診断からRoot Cause Analysisを開始する

Root Cause Analysisは、一致したオブジェクトの実行につながった一連のイベントを表示する調査ツールです。

診断により一致が検出されると、管理者はRoot Cause Analysisを生成して次の処理を実行できます。

  • 指定した条件に関連するすべてのオブジェクトのリストを作成する

  • 関連するオブジェクトに注意が必要オブジェクトがないかを特定する

  • 一致したオブジェクトの実行につながった一連のイベントを確認する

Root Cause Analysisの生成が完了するまで時間がかかる場合があります。

  1. 事前診断に基づく調査を開始します。

    結果ペインで、表示された結果を確認します。

    詳細については、事前診断に基づく調査にカスタム条件を使用するを参照してください。

  2. 1つ以上のエンドポイントを特定して選択し、[Root Cause Analysisの生成] をクリックします。
  3. 新しいRoot Cause Analysisタスクの名前を指定します。
  4. 表示された条件を確認します。

    • カスタム条件を使用した診断では、Root Cause Analysisの生成時にAND演算子またはOR演算子を使用して複数の条件が組み合わされます。

    • OpenIOCファイルを使用した診断では、Root Cause Analysisを生成時に現在のOpenIOCファイルで指定された情報が条件として使用されます。

  5. 対象エンドポイントを確認します。
    注:

    リストからエンドポイントを削除するには、削除アイコンをクリックします。

  6. 期間を指定します。

    初期設定では、ログが記録されたすべての期間に対して分析が実行されます。

  7. [生成] をクリックします。
  8. [Root Cause Analysisの結果] タブに移動し、分析の進行状況を監視します。

    詳細については、Root Cause Analysisの結果を参照してください。

    Root Cause Analysisの生成が完了するまで時間がかかる場合があります。

  9. タスクが完了したら、タスク名をクリックします。
    注:

    Endpoint SensorでRoot Cause Analysisを生成できない場合、タスク名はリンクとして表示されません。これには、次の原因が考えられます。

    • 対象エンドポイントに十分なデータがない。

      データが削除されていないことを確認してください。エージェントのデータベースがデータベースサイズの上限に達すると、Endpoint Sensorでは、新しいイベントエントリ用にスペースを空けるために古いログが削除されます。この問題を回避するには、エージェントのデータベースサイズの上限を引き上げてください。

    • OpenIOCファイルで指定された条件すべてに一致するオブジェクトを調査で検出できなかった。

      診断では、OpenIOCファイルのすべての条件が無視され、最初の結果が返されます。ただし、Root Cause Analysisタスクはそれらの条件を調査の条件として再び追加します。その結果、Root Cause AnalysisタスクがOpenIOCファイルの条件とタスクの条件の両方に一致する結果を生成できない場合があります。

  10. 結果を確認します。
親トピック: 事前診断に基づく調査