ログクエリを使用する

[ログクエリ] 画面を使用して、Apex Centralで生成されたログおよび登録済みの管理下の製品のログデータをクエリします。また、詳細カスタムフィルタを使用して検索結果を絞り込んだり、検索結果をXMLまたはCSV形式でエクスポートしたり、ログクエリの検索条件を保存して他のApex Central管理者と共有したりできます。

注:

Apex Centralでは、[製品ディレクトリ] 画面からログクエリを実行することもできます。

詳細については、製品ディレクトリからログをクエリするを参照してください。

  1. [レポート] > [ログ] > [ログクエリ] に移動します。

    [ログクエリ] 画面が表示されます。

  2. ログの種類を指定します。
    注:

    ログの種類は、Apex Centralレポートで使用される特定のデータビューに対応しています。

    ログの種類とデータビューの詳細については、ログクエリデータビューを参照してください。

    1. 最初のドロップダウンコントロールからログの種類を選択します。
    2. [OK] をクリックして、選択したログの種類を適用します。
  3. 特定の管理下の製品からのデータに対して検索結果をフィルタするには、次の手順を実行します。
    1. 2番目のドロップダウンコントロールをクリックします。
    2. 次のいずれかのオプションを使用して、クエリの対象を選択します。

      • ディレクトリ: 製品ディレクトリ構造から管理下の製品を探して選択できます。

      • 種類: 製品の種類を選択し、登録済みのすべての管理下の製品のうち種類が同じ製品のリストから選択できます。

      • タグおよびフィルタ: ユーザ/エンドポイントディレクトリからカスタムタグ、フィルタ、重要なラベルを選択して、特定のエンドポイントにクエリを実行できます。

        注:

        • 最大10個のカスタムタグ、フィルタ、重要なラベルを選択してログクエリを実行できます。

        • コンプライアンス、重要、脅威の種類、セキュリティの脅威、または脅威のステータス条件の情報が含まれているカスタムフィルタはログクエリの実行に使用できません。

    3. [OK] をクリックして、選択した対象を適用します。
  4. [期間] ドロップダウンコントロールから時間を選択します。
  5. カスタム条件を使用して検索結果をフィルタするには、次の手順を実行します。
    1. [詳細フィルタを表示する] をクリックします。
    2. カスタムフィルタの [一致項目] ルールを指定します。

      • すべての条件: データは指定されたすべての条件に一致する必要があります。

      • いずれかの条件: データは指定されたいずれかの条件に一致する必要があります。

    3. [条件の選択] ドロップダウンリストで、フィルタ対象となるデータ列を選択します。
      注:

      [条件の選択] ドロップダウンリストのデータ列は、最初のドロップダウンコントロールで選択するログの種類に基づいて動的に変化します。

      データ列の詳細については、ログクエリデータビュー、および対応するデータビューの詳細を参照してください。

      2番目および3番目のドロップダウンリストに表示されるフィルタ条件は、選択するデータ列に基づいて動的に変化します。

    4. 2番目のドロップダウンリストで、演算子を選択します。
    5. 3番目のドロップダウンリストで、条件を定義します。
    注:

    Apex Centralでは、ログクエリごとに最大20個のカスタムフィルタ条件を指定できます。

  6. [検索] をクリックします。

    検索結果は [ログクエリ] 画面の表に表示されます。

    注:

    • [生成] 列には、管理下の製品が最初に脅威を検出したときのエンドポイントのローカルの日時が表示されます。

    • [受信] 列には、Apex Centralサーバが管理下の製品サーバからデータを受信したときのApex Centralサーバのローカルの日時が表示されます。

  7. (オプション) データ列のリンクをクリックして、詳細細報を確認します。
  8. (オプション) 検索結果のデータ列をカスタマイズします。

    • [列のカスタマイズ] をクリックして、表に表示する列を追加または削除します。

    • 列見出しをドラッグして、列の表示順序を並べ替えます。

  9. (オプション) ログクエリの結果をエクスポートします。
    1. [CSV形式で出力] または [XML形式で出力] をクリックします。

      [ログクエリのページをエクスポートしています] 画面が表示されます。

    2. エクスポートが完了したら、ファイルを開くか保存します。
  10. (オプション) ログクエリの検索条件を保存します。
    注:

    • ログクエリを保存すると、そのクエリの検索条件のみが保存されます。ログクエリの検索結果を保存するには、結果をエクスポートするか、グリッドテーブルを使用してレポートを作成します。

      レポート作成の詳細については、レポートを参照してください。

    • 保存したクエリは、同じActive Directoryグループのすべてのユーザに自動的に表示されます。

    • 保存したクエリの横にある灰色のユーザアイコン () は、ログクエリがActive Directoryグループ外のユーザによって共有されていることを示します。マウスをアイコンに重ねると、クエリを共有したユーザの名前が表示されます。

    1. 保存ボタン () をクリックします。
    2. 保存したクエリの名前を指定します。
    3. [保存] をクリックします。

    ログクエリを保存したら、保存したクエリのボタン () をクリックし、保存したクエリのリストを表示して以下の処理を実行できます。

    • 保存したクエリの名前をクリックして、ログクエリを実行します。

    • 保存したクエリの名前の横にある共有アイコン () をクリックして、ログクエリをすべてのApex Centralユーザと共有します。

    • 保存したクエリの名前の横にある共有停止アイコン () をクリックして、すべてのApex Centralユーザとのログクエリ共有を停止します。

    • 削除アイコン () をクリックして、保存したクエリを削除します。

親トピック: ログ