クエリウィジェット
概要
クエリウィジェットは、収集したログを可視化してセキュリティ監視担当者がダッシュボードで異常な指標を即座に把握できるようにします。チャートやグリッドをクリック・ドラッグすると、他のウィジェットにフィルターを伝達したり、関連クエリを実行したりでき、複数のウィジェットが連動するインタラクティブなダッシュボードを構成できます。
クエリウィジェットを編集するには、管理者またはダッシュボード管理、ウィジェット編集権限を持つアカウントが必要です。ウィジェット閲覧権限のみのアカウントはウィジェット設定を確認できますが、変更はできません。ウィジェットエディタはダッシュボードの
> Widgetsからアクセスします。ウィジェット作成についての説明はウィジェット管理を参照してください。
ウィジェットエディタ
クエリウィジェットエディタ画面は、左パネルと右のピボットテーブルエディタで構成されます。
基本設定
左パネルでウィジェットの基本情報を設定します。
- Name: ウィジェット名(必須、最大50文字)
- Description: ウィジェットの説明(最大2,000文字)
- Display Interval: ウィジェットのデータを自動更新する周期(秒単位、必須、範囲:1~2,147,483)
- Granted Users: このウィジェットを共有するアカウントを選択します。
- Granted Groups: このウィジェットを共有するアカウントグループを選択します。
データソースと可視化
右のピボットテーブルエディタでデータソースを選択し、可視化方式を構成します。ピボットテーブルエディタの使い方はピボットを参照してください。
チャートタイプ
ピボットテーブルエディタで
グリッド表示と
チャート表示を切り替えることができます。グリッドはクエリ結果を表形式で表示し、チャート表示を選択するとチャート設定モーダルで以下のチャートタイプから1つを選択できます。
| タイプ | 説明 |
|---|---|
| ライン | 折れ線グラフ |
| スプライン | 曲線折れ線グラフ |
| エリア | 折れ線の下の領域を塗りつぶしたグラフ |
| エリア(スプライン) | 曲線エリアグラフ |
| 積み上げエリア | 複数の系列を積み上げて表示するエリアグラフ |
| 積み上げエリア(スプライン) | 曲線積み上げエリアグラフ |
| 横棒 | 水平棒グラフ |
| 積み上げ横棒 | 水平積み上げ棒グラフ |
| 縦棒 | 垂直棒グラフ |
| 積み上げ縦棒 | 垂直積み上げ棒グラフ |
| 散布図 | X・Y座標でデータ分布を可視化 |
| パイ | 項目別の割合を円形で表示 |
| ツリーマップ | 階層的データをネストされた矩形で表示 |
| アラートボックス | しきい値超過時に警告状況を表示 |
| 世界地図(マーカー) | 緯度/経度ベースのマーカーを地図に表示 |
| 世界地図(バブル) | 国別のバブルサイズでデータを地図に表示 |
チャート設定
グリッドを除くすべてのチャートタイプは、チャート設定モーダルで可視化オプションを構成します。チャート設定モーダルは以下のタブで構成されます。
| タブ | 説明 | サポートタイプ |
|---|---|---|
| Variables | チャートに使用するフィールド(独立変数、従属変数)の設定 | すべてのタイプ |
| View | 選択範囲のズーム方向、空値の接続方式 | ライン系列、棒系列、散布図 |
| Chart | タイトル、サブタイトル、背景色、枠線 | すべてのタイプ |
| Axis | X/Y軸タイトル、表示形式、最小値/最大値 | ライン系列、棒系列、散布図 |
| Color Axis | ツリーマップの色範囲設定 | ツリーマップ |
| Series | 系列タイプ、色、マーカー、枠線スタイル | ツリーマップを除くすべてのタイプ |
| Label | すべての系列に値ラベルの表示有無 | ライン系列、棒系列、散布図 |
| Legend | 凡例の表示有無、配置、位置 | すべてのタイプ |
| Event | クリック・ドラッグイベントの動作設定 | すべてのタイプ |
各チャートタイプの詳細設定は、該当するチャートタイプのページを参照してください。
イベント設定
イベントを設定すると、ユーザーがウィジェットでクリックやドラッグを行った際に、ダッシュボードフィルターの適用、クエリ実行、URLを開くなどの動作が自動的に実行されます。ダッシュボードの複数のウィジェットを連動させたり、ワンクリックで詳細分析画面に移動するインタラクティブなダッシュボードを構成する際に活用します。
イベントはチャート設定モーダルのEventタブで構成します。
イベントの種類
- On Click
- ユーザーがチャートやグリッドの項目をクリックした際に発生します。Apply Filter、Run Query、Open Web Browser、Switch viewのすべての動作を使用できます。
- Drag
- ユーザーがチャート上で特定の範囲をドラッグした際に発生します。独立変数が時間タイプのチャートでのみ使用でき、Apply FilterとRun Queryの動作のみサポートします。ドラッグ範囲の開始時刻と終了時刻が予約語として提供されます。
Apply Filter
クリックやドラッグイベント発生時、指定した条件でダッシュボードフィルターを自動的に追加します。**+**ボタンを押してフィルターを追加し、同じ動作に複数のフィルターを追加できます。
各フィルター項目はScope、Type、Target Field/Query Statementで構成されます。
- Scope
- フィルターを適用する対象を指定します。
- Global: ダッシュボードのすべてのウィジェットに適用されます。
- Dataset: このウィジェットと同じデータセットを使用するウィジェットにのみ適用されます。データセットベースのウィジェットでのみ選択できます。
- Type
- フィルター条件式の形式を指定します。
- Filter: Target Fieldに入力したフィールド名を基準に比較条件式を生成します。クリックイベントでは
search <フィールド> == <クリックした値>の形式で、ドラッグイベントでは時間範囲条件式が自動生成されます。 - Query: Query Statement入力欄に直接ログプレッソクエリコマンドを入力します。クエリ文に予約語を使用すると、実行時の値に置換されます。
Queryタイプで使用できる予約語は以下のとおりです。
クリックイベント予約語
| 予約語 | 説明 |
|---|---|
$series$ | クリックした項目のフィールド名 |
$フィールド名$ | 該当フィールドに表示された値(例:$src_ip$ → クリックした行のsrc_ip値) |
ドラッグイベント予約語
| 予約語 | 説明 |
|---|---|
$xfield$ | 時間フィールドの名前 |
$from$ | ドラッグ開始時刻 |
$to$ | ドラッグ終了時刻 |
Run Query
クリックやドラッグイベント発生時、新しいウィンドウで指定したクエリを実行します。設定エリアに実行するログプレッソクエリ文を入力します。
クエリ文に予約語を使用すると、実行時の値に置換されます。
クリックイベント予約語
| 予約語 | 説明 |
|---|---|
$series$ | クリックした項目のフィールド名 |
$フィールド名$ | 該当フィールドに表示された値(例:$src_ip$ → クリックした行のsrc_ip値) |
ドラッグイベント予約語
| 予約語 | 説明 |
|---|---|
$xfield$ | 時間フィールドの名前 |
$from$ | ドラッグ開始時刻 |
$to$ | ドラッグ終了時刻 |
アラートボックスウィジェットでは$value$(表示された値)、$field$(フィールド名)、$threshold$(しきい値)の予約語も使用できます。
Open Web Browser
クリックイベント発生時、指定したフィールドに保存されたURLを新しいウィンドウで開きます。Fields with URLsドロップダウンでURL値が保存されたフィールドを選択します。クリックイベントでのみ使用できます。
Switch view
クリックイベント発生時、指定したURLパスに画面を切り替えます。Set Screen Navigation URLエリアに遷移先のURLを直接入力します。URLに予約語を使用して、クリックした項目の値をクエリパラメータとして渡すことができます。クリックイベントでのみ使用できます。
| 予約語 | 説明 |
|---|---|
$フィールド名$ | チャートやグリッドでクリックした項目の該当フィールド値 |
$series$ | クリックした項目のフィールド名 |
アラートボックスウィジェットでは$value$(表示された値)、$field$(フィールド名)、$threshold$(しきい値)の予約語も使用できます。