イベントを検索するときは、次の一般的な注意事項を順守してください。

• 多くのフィールドでは、部分一致検索にワイルドカードが必要です。これらの検索では、すべてのフィールドでワイルドカードを使用できます。

  検索で使用するワイルドカードと記号を参照してください。

• すべてのフィールドで否定（!）を使用できます。

• すべてのフィールドで検索値のカンマ区切りリストを使用できます。指定したフィールドにリストされた値のいずれかを含むレコードは、その検索条件に一致します。

• すべてのフィールドで、引用符で囲んだカンマ区切りリストを検索値として使用できます。

  • 値を 1 つのみ含むことができるフィールドの場合、検索条件に一致するのは、指定したフィールドに引用符内の文字列と同じ文字列が含まれるレコードです。たとえば、A, B, "C, D, E" を検索すると、指定したフィールドに「A」または「B」または「C, D, E」を含むレコードが一致します。これにより、使用できる値にカンマを含むフィールドでの一致が可能です。

  • 同時に複数の値を含むことができるフィールドの場合、引用符で囲んだカンマ区切りリスト内のすべての値が指定したフィールドに含まれるレコードが検索条件に一致します。

  • 同時に複数の値を含むことができるフィールドについては、引用符で囲んだカンマ区切りリストだけでなく、単一の値も検索条件に使用することができます。たとえば、A, B, "C, D, E" をこれらの文字の 1 つまたは複数を含むことができるフィールドで検索すると、指定したフィールドに A または B、または C、D、E のすべてを含むレコードが一致します。

• フィールドでその情報を利用できないイベントを示すには、そのフィールドで n/a を指定します。フィールドに情報が入力されているイベントを示すには !n/a を使用します。

• 多くの数値フィールドの前には、より大きい（>）、以上（>=）、より小さい（<）、以下（<=）、等しい（=）または等しくない（<>）の演算子を付けることができます。

ヒント	長い複雑な値を（SHA-256 ハッシュ値など）を含むフィールドを検索する場合は、ソース資料から検索基準値をコピーし、検索ページの適切なフィールドに貼り付けることができます。

接続イベントとセキュリティ インテリジェンス イベントのすべてのテキストフィールド、および他のイベントタイプのほとんどのテキストフィールドを検索する場合、テキストフィールドで部分一致を検索するには、文字列内の指定されていない文字を表すためにアスタリスク（*）が必要です。アスタリスクを使用しない検索は、これらのフィールドでの完全一致検索になります。ワイルドカードを必要としないフィールドでも、部分一致検索には常にワイルドカードを使用することを推奨します。

たとえば、example.com、www.example.com、または department.example.com を見つけるには、*.example.com で検索します。example.com で検索すると、ほとんどの場合、example.com のみが返されます。

英数字以外の文字（アスタリスク文字を含む）を検索するには、検索文字列を引用符で囲みます。たとえば、次の文字列を検索するとします。

Find an asterisk (*)

次のように入力します。

"Find an asterisk (*)"

システムでは、ネットワーク構成の一部として使用可能な名前付きオブジェクト、オブジェクトグループ、およびアプリケーションフィルタを作成できます。検索を実行または保存するときには、検索条件としてこれらのオブジェクト、グループ、およびフィルタを使用できます。

検索を実行するときに、オブジェクト、オブジェクト グループ、およびアプリケーション フィルタは ${object_name} という形式で表示されます。たとえば、オブジェクト名 ten_ten_network であるネットワーク オブジェクトは、検索では ${ten_ten_network} と表されます。

検索基準としてオブジェクトを使用できる検索フィールドの横には [オブジェクト（Object）]（） が表示され、これをクリックすることができます。

時間値を指定できる検索条件フィールドで使用可能な形式を、次の表に示します。

時間値の前に、以下のいずれか 1 つの演算子を指定できます。

検索で IP アドレスを指定するときには、個別の IP アドレス、複数アドレスのカンマ区切りリスト、アドレス ブロック、またはハイフン（-）で区切った IP アドレス範囲を入力することができます。また、否定を使用することもできます。

IPv6 をサポートする検索（侵入イベント、接続データ、相関イベントの検索など）では、IPv4 アドレス、IPv6 アドレス、および CIDR/プレフィックス長アドレス ブロックを任意に組み合わせて入力できます。IP アドレスを使用してホストを検索した場合、結果には、少なくとも 1 つの IP アドレスが検索条件と一致するホストがすべて含まれます（つまり、IPv6 のアドレスの検索では、プライマリ アドレスが IPv4 であるホストが返されることがあります）。

CIDR またはプレフィックス長の表記を使用して IP アドレスのブロックを指定する場合、システムは、マスクまたはプレフィックス長で指定されたネットワーク IP アドレスの部分のみを使用します。たとえば、10.1.2.3/8 と入力すると、システムは 10.0.0.0/8 を使用します。

IP アドレスをネットワークオブジェクトによって表すことができるため、IP アドレス検索フィールドの横にあるネットワークの追加の[オブジェクト（Object）]（）をクリックして、ネットワークオブジェクトを IP アドレス検索基準として使用することもできます。

デバイスをグループ化している場合（Management Center で、または実際の高可用性設定あるいは拡張性設定として）、グループの名前を検索すると、グループ内のすべてのデバイスに対する結果が正しく返されます。

システムでグループ、の一致が検出されると、検索を実行するために、そのグループ名名が適切なメンバー デバイス名に置き換えられます。デバイス フィールドのデバイス グループを使用する検索を保存すると、デバイス フィールドで指定した名前がシステムによって保存され、検索が実行されるたびにデバイス名の置換が再度実行されます。

システムでは、ポート番号を表す特定の構文を検索で指定できます。次の入力が可能です。

• 1 つのポート番号

• コンマで区切られたポート番号リスト

• ポート番号範囲を示すのにダッシュで区切られた 2 つのポート番号

• 1 つのポート番号の後に、スラッシュで区切られたプロトコル省略形（侵入イベントを検索する場合のみ）

• 1 つのポート番号またはポート番号範囲の前に 1 つの感嘆符（指定されたポートの否定を表す）

（注）	ポート番号や範囲を指定するときには、スペースを使用しないでください。

• 監査ログのワークフロー フィールド

• アプリケーション データ フィールド

• アプリケーションの詳細データ フィールド

• キャプチャされたファイルのフィールド

• 許可（Allow）リストイベントのフィールド

• 接続およびセキュリティ関連の接続イベントフィールド

• 相関イベントのフィールド

• ディスカバリ イベントのフィールド

• [ヘルス イベント（Health Events）] テーブル

• ホスト属性データ フィールド

• ホスト データ フィールド

• ファイルおよびマルウェア イベント フィールド

• 侵入イベント フィールド

• 侵入ルール更新のログの詳細

• 修復ステータスのテーブル フィールド

• Cisco Secure Firewall Management Center デバイス構成ガイドの「Nmap Scan Results Fields」を参照してください

• サーバー データ フィールド

• サードパーティの脆弱性データのフィールド

• ユーザー関連フィールド

• 脆弱性データのフィールド

• 許可（Allow）リスト違反のフィールド