[高度な設定]の使い方
本記事では、[高度な設定]の使い方について解説していきます。
「高度な設定」は、レポート新規作成/編集ダイアログの下部にあるメニューです。
複雑で高度な設定になりますので、初期表示の時点では基本的にチェックが入っていません。
複雑な条件のレポートを作成したい場合にチェックをつけてください。
複雑で高度な設定になりますので、初期表示の時点では基本的にチェックが入っていません。
複雑な条件のレポートを作成したい場合にチェックをつけてください。
「高度な設定」チェックを入れると設定項目が追加されます。表示形式にはランキングと時系列の二通りがあります。
表示形式の考え方
いずれかの項目の多い順にランキングでレポートしたい ⇒「ランキング」形式を選択する |
何時に特定操作が多いかレポートしたい ⇒「時系列」形式を選択する |
|
|
何曜日に特定操作が多いかレポートしたい ⇒「時系列」形式を選択する |
1か月のうち何日に特定操作が多いかレポートしたい ⇒「時系列」形式を選択する |
|
|
表示形式:「ランキング」を選択した場合
ランキング形式を選択した場合は、以下の項目を指定する必要があります。
設定内容 | 説明 | |
---|---|---|
1 | 「集計キー」を指定する | 集計したい項目を集計キーに指定する 「ランキング」形式の場合は、最大第3キーまで指定可能 |
2 | 「集計方法」を指定する | 「アクセスログの行数をカウントする」、もしくは「特定項目を合計する」を指定する |
3 | 「出力件数」を指定する | ランキングTOP XX位まで閲覧したいかを指定する |
4 | ※集計キーを第3キーまで指定した場合 「XX毎の出力件数」を指定 |
第2キー毎に第3キーの値を何件レポート表示するかを指定する |
第1キーのみを設定した場合、表示結果のグラフ右上にはプルダウンが表示されません。
一方、第1と第2もしくは第1~第3までキーを設定した場合、第1キーに設定した項目がグラフ右上のプルダウンに表示され、第2・第3に設定した項目は表の左から順に表示されるようになります。
一方、第1と第2もしくは第1~第3までキーを設定した場合、第1キーに設定した項目がグラフ右上のプルダウンに表示され、第2・第3に設定した項目は表の左から順に表示されるようになります。
第1キー:サーバ 第2キー:ユーザー 第3キー:ClientName |
|
|
第1キー:サーバ 第2キー:対象 第3キー:ユーザー |
|
|
表示形式:「時系列」を選択した場合
時系列形式を選択した場合は、以下の項目を指定する必要があります。
設定内容 | 説明 | |
---|---|---|
1 | 「集計キー」を指定する | 「時系列」形式の場合、第1キーのみ指定可能 |
2 | 「集計方法」を指定する | 「アクセスログの行数をカウントする」、もしくは「特定項目を合計する」 |
「集計方法」について
選択肢 | 解説 |
---|---|
アクセスログの行数をカウントする | レポートの条件にヒットしたアクセスログの行数を、集計キーの指定に合わせて集計する。行数を集計した値でランキングを作成、もしくは時系列のデータを作成する |
特定の項目を合計する | レポートの条件にヒットしたアクセスログの中の、指定した「数値」項目のデータを合計する。合計した値で、ランキングを作成、もしくは時系列のデータを作成する 選択する項目は、「文字列」ではなく「数値」が入る項目にする必要がある 主に、ALog EVAによって任意に定義された詳細項目を指定する |
「XX毎の出力件数」について
「集計キー」の設定を「第3キー」まで増やすと、「XX毎の出力件数」というメニューが表示されます。
「XX」には、「第2キー」で選択したキー名が入ります。
例:「第2キー:ユーザー」、「第3キー:ClientName」とし、「ユーザー毎の出力件数:5件」とする
しきい値
しきい値をフィルター追加し、そのうえで高度な設定にチェックが入っていると「しきい値の詳細設定」が表示されます。
しきい値の詳細設定「無効」設定時のしきい値の動作について
「しきい値の詳細設定:無効」という設定は、しきい値の判定を「レポートの詳細設定」側の集計キー/集計方法にゆだねるという設定になります。ほとんどのレポートは「無効」の状態で使用できます。
しきい値の詳細設定を「有効」設定にするケースの例
画面の設定の場合、全ユーザーで1時間に10件を超えた場合に、ユーザー毎に集計してレポートを作成します。
外部連携
「アラート」機能ON +「高度な設定」ONの場合に、下部メニューに「外部連携」ボタンが表示されます。
「外部連携」では、インポートタスクでアラートを検知した際の外部へのアクションを設定できます。
「外部連携」では、インポートタスクでアラートを検知した際の外部へのアクションを設定できます。
外部連携種別 | 説明 |
---|---|
アラートSyslog通知 | アラート検知時、登録した条件でSyslogを送信します |
アラートプロセス起動 | アラート検知時、登録したプロセスを起動します |
外部連携一覧
登録した外部連携設定の一覧を確認、新規作成、編集、削除することができます。
編集したい場合は、編集したい設定の名前をクリックすると編集画面が表示されます。
削除したい場合は、削除したい設定の左のチェックボックスで選択してから削除ボタンを押してください。
編集したい場合は、編集したい設定の名前をクリックすると編集画面が表示されます。
削除したい場合は、削除したい設定の左のチェックボックスで選択してから削除ボタンを押してください。
アラートSyslog通知
アラートが発生した際に、syslogで通知する設定を登録します。
フィルターにヒットしたアクセスログ1件に対して、syslogを1件送信します。
フィルターにヒットしたアクセスログ1件に対して、syslogを1件送信します。
項目 | 説明 |
---|---|
名前 | この設定の名称を指定する |
リモートホスト | syslogの送信先となるホスト名、またはIPアドレスを指定する |
リモートポート | syslogの送信先となるポート番号を指定する |
ローカルホスト | 送信元としてsyslogに記載されるホスト名、またはIPアドレスを指定する |
Facility | syslogのFacility値を選択する |
Severity | syslogのSeverity値を選択する |
syslog本文 | syslogのメッセージの内容を指定する 本設定はカスタマイズ可能 |
アラートプロセス起動
アラートが発生した際に、起動するプロセスを登録します。
項目 | 説明 |
---|---|
名前 | この設定の名称を指定する |
状態 | 設定の有効無効を指定する |
プログラムパス | プロセスとして実行したいプログラムのパスを指定する (入力可能なパス) - 環境変数に追加している値 - 絶対パス |
引数 | プログラムパスで起動したプロセスで何を実行するかを指定する |
例1: アラート発生時に、powershell(環境変数にpowershellが値として入っている場合)を起動して、起動していたメモ帳のプロセスを消したい場合
プログラムパス | powershell |
引数 | kill -Name notepad |
例2: アラート発生時に、pythonを起動して、アラートが発生したことをTeamsに通知をするスクリプト(teamsScript.pyというスクリプトが作成されているとする)を呼び出したい場合
プログラムパス | C:\<ユーザー>\AppData\Local\Programs\Python\python.exe |
引数 | C:\teamsScript.py |
第2キーに「ユーザー」を選択しているので、「ユーザー毎の出力件数」と表示されています。
レポートの結果では、ユーザー毎に「第3キー:ClientName」が最大5件表示されています。
「ユーザー毎の出力件数」を増やすと、表の行数は増加します。
例の設定では「出力件数30件」x「XX毎の出力件数5件」=最大で150行の表になります。