EventLog Analyzer ナレッジベース

ログの検索機能について


※本ナレッジベースは、ビルド12141を元に作成しています。

本ナレッジでは、検索クエリに関する知識がなくても直感的に使用できる、ログの検索機能をご紹介します。
ログの検索機能を使用することで、以下のような異常データを検出することが可能です。

・ 権限のないアクセス
・ ログオン失敗の多発

 

 

特定のデバイス/グループを選択してログ検索を行う

[ デバイスを選択する ]  から、対象とするデバイスやグループを選択できます。選択しない場合はすべてのデバイスを対象に検索が行われます。

 

特定のログタイプを選択してログ検索を行う

[ All Log Types ] から、ログタイプで絞り込んで検索を行うことができます。選択しない場合はすべてのログタイプを対象に検索が行われます。

 

期間を選択してログ検索を行う

画面右上のカレンダーアイコンから、期間の指定を行うことが可能です。製品内で設定している「業務時間」に基づいた期間指定も可能です。

 

業務時間」の設定につきましては、以下のナレッジをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=4365

条件を指定してログ検索を行う

[ 基本検索]・[ 高度検索] から、検索を行う条件を入力することが可能です。

基本検索

検索ボックスに直接検索条件を入力します。ワイルドカード検索やグループ検索、ブーリアン検索などに対応しています。

高度検索

上画像内の[高度]リンクをクリックすることで以下の画面が表示されます。以下の画面より、プルダウンメニューからフィールドを選択して条件を指定します。̟⊞アイコンをクリックすることで、条件を追加することが可能です。

 

検索結果をレポート/アラートとして保存する

条件を指定して検索ボタンをクリック後、「名前をつけて保存」リンクが表示されます。
リンクをクリックすると、[ 検索を保存 ]・[レポートとして保存]・[ アラートとして保存 ] のメニューが表示されます。

[検索を保存] :入力した検索条件が保存されます。保存された検索条件は、[保存した検索]より確認可能です。
[レポートとして保存]:検索条件に対してレポートが作成されます。
[アラートとして保存] :検索条件に対してアラートプロファイルが作成されます。

例えば、Windowsデバイスへのリモートデスクトップ接続元(REMOTEIP)をアラート条件にしたい場合、
以下のようなクエリを検索後に[アラートとして保存]していただくことで、容易にカスタムアラートを作成できます。

クエリ例

( ( EVENTID= "4624" ) AND ( LOGONTYPE= "10" ) ) AND ( REMOTEIP= "192.168.xxx.xxx" )

検索結果例

[アラートとして保存]をクリック後の画面

以下画像のように、自動的にアラート条件が設定されます。設定後、条件部分(「が次に等しい」や「が次に等しくない」など)を編集していただけます。

検索結果をエクスポートする

条件指定した検索結果画面より直接、レポートとしてエクスポートすることが可能です。
検索結果の表示後、画面右上の[エクスポート方法]をクリックして、PDF/CSV形式のレポートを選択可能です。

レポートのエクスポート完了後、[エクスポート方法]の右側にある履歴アイコンをクリックすることで、当該レポートのダウンロードが可能です。

 

以上です。

 

ログ検索機能を実際に使用するイメージについては、以下のナレッジをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=5305