ビジュアルエディタ
Last updated
Was this helpful?
Last updated
Was this helpful?
ビジュアルエディターを使用して、NQLやNQLデータモデルを習得せずに強力で柔軟な調査を作成できます。
ビジュアルエディターは、次のことを可能にするグラフィカルNQLツールです:
ユーザー、デバイス、バイナリ、またはイベントなどのデータコレクションをリストと可視化。
さまざまなプロパティやメトリクスを持つ追加の列を追加。
プロパティおよびメトリック値に基づく条件とフィルターを使用して結果を微調整。
メトリックを集約し、さまざまな次元でグループ化。
ビジュアルエディターとNQLエディターを切り替えたり、両方のモードを使用してクエリを作成したりできます。
メインメニューから調査を選択して、新しい調査を作成するか、既存の調査を編集してください。
必要に応じて、ページの右上にある新しい調査ボタンをクリックして、新しい調査タブを開きます。
ビジュアルエディターの下にある表示ドロップダウンメニューを使用して、利用可能なデータからオプションを選択してください。
ユーザー、デバイス、およびバイナリなどのオブジェクトテーブル。
実行クラッシュやデバイス性能イベントなどのイベントテーブル。
表示ドロップダウンからオプションを選択すると、結果テーブルにデフォルトの列が表示されます。
ビジュアルエディターはデフォルトでデバイスの結果テーブルを表示します。
キャンペーンおよびリモートアクションの下にある表示ドロップダウンのメトリックには、特定のキャンペーンおよびリモートアクションを対象とする追加のドロップダウンがあります。 以下の画像をご覧ください。
表示ドロップダウンからサンプリングされたイベントテーブルを選択すると、ビジュアルエディターはデフォルトで結果を要約します。 詳細については、調査結果の要約を参照してください。
あるいは、Nexthink Assistを利用することで、Visual editorやNQLに関する事前知識がなくても調査クエリを構築することができます。
サポートされていないNQLクエリを特定するために、Visual editor非対応のNQLステートメントセクションに移動してください。
調査ページのビジュアルエディターの表示ドロップダウンから接続イベントを選択すると、ネットワークビューのビジュアル化が可能なネットワークタブが有効になります。
ネットワーク関連の問題を特定してトラブルシューティングする方法を学ぶには、Network viewのドキュメントを参照してください。
Investigationsページ > Visual editor から、active during ドロップダウンから時間枠を選択します。
タイムフレームはデフォルトで過去7日間に設定されています。
NQLエディターとは異なり、ビジュアルエディターでオブジェクトやイベントをクエリするには、タイムフレーム選択が必須です。
調査ページのビジュアルエディターから、調査結果テーブルに表示される列を変更するには:
右側のパネルの列から列を追加ボタンをクリックして、列を追加ポップアップを開きます。
ソースコレクション及び関連コレクションから利用可能なフィールドメトリクスとプロパティを検索または選択します。
システムは利用可能なメトリックとプロパティをカテゴリに整理します。
システムは選択されたフィールドを現在の列の下に表示します。 必要に応じて、フィールドを削除してください。
選択したフィールドに応じて、システムは条件追加ポップアップを開きます。 このページのフィールドへの条件追加セクションを参照してください。
選択したすべてのフィールドを追加し、その後調査結果テーブルに表示される列を変更するには、完了をクリックします。 以下の画像をご覧ください。
アクティブな集約方法を確認するためにNQLエディターに切り替えます。 たとえば、number_of_crashesに選択されたメトリックに適用される合計集約関数:
ビジュアルエディターで調査結果をフィルタリングするには、次のオプションがあります:
InvestigationsページのVisual editorからフィルタを追加ボタン。
右側のパネルの列内の特定のフィールドの操作メニューからフィルタを追加オプション。
結果表の選択されたセルの操作メニューから、その値やプロパティをフィルタとして適用するためのフィルタを追加オプション。
列テーブルのヘッダーの操作メニューからフィルタを追加オプション。
調査ページのビジュアルエディターからフィルター追加ボタンをクリックします。
以下の例では、接続イベント調査結果にTCPフィルターを追加する手順を説明します。
調査ページのビジュアルエディターからフィルター追加ボタンをクリックし、フィルター追加ポップアップを開きます。
最初のドロップダウンから接続イベントを選択します。
2番目のドロップダウンからトランスポートプロトコルを選択または検索します。
は操作を選択し、アイテムにTCPを追加します。
必要に応じて複数の条件を追加します。
フィルターを保存するには、完了をクリックします。
右側のパネルの列内の特定のフィールドの操作メニューからフィルタを追加オプションをクリックします。
フィルタの設定ポップアップ内で、オペレーターとフィルタリング対象の値を選択します。
以下の例は、調査結果アイテムから接続の総数フィールドにis '1'フィルタを直接追加する手順を説明します。
アクションメニューを開くために、結果表の希望する項目のメトリクス値を右クリックします。 この例では、接続の総数フィールド列に 1 の値があります。
選択された項目の**フィルタの追加…**アクションメニューからis '1'をクリックし、フィルタをかける値を列全体に表示します。
以下の例では、Investigationsフィールドヘッダーから直接接続の総数フィールドにフィルタ値を設定する手順を説明します。
Investigationsページ > Visual editor から:
結果表のフィールド列ヘッダーを右クリックして、アクションメニューを開きます。 この例では、接続イベント調査結果の接続の総数フィールド列。
列ヘッダーの操作メニューから**フィルタを追加…**オプションをクリックして、フィルタの設定ポップアップを開きます。 条件のオペレーターと一つまたは複数の値を選択します。 この場合、Is greater than '2'。
システムは追加されたフィルタをInvestigationsページのフィルタを追加ボタンの隣にリストします。 追加されたフィルタ上で右クリックして、フィルタを編集または削除します。
以下のステップは、受信トラフィック列フィールドに異なるバイナリの条件値を追加する例を示しています:
InvestigationsページのVisual editorの右側のパネルで列を追加ボタンをクリックして、列を追加ポップアップを開きます。
この例では、SkypeおよびZoomバイナリからの受信トラフィックを表示するために2つの別々の列を作成します。 したがって、各バイナリに対してこれらの手順を繰り返す必要があります。
列を追加ポップアップから受信トラフィックメトリックフィールドを選択します。
Product nameをSkypeまたはZoomに設定して、バイナリに条件を追加します。
受信トラフィックのメトリック値を制限することにより、接続イベントに条件を追加します。
条件固有のフィールドに一意の列名で保存します。
以下の画像で、列フィールドメトリックに条件を追加するためのビジュアル表現を確認してください。
複数の条件を追加することで、自動的にかつの論理演算子が追加されます。
同じ条件に複数のメトリック値またはプロパティを追加すると、自動的にまたはの論理演算子が追加されます。
自動補完機能は既存のプロパティ値を提案します。 必要に応じてワイルドカードを使用してください:
*は零個以上の文字を置き換える
?は零個または一個の文字を置き換える
ビジュアルエディターの要約モードは、調査メトリックとプロパティをグループおよび時間の単位に集約して分解することを可能にします。
調査ページのビジュアルエディターから要約モードをアクティブにするには、次のオプションを選択します:
右側のパネルの列で結果を要約トグルボタンを有効にします。
調査結果テーブルの列ヘッダーを右クリックしてアクションメニューを開き、要約またはグループ化オプションを選択します。
システムは各メトリックのデフォルトの集約関数を使用します。 ビジュアルエディターは現在、デフォルトの集約の変更をサポートしていません。 集約関数を編集するには、NQLエディターに切り替えてください。
結果を要約トグルボタンを無効にすることで要約モードを終了します。
Investigationsページ > Visual editorから要約モードで列を追加するときは、次の点を考慮してください:
システムは、サポートされているデータ型(文字列、UID、ブール値、列挙、バージョン)のプロパティをグループ化フィールドとして結果リストに追加します。
システムはメトリックを結果リストに追加し、デフォルトでデータを集約します。
調査ページのビジュアルエディターから要約モードでフィルターを追加する際に、次の点を考慮してください:
グループ化で使用されるプロパティへのフィルターは結果に反映されます。
数値メトリック値へのフィルターは、結果を要約トグルボタンが無効にされた後も調査結果テーブルに影響を与え続けます。
全体として、システムは数値のメトリック値を集計しますが、サポートされているデータ型(文字列、UID、Boolean、列挙、バージョン)のプロパティをグループ化句を使用してクラスター化します。
調査ページのビジュアルエディターから調査結果を折れ線グラフとして可視化するには:
右側のパネルの列で結果を要約トグルボタンを有効にします。
右サイドパネルの開始時間フィールドの目のアイコンをクリックして、日ごとの結果を表示します。
Visual editorで開始時間フィールドを追加することは、NQLエディターで要約中..."を行うのと同じです。 1日ごとの分解を照会することに相当します。 以下のクエリをご覧ください。
日毎に要約された結果が表示されたら、チャートビューに切り替えボタンをクリックします。
NQLエディターでのクエリから作成された折れ線グラフは、Visual editorでサポートされない可能性があります。
調査ページのビジュアルエディターから調査結果を棒グラフとして可視化するには:
右側のパネルの列で結果を要約トグルボタンを有効にします。
現在要約されているフィールドをプロパティに分解するために列を追加ポップアップを開きます。 この場合、Hardware -> デバイスモデル。
ビジュアルエディターでハードウェア -> 製品IDフィールドを追加することは、NQLエディターで要約中... NQLエディタにおけるby device.hardware.model`。 以下のクエリをご覧ください。
要約された分解が表示されたら、チャートビューに切り替えボタンをクリックします。
NQLエディターでのクエリから作成された棒グラフは、Visual editorでサポートされない可能性があります。
ビジュアルエディターで作成された調査は、常に関連するNQLクエリがあり、NQLエディタータブに切り替えることで表示できます。サポートされる場合は、その逆も可能です。
システムは、ビジュアルエディターがNQLエディターに入力された変更をサポートしていない場合に警告します。
ビジュアルエディタがサポートしていない機能は以下の通りです:
with ステートメント—関連するイベントからすべてのメトリクスが include を使用して追加されます。
複数の列に対する sort ステートメント。
limit ステートメント。
as() 関数。
contains 比較子。 例えば: events during past 7d | where primary_physical_adapter . dns_ips contains 156.64.0.39 / 255 
custom_trend をソースとして使用。
複数のオブジェクト間の関係をマッピングするオブジェクト関連テーブル—リンク—です。 例えば、installed_packages。
ビジネス設定済みオブジェクト (BCO) をソースとして使用。 例えば、特定のアラートはサポートされておらず、Remote Actions とキャンペーンのみがサポートされています。
メトリクスの集計を変更する。
条件付き集計と疑似集計。
ビジュアルエディタは、NQLエディタで作成された高度なフィルターと複雑な条件を読み込み、表示します。 これは、例えば or 演算子やネストされた and 組み合わせを含むクエリです。 高度なフィルタを編集するには、NQLエディタに戻ってください。
ビジュアルエディタはサポートするNQLステートメントの数を徐々に拡大しています。 しかしながら、NQLエディタ は現時点で高度なクエリのための好まれるツールです。
関連トピック
Nexthink Library Investigations スターターパックをインストールすると、事前定義されたInvestigationsを使用して、NQLクエリを手動で書くことなく、またはNexthink AssistやVisual editorを使用してデータをクエリすることなく、共通の問題に関する洞察を迅速に得ることができます。
