response-logs

セキュリティ機器と連携した対応履歴を照会します。時間範囲、並び順、照会件数を指定できます。

コマンドプロパティ

項目説明
コマンドタイプドライバークエリ
必要な権限ログイン必要
ライセンス使用量該当なし
並列実行非対応
分散実行非対応

構文

response-logs [duration=INT{s|m|h|d|mon}] [from=STR] [to=STR] [order={asc|desc}] [offset=INT] [limit=INT]

オプション

duration=INT{s|m|h|d|mon}
現在時刻から一定時間範囲内のログに照会範囲を限定します。s(秒)、m(分)、h(時)、d(日)、mon(月)単位で指定できます。
from=STR
照会範囲の開始時刻。yyyyMMddHHmmss形式で指定します。後ろの桁を省略すると0で埋められます。
to=STR
照会範囲の終了時刻。yyyyMMddHHmmss形式で指定します。後ろの桁を省略すると0で埋められます。
order={asc|desc}
照会順序
  • asc: 古いデータから照会
  • desc: 新しいデータから照会
offset=INT
スキップするレコード数。0以上の整数で指定します。
limit=INT
取得する最大レコード数。0以上の整数で指定します。0は制限なしを意味します。

出力フィールド

フィールドタイプ説明
_time日付対応日時
_id64ビット整数レコードID
device_name文字列セキュリティ機器名
device_ipIPアドレスセキュリティ機器のIPアドレス
device_portポート番号セキュリティ機器のポート
action文字列対応動作
type文字列対応タイプ
value文字列対応対象値(IP、ドメインなど)

エラーコード

パースエラー
エラーコードメッセージ説明
300401from date format should be yyyyMMddHHmmssfromオプション値の日付形式が正しくない場合
300402to date format should be yyyyMMddHHmmsstoオプション値の日付形式が正しくない場合
300403offset should be non-negativeoffsetオプション値が負数の場合
300404limit should be non-negativelimitオプション値が負数の場合
ランタイムエラー

該当なし

説明

response-logsコマンドは、セキュリティ機器連携を通じて実施された対応履歴を照会します。データは現在ログインしているユーザーの組織(企業)に対応するテーブル(sonar_response_XXXXX)から照会します。

durationオプションとfromオプションを同時に指定した場合、fromオプションが優先適用されます。

使用例

  1. 直近1時間の対応履歴を照会

    response-logs duration=1h
    

    直近1時間に実施された対応履歴を照会します。

  2. 時間範囲を指定して照会

    response-logs from=20260301 to=20260401
    

    2026年3月1ヶ月間の対応履歴を照会します。

  3. 新しいデータから照会

    response-logs duration=1d order=desc limit=100
    

    直近1日間の対応履歴を新しいデータから最大100件照会します。

  4. 対応タイプ別に集計

    response-logs duration=7d
    | stats count by type, action
    | sort count desc
    

    直近7日間の対応履歴をタイプと動作別に集計します。