# ビジュアルエディタ

**ビジュアルエディター**を使用して、NQLやNQLデータモデルをマスターすることなく、強力で柔軟な調査を作成できます。

ビジュアルエディターは、次のことができるグラフィカルなNQLツールです:

* ユーザー、デバイス、バイナリ、イベントなどのデータコレクションを一覧表示し、視覚化します。
* さまざまなプロパティやメトリックを持つ追加の列を追加します。
* プロパティやメトリック値に基づいて条件やフィルタを使用して結果を微調整します。
* メトリックを集計し、さまざまな次元でグループ化します。
* **ビジュアルエディター**と [NQLエディター](/platform/ja/user-guide/investigations/creating-investigations/nql-editor.md)を切り替えるか、両方のモードを使用してクエリを構築します。

## ビジュアルエディターによるデータのクエリ作成 <a href="#visualeditor-accessingthevisualeditor" id="visualeditor-accessingthevisualeditor"></a>

{% hint style="info" %}
事前に定義された調査を含む[Nexthink Library Investigations starter](https://docs.nexthink.com/platform/ja/library-packs/it-operations/investigations-starter-pack)パックをインストールすると、NQLクエリを手動で記述したり、Nexthink AssistまたはVisualエディタを使用してデータをクエリすることなく、一般的な問題に関する洞察を迅速に得ることができます。
{% endhint %}

1. メインメニューから **調査** を選択して既存の調査を作成または編集します。
   * 必要に応じて、ページ右上の **新しい調査** ボタンをクリックして新しい調査タブを開きます。
2. **ビジュアルエディター** 内の **表示** ドロップダウンメニューを使用して、利用可能なデータからオプションを選択します:
   * **ユーザー**、**デバイス**、**バイナリ**などのオブジェクトテーブル。
   * **実行クラッシュ**や**デバイスパフォーマンスイベント**などのイベントテーブル。
3. **表示** ドロップダウンからオプションを選択すると、結果テーブルにデフォルトの列が表示されます。
   * **ビジュアルエディター** はデフォルトで **デバイス** 結果テーブルを表示します。
   * **キャンペーン** および **リモート操作** の **表示** ドロップダウンにあるメトリックには、特定のキャンペーンやリモート操作を対象とした追加のドロップダウンがあります。 以下の画像を参照してください。
   * [サンプルイベント](/platform/ja/understanding-key-data-platform-concepts/data-we-collect-and-store.md#datawecollectandstore-sampledevents)テーブルを「表示」ドロップダウンから選択すると、「ビジュアルエディタ」で結果がデフォルトで要約されます。 詳細については、[調査結果の要約](#visualeditor-summarizinginvestigationresultstrue) を参照してください。
   * 結果テーブルの列を変更するには、このページの [列の追加](#visualeditor-addingfieldstoaninvestigationaddingfields)、[条件](#visualeditor-addingconditionstoametricfieldaddingconditions)、[フィルタ](#visualeditor-filteringinvestigationresultsaddingfilters) のセクションを参照してください。

また、[Nexthink Assist](https://docs.nexthink.com/platform/user-guide/search-and-nexthink-assist/using-nexthink-assist#query-data-with-assist)を利用すれば、**ビジュアルエディター** や NQL の事前知識なしで調査クエリを構築することができます。

<figure><img src="/files/shwDfI1ApZCkOWPv2zjr" alt="Creating a query using Investigations Visual Editor."><figcaption></figcaption></figure>

{% hint style="warning" %}
ビジュアルエディタと互換性のないNQLクエリを識別するために、[ビジュアルエディタにサポートされないNQLステートメント](#visualeditor-visualeditorunsupportednqlstatements)セクションに移動します。
{% endhint %}

### ネットワークビュー用の接続イベントの選択 <a href="#visualeditor-selectingconnectioneventsfornetworkview" id="visualeditor-selectingconnectioneventsfornetworkview"></a>

調査ページのビジュアルエディターの **表示** ドロップダウンから **接続イベント** を選択すると、ネットワークビューの視覚化が有効になります。

{% hint style="info" %}
ネットワーク関連の問題を特定してトラブルシュートする方法については、[ネットワークビュー](/platform/ja/user-guide/network-view.md) のドキュメントを参照してください。
{% endhint %}

## タイムフレームの調整 <a href="#visualeditor-adjustingthetimeframe" id="visualeditor-adjustingthetimeframe"></a>

調査ページ > **ビジュアルエディター** から、**アクティブ中** のドロップダウンからタイムフレームを選択します。

タイムフレームはデフォルトで **過去7日間** に設定されています。

[NQLエディター](/platform/ja/user-guide/investigations/creating-investigations/nql-editor.md) とは異なり、ビジュアルエディターではオブジェクトやイベントのクエリ作成にはタイムフレームの選択が必須です。

<figure><img src="/files/aIbN18V7AB386Avg0TpW" alt="Adjusting the timeframe from an investigation."><figcaption></figcaption></figure>

## 調査結果テーブルに列を追加する <a href="#visualeditor-addingfieldstoaninvestigationaddingfields" id="visualeditor-addingfieldstoaninvestigationaddingfields"></a>

調査結果テーブルの表示列を調査ページ > **ビジュアルエディター** から変更するには:

1. 調査ページの **ビジュアルエディター** の **列** 右サイドパネルで **列を追加** ボタンをクリックして、**列を追加** ポップアップを開きます。
2. ソースコレクションおよび関連コレクションから利用可能な**フィールド** メトリックおよびプロパティを検索または選択します。
   * 利用可能なメトリックとプロパティがカテゴリに整理されます。
   * 選択したフィールドが **現在の列** に表示されます。 必要に応じて任意のフィールドを削除します。
3. 選択したフィールドによって、**条件を追加** するためのポップアップが開きます。 このページの [メトリックフィールドに条件を追加する](#visualeditor-addingconditionstoametricfieldaddingconditions) セクションを参照してください。
4. すべての選択したフィールドを追加して調査結果テーブル内の表示列を変更するには、**完了** をクリックします。 以下の画像をご覧ください。

[NQLエディターに切り替える](#visualeditor-switchingfromvisualeditortonqleditorswitchtonql) を選択して、アクティブな集計方法を確認します。 例として、`number_of_crashes` に選択したメトリックに適用される `sum` 集計関数:

```
devices during past 7d
| include execution.crashes during past 7d
| compute number_of_crashes__0 = crash.number_of_crashes.sum()
| list device.entity, device.hardware.model, device.hardware.type, device.operating_system.name, number_of_crashes__0
```

<figure><img src="/files/OuPoYPJzsXk1KnMNW5A1" alt="Adding field as a columns in the investigation results table"><figcaption></figcaption></figure>

## 調査結果のフィルタリング <a href="#visualeditor-filteringinvestigationresultsaddingfilters" id="visualeditor-filteringinvestigationresultsaddingfilters"></a>

**ビジュアルエディター** で調査結果をフィルタリングするには、次のオプションを使用します:

* 調査ページでのビジュアルエディタからの「フィルタを追加」ボタン。
* **列** 右サイドパネルの特定のフィールドのアクションメニューから [フィルタを追加](#visualeditor-exampleofaddingfiltersfromtheaddfilterbutton-1) オプション。
* 結果テーブル内の選択したセルのアクションメニューから **フィルタを追加** オプションを使用して、その値またはプロパティをフィルタとして適用します。
* 列テーブルヘッダーのアクションメニューからの「フィルタを追加」オプション。

<figure><img src="/files/46o4A4hGHYIbaiEcY4Md" alt="Filtering investigation results"><figcaption></figcaption></figure>

### \[フィルタを追加] ボタンからフィルタを追加する <a href="#visualeditor-exampleofaddingfiltersfromtheaddfilterbutton" id="visualeditor-exampleofaddingfiltersfromtheaddfilterbutton"></a>

調査ページのビジュアルエディタから「フィルタを追加」ボタンをクリックします。

以下では、**接続イベント** 調査結果に **TCP** フィルタを追加する手順を例示します:

1. 調査ページのビジュアルエディターの **フィルタを追加** ボタンをクリックして、**フィルタを追加** ポップアップを開きます。
2. 最初のドロップダウンから **接続イベント** を選択します。
3. 2番目のドロップダウンから **トランスポートプロトコル** を選択または検索します。
4. `is` 操作を選択し、アイテムとして **TCP** を追加します。
   * 必要に応じて、複数の条件を追加します。
5. フィルタを保存するには、**完了** をクリックします。

<figure><img src="/files/tGpKakOyRDCZlM0Oe9oJ" alt=""><figcaption></figcaption></figure>

### フィールドのアクションメニューからフィルタを追加する <a href="#visualeditor-exampleofaddingfiltersfromtheaddfilterbutton" id="visualeditor-exampleofaddingfiltersfromtheaddfilterbutton"></a>

1. **列** 右サイドパネル内の特定のフィールドのアクションメニューから **フィルタを追加** オプションをクリックします。
2. 「フィルタを設定」ポップアップで、フィルタリングのためのオペレーターと値を選択します。

<figure><img src="/files/6hVUupTstlFr48xijnbd" alt=""><figcaption></figcaption></figure>

### 結果セルからフィルタを追加する <a href="#visualeditor-exampleofaddingfiltersfromaninvestigationitem" id="visualeditor-exampleofaddingfiltersfromaninvestigationitem"></a>

以下の例では、調査結果アイテムから **接続数合計** フィールドに `is '1'` フィルタを追加する手順を示します。

1. 結果テーブルの目的のアイテムメトリック値を右クリックして、アクションメニューを開きます。 この例では、**接続数合計** フィールド列の下の `1` とします。
2. 選択したアイテムのアクションメニューの **フィルタを追加**から `is '1'` をクリックし、フィールド列全体をそのアイテム値にフィルタリングします。

<figure><img src="/files/yc6OPufMz5eZUSoCO6au" alt="Adding filters from the results cell"><figcaption></figcaption></figure>

### 結果列からフィルタを追加する <a href="#visualeditor-exampleofaddingfiltersfromfieldcolumns" id="visualeditor-exampleofaddingfiltersfromfieldcolumns"></a>

以下の例では、調査フィールドヘッダーから **接続数合計** フィールドにフィルタ値を設定する手順を示します。

調査ページ > **ビジュアルエディター** の場合:

1. 結果テーブルのフィールド列ヘッダーを右クリックして、アクションメニューを開きます。 この例では、**接続イベント** 調査結果の **接続数合計** フィールド列です。
2. 列ヘッダーアクションメニューから **フィルタ…** を選択して、**フィルタを設定** ポップアップを開きます。 条件演算子と条件の1つまたは複数の値を選択します。 このケースでは、`2より大きい`。

<figure><img src="/files/JA5m05vLy5d8Yjm5c5XH" alt="" width="544"><figcaption></figcaption></figure>

### フィルタの編集または削除

追加されたフィルタは調査ページの **フィルタを追加** ボタンの隣に一覧表示されます。 追加されたフィルタを右クリックして、フィルタを **編集** または **削除** します。

<figure><img src="/files/gdbgDgf3ajWjmbGwCtit" alt=""><figcaption></figcaption></figure>

## 列メトリックに条件を追加する <a href="#visualeditor-addingconditionstoametricfieldaddingconditions" id="visualeditor-addingconditionstoametricfieldaddingconditions"></a>

以下の手順では、さまざまなバイナリに対して **受信トラフィック** 列フィールドに条件値を追加する例を示します:

1. 調査ページ > **ビジュアルエディター** 内の **列** 右サイドパネルで **列を追加** ボタンをクリックして、**列を追加** ポップアップを開きます。
2. この例では、**Skype** および **Zoom** バイナリから受信トラフィックを表示する2つの別々の列を作成します。 したがって、各バイナリに対してこれらの手順を繰り返す必要があります:
   * **列を追加** ポップアップから **受信トラフィック** メトリックフィールドを選択します。
   * **バイナリ** の条件を追加し、**製品名** を **Skype** または **Zoom** に設定します。
   * **接続イベント** の条件を追加し、**受信トラフィック** のメトリック値を制限します。
   * 条件固有のフィールドを一意の **列名** で保存します。

{% hint style="info" %}
列フィールドメトリックに条件を追加する視覚的表現については、以下の画像を参照してください。
{% endhint %}

#### 列フィールドの条件追加時の考慮事項

* 複数の条件を追加すると、それらの間に自動的に `and` 論理演算子が追加されます。
* 同じ条件に複数のメトリック値やプロパティを追加すると、自動的に `or` 論理演算子が追加されます。
* オートコンプリート機能により、既存のプロパティ値が提案されます。 必要に応じてワイルドカードを使用します:
  * `*` はゼロまたは複数の文字を置き換えます
  * `?` はゼロまたは一文字を置き換えます

<figure><img src="/files/cEUyXY0MaKDEUDHR9VrU" alt="Adding conditions to a column metric"><figcaption></figcaption></figure>

## ビジュアルエディターの調査結果の要約 <a href="#visualeditor-summarizinginvestigationresultstrue" id="visualeditor-summarizinginvestigationresultstrue"></a>

**ビジュアルエディター** のサマライズモードでは、調査メトリックとプロパティをグループや期間に分解して集約できます。

調査ページ > **ビジュアルエディター** からサマライズモードを有効にするには、次のオプションのいずれかを選択します:

* **列** 右サイドパネルで **結果の要約** トグルボタンを有効にします。
* 調査結果テーブルの列ヘッダーを右クリックして、アクションメニューを開き、**要約** または **グループ化** オプションを選択します。

**結果の要約** トグルボタンを無効にして要約モードを終了します。

#### 結果を集約するときに使用される集計

ビジュアルエディタがデータを要約する際には、データタイプとフィールド設定に基づき、集計関数が適用されます。 調査内の各フィールドは特定の集計タイプに割り当てられており、利用可能な集計関数のセットと、結果を要約するときに適用されるデフォルトが決まります。

各フィールドは特定の集計関数をサポートします。 システムは限定された集計セットを定義しており、各フィールドタイプはこれらのセットのどれかにマッピングされています。 したがって、フィールドのデフォルト集計はフィールドそのものでなく、その集計タイプによって決定されます。

例えば、「実行数」フィールドは、意味的にすべての集計が有効であるため、すべての集計をサポートしています。 しかし、そのデフォルト集計は **.avg()** です。これは、このタイプのフィールドは通常、平均が最も意味のある要約として用いられるためです。 この特定の場合、**.avg()** が必ずしも最も直感的な選択であるとは限りませんが、これはこのデータタイプに関する事前定義された集計ルールを反映しています。

{% hint style="info" %}
ビジュアルエディタは現時点ではデフォルト集計を変更することをサポートしていません。 集計関数を編集するには NQLエディターに切り替えます。
{% endhint %}

#### 要約モードでの列の追加 <a href="#visualeditor-addingfieldswheninsummarizemode" id="visualeditor-addingfieldswheninsummarizemode"></a>

調査ページ > **ビジュアルエディター** 内で要約モード時に [列を追加する](#visualeditor-addingfieldstoaninvestigationaddingfields)場合、以下を考慮してください:

* システムはサポートされているデータ型（文字列、UID、ブール値、列挙、バージョン）のプロパティを結果リストに `グループ化フィールド` として追加します。
* システムはメトリックを結果リストに追加し、データをデフォルトで集約します。

#### 要約モードでフィルタを追加する <a href="#visualeditor-addingfilterswheninsummarizemode" id="visualeditor-addingfilterswheninsummarizemode"></a>

調査ページ > **ビジュアルエディター** 内で要約モード時に [フィルタを追加する](#visualeditor-addingfilterswheninsummarizemode)場合、以下を考慮してください:

* `グループ化フィールド` で使用されているプロパティのフィルタは結果に反映されます。
* メトリック数値のフィルタは、**結果の要約** トグルボタンを無効にした後も調査結果テーブルに影響します。

{% hint style="info" %}
システムはメトリック数値を集約しますが、サポートされているデータ型（文字列、UID、ブール値、列挙、バージョン）を使用してプロパティを `グループ化句` でクラスタ化します。
{% endhint %}

### 要約モードでの線グラフとしての調査結果の視覚化

調査ページ > **ビジュアルエディター** 内で線グラフとしての [調査結果](/platform/ja/user-guide/live-dashboards/widget-types/line-chart.md) を視覚化するには:

1. **列** 右サイドパネルで **結果の要約** トグルボタンを有効にします。
2. 右側のパネルの「開始時間」フィールドで結果を日別に表示するために目のアイコンをクリックします。
   * ビジュアルエディター内で **開始時刻** フィールドを追加することは、NQLエディターでの `summarize... by 1d` in the NQL editor. 以下のクエリを参照してください。
3. スケジュールされた結果が日ごとに表示されたら、**チャートビューに切り替え** ボタンをクリックします。

{% hint style="warning" %}
NQLエディターでクエリから作成された線グラフは、ビジュアルエディターで[サポートされていない可能性があります](#visualeditor-visualeditorunsupportednqlstatements)。
{% endhint %}

```
campaign.responses during past 7d
| summarize no_of_users = user.count(), no_of_devices = device.count(), no_of_campaigns = campaign.campaign.name.count() by 1d
| list start_time, no_of_users, no_of_devices, no_of_campaigns
```

<figure><img src="/files/aM0SECMrJAL3EjmKUr4R" alt="Line chart visualization from the Visual Editor."><figcaption></figcaption></figure>

### 要約モードでの棒グラフとしての調査結果の視覚化

調査ページ > **ビジュアルエディター** 内で棒グラフとしての [調査結果](/platform/ja/user-guide/live-dashboards/widget-types/bar-chart.md) を視覚化するには:

1. **列** 右サイドパネルで **結果の要約** トグルボタンを有効にします。
2. **列を追加** ポップアップを開いて、現在要約されたフィールドをプロパティに分解します。 この場合は、**ハードウェア -> デバイスモデル** です。
   * ビジュアルエディター内で **ハードウェア -> 製品ID** フィールドを追加することは、NQLエディターでの `summarize... デバイス.hardware.model で` in the NQL editor. 以下のクエリを参照してください。
3. 要約された分解が表示されたら、**チャートビューに切り替え** ボタンをクリックします。

{% hint style="warning" %}
NQLエディターでクエリから作成された棒グラフは、ビジュアルエディターで[サポートされていない可能性があります](#visualeditor-visualeditorunsupportednqlstatements)。
{% endhint %}

```
devices during past 7d
| summarize no_of_devices = count() by device.hardware.model
| list no_of_devices, device.hardware.model
```

<figure><img src="/files/hGOdVBWaV7YUr111PCw8" alt=""><figcaption></figcaption></figure>

## ビジュアルエディターからNQLエディターへの切り替え <a href="#visualeditor-switchingfromvisualeditortonqleditorswitchtonql" id="visualeditor-switchingfromvisualeditortonqleditorswitchtonql"></a>

ビジュアルエディターで作成された調査には、常に関連するNQLクエリがあり、**NQLエディター**タブに切り替えることによって表示でき、サポートされているケースではその逆も可能です。

ビジュアルエディターがNQLエディターで入力された変更をサポートしていない場合、システムは警告を出します。

<figure><img src="/files/YMIC7lROEalhyy3ECefb" alt="Incompatible NQL query message" width="760"><figcaption></figcaption></figure>

### ビジュアルエディターサポート外NQL文 <a href="#visualeditor-visualeditorunsupportednqlstatements" id="visualeditor-visualeditorunsupportednqlstatements"></a>

ビジュアルエディターでは次の機能がサポートされていません:

* [算術演算子](/platform/ja/understanding-key-data-platform-concepts/nexthink-query-language-nql/nql-operators/nql-arithmetic-operators.md)。
* `with`ステートメント—関連するイベントからのすべてのメトリックは`include`を使用して追加されます。
* 複数の列に対する`sort`ステートメント。
* `limit`ステートメント。
* `as()`関数。
* `contains`比較子。 例えば：`events during past 7d | where primary_physical_adapter . dns_ips contains 156.64.0.39 / 255`
* `custom_trend`をソースとして使用する。
* オブジェクト関連テーブル—リンク—複数のオブジェクト間の関係をマップするものとしてソースを利用。 例として、`installed_packages`。
* ビジネス設定オブジェクト(BCO)をソースとして使用する。 例えば、特定のアラートはサポートされていません—リモートアクションとキャンペーンのみがサポートされています。
* メトリクスの集約の変更。
* 条件付き集計および擬似集計。

ビジュアルエディターはNQLエディターで作成された**高度なフィルター**や複雑な条件を読み込み表示します。 これには、例えば、`or`演算子やネストされた`and`の組み合わせを含むクエリが含まれます。 詳細なフィルターを編集するにはNQLエディターに戻ります。

{% hint style="info" %}
ビジュアルエディターはサポートされるNQLステートメントの数を徐々に拡張しています。 ただし、現時点では[NQLエディター](/platform/ja/user-guide/investigations/creating-investigations/nql-editor.md)が高度なクエリには推奨されるツールです。
{% endhint %}

***

関連トピック

* [NQLエディター](/platform/ja/user-guide/investigations/creating-investigations/nql-editor.md)
* [役割](https://github.com/nexthink/documentation.online-product-documentation/blob/develop/ja_docs/configuring_nexthink/configuring-your-platform/administration/account-management/roles/README.md)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.nexthink.com/platform/ja/user-guide/investigations/creating-investigations/visual-editor.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.