Searchアプリを使用すると、データと検出結果をクエリできます。
ヒント
|
次の表に、さまざまな検索構文の概要と文字列の例を示します。
フィールドベースの検索構文
検索対象
|
説明
|
サポートされるフィールドタイプ
|
検索構文
|
例
|
||||
部分一致
|
指定したフィールドで検索文字列を含むすべての結果を表示します。
|
|
|
endpointName: Windows エンドポイント名に「windows」を含むすべての結果を返します。
endpointName: *windows\/app* エンドポイント名に「windows/app」を含むすべての結果を返します。
|
||||
完全一致
|
指定したフィールドで、指定した検索文字列と完全に一致するすべての結果を表示します。
|
|
<field_name>: "<search_string>" |
endpointName: "john_doe" エンドポイント名が「john_doe」の結果のみを返します。
|
||||
ワイルドカード検索
|
次のワイルドカード文字の代わりに使用されるフィールド値に一致する結果が表示されます。
|
|
<field_name>: <search_string>* |
endpointName: "john*" エンドポイント名の最初の4文字に「john」を含むすべての結果を返します。
結果の例: "john"、"john_doe"、"johndoe"、"johnd"
|
||||
範囲演算子
|
次の演算子を使用して、複数のフィールドに指定された要件に一致するすべての結果を表示します。
|
|
<field_name> <range_operator> <number> |
"dpt >= 80" AND "dpt <= 443" ログデータに80以上443以下の整数が含まれる結果のみを返します。
|
||||
Regex
|
正規表現に一致するすべての結果が表示されます。値はフィールド内の任意の場所と一致します。
詳細については、次を参照してください。検索クエリでの正規表現の使用 。
|
|
<field_name>: /<search_string>/ |
endpointHostName: /\\w*(trend|trendmicro)\.com/ |
自由な検索構文
検索対象
|
説明
|
検索構文
|
例
|
||||
部分一致
|
いずれかのデータフィールドに検索文字列を含むすべての結果が表示されます。
|
|
"john" いずれかのデータフィールドに文字列
[ジョン]を含むすべての結果を返します。 |
||||
完全一致
|
使用不可
|
-
|
-
|
論理演算子と特殊文字
オペレータの種類
|
説明
|
サポートされている検索の種類 |
検索構文
|
例
|
||||
複数のフィールド
|
次の演算子を使用して、複数のフィールドに指定された要件に一致するすべての結果を表示します。
|
|
<field_name>: <search_string1> OPERATOR <field_name>:<search_string2>
|
endpointName: "john_doe" AND fileName: "credit" ログデータのいずれかのフィールドに「john_doe」と「Credits」の両方が含まれる結果のみが返されます (例: objectUser=john_doe2;
fileName=creditcard.txt)。
"john_doe" AND NOT "home" ログデータに「john_doe」が含まれるが、どのフィールドにも「home」が含まれない結果のみが返されます。
|
||||
複数の値
|
次の演算子を使用して、複数の値に対して指定された要件に一致するすべての結果を表示します。
|
|
<field_name>: <search_string1> OPERATOR <search_string2> |
endpointName:"john_doe" OR "jane_doe" エンドポイント名が「john_doe」または「jane_doe」の結果が返されます。
|
トークンベースの検索構文 (部分一致)
検索条件
(例: "Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
john rend\\project\\abc.txt")
|
検索結果を返す
|
||
<field_name>: Trend
|
○
|
||
<field_name>: TREND |
○
|
||
<field_name>: "*Trend*" |
○
|
||
<field_name>: Tre
|
いいえ
|
||
<field_name>: Trend_Mic |
いいえ
|
||
<field_name>: Micro |
○
|
||
<field_name>: Trend_Micro |
○
|
||
<field_name>: TREND_MICRO |
○
|
||
<field_name>: Trend_ |
○
|
||
<field_name>: e91fe |
いいえ
|
||
<field_name>: fa73ad07 |
○
|
||
<field_name>: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 |
○
|
||
<field_name>: john_doe@trendmicro.com |
○
|
||
<field_name>: Trend_Micro-Vision-One\: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
john\\trend\\project\\abc.txt |
○
|
||
<field_name>: Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
john\trend\project\abc.txt |
いいえ
|
||
<field_name>: "*Trend_Micro-Vision-One\: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
john\\trend\\project\\abc.txt*" |
いいえ
|
||
<field_name>: "*Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com
john\\trend\\project\\abc.txt*" |
○
|
||
<field_name>: "*john\\trend\\project\\abc.txt*" |
○
|
ワイルドカード検索
カテゴリ
|
説明
|
例
|
トークンベースの検索
|
大文字と小文字の区別
|
||
で開始
|
文字列の末尾にはアスタリスク (*) が付きます。
|
Trend* |
いいえ
|
いいえ
|
||
で終わる
|
文字列の先頭にアスタリスク (*) が付いています。
|
*Micro |
いいえ
|
いいえ
|
||
格納
|
文字列の先頭と末尾にはアスタリスク (*) が付きます。
|
*Vision* |
○
|
いいえ
|
||
その他
|
文字列の途中に1つ以上のアスタリスク (*) があります。
|
|
いいえ
|
○
|
クエリ条件
(例: "Trend_Micro-Vision-One: fa73ad07-ef36-48e6-8bb3-e91fedaf4a04 john_doe@trendmicro.com")
|
カテゴリ
|
説明
|
検索結果を返す
|
<field_name>: "Trend*" |
Start with |
「トレンド」で始まる値を検索します。
|
○
|
<field_name>: "trend*" |
Start with |
「trend」で始まる値を検索します。
|
○
|
<field_name>: "*trendmicro.com" |
End with |
「trendmicro.com」で終わる値を検索します。
|
○
|
<field_name>: "*TRENDMICRO.COM" |
End with |
「TRENDMICRO.COM」で終わる値を検索します。
|
○
|
<field_name>: "*Trend_Micro*" |
Contain |
「Trend_Micro」を含む値を検索します。
|
○
|
<field_name>: "*trend_micro*" |
Contain |
「trend_micro」を含む値を検索します。
|
○
|
<field_name>: "Trend*com" |
MISC. |
先頭が「Trend」、末尾が「com」である値を検索します。
|
○
|
<field_name>: "Tre*" |
Start with |
「Tre」で始まる値を検索します。
|
○
|
<field_name>: "*micro.com" |
End with |
「micro.com」で終わる値を検索します。
|
○
|
<field_name>: "*fa73ad07*e91fedaf4a04*" |
MISC. |
「*fa73ad07*e91fedaf4a04*」に一致する値を検索します。
|
○
|
<field_name>: "fa73ad07*e91fedaf4a04" |
MISC. |
「fa73ad07*e91fedaf4a04」に一致する値を検索します。
|
○
|
<field_name>: "fa73ad07*" |
Start with |
「fa73ad07」で始まる値を検索します。
「fa73ad07」はトークンの先頭ですが、文字列全体の先頭ではないため、結果は一致しません。
|
いいえ
|
<field_name>: "fa73ad07**" |
MISC. |
「fa73ad07**」に一致する値を検索します。
文字列の途中に「*」があるため、これはMISCです。ワイルドカード検索。
MISC。ワイルドカードは、文字列の途中でも検索結果を検索します。
|
○
|
<field_name>: "*Vision-One" |
End with |
「Vision-One」で終わる値を検索します。
「Vision-One」はトークンの末尾ですが、文字列全体の末尾ではないため、結果は一致しません。
|
いいえ
|
<field_name>: "**Vision-One" |
MISC. |
「**Vision-One」に一致する値を検索します。
文字列の途中に「*」があるため、これはMISCです。ワイルドカード検索。
MISC。ワイルドカードは、文字列の途中でも検索結果を検索します。
|
○
|
<field_name>: "**vision-one" |
MISC. |
「**vision-one」に一致する値を検索します。
その他ワイルドカード検索では大文字と小文字が区別されるため、「vision-one」は「Vision-One」とは一致しません。
|
いいえ
|
<field_name>: "*Visio*" |
Contain |
「Visio」を含む値を検索します。
"Visio" は文字列内のトークンではないため、結果は一致しません。
|
いいえ
|
<field_name>: "VISION*COM" |
MISC. |
先頭に「VISION」、末尾に「COM」が含まれる値を検索します。
その他ワイルドカード検索では大文字と小文字が区別されるため、「vision」は「Vision」と一致しません。
|
いいえ
|
検索フィルタ
処理
|
説明
|
サポートされるフィールドタイプ
|
||
フィルタの追加: フィールドが値と等しい場合
|
選択した値を検索条件として既存の検索クエリに追加します。
|
|
||
フィルタを追加: フィールドが値と等しくない場合
|
選択した値を既存の検索クエリの例外として追加します。
|
|
||
フィルタの追加: フィールドが空の場合
|
値のない選択したフィールドを検索条件として既存の検索クエリに追加します。
|
|
||
フィルタの追加: フィールドが存在する
|
任意の値を検索条件として選択したフィールドを既存の検索クエリに追加します。
|
|
||
フィルタを追加: フィールドが存在しない
|
値のない選択したフィールドを検索条件として既存の検索クエリに追加します。
|
|
論理演算子の優先順位
優先度
|
オペレータ
|
説明
|
例
|
||
1
|
( )
|
論理式のグループ化
|
ポート80、81、または82を含むリターンイベント
port: (80 OR 81 OR 82) |
||
2
|
NOT
|
論理否定
|
ポート80を含まないイベントを返す
NOT port: 80 |
||
3
|
AND
|
論理 AND
|
|
||
4
|
OR
|
論理 OR
|
エスケープ演算子と文字
カテゴリ | 演算子または文字 | マッチタイプと例 |
キーワード
|
|
部分一致
|
特殊文字
|
|
部分一致
|
完全一致キーワード
|
|
完全一致
|
正規表現キーワード
|
|
正規表現一致
|
空白
|
|
部分一致
正規表現一致
|