールドに入力した値に設定します。


) [Pause] や [Resume] のクリック、[Scroll Speed] の設定は、MARS GUI のタイムアウト間隔をリセットしない GUI 操作です。これらの操作は、GUI のタイムアウトを止めません。


ステップ 5 リアルタイム イベント レコード内のアクティブなリンクをクリックすると、関連ポップアップ ウィンドウが表示されます。たとえば、図 8-21 に示すような [Reporting Device Information] ポップアップ ウィンドウなどが表示されます。

図 8-21 [Reporting Device Information] ポップアップ ウィンドウ

 

イベントの表示中にエラーが発生すると、図 8-22 に示すようなメッセージ ボックスが表示されます。

図 8-22 リアルタイム イベント ビューアのエラー メッセージ

 

[OK] をクリックしてメッセージ ボックスを閉じ、[Submit] をクリックして、リアルタイム イベント ビューアを再開始させてください。


ヒント [Submit] をクリックするか、または [Pause] と [Restart] をクリックしてリアルタイム イベント ビューアを再初期化すれば、いつでも最新のリアルタイム イベントを表示できます。一番新しいイベントは、常に出力キューの一番下に表示され、その表示したときの新しさは、キュー内のイベントの数および表示のスクロール速度によって制限されます。



 

[Reports]

[Reports] ページを使用すると、繰り返し可能なクエリーの作成、現在のレポートの編集および削除、レポートの実行、レポートの HTML 形式や CSV(カンマ区切り値)形式での表示が可能になります。

レポートは、指定したスケジュールで自動的に実行されるように設定することもできれば(スケジュールされたレポート)、クエリーのように手動で実行することもできます(オンデマンド レポート)。オンデマンド レポートは、MARS データベースに保存されている指定されたレポート期間のデータから一致するデータを収集して、結果を表示します。スケジュールされたレポートは、MARS メモリから一致するデータを継続して収集し、MARS データベースにはアクセスしません。スケジュールされたレポートは、レポートが作成された時点から、一致するデータの収集を開始します。まだメモリ内にあるけれども、レポートの作成よりも前に受け取ったデータは収集されません。スケジュールされたレポートは、データベース操作を行わないため、オンデマンド レポートよりもパフォーマンスがよくなります。


) スケジュールされたレポートのデータ収集はレポートが作成された時点から開始するため、ユーザ設定のスケジュールされたレポートは、スケジュールされたレポートが作成された時点よりも前に MARS が受け取ったデータが必要であったりすると、完全な結果を返さない可能性があります。


ここでは、次の内容について説明します。

「Global Controller のレポート」

「Local Controller のレポート」

「レポート タイプ ビュー:Total、Peak、Recent の比較」

「レポートのチャートとグラフ」

「レポートの作成」

「既存レポートへの操作」

Global Controller のレポート

Global Controller レベルで実行されるレポートは、Local Controller でのものとよく似ていますが、それに加えて [Zone Collapsing] パラメータを持ちます。Local Controller のゾーンを指定することにより、複数の Local Controller に渡ってレポートを実行できます。これにより、Global Controller での 1 つのレポートでゾーンに特化したオブジェクトを選択することが可能になります。

Global Controller からレポートを送信すると、レポート要求は、その Global Controller によって監視されている Local Controller に送信されます。各 Local Controller がレポートを生成し、サマリー データを Global Controller に送り返します。Global Controller は、この結果をグローバル レベルでマージします。マージされたレポートは、Global Controller 上でのレポート定義によって定義されているすべての受信者に送信されます。

Local Controller のレポート

定義済みのシステム レポートはグローバル レポートとして処理されます。Global Controller を Local Controller に接続すると、Global Controller はレポート データを受け取ります。以前(その Local Controller を管理し始める前)のレポート結果は、Global Controller にプッシュされません。したがって、レポートを表示しても、Local Controller がアクティブになる前の情報は表示されません。

レポート タイプ ビュー:Total、Peak、Recent の比較

アラートが発生して、プライオリティが高いインシデントの最新ビューが表示された場合は、レポートによってセッションを集約し、さまざまなビューで表示できます。レポートは、次の 3 つの要因を相関付けます。

[Period of time]:分析するセッション データの境界を記録時刻に基づいて定義します。

[Query criteria]:集約対象となる一連のセッションを、指定した基準と一致するセッションに限定します。基準には送信元アドレス、宛先アドレス、ネットワーク サービス、イベント、報告されたユーザ、レポート デバイスなどがあります。

[View type]:一致したデータを重要なレポート ビュー(関心のある調査タイプと一致するレポート ビュー)に集約する方法を定義します。


) 各ビュー タイプでは、レポート基準を調整して、予期されるアクティビティ(既知のデータ)を除外できます。このアクティビティをフィルタリングするには、クエリー基準を調整します。これらの基準は、ネットワークごとに調整する必要があります。ネットワークの標準トラフィック フロー以外の動作を検出する場合に、レポートが役立ちます。予期されるアクティビティを判別するには、フィルタリングしないレポートを使用して、結果を標準ネットワークの使用状況と比較検討します。


MARS には 3 つのビュー タイプがあり、それぞれ、一致したセッション数がユーザによって定義された最大数 N に制限されます。これらのビュー タイプは、次のとおりです。

[Total View]: クエリー基準と一致する結果タイプごとに、指定期間内に発生した結果タイプの個数をカウントします。一致した結果タイプをセッション数でランク付けし(指定期間内の発生頻度が最も高いセッションを基準とする)、上位 N 個の合計数を表示します。これらのレポートを使用して、調査対象セッションに対するネットワーク状態を判別します。たとえば、このビューを使用すると、頻繁に発生する攻撃を識別できます。このビューにはネットワーク アクティビティの増加が反映されません。発生頻度が上位の結果タイプが表示されるだけです。


) [CSV]: トータル ビューを生成しますが、レポートは別のツールやスクリプトで処理できるように、CSV 形式で表示されます。このオプションの目的は、後処理が必要な電子メール通知に使用することです。


[Peak View]: MARS では、すべてのレポートの結果データが 10 分のタイム スライスに格納されます。ピーク ビューは指定期間内の 10 分間のタイム スライスをそれぞれ調べて、特定の結果タイプに関して一致したセッションが最も多く含まれているタイム スライスを特定します。同様に、他のピークに対して一意の結果タイプをそれぞれ識別する期間内ピークがさらに 9 つ決定されます。

各ピーク値を他の 9 つのピークと比較するチャートが作成されます。ピーク ビューには、ピーク値を含むタイム スライスごとに、一致した結果タイプのうちの上位 N 個が表示されます。同じタイム スライスに複数のピークが含まれることがあります。これは、ピークごとに一意とならなければならないのがタイム スライスでなく、結果タイプであるためです。


) このビュー内で結果タイプを検出するには、その結果タイプのピークが標準トラフィックを超えていなければなりません。したがって、予期されるトラフィックを除外するように、クエリー データを調整する必要があります。


トータル ビューと異なり、ピーク ビューは発生した結果全体の上位に着目するのではなく、短期間に発生する大量のトラフィックを識別します。このビューの目的は、標準トラフィックの使用率を低下させる、ネットワーク上の一時的なトラフィック バーストを検出することです。これらのバーストは、ワームの急増など、想定される問題を識別します。

[Recent View]: このビューはトータル ビューと似ていますが、直前の 1 時間に発生した結果タイプのうちの上位 N 個を識別する点が異なります。選択した期間に渡って、発生したこれらの結果タイプがすべてプロットされます。

レポートのチャートとグラフ

チャートには、次の 3 つのタイプがあります。

[Bar Chart]: トップ セッションとカウントのサマリー。

[Pie Chart]

[Graphs]:イベント/時間。


) 過去のピーク値は、それが最新の上位 10 の結果に入らない限り、表示されません。また、特定のタイム スライス内の上位 10 のすべての項目がグラフ化されるわけではありません。



) レポートの一部として表示されるチャートは、最も重要な最大 10 個の項目を強調します。重要な項目が 10 個に満たない場合は、


レポートの作成

[Query] ページを使用してレポートを作成したり、[Reports] ページでゼロからレポートを作成したりすることができます。ここでは、[Reports] ページでの Local Controller レポートおよび Global Controller レポートの作成を詳しく説明しますが、ここでの説明は、レポートの編集や [Query] ページでのレポートの作成にも当てはまります。

ここでは、次の内容について説明します。

「新しい Local Controller レポートの作成」

「新しい Global Controller レポートの作成」

新しい Local Controller レポートの作成


ステップ 1 [Reports] ページで、[Add] をクリックします。

ステップ 2 [Report Name] フィールドと [Report Description] フィールドに、レポートの名前と説明をそれぞれ入力します。[Next] をクリックします。

ステップ 3 レポートのスケジュール パラメータを選択します。

ステップ 4 レポートのビュー タイプを選択します。これらのレポートは電子メールで受け取ったり、UI に表示できます。[Total View]、[Peak View]、[Recent View]、および [CSV] を選択できます(「レポート タイプ ビュー:Total、Peak、Recent の比較」 を参照してください)。[Next] ボタンをクリックします。

ステップ 5 ユーザ グループを展開し、ユーザまたはユーザ グループをクリックしてから [Add] ボタンをクリックし、[Recipients Available] フィールドでユーザを選択します。詳細については、「グリーンフィールド マルチボックス展開」を参照してください。

ステップ 6 必要に応じて、その他のユーザにも同じ手順を繰り返します。[Next] ボタンをクリックします。

ステップ 7 クエリーを作成または修正します。クエリーの時間範囲を編集するには、レポート タイプのリンクをクリックするか、[Edit] ボタンをクリックします。クエリー パラメータの詳細については、「[Result Format]」 を、クエリー作成の詳細については、「クエリー基準の説明」 を参照してください。[Apply] をクリックして、変更を保存します。クエリーが完了したら、[Next] をクリックします。

ステップ 8 [Submit] をクリックして、レポートを保存します。


 

新しい Global Controller レポートの作成


ステップ 1 [Reports] ページで、[Add] をクリックします。

ステップ 2 [Report Name] フィールドと [Report Description] フィールドに、レポートの名前と説明をそれぞれ入力します。[Next] をクリックします。

ステップ 3 レポートのスケジュール パラメータを選択します。

ステップ 4 レポートの出力のフォーマットを選択します。[View Type and Zone Collapsing] の下で、次のいずれかを選択します。

[Total View/Sum Zones]:このビューは、指定された時間範囲に渡っての上位 N 個の結果を合計したトータルを表示します。

[Total View/List Zones]:このビューは、ゾーンごとにグループ化して、指定された時間範囲に渡っての上位 N 個トータルを表示します。

[Peak View/Sum Zones]:このビューは、時間範囲内で最も大きい上位 10 個の結果を検索し、それらのピークが発生したときの上位 10 個の結果を表示します。

[Peak View/List Zones]:このビューは、ゾーンごとにグループ化して、時間範囲内で最も大きい上位 10 個の結果を検索し、それらのピークが発生したときの上位 10 個の結果を表示します。

[Recent View/Sum Zones]:このビューは、直前の 1 時間から上位 N 個の結果を検索し、それらを指定された時間範囲に渡ってのその合計したトータルと対比させて表示します。

[Recent View/List Zones]:このビューは、ゾーンごとにグループ化して、直前の 1 時間から上位 N 個の結果を検索し、それらを指定された時間範囲に渡ってのその合計したトータルと対比させて表示します。

[CSV/Sum Zones]:このビューは、上位 N 個の結果の合計したトータルをカンマ区切り値ファイルとして表示します (「レポート タイプ ビュー:Total、Peak、Recent の比較」 を参照)。

[CSV/List Zones]:このビューは、ゾーンごとにグループ化して、上位 N 個の結果の合計したトータルをカンマ区切り値ファイルとして表示します (「レポート タイプ ビュー:Total、Peak、Recent の比較」 を参照)。

ステップ 5 [Next] をクリックします。

ステップ 6 ユーザ グループを展開し、ユーザまたはユーザ グループをクリックしてから [Add] をクリックすることにより、[Recipients Available] フィールドでユーザを選択します。詳細については、「グリーンフィールド マルチボックス展開」を参照してください。

ステップ 7 その他のユーザにもステップ 6 を繰り返します。

ステップ 8 [Next] をクリックします。

ステップ 9 クエリーを作成または修正します。クエリーの時間範囲を編集するには、レポート タイプのリンクをクリックするか、[Edit] をクリックします。

ステップ 10 [Apply] をクリックして、変更を保存します。クエリーが完了したら、[Next] をクリックします。

ステップ 11 [Submit] をクリックして、レポートを保存します。


 

既存レポートへの操作

ここでは、既存レポートに実行する操作について詳しく説明します。

ここでは、次の内容について説明します。

「レポートの表示」

「レポートの実行」

「レポートの削除」

「レポートの編集」

「レポートの複製」

レポートの表示

この手順では、定期的に実行されるようにスケジューリングされているレポートの結果を表示できます。


ステップ 1 レポートの横にあるオプション ボタンをクリックします。

ステップ 2 ページの下部にあるドロップダウン リストで、次のいずれかを選択します。

[View HTML]:レポートを HTML ファイルとして表示します。

[View CSV]:レポートを CSV ファイルとして表示します。

ステップ 3 [View Report] ボタンをクリックします。


) レポートを CSV ファイルとして表示するように選択した場合は、ファイルをコンピュータに保存し、サードパーティ製アプリケーションで CSV ファイルを開く必要があります。



 

レポートの実行

この手順では、定義されているスケジュールを変更して、ただちにレポートを実行させることができます。


ステップ 1 レポートの横にあるオプション ボタンをクリックします。

ステップ 2 [Resubmit] ボタンをクリックします。


) キャッシングに問題が生じるため、時間範囲が 1 時間未満のレポートを作成することは推奨されていません。



ヒント 結果を表示するには、[View Report] をクリックします。



 

レポートの削除


ステップ 1 レポートの横にあるオプション ボタンをクリックします。

ステップ 2 [Delete] ボタンをクリックして、レポートを削除します。

ステップ 3 [Delete Confirmation] ページで [Delete] をクリックします。


 

レポートの編集

システムによって生成されたレポートは編集できません。以前に生成されたレポートを微調整するには、レポート基準を編集します。


) 既存のレポートをコピーしてから編集する方法については、「レポートの複製」の手順を参照してください。



ステップ 1 レポートの横にあるオプション ボタンをクリックします。

ステップ 2 [Edit] ボタンをクリックして、レポートを編集します。

ステップ 3 [Previous] ボタンと [Next] ボタンを使用するか、レポート基準をクリックして、ナビゲートします。

図 8-23 基準をクリックすることによる [Recipients] カラムへのナビゲート

 

ステップ 4 レポートを編集し、[Apply] ボタンをクリックして、レポートに変更を適用します。

ステップ 5 [Submit] ボタンをクリックして、レポートを完成させます。


) レポートのクエリー基準を変更しても、新しい結果は再生成されません。編集された新しい基準のベースとなっているのは、以前に生成されたレポートです。特定の IP 送信元を除外するなど、特定の状況では、新しいレポートを作成する必要があります。



) グローバルに生成されたレポートの電子メール通知は、Local Controller からでなく、Global Controller から送信されます。



 

レポートの複製

どのレポートも、複製(つまり「コピー」)して、新しいレポートのテンプレートとすることができます。既存のレポート仕様を複製して保存した後、その新しいレポートの仕様を必要に応じて編集できます。多くの場合、このアプローチは、新しいレポートを作成する方法として、一からレポートを作成するよりも効率的です。


ステップ 1 レポートの横にあるオプション ボタンをクリックします。

ステップ 2 [Duplicate] をクリックして、レポートを複製します。

複製されたレポートが、レポートのリストに表示されます。レポートの名前の後ろに「copied: [yy.mm.dd/hh.mm/ss]」という文字が追加されています。

ステップ 3 必要に応じてレポートを編集し、保存(または実行)します (詳細については、「レポートの編集」を参照してください)。