付録B　クエリーの作成

この付録では、MARS の長期クエリーを作成および表示する方法について説明します。MARS では長期クエリーを 2 つの方法で実行できます。

1. 既存レポートを変更します。

利点：

・レポートが比較的短時間でコンパイルされます。

・長期間にわたり収集されたデータをコンパイルできます。

欠点：

このタイプのクエリーを使用できるのは、時間範囲以外のクエリー基準が変更されていない場合のみです。また、併用できるのは、次のレポートに限られます。

・Activity:All - Top Destination Ports

・Activity:All - Top Destinations

・Activity:All - Top Event Types

・Activity:All - Top Reporting Devices

・Activity:All - Top Sources

・Activity:Attacks Seen - Top Reporting Devices

・Activity:Denies - Top Destination Ports

・Activity:P2P Filesharing/Chat - Top Event Types

・Activity:Scans - Top Destination Ports

・Activity:Scans - Top Destinations

・Activity:Unknown Events - All Events

・Activity:Web Usage - Top Destinations by Sessions

・Activity:Web Usage - Top Sources

・Attacks:All - Top Rules Fired

・Attacks:All - Top Sources

2. バッチ クエリーを実行します。

利点：

・どのクエリー基準でも変更できます。

・短期間のデータに最適です。

欠点：

・このタイプのクエリーは低速であり、完了までにかなりの時間がかかることがあります。

・バッチ クエリーを実行できるのは管理ユーザのみです。

この付録では、両方の長期クエリー方式について説明します。

レポートを使用した長期クエリーの実行

MARS のアクティビティを長期間観察する場合は、定期的に実行される既存レポートの期間（1 時間ごと、1 日ごとなど）を変更する必要があります。レポートが出荷時に MARS に付属していたか、あるいはユーザが作成したかには関係しません。

注 「オンデマンド」でのみ動作するレポートを使用して長期クエリーを実行しようとすると、クエリーを実行した場合と同じ効果になります。長期クエリーではデータをコンパイルする必要があるため、処理に時間がかかることがあります。一方、定期実行レポートのデータは継続的に事前コンパイルされます。

レポートを使用してクエリーを実行する手順は、次のとおりです。

ステップ 1 QUERY / REPORTS タブで、Reports タブをクリックしてメイン レポート ウィンドウを取得します。

図 B-1 メイン レポート ウィンドウ

ステップ 2 変更する定期レポートの横にあるオプション ボタンにナビゲートして、クリックします（この例では、Activity:All - Top Destinations を使用します）。Query カラムをクリックして、レポートを編集します。Build Report ウィンドウが表示されます。

図 B-2 Build Report ウィンドウ

ステップ 3 Build Report ウィンドウの下部で、レポート（Activity:All - Top Destinations）の対象となる Time Range を、目的の期間に変更します。

ステップ 4 Submit ボタンをクリックしてレポートを実行し、メイン レポート ウィンドウに戻ります。

Report タブでのクエリー結果の表示

Report タブにクエリーを表示する手順は、次のとおりです。

図 B-3 メイン レポート ウィンドウ（下部）

ステップ 1 メイン レポート ウィンドウの下部で、レポート（Activity:All - Top Destinations）の横にあるオプション ボタンをクリックします。

ステップ 2 Reports ページの下部にあるドロップダウン リストで、次のいずれかを選択します。

・View HTML：レポートを HTML ファイルとして表示します。

・View CSV：レポートを CSV（カンマ区切り値）ファイルとして表示します。

ステップ 3 View Report ボタンをクリックします。

注 レポートの Status カラムにより、レポートが終了したかどうかを確認してから表示できます。完了していないレポートを表示できますが、調査対象のデータの一部が含まれないことがあります。画面をリフレッシュして、Status カラムを更新することもできます。

バッチ クエリーの実行

このタイプの長期クエリーは実行に時間がかかることがあるため、短期間のデータに適しています。

注 バッチ クエリーを実行できるのは管理ユーザのみです。

バッチ クエリーの実行手順は、次のとおりです。

ステップ 1 QUERY / REPORTS > Query タブをクリックします。Query ウィンドウが表示されます。

図 B-4 Query ウィンドウ

ステップ 2 Query ウィンドウで Edit ボタンをクリックして、クエリー基準を変更します。Query Event Data ウィンドウが表示されます。

図 B-5 Query Event Data ウィンドウ

ステップ 3 Query Event Data ウィンドウで、クエリー基準を変更できます（クエリー基準の詳細については、「インシデントの調査」を参照）。各パラメータをクリックすると、クエリーの性質を変更できます。この場合は、送信元 IP アドレスを 10.1.1.6、保存済みの宛先 IP アドレス範囲を mygroup として指定し、クエリー期間を過去 2 日間に設定します。いずれかの Apply ボタンをクリックして、変更をクエリーに適用します。Query Save/Submit ウィンドウが表示されます。

図 B-6 Query Save/Submit ウィンドウ

ステップ 4 Query Save/Submit ウィンドウに、Save as Rule、Save as Report、または Submit Batch のオプションから選択するように求めるメッセージが表示されます。クエリーをバッチ クエリーとして送信するには、Submit Batch をクリックします。クエリーが送信され、Batch Query タブに自動的に移動します。

図 B-7 Batch Query タブ

ステップ 5 クエリーのステータスをリアルタイムで表示するには、Batch Query タブのドロップダウン リストを使用して、Page Refresh Rate を Never（デフォルト）から 1、3、5、10、15、または 30 分に変更します。

ステップ 6 動作中のバッチ クエリーの結果を表示するには、目的のクエリーの横にあるオプション ボタン（グリーンに強調表示）をクリックして、View Results をクリックします。この処理は、クエリーの進行中に実行できます。

MARS のユーザ プロファイル内の電子メール アドレスが有効な場合は、クエリーが完了すると、バッチ クエリーの結果がユーザに電子メールで送信されます。また、QUERY / REPORTS > Batch Query > View Results の順にクリックして、バッチ クエリーの結果を表示できます。

注 クエリーの進行中に、View Results をクリックすると、その時点までにコンパイルされた結果が再計算されます。この処理を実行すると、結果をコンパイルした場合よりも、表示に時間がかかることがあります。