学ぶ (英語版)
ドキュメント (英語版)
サポート (英語のみ)
コミュニティ (英語版)

ビジュアルエディタ

ビジュアルエディターを使用して、NQLやNQLデータモデルを習得せずに強力で柔軟な調査を作成できます。

ビジュアルエディターは、次のことを可能にするグラフィカルNQLツールです:

  • ユーザー、デバイス、バイナリ、またはイベントなどのデータコレクションをリストと可視化。

  • さまざまなプロパティやメトリクスを持つ追加の列を追加。

  • プロパティおよびメトリック値に基づく条件とフィルターを使用して結果を微調整。

  • メトリックを集約し、さまざまな次元でグループ化。

  • ビジュアルエディターNQLエディターを切り替えたり、両方のモードを使用してクエリを作成したりできます。

ビジュアルエディターのデータクエリ

  1. メインメニューから調査を選択して、新しい調査を作成するか、既存の調査を編集してください。

    • 必要に応じて、ページの右上にある新しい調査ボタンをクリックして、新しい調査タブを開きます。

  2. ビジュアルエディターの下にある表示ドロップダウンメニューを使用して、利用可能なデータからオプションを選択してください。

    • ユーザーデバイス、およびバイナリなどのオブジェクトテーブル。

    • 実行クラッシュデバイス性能イベントなどのイベントテーブル。

  3. 表示ドロップダウンからオプションを選択すると、結果テーブルにデフォルトの列が表示されます。

    • ビジュアルエディターはデフォルトでデバイスの結果テーブルを表示します。

    • キャンペーンおよびリモートアクションの下にある表示ドロップダウンのメトリックには、特定のキャンペーンおよびリモートアクションを対象とする追加のドロップダウンがあります。 以下の画像をご覧ください。

    • 表示ドロップダウンからサンプリングされたイベントテーブルを選択すると、ビジュアルエディターはデフォルトで結果を要約します。 詳細については、調査結果の要約を参照してください。

    • 結果表の列を修正するには、このページの列の追加条件、およびフィルタのセクションを参照してください。

サポートされていないNQLクエリを特定するために、Visual editor非対応のNQLステートメントセクションに移動してください。

ネットワークビュー用接続イベントの選択

調査ページのビジュアルエディターの表示ドロップダウンから接続イベントを選択すると、ネットワークビューのビジュアル化が可能なネットワークタブが有効になります。

ネットワーク関連の問題を特定してトラブルシューティングする方法を学ぶには、Network viewのドキュメントを参照してください。

タイムフレームの調整

Investigationsページ > Visual editor から、active during ドロップダウンから時間枠を選択します。

タイムフレームはデフォルトで過去7日間に設定されています。

NQLエディターとは異なり、ビジュアルエディターでオブジェクトやイベントをクエリするには、タイムフレーム選択が必須です。

調査結果の表に列を追加する

調査ページのビジュアルエディターから、調査結果テーブルに表示される列を変更するには:

  1. 右側のパネルのから列を追加ボタンをクリックして、列を追加ポップアップを開きます。

  2. ソースコレクション及び関連コレクションから利用可能なフィールドメトリクスとプロパティを検索または選択します。

    • システムは利用可能なメトリックとプロパティをカテゴリに整理します。

    • システムは選択されたフィールドを現在の列の下に表示します。 必要に応じて、フィールドを削除してください。

  3. 選択したフィールドに応じて、システムは条件追加ポップアップを開きます。 このページのフィールドへの条件追加セクションを参照してください。

  4. 選択したすべてのフィールドを追加し、その後調査結果テーブルに表示される列を変更するには、完了をクリックします。 以下の画像をご覧ください。

アクティブな集約方法を確認するためにNQLエディターに切り替えます。 たとえば、number_of_crashesに選択されたメトリックに適用される合計集約関数:

デバイス 過去7日において
| 過去7日におけるexecution.crashesを含む
| number_of_crashes__0 = crash.number_of_crashes.sum()を計算
| device.entity, device.hardware.model, device.hardware.type, device.operating_system.name, number_of_crashes__0をリスト

調査結果のフィルタリング

ビジュアルエディターで調査結果をフィルタリングするには、次のオプションがあります:

'フィルター追加'ボタンからフィルターを追加する

調査ページのビジュアルエディターからフィルター追加ボタンをクリックします。

以下の例では、接続イベント調査結果にTCPフィルターを追加する手順を説明します。

  1. 調査ページのビジュアルエディターからフィルター追加ボタンをクリックし、フィルター追加ポップアップを開きます。

  2. 最初のドロップダウンから接続イベントを選択します。

  3. 2番目のドロップダウンからトランスポートプロトコルを選択または検索します。

  4. 操作を選択し、アイテムにTCPを追加します。

    • 必要に応じて複数の条件を追加します。

  5. フィルターを保存するには、完了をクリックします。

フィールドのアクションメニューからフィルターを追加する <a href="#visualeditor-exampleofaddingfiltersfromtheaddfilterbutton" id="#"visualeditor-exampleofaddingfiltersfromtheaddfilterbutton">

  1. 右側のパネルの内の特定のフィールドの操作メニューからフィルタを追加オプションをクリックします。

  2. フィルタの設定ポップアップ内で、オペレーターとフィルタリング対象の値を選択します。

結果セルからフィルタを追加する

以下の例は、調査結果アイテムから接続の総数フィールドにis '1'フィルタを直接追加する手順を説明します。

  1. アクションメニューを開くために、結果表の希望する項目のメトリクス値を右クリックします。 この例では、接続の総数フィールド列に 1 の値があります。

  2. 選択された項目の**フィルタの追加…**アクションメニューからis '1'をクリックし、フィルタをかける値を列全体に表示します。

結果列からフィルタを追加する

以下の例では、Investigationsフィールドヘッダーから直接接続の総数フィールドにフィルタ値を設定する手順を説明します。

Investigationsページ > Visual editor から:

  1. 結果表のフィールド列ヘッダーを右クリックして、アクションメニューを開きます。 この例では、接続イベント調査結果の接続の総数フィールド列。

  2. 列ヘッダーの操作メニューから**フィルタを追加…**オプションをクリックして、フィルタの設定ポップアップを開きます。 条件のオペレーターと一つまたは複数の値を選択します。 この場合、Is greater than '2'

フィルタの編集または削除

システムは追加されたフィルタをInvestigationsページのフィルタを追加ボタンの隣にリストします。 追加されたフィルタ上で右クリックして、フィルタを編集または削除します。

列メトリクスに条件を追加する

以下のステップは、受信トラフィック列フィールドに異なるバイナリの条件値を追加する例を示しています:

  1. InvestigationsページのVisual editorの右側のパネルで列を追加ボタンをクリックして、列を追加ポップアップを開きます。

  2. この例では、SkypeおよびZoomバイナリからの受信トラフィックを表示するために2つの別々の列を作成します。 したがって、各バイナリに対してこれらの手順を繰り返す必要があります。

    • 列を追加ポップアップから受信トラフィックメトリックフィールドを選択します。

    • Product nameSkypeまたはZoomに設定して、バイナリに条件を追加します。

    • 受信トラフィックのメトリック値を制限することにより、接続イベントに条件を追加します。

    • 条件固有のフィールドに一意の列名で保存します。

以下の画像で、列フィールドメトリックに条件を追加するためのビジュアル表現を確認してください。

列フィールド条件を追加する際の考慮事項

  • 複数の条件を追加することで、自動的にかつの論理演算子が追加されます。

  • 同じ条件に複数のメトリック値またはプロパティを追加すると、自動的にまたはの論理演算子が追加されます。

  • 自動補完機能は既存のプロパティ値を提案します。 必要に応じてワイルドカードを使用してください:

    • *は零個以上の文字を置き換える

    • ?は零個または一個の文字を置き換える

ビジュアルエディターから調査結果を要約する

ビジュアルエディターの要約モードは、調査メトリックとプロパティをグループおよび時間の単位に集約して分解することを可能にします。

調査ページのビジュアルエディターから要約モードをアクティブにするには、次のオプションを選択します:

  • 右側のパネルの結果を要約トグルボタンを有効にします。

  • 調査結果テーブルの列ヘッダーを右クリックしてアクションメニューを開き、要約またはグループ化オプションを選択します。

システムは各メトリックのデフォルトの集約関数を使用します。 ビジュアルエディターは現在、デフォルトの集約の変更をサポートしていません。 集約関数を編集するには、NQLエディターに切り替えてください。

結果を要約トグルボタンを無効にすることで要約モードを終了します。

要約モードで列を追加する

Investigationsページ > Visual editorから要約モードで列を追加するときは、次の点を考慮してください:

  • システムは、サポートされているデータ型(文字列、UID、ブール値、列挙、バージョン)のプロパティをグループ化フィールドとして結果リストに追加します。

  • システムはメトリックを結果リストに追加し、デフォルトでデータを集約します。

要約モードでフィルターを追加

調査ページのビジュアルエディターから要約モードでフィルターを追加する際に、次の点を考慮してください:

  • グループ化で使用されるプロパティへのフィルターは結果に反映されます。

  • 数値メトリック値へのフィルターは、結果を要約トグルボタンが無効にされた後も調査結果テーブルに影響を与え続けます。

全体として、システムは数値のメトリック値を集計しますが、サポートされているデータ型(文字列、UID、Boolean、列挙、バージョン)のプロパティをグループ化句を使用してクラスター化します。

要約モードで調査結果を折れ線グラフとして可視化

調査ページのビジュアルエディターから調査結果を折れ線グラフとして可視化するには:

  1. 右側のパネルの結果を要約トグルボタンを有効にします。

  2. 右サイドパネルの開始時間フィールドの目のアイコンをクリックして、日ごとの結果を表示します。

    • Visual editorで開始時間フィールドを追加することは、NQLエディターで要約中..."を行うのと同じです。 1日ごとの分解を照会することに相当します。 以下のクエリをご覧ください。

  3. 日毎に要約された結果が表示されたら、チャートビューに切り替えボタンをクリックします。

NQLエディターでのクエリから作成された折れ線グラフは、Visual editorでサポートされない可能性があります

campaign.responses 過去7日間で
| ユーザー.count()を集計して no_of_users とし、デバイス.count()を集計して no_of_devices とし、キャンペーン.campaign.name.count()を集計して no_of_campaigns として日毎に
| list start_time, no_of_users, no_of_devices, no_of_campaigns

要約モードで調査結果を棒グラフとして可視化

調査ページのビジュアルエディターから調査結果を棒グラフとして可視化するには:

  1. 右側のパネルの結果を要約トグルボタンを有効にします。

  2. 現在要約されているフィールドをプロパティに分解するために列を追加ポップアップを開きます。 この場合、Hardware -> デバイスモデル

    • ビジュアルエディターでハードウェア -> 製品IDフィールドを追加することは、NQLエディターで要約中... NQLエディタにおけるby device.hardware.model`。 以下のクエリをご覧ください。

  3. 要約された分解が表示されたら、チャートビューに切り替えボタンをクリックします。

NQLエディターでのクエリから作成された棒グラフは、Visual editorでサポートされない可能性があります

デバイス 過去7日間
| device.hardware.modelで集計されるno_of_devices=カウント() 
| list no_of_devices, device.hardware.model

ビジュアルエディターからNQLエディターに切り替える

ビジュアルエディターで作成された調査は、常に関連するNQLクエリがあり、NQLエディタータブに切り替えることで表示できます。サポートされる場合は、その逆も可能です。

システムは、ビジュアルエディターがNQLエディターに入力された変更をサポートしていない場合に警告します。

ビジュアルエディタ非対応NQLステートメント

ビジュアルエディタがサポートしていない機能は以下の通りです:

  • 算術演算子

  • with ステートメント—関連するイベントからすべてのメトリクスが include を使用して追加されます。

  • 複数の列に対する sort ステートメント。

  • limit ステートメント。

  • as() 関数。

  • contains 比較子。 例えば: events during past 7d | where primary_physical_adapter . dns_ips contains 156.64.0.39 / 255&#x20

  • custom_trend をソースとして使用。

  • 複数のオブジェクト間の関係をマッピングするオブジェクト関連テーブル—リンク—です。 例えば、installed_packages

  • ビジネス設定済みオブジェクト (BCO) をソースとして使用。 例えば、特定のアラートはサポートされておらず、Remote Actions とキャンペーンのみがサポートされています。

  • メトリクスの集計を変更する。

  • 条件付き集計と疑似集計。

ビジュアルエディタは、NQLエディタで作成された高度なフィルターと複雑な条件を読み込み、表示します。 これは、例えば or 演算子やネストされた and 組み合わせを含むクエリです。 高度なフィルタを編集するには、NQLエディタに戻ってください。

ビジュアルエディタはサポートするNQLステートメントの数を徐々に拡大しています。 しかしながら、NQLエディタ は現時点で高度なクエリのための好まれるツールです。

関連トピック

Last updated

Was this helpful?