検索クエリを作成

適用対象: WatchGuard Advanced Reporting Tool および Data Control。

Advanced Visualization Tool で収集したデータは、クエリを使用して検索することができます。クエリを作成するに当たって、プログラミングの知識は必要ありませんが、SQL に精通している場合は、検索ウィンドウでスクリプトを使用することができます。

データ テーブルの上部にある検索ツール バーには、データ テーブルからクエリを作成する際に使用する主なツールが含まれています。

Screen shot of WatchGuard EPDR, Advanced Visualization Tool toolbar

集計アイコン Aggregate (集計)

集計は、時間間隔でグループ化されているテーブル データで実行できる操作です。

集計関数を実行すると、一連の値に対して計算が実行され、単一の値が返されます。操作により、グループ内のレコードを数えたり、グループ内の最小値または最大値を特定したり、グループ内のフィールド値の合計を計算したりすることができます。集計を作成すると、テーブルに新しい列が追加され、操作の結果が表示されます。

詳細については、Devo ドキュメント (外部リンク) の最新情報を参照してください。

グループ アイコン グループ

データ テーブルのイベントをグループ化して、分析を容易にすることができます。グループ化することで、グループ化された列の異なる行の値の組み合わせをすべて提示するデータ テーブルが得られます。また、グループ化は、その後データに集計処理を適用する際にも必要です。

詳細については、Devo ドキュメント (外部リンク) の最新情報を参照してください。

OR フィルタ アイコン OR フィルタ

OR セレクタを使用して、データをフィルタリングすることができます。これにより、1 つまたは複数の列から特定の値を含めて、x または y の条件を満たすイベントを返すフィルタを定義することができます。

詳細については、Devo ドキュメント (外部リンク) の最新情報を参照してください。

フィルタ アイコン フィルタ

テーブル データにフィルタを適用し、指定したフィールドの値を分離または除外することができます。結果は即座に返され、時系列で表示されます。Advanced Visualization Tool によって、クエリに合わせてタイムラインが更新されます。

詳細については、Devo ドキュメント (外部リンク) の最新情報を参照してください。

列の追加アイコン Add Column (列の追加)

すでに存在している他のデータを基に、データ テーブルに新しい列を作成することができます。たとえば、既に存在している IP アドレスの列に Geolocation 操作を適用して、国を特定する新しい列を作成するなどです。

詳細については、Devo ドキュメント (外部リンク) の最新情報を参照してください。

検索クエリを作成するには、Advanced Visualization Tool で以下の手順を実行します。

  1. 左ペインで、Data Search を選択します。
  2. 表示するデータ テーブルを選択します。
    詳細については、次を参照してください:データ テーブルについて
  3. 検索ウィンドウで、ツール バーのツールを使用して、テーブルに変更を加えます。
    集計操作を実行する前に、データをグループ化する必要があります。

SQL でクエリを編集する

検索ウィンドウのツールを使用する方法とは別に、クエリを直接編集することができます。

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、ファイル アクセス情報にアクセス する権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

クエリ エディタを開くには、検索ツール バーで クエリ エディタ アイコン をクリックします。

クエリの編集方法の詳細については、次を参照してください:サンプル SQL クエリ テキスト

また、Advanced Reporting または Data Control ダッシュボードで、既存のクエリを編集することができます。ダッシュボードの各タイルには、特定のクエリに基づいてデータが表示されます。クエリを変更して、データ テーブルをカスタマイズすることができます。

既存のダッシュボード クエリを編集するには、Advanced Visualization Tool で以下の手順を実行します。

  1. 左ペインで、Advanced Reporting または Data Control を選択して、表示するダッシュボードを選択します。
  2. データ テーブルを開いてクエリを実行するタイルで、 をクリックします。

Screen shot of the Alerts summary daily tile

  1. Go to Query を選択します。
    検索ウィンドウでデータ テーブルが開きます。

Screen shot of WatchGuard EPDR, Advanced Visualization Tool data table

  1. 必要に応じて、データ テーブルを変更します。データは最大 1 年間保持されます。
  2. クエリ コード エディタを開いて SQL クエリを直接編集するには、 をクリックします。
    データ テーブルの編集済みクエリが、データ検索の下にある左ペインに表示されます。

関連トピック

データ テーブルについて

サンプル SQL クエリ テキスト

Advanced Reporting Tool について

Data Control Advanced Visualization について