コリレーション(相関)レポート

EventLog Analyzerのコリレーションレポートを使用すると、ネットワークデバイス全体で発生する複雑なインシデントを直感的に理解し、インシデントが展開するシーケンスのイメージを明確に把握できます。

以下の3種類のレポートが利用可能です。


また、様々なレポートアクションを実行することで、ログデータから最大限の価値を引き出すことができます。コリレーションとは何か、コリレーションルールの構造などについて詳しくは、コリレーションの概要をご確認ください。


最近のインシデントレポート

最近のインシデントレポートは、ネットワーク内で発生した様々なタイプのインシデントの概要を提供します。各インシデントの種類はコリレーションルールに対応しています。インシデントの種類ごとに、インシデントの発生総数を表示できます。

最近のインシデントレポートを表示するには、以下の手順を実施します。

  1. [相関]タブをクリックします。
  2. 画面左上の[最近のインシデント]をクリックします。
correlation-recent-incidents.jpg

コリレーションレポート

コリレーションレポートは、特定のインシデントタイプ(またはコリレーションルール)の様々な発生状況の詳細を提供します。コリレーションイベントの件数を時系列で表示します。

特定のルールのレポートを表示するには、[相関]タブに移動し、左側のメニューのルール名をクリックして移動します。また、最近のインシデントレポートのグラフィック部分または表部分の対応するエントリをクリックして、コリレーションレポートに移動することもできます。

  1. [相関]タブに移動します。
  2. 左側のメニューから対象のルール名をクリックします。
correlation-report.jpg

タイムラインビュー

タイムラインビューは、インシデントの発生ごとに相関アクションの履歴を表示します。特定のルールがトリガーされる原因となったログの連続したリストです。

  1. 各インシデントのイベントタイムラインを取得するには、特定のインシデントに対応する[イベントのタイムライン]をクリックします。
    correlation-view-history.jpg
    correlation-schedule.png
  2. 各アクションまたはログの詳細を表示するには、各アクションの横にある[詳細]をクリックします。
    correlation-column-select.png

コリレーションレポートアクション

コリレーションレポートでは、以下のアクションを実行できます。

  • レポートをエクスポート

    • コリレーションレポートは「PDF」または「CSV」形式でエクスポートできます。

    1. レポートをエクスポートするには、必要なレポートに移動し、[エクスポート形式]をクリックします。
    2. ドロップダウンメニューからレポートをエクスポートする形式を選択します。
    3. 過去および進行中のすべてのレポートエクスポートのステータスは、[エクスポート形式]の横にある[レポートのエクスポート履歴]アイコンをクリックすると表示できます。

  • レポートをスケジュール

    • スケジュールを使用すると、定期的にコリレーションレポートを生成し、電子メールで受信することができます。

    1. 既存のスケジュールのリストを表示するには、対象のコリレーションレポートに移動し、[スケジュールレポート]をクリックします。
    2. [アクション]列のアイコンをクリックすると、スケジュールを有効化/無効化したり編集したりできます。新しいスケジュールを作成するには、[新しいスケジュールを追加]をクリックします。
      correlation-report-01.png
    3. スケジュールの詳細を指定します。
      • スケジュール名:新しいスケジュールの名前
      • スケジュール頻度:レポートを生成する頻度(1回だけ/時間/日次/週次/月次)
      • 発生時刻:レポートを生成する必要がある日時
      • 時間範囲をエクスポート:データをエクスポートする必要がある時間範囲
      • エクスポート形式:レポートの形式(PDFまたはCSV)
      • メールアドレス:レポートを送信するメールアドレス
      • メールの件名:送信するメールの件名
    4. [保存]をクリックします。

  • 項目を追加/除外

    • レポート内の列に表示するフィールドを追加または削除することで、コリレーションレポートに表示する情報を選択できます。

    1. フィールドを選択するには、対象のレポートの右上にある[項目の追加/除外]アイコンをクリックします。
      correlation-report-02.png
    2. 各アクション配下のチェックボックスを選択して、レポートに表示するフィールドを選択します。
    3. フィールドにマウスオーバーした際に表示される[編集](鉛筆)アイコンをクリックして、各フィールドに対して以下のオプションを指定することもできます。
      • 表示名:レポートに表示されるフィールド名です。複数のアクションから同じフィールド(例:ユーザー名)を表示する場合に便利です。類似するフィールドは表示名を変更することで区別できます。例えば、「失敗したログオンユーザー名」と「成功したログオンユーザー名」のように表示名を変更できます。
      • 値を表示する:アクションのしきい値を指定し、アクションが複数回発生した場合、最初の発生イベント、最後の発生イベント、またはすべての発生イベントからフィールド値を表示するように選択できます。
        correlation-report-03.png
    4. 必要な情報を指定したら、[保存]をクリックします。