サポート (英語のみ)

ビジュアルエディタ

ビジュアルエディターを使用して、NQLやNQLデータモデルをマスターすることなく、強力で柔軟な調査を作成できます。

ビジュアルエディターは、次のことができるグラフィカルなNQLツールです:

  • ユーザー、デバイス、バイナリ、イベントなどのデータコレクションを一覧表示し、視覚化します。

  • さまざまなプロパティやメトリックを持つ追加の列を追加します。

  • プロパティやメトリック値に基づいて条件やフィルタを使用して結果を微調整します。

  • メトリックを集計し、さまざまな次元でグループ化します。

  • ビジュアルエディターNQLエディターを切り替えるか、両方のモードを使用してクエリを構築します。

ビジュアルエディターによるデータのクエリ作成

Nexthink Library Investigations スターターパックをインストールすると、事前定義されたInvestigationsを使用して、NQLクエリを手動で書くことなく、またはNexthink AssistやVisual editorを使用してデータをクエリすることなく、共通の問題に関する洞察を迅速に得ることができます。

  1. メインメニューから 調査 を選択して既存の調査を作成または編集します。

  • 必要に応じて、ページ右上の 新しい調査 ボタンをクリックして新しい調査タブを開きます。

  1. ビジュアルエディター 内の 表示 ドロップダウンメニューを使用して、利用可能なデータからオプションを選択します:

  • ユーザーデバイスバイナリなどのオブジェクトテーブル。

  • 実行クラッシュデバイスパフォーマンスイベントなどのイベントテーブル。

  1. 表示 ドロップダウンからオプションを選択すると、結果テーブルにデフォルトの列が表示されます。

  • ビジュアルエディター はデフォルトで デバイス 結果テーブルを表示します。

  • キャンペーン および リモート操作表示 ドロップダウンにあるメトリックには、特定のキャンペーンやリモート操作を対象とした追加のドロップダウンがあります。 以下の画像を参照してください。

  • 表示 ドロップダウンから サンプリングされたイベント テーブルを選択すると、ビジュアルエディター はデフォルトで結果を要約します。 詳細については、調査結果の要約 を参照してください。

  • 結果テーブルの列を変更するには、このページの 列の追加条件フィルタ のセクションを参照してください。

また、Nexthink Assistを利用すれば、ビジュアルエディター や NQL の事前知識なしで調査クエリを構築することができます。

Creating a query using Investigations Visual Editor.

ビジュアルエディターでサポートされていないNQLステートメントセクションに進んで、ビジュアルエディターと互換性のないNQLクエリを特定してください。

ネットワークビュー用の接続イベントの選択

調査ページのビジュアルエディターの 表示 ドロップダウンから 接続イベント を選択すると、ネットワークビューの視覚化が有効になります。

ネットワーク関連の問題を特定してトラブルシュートする方法については、ネットワークビュー のドキュメントを参照してください。

タイムフレームの調整

調査ページ > ビジュアルエディター から、アクティブ中 のドロップダウンからタイムフレームを選択します。

タイムフレームはデフォルトで 過去7日間 に設定されています。

NQLエディター とは異なり、ビジュアルエディターではオブジェクトやイベントのクエリ作成にはタイムフレームの選択が必須です。

Adjusting the timeframe from an investigation.

調査結果テーブルに列を追加する

調査結果テーブルの表示列を調査ページ > ビジュアルエディター から変更するには:

  1. 調査ページの ビジュアルエディター 右サイドパネルで 列を追加 ボタンをクリックして、列を追加 ポップアップを開きます。

  2. ソースコレクションおよび関連コレクションから利用可能なフィールド メトリックおよびプロパティを検索または選択します。

  • 利用可能なメトリックとプロパティがカテゴリに整理されます。

  • 選択したフィールドが 現在の列 に表示されます。 必要に応じて任意のフィールドを削除します。

  1. 選択したフィールドによって、条件を追加 するためのポップアップが開きます。 このページの メトリックフィールドに条件を追加する セクションを参照してください。

  2. すべての選択したフィールドを追加して調査結果テーブル内の表示列を変更するには、完了 をクリックします。 以下の画像を参照してください。

NQLエディターに切り替える を選択して、アクティブな集計方法を確認します。 例として、number_of_crashes に選択したメトリックに適用される sum 集計関数:

devices during past 7d
| include execution.crashes during past 7d
| compute number_of_crashes__0 = crash.number_of_crashes.sum()
| list device.entity, device.hardware.model, device.hardware.type, device.operating_system.name, number_of_crashes__0
Adding field as a columns in the investigation results table

調査結果のフィルタリング

ビジュアルエディター で調査結果をフィルタリングするには、次のオプションを使用します:

  • 調査ページの ビジュアルエディターから フィルタを追加 ボタン。

  • 右サイドパネルの特定のフィールドのアクションメニューから フィルタを追加 オプション。

  • 結果テーブル内の選択したセルのアクションメニューから フィルタを追加 オプションを使用して、その値またはプロパティをフィルタとして適用します。

  • 列テーブルヘッダーアクションメニューの フィルタを追加 オプション。

Filtering investigation results

[フィルタを追加] ボタンからフィルタを追加する

調査ページの ビジュアルエディター から フィルタを追加 ボタンをクリックします。

以下では、接続イベント 調査結果に TCP フィルタを追加する手順を例示します:

  1. 調査ページのビジュアルエディターの フィルタを追加 ボタンをクリックして、フィルタを追加 ポップアップを開きます。

  2. 最初のドロップダウンから 接続イベント を選択します。

  3. 2番目のドロップダウンから トランスポートプロトコル を選択または検索します。

  4. is 操作を選択し、アイテムとして TCP を追加します。

  • 必要に応じて、複数の条件を追加します。

  1. フィルタを保存するには、完了 をクリックします。

フィールドのアクションメニューからフィルタを追加する

  1. 右サイドパネル内の特定のフィールドのアクションメニューから フィルタを追加 オプションをクリックします。

  2. フィルタを設定 ポップアップで、フィルタリングする演算子と値を選択します。

結果セルからフィルタを追加する

以下の例では、調査結果アイテムから 接続数合計 フィールドに is '1' フィルタを追加する手順を示します。

  1. 結果テーブルの目的のアイテムメトリック値を右クリックして、アクションメニューを開きます。 この例では、接続数合計 フィールド列の下の 1 とします。

  2. 選択したアイテムのアクションメニューの フィルタを追加から is '1' をクリックし、フィールド列全体をそのアイテム値にフィルタリングします。

Adding filters from the results cell

結果列からフィルタを追加する

以下の例では、調査フィールドヘッダーから 接続数合計 フィールドにフィルタ値を設定する手順を示します。

調査ページ > ビジュアルエディター の場合:

  1. 結果テーブルのフィールド列ヘッダーを右クリックして、アクションメニューを開きます。 この例では、接続イベント 調査結果の 接続数合計 フィールド列です。

  2. 列ヘッダーアクションメニューから フィルタ… を選択して、フィルタを設定 ポップアップを開きます。 条件演算子と条件の1つまたは複数の値を選択します。 このケースでは、2より大きい

フィルタの編集または削除

追加されたフィルタは調査ページの フィルタを追加 ボタンの隣に一覧表示されます。 追加されたフィルタを右クリックして、フィルタを 編集 または 削除 します。

列メトリックに条件を追加する

以下の手順では、さまざまなバイナリに対して 受信トラフィック 列フィールドに条件値を追加する例を示します:

  1. 調査ページ > ビジュアルエディター 内の 右サイドパネルで 列を追加 ボタンをクリックして、列を追加 ポップアップを開きます。

  2. この例では、Skype および Zoom バイナリから受信トラフィックを表示する2つの別々の列を作成します。 したがって、各バイナリに対してこれらの手順を繰り返す必要があります:

  • 列を追加 ポップアップから 受信トラフィック メトリックフィールドを選択します。

  • バイナリ の条件を追加し、製品名Skype または Zoom に設定します。

  • 接続イベント の条件を追加し、受信トラフィック のメトリック値を制限します。

  • 条件固有のフィールドを一意の 列名 で保存します。

列フィールドメトリックに条件を追加する視覚的表現については、以下の画像を参照してください。

列フィールドの条件追加時の考慮事項

  • 複数の条件を追加すると、それらの間に自動的に and 論理演算子が追加されます。

  • 同じ条件に複数のメトリック値やプロパティを追加すると、自動的に or 論理演算子が追加されます。

  • オートコンプリート機能により、既存のプロパティ値が提案されます。 必要に応じてワイルドカードを使用します:

    • * はゼロまたは複数の文字を置き換えます

    • ? はゼロまたは一文字を置き換えます

Adding conditions to a column metric

ビジュアルエディターの調査結果の要約

ビジュアルエディター のサマライズモードでは、調査メトリックとプロパティをグループや期間に分解して集約できます。

調査ページ > ビジュアルエディター からサマライズモードを有効にするには、次のオプションのいずれかを選択します:

  • 右サイドパネルで 結果の要約 トグルボタンを有効にします。

  • 調査結果テーブルの列ヘッダーを右クリックして、アクションメニューを開き、要約 または グループ化 オプションを選択します。

システムは各メトリックに対するデフォルトの集約関数を使用します。 現在、ビジュアルエディターではデフォルトの集約を変更することはサポートされていません。 集計関数を編集するには NQLエディターに切り替えます。

結果の要約 トグルボタンを無効にして要約モードを終了します。

要約モードでの列の追加

調査ページ > ビジュアルエディター 内で要約モード時に 列を追加する場合、以下を考慮してください:

  • システムはサポートされているデータ型(文字列、UID、ブール値、列挙、バージョン)のプロパティを結果リストに グループ化フィールド として追加します。

  • システムはメトリックを結果リストに追加し、データをデフォルトで集約します。

要約モードでフィルタを追加する

調査ページ > ビジュアルエディター 内で要約モード時に フィルタを追加する場合、以下を考慮してください:

  • グループ化フィールド で使用されているプロパティのフィルタは結果に反映されます。

  • メトリック数値のフィルタは、結果の要約 トグルボタンを無効にした後も調査結果テーブルに影響します。

システムはメトリック数値を集約しますが、サポートされているデータ型(文字列、UID、ブール値、列挙、バージョン)を使用してプロパティを グループ化句 でクラスタ化します。

要約モードでの線グラフとしての調査結果の視覚化

調査ページ > ビジュアルエディター 内で線グラフとしての 調査結果 を視覚化するには:

  1. 右サイドパネルで 結果の要約 トグルボタンを有効にします。

  2. 右サイドパネルの 開始時刻 フィールドで目のアイコンをクリックして、結果を日別に表示します。

  • ビジュアルエディター内で 開始時刻 フィールドを追加することは、NQLエディターでの summarize... by 1d という分解をクエリすることと同等です。 以下のクエリを参照してください。

  1. スケジュールされた結果が日ごとに表示されたら、チャートビューに切り替え ボタンをクリックします。

NQLエディターでクエリから作成された線グラフは、ビジュアルエディターでサポートされていない可能性があります

campaign.responses during past 7d
| summarize no_of_users = user.count(), no_of_devices = device.count(), no_of_campaigns = campaign.campaign.name.count() by 1d
| list start_time, no_of_users, no_of_devices, no_of_campaigns
Line chart visualization from the Visual Editor.

要約モードでの棒グラフとしての調査結果の視覚化

調査ページ > ビジュアルエディター 内で棒グラフとしての 調査結果 を視覚化するには:

  1. 右サイドパネルで 結果の要約 トグルボタンを有効にします。

  2. 列を追加 ポップアップを開いて、現在要約されたフィールドをプロパティに分解します。 この場合は、ハードウェア -> デバイスモデル です。

  • ビジュアルエディター内で ハードウェア -> 製品ID フィールドを追加することは、NQLエディターでの summarize... by device.hardware.model という分解をクエリすることと同等です。 以下のクエリを参照してください。

  1. 要約された分解が表示されたら、チャートビューに切り替え ボタンをクリックします。

NQLエディターでクエリから作成された棒グラフは、ビジュアルエディターでサポートされていない可能性があります

devices during past 7d
| summarize no_of_devices = count() by device.hardware.model
| list no_of_devices, device.hardware.model

ビジュアルエディターからNQLエディターへの切り替え

ビジュアルエディターで作成された調査には、常に関連するNQLクエリがあり、NQLエディタータブに切り替えることによって表示でき、サポートされているケースではその逆も可能です。

ビジュアルエディターがNQLエディターで入力された変更をサポートしていない場合、システムは警告を出します。

Incompatible NQL query message

ビジュアルエディターサポート外NQL文

ビジュアルエディターでは次の機能がサポートされていません:

  • 算術演算子

  • withステートメント—関連するイベントからのすべてのメトリックはincludeを使用して追加されます。

  • 複数の列に対するsortステートメント。

  • limitステートメント。

  • as()関数。

  • contains比較子。 例えば:events during past 7d | where primary_physical_adapter . dns_ips contains 156.64.0.39 / 255

  • custom_trendをソースとして使用する。

  • オブジェクト関連テーブル—リンク—複数のオブジェクト間の関係をマップするものとしてソースを利用。 例として、installed_packages

  • ビジネス設定オブジェクト(BCO)をソースとして使用する。 例えば、特定のアラートはサポートされていません—リモートアクションとキャンペーンのみがサポートされています。

  • メトリックの集計を変更する。

  • 条件付き集計および擬似集計。

ビジュアルエディターはNQLエディターで作成された高度なフィルターや複雑な条件を読み込み表示します。 これには、例えば、or演算子やネストされたandの組み合わせを含むクエリが含まれます。 詳細なフィルターを編集するにはNQLエディターに戻ります。

ビジュアルエディターはサポートされるNQLステートメントの数を徐々に拡張しています。 ただし、現時点ではNQLエディターが高度なクエリには推奨されるツールです。

関連トピック

Last updated

Was this helpful?