ログの検索機能について
※本ナレッジベースは、ビルド12141を元に作成しています。
本ナレッジでは、検索クエリに関する知識がなくても直感的に使用できる、ログの検索機能をご紹介します。
ログの検索機能を使用することで、以下のような異常データを検出することが可能です。
・ 権限のないアクセス
・ ログオン失敗の多発
【目次】
特定のデバイス/グループを選択してログ検索を行う
[ デバイスを選択する ] から、対象とするデバイスやグループを選択できます。選択しない場合はすべてのデバイスを対象に検索が行われます。
特定のログタイプを選択してログ検索を行う
[ All Log Types ] から、ログタイプで絞り込んで検索を行うことができます。選択しない場合はすべてのログタイプを対象に検索が行われます。
期間を選択してログ検索を行う
画面右上のカレンダーアイコンから、期間の指定を行うことが可能です。製品内で設定している「業務時間」に基づいた期間指定も可能です。
「業務時間」の設定につきましては、以下のナレッジをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=4365
条件を指定してログ検索を行う
[ 基本検索]・[ 高度検索] から、検索を行う条件を入力することが可能です。
基本検索
検索ボックスに直接検索条件を入力します。ワイルドカード検索やグループ検索、ブーリアン検索などに対応しています。
高度検索
上画像内の[高度]リンクをクリックすることで以下の画面が表示されます。以下の画面より、プルダウンメニューからフィールドを選択して条件を指定します。̟⊞アイコンをクリックすることで、条件を追加することが可能です。
検索結果をレポート/アラートとして保存する
条件を指定して検索ボタンをクリック後、「名前をつけて保存」リンクが表示されます。
リンクをクリックすると、[ 検索を保存 ]・[レポートとして保存]・[ アラートとして保存 ] のメニューが表示されます。
[検索を保存] :入力した検索条件が保存されます。保存された検索条件は、[保存した検索]より確認可能です。
[レポートとして保存]:検索条件に対してレポートが作成されます。
[アラートとして保存] :検索条件に対してアラートプロファイルが作成されます。
例えば、Windowsデバイスへのリモートデスクトップ接続元(REMOTEIP)をアラート条件にしたい場合、
以下のようなクエリを検索後に[アラートとして保存]していただくことで、容易にカスタムアラートを作成できます。
クエリ例
( ( EVENTID= "4624" ) AND ( LOGONTYPE= "10" ) ) AND ( REMOTEIP= "192.168.xxx.xxx" )
検索結果例
[アラートとして保存]をクリック後の画面
以下画像のように、自動的にアラート条件が設定されます。設定後、条件部分(「が次に等しい」や「が次に等しくない」など)を編集していただけます。
検索結果をエクスポートする
条件指定した検索結果画面より直接、レポートとしてエクスポートすることが可能です。
検索結果の表示後、画面右上の[エクスポート方法]をクリックして、PDF/CSV形式のレポートを選択可能です。
レポートのエクスポート完了後、[エクスポート方法]の右側にある履歴アイコンをクリックすることで、当該レポートのダウンロードが可能です。
以上です。
ログ検索機能を実際に使用するイメージについては、以下のナレッジをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=5305