ログの検索

EventLog Analyzerは、調査中にログデータを取得するのに役立つ強力な検索エンジンを提供します。サーバーから収集したログを検索し、誤った設定、ウイルス、不正アクセス、異常なログオン、アプリケーションエラーなどの重要なイベントを検出できます。

EventLog Analyzerは、基本および高度な検索機能を提供します。サポートされている検索クエリの種類は、ワイルドカード、フレーズ、ブール、グループ化された検索です。

基本検索

  1. [検索]タブに移動します。
    search-logs-intro-01.png
  2. [デバイスを選択する]をクリックし、検索対象のデバイスを選択します。[追加]をクリックします。デバイスを指定しない場合は、利用可能なすべてのデバイスが検索対象となります。
    search-logs-intro-02.png
  3. 右側のドロップダウンメニューからログタイプを選択します。デフォルトでは「All Log Types」が選択されており、すべてのログタイプに対して検索が実行されます。
  4. 右端のカレンダーアイコンから必要に応じて期間を選択します。
  5. [ヘルプカードを検索]は、検索ボックスで実行できる検索クエリの種類を一覧表示するガイドです。こちらのリンクから検索方法のチュートリアルを視聴することもできます。
  6. [基本]検索を使用して、独自の検索文字列/検索条件を入力します。
    • 検索ボックスにフィールド値を入力します。
      search-logs-intro-03.png
    • 検索ボックスにフィールド名と値を入力します。
      search-logs-intro-04.png
  7. インタラクティブな検索ビルダーを使用して高度な検索式を作成する場合は、[高度]をクリックします。
    search-logs-intro-05.png
    • 検索条件のフィールド値を指定します。
    • フィールドを追加するには「+」をクリックします。フィールドを削除するには「⨯」をクリックします。
    • フィールド間の条件(ANDまたはOR)を選択します。
    • 新しいフィールドのセットを追加するには、[+グループの追加]をクリックします。
    • [追加]をクリックします。
  8. [検索]をクリックすると、検索結果とグラフが表示されます。

注記:検索結果のグラフには、2週間のデータのみ表示されます。


基本検索クエリの種類

ブール演算子

ブール演算子(AND、OR、NOT)を使用できます。

シンタックス:<フィールド名> = <フィールド値> <ブール演算子> <フィールド名> = <フィールド値>

例)HOSTNAME = 192.168.117.59 AND USERNAME = guest

比較演算子

比較演算子(=、!=、>、<、>=、<=)を使用できます。

シンタックス:<フィールド名> <比較演算子> <フィールド値>

例)HOSTNAME = 192.168.117.59

ワイルドカード文字

ワイルドカード文字(単一文字:?、複数文字:*)を使用できます。

シンタックス:<フィールド名> = <フィールド値の一部> <ワイルドカード文字>

例)HOSTNAME = 192.*

フレーズ

フィールド値としてフレーズを指定するには、二重引用符("")を使用します。

シンタックス:<フィールド名> = "<フィールド値の一部>"

例)MESSAGE = "session"

フィールドのグループ化

括弧「()」を使用して検索条件をグループ化し、ブール演算子を使用して他のグループまたは検索条件に関連付けます。

シンタックス:( <検索条件グループ> ) <ブール演算子> <検索条件>

例)(SEVERITY = debug OR FACILITY = user)、HOSTNAME = 192.168.117.59

EventLog AnalyzerのElasticsearchに保存されるログには、カスタマイズ可能な保存期間が設定されており、この期間を過ぎるとログはすべて削除されます。アーカイブ期間(Elasticsearchに保存されるログのアーカイブ期間)もあり、その期間を経過するとElasticsearchに保存されるログはアーカイブされ、圧縮ファイルとして保存されます。これはメモリの使用効率を高めるために行われます。

例えば、アーカイブ期間を30日に設定し、保持期間を90日に設定した場合、30日未満のログが検索可能になります。また、30日以上90日未満のログはアーカイブされます。

アーカイブ期間(上記の場合は30日間)を超えたログを検索するには、アーカイブされたログのアーカイブ解除を実施する必要があります。このプロセスは、ログのサイズに応じて時間がかかります。ログデータは、圧縮ファイルがアーカイブ解除(非圧縮)されるとすぐに使用できるようになります。

elastic-search-01.png
elastic-search-02.png

注記

  • アーカイブ期間を超えたログを検索する場合、以下の詳細を示すプロンプトが表示されます。
    空き容量、予想される解凍サイズ、圧縮ファイルの数、ユーザーが解凍を続行するか、キャンセルして通常の検索に戻るか
  • Elasticsearchのログをアーカイブ解除するフローは、ダッシュボード、レポート、コンプライアンス、相関、アラートなど、EventLog Analyzerの他のすべてのタブでも同じです。
  • 上記のアーカイブは、Elasticsearchに保存されるログのアーカイブであり、こちらのページに記載のアーカイブとは異なります。