ネットワークビュー

接続の問題は、さまざまなデバイス、ユーザー、バイナリ、および宛先にわたって発生する可能性があります。 ネットワークビューは、connection.events データのインタラクティブな視覚化を提供することにより、トラブルシューティングを加速し、ネットワーク関連の問題を修正するための適切なチームやベンダーを特定するのに役立ちます。

Network_View_overview.png

ネットワークビューへのアクセス

ネットワークビューは、ネットワーク関連の問題のトラブルシューティングを簡素化するために、さまざまなモジュールや機能で利用可能です。

アプリケーション モジュール

これは、アプリケーション所有者がデスクトップまたはネットワークアプリケーションのネットワーク接続問題をトラブルシューティングすることを可能にします。

アプリケーションでネットワークビューにアクセスするために

  • アプリケーション モジュールでデスクトップまたはネットワーク アプリを開きます。

  • webとデスクトップの両方のアプリケーションについては、デスクトップ タブをクリックします。

  • ネットワーク タブを表示します。

詳細については、アプリケーション ドキュメントページを参照してください。

デバイスビュー

デバイスビューでは、特定のデバイスのトラブルシューティングを続けることができます。デバイスビューでネットワークビューにアクセスするには、ネットワーク タブを開きます。 詳細については、デバイスビュー ドキュメントページを参照してください。

インベスティエーションモジュール

インベスティエーションを使用すると、クエリを作成および更新し、ネットワークビューで視覚化することで、問題を調査できます。 インベスティエーションでネットワークビューを見るには:

  • インベスティエーションページのVisual editor で、Display ドロップダウンからConnection Events を選択します。

  • インベスティエーションページのNQL editor で、connection.events テーブルを使用してクエリを実行します。

詳細については、インベスティエーション ドキュメントページを参照してください。

検索を使用すると、事前にフィルタリングされたインベスティエーションに移動することにより、特定のバイナリ、ユーザー、宛先ドメイン、またはポートを迅速にトラブルシューティングできます。

  • 宛先ドメインまたはポートをトラブルシューティングするには:

    • Nexthinkに構成されているかどうかに関係なく、特定の宛先ドメインまたはポートを入力し、ポップアップ検索ウィンドウでConnections to the destination をクリックし、読み込まれたページでネットワーク タブを開きます。

  • バイナリ、ユーザー、またはデバイスをトラブルシューティングするには:

    • ポップアップ検索ウィンドウのバイナリアクションメニューからRetrieve all > (Connection) Events を選択し、読み込まれたページでネットワーク タブを開きます。 下の画像を参照してください。

システムは、使用するエントリーポイントに基づいてネットワークビュービジュアライゼーションをフィルタリングします。 たとえば、特定のバイナリの接続イベントが事前にフィルタリングされた状態でネットワークビューを表示します。

NetworkView-1709903355.png

詳細については、Search ドキュメントページを参照してください。

ネットワークビューのデータプライバシー

ネットワークビューやインベスティエーションでユーザーが機密データを見られないようにするには、データプライバシーを定義してください。

  • 行き先とドメイン: 行き先とドメインをユーザーから隠すために非表示に設定します。

  • デバイス: デバイス名をユーザーから隠すために非表示に設定します。

  • ユーザー: ユーザー名をユーザーから隠すために非表示に設定します。

データプライバシーの制限は、ネットワークビューで使用される connection.events データに適用されます。

Data privacy settings

詳細については、Roles ドキュメントを参照してください。

インベスティエーションでネットワークビューを見る

インベスティエーションでネットワークビューを表示するには、クエリが Connection events テーブルを使用している必要があります。

Visual editorで、Displayドロップダウン内のConnection Eventsを選択します。

NQLエディタで、クエリがconnection.eventsで開始することを確認してください。

特定のネットワーク関連の問題をクエリを使用してトラブルシューティングするには、アプリケーション接続のトラブルシューティングドキュメントを参照してください。

ネットワークビューの使い方

ネットワークビューは、選択されたconnection.events のメトリクスを複数のプロパティに分解し、接続経路上でプロパティがどのように関連しているかを示します。 ノードと線がこれらの関係を表します。

ネットワークビューの接続経路はデフォルトで4列を表示し、ノードや線をクリックすることで特定のフィールドへのドリルダウンが可能です。

表示されているメトリクスを切り替え、問題のトラブルシューティングを開始するには:

  1. ネットワークビジュアライゼーションの上部にあるDisplayドロップダウンをクリックします。

  2. 特定の接続データセットに利用可能なメトリクスの1つを選択します。

Network_View_metrics.png

ネットワークビューでのトランスポートプロトコル

ネットワークビューに表示されているconnection.events データをトランスポートプロトコルに従ってソートします。

ネットワークビューの視覚化の上に次のオプションを見つけます。

  • デバイスによって確立されたTransmission Control Protocol (TCP) 接続のためにTCPのみをクリックします。

  • User Datagram Packages (UDP) の場合はUDPのみをクリックします。

  • TCPとUDPの両方の場合はすべてをクリックします。

視覚的比較のための線の太さ

2つのノードを結ぶ線の太さは、同じ2つの列内の異なるノード間のメトリック値と比較したとき、それぞれのノード間のメトリック値に比例します。

以下のスクリーンショットは、この場合、failed_connections_ratio 値を表すアプリケーション → 名前行き先タイプの列間のメトリック値を示しています。

line_thickness1.png

この場合のメトリック値を考慮した場合の Excel アプリケーションノードとイントラネット行き先間の細い線は、Microsoft Office アプリケーションノードと比較して小さな failed_connections_ratio を表します。

line_thickness2.png

問題関連のメトリクスを表示する場合、太い線は最も問題のある領域を特定するのに役立ちます。

問題検出のためのラインカラー

問題をすばやく特定するために、次の問題関連のメトリクスに対してラインは赤で表示されます。

  • 失敗した接続割合: failed_connections_ratio

  • 失敗した接続数: number_of_failed_connections

  • 失敗した接続 - ホストなし: number_of_no_host_connections

  • 失敗した接続 - サービスなし: number_of_no_service_connections

  • 失敗した接続 - サービスなし: number_of_rejected_connections

これらの問題関連のメトリクスに対して、システムはトランスポートプロトコルをTCPのみに設定します。これはTCP接続にのみ適用されます。

Network_View_overview.png

問題に関連しない他のメトリクスの場合、ラインは青で表示されます。

non-negative_metric.png

ノードの並べ替え

システムは、各列内でノードを降順にソートします。 これにより、太い線が上部に表示される可能性が高くなりますが、必ずしもそうとは限りません。

ネットワークビューは、各列の上位8つのノードを表示します。 列に8つ以上のノードがある場合、値は列の下部にあるその他ノードに集約されます。

  • 列で8つのノードをさらに開くには、もっと をクリックします。

  • 追加のノードを非表示にするには少なくをクリックします。

データの解釈を容易にするために、各ノードは、そのノードを通過するすべてのパスに関連付けられています。

ノードまたは線の上にカーソルを乗せる

ノードまたは線にカーソルを置くと、そのノードまたは線を通過する接続メトリック値が強調表示されます。

以下の例では、製品部署のユーザーとexcel.exeアプリケーションに関わる失敗した接続の割合が強調表示されています。

hovering_over.png

ノードやラインにホバーすると、そのノードやラインに関するAIが生成した洞察がツールチップに表示され、トラブルシューティングを助けます。 ノードや接続の種類に応じて、これらは次のように役立つことがあります:

  • 特定のノードが何であるか、その目的を表示することで、トラブルシューティングを加速させます。

  • 非準拠でセキュリティリスクとなる可能性のある接続を特定することを支援します:

    • 接続が正常か異常かを診断できるようにします。

    • 値が次のメトリクスに関して問題があるかどうかを確認できるようにします:

      • 接続 RTT

      • 失敗した接続数、および失敗接続比率を総合して考慮

ノードとラインの洞察は、バイナリなど特定のノードタイプと次のメトリクスにのみ利用可能です:

  • 失敗した接続

  • 失敗接続比率

  • 接続 RTT

特定フィールドへのドリルダウン

ネットワークビューはデフォルトで4つの列を表示します。 各列は、画面に表示されるノードの数を減らすためにフィールドの階層に関連付けられています。

以下の表は、一般から特定への各列のフィールド階層を示しています。

列1:デバイス
列2:ユーザー
列3:バイナリ
列4:宛先

組織 → 地域

AD → 部門

アプリケーション → 名前

行き先 → タイプ

組織 → サブオルグ

ユーザー名

バイナリ → 製品名

行き先 → 所有者

組織 → エンティティ

バイナリ → 名前

行き先 → 国

デバイス → 名前

バイナリ → バージョン

行き先 → データセンター地域

宛先 → ドメイン名

ネットワークビューのフィールドをドリルダウンするためのオプションは次のとおりです。

  • ノードをNetwork viewでクリックします

  • 2つのノード間のラインをクリックします

ノードまたは線をクリックした後、ネットワークビュー内の各列ヘッディングの展開可能なドロップダウンを使用して階層を戻って上がる ことができます。

リーフ数

各ノードには、その向こうに同じレベルのノードからなるレイヤーがある場合があります。 ノードの下に1つ以上のレイヤーがある場合、最下層のノード数がノード名横の括弧内に表示されます。 たとえば:

  • デバイス列では、デバイスのカウントです

  • ユーザー列では、ユーザーのカウントです

ノードに子ノードが存在しない場合、そのノードはリーフノードと呼ばれます。 したがって、括弧で囲まれた数値は各ノードのリーフ数を示し、潜在的な問題の規模を一目で把握するのに役立ちます。

バイナリ列では、その数はバイナリMD5ハッシュの数を示します。

リーフ数も、それぞれの列名横に表示されます。

ノードをクリックする

ノードをクリックしてフィルターを適用し、列階層で1段階深く掘り下げます。

以下の例では、ネットワークビューがZoomアプリケーションのフィルタを適用します。

node_click_start.png

したがって、第3列はアプリケーション → 名前からバイナリ → 製品名に1階層下げます。

node_click_result.png

視覚化および内訳は現在次のようになっています。

列1:デバイス
列2:ユーザー
列3:バイナリ
列4:宛先

組織 → 地域

AD → 部門

アプリケーション → 名前

行き先 → タイプ

組織 → サブオルグ

ユーザー名

バイナリ → 製品名

行き先 → 所有者

組織 → エンティティ

バイナリ → 名前

行き先 → 国

デバイス → 名前

バイナリ → バージョン

行き先 → データセンター地域

宛先 → ドメイン名

線をクリックする

線をクリックして:

  • 選択した線のフィルタを適用します。これは、その線が接続する2つのノードをクリックするのと同等です。

  • 接続された列の階層を1レベル下にドリルダウンします。

line_click_start.png

したがって、上記の例を使用して、ノード Zoomインターネット 間の線をクリックすると、次の結果が得られます。

  • 第3列はアプリケーション → 名前からバイナリ → 製品名に1階層下げます。

  • 第4列は行き先 → タイプから行き先 → 所有者に1階層下げます。

line_click_result.png

視覚化および内訳は現在次のようになっています。

列1:デバイス
列2:ユーザー
列3:バイナリ
列4:宛先

組織 → 地域

AD → 部門

アプリケーション → 名称

行き先 → タイプ

組織 → サブオルグ

ユーザー名

バイナリ → 製品名

行き先 → 所有者

組織 → エンティティ

バイナリ → 名称

行き先 → 国

デバイス → 名称

バイナリ → バージョン

行き先 → データセンター地域

宛先 → ドメイン名

階層を上にナビゲートする

ノードや線をクリックした後にネットワークビューのフィールド階層を上に移動するには:

  1. ネットワークビューの列見出しのドロップダウンをクリックします。

  2. 階層の現在のレベルより上のフィールド名をクリックします。

navigating_back.png

バイナリまたは行き先ドメインに特化したネットワークビューにアクセスする際、システムはネットワークビューのカラムにフィルターを適用し、要求されたフィールドに合うように階層を設定します。

以下の例は、excel.exe バイナリのためにフィルターされた 有効な接続 データを示します。 フィールド階層フィルターを取り除くには、フィルターをクリアする をクリックします。

| where binary.binary.name in ["excel.exe"]
clear filters.png

ポートを表示

ネットワーク接続活動のあるポートを有する追加のカラムを表示するには、ポートを表示 ボタンを切り替えます。 これにより、ポートがファイアウォールによって不正にブロックされている場合のトラブルシューティング、または予期しないトラフィックがあるポートの特定が可能になります。

数千のポートが接続される可能性があるため、システムは既存のフィルターおよび時間枠のコンテキスト内でメトリック値が最も高い20のポートのみを表示します。

次のパラメータでネットワークビューを見ていると仮定します:

  • アプリケーション: Microsoft 365: Outlook

  • 時間枠: 過去7日間

  • メトリック: 接続失敗

  • フィルター: バイナリ名 (outlook.exe バイナリノードをクリックした)

ポート表示の切り替えが有効になっていると、Microsoft 365: Outlook アプリケーションおよび outlook.exe バイナリに対する接続失敗の最も多い20のポートを特定して表示します。

show_ports1.png

システムはトップ20のポートのみを表示するため、他のカラムのノードはそのトップ20のポートを使用しているかどうかによって変わる可能性があります。

ノードまたは線をクリックするたびに、システムはトップ20のポートを決定します。 データによって、ドリルダウンするごとに表示されるポートが変わることがあります。

一つ以上のポートで既にフィルタリングされたクエリから始めると、例えば検索を使用することにより、ネットワークビューはその指定されたポートでポートカラムを自動的に表示します。

フィルターが2つのポートに設定された次のNQLクエリから始めてネットワークタブに移動すると、3268および443ポートを含むポート列が表示されます。 この場合、ネットワークビューで表示されるポートの数に制限はありません。

connection.events during past 7d
| where application.name == "*Outlook*"
| where destination.port in [3268, 443]
show_ports2.png

接続失敗および接続失敗率

接続失敗を見ているとき、接続失敗率も考慮することが非常に重要です。

例えば、このスクリーンショットのポートカラムを見てみると、ポート443が最も接続失敗が多いことがわかります。

image-20240419-120923.png

しかし、このノードにホバーすると、このポートを通じて多くの接続の試みが行われていることがわかります (41万回)。 失敗した接続の割合は低いです:0.82%

image-20240419-121022.png

次に接続失敗回数が多いポート3268を見ると、状況が異なることがわかります。 このポートを通じての接続は100%失敗しています。 接続失敗の絶対数と接続失敗率が高いため、これを調査する必要があります。

image-20240419-121228.png

接続のタイムライン

接続のタイムラインは、選択されたメトリックの時間経過での推移を表示します。 例えば、接続失敗を選択した場合には、選択した時間枠内での接続失敗数を表示します。

タイムラインは接続パスと同期しています。 ノードをドリルダウンまたはドリルアップする場合、タイムラインチャートもそれに応じて更新されます。 Investigationsモジュール内でクエリにフィルターを適用している場合、これらのフィルターは接続パスとタイムラインの両方に適用されます。

タイムラインを使用した期間のズームイン

接続のタイムラインはインタラクティブです。 特定の関心のある期間に焦点を当てるには、タイムラインのその時間枠をマウスカーソルでクリックしてドラッグします。

このアクションにより、その期間のネットワークビューのチャートとタイムラインが読み込まれ、その期間中の接続データを分析できるようになります。

現在、タイムラインで期間を選択するためのドラッグ操作は、ページ上部の時間枠ピッカーを更新しません。 表示されるデータを時間枠ピッカーと一致させるには、接続のタイムラインの上にある時間枠をリセットボタンをクリックします。

ネットワークビューの容量

ネットワークデータ

Network viewは、オペレーティングシステムレベルで観察された接続であるアプリケーション接続データ(connection.events)に結び付けられています。

  • これはデバイスレベルの接続データ(connectivity.events)とは結合されません。 例えば、これは遅延接続RTT時間やWi-Fiアクセスポイント、Wi-Fi強度に関する可視性を提供しません。

  • これはブラウザーレベルの接続データ(web.events, web.errors)と結びつけません。 例えば、これは従業員が特定のHTTPエラーを見ているか、https/httpを介して接続しているかどうかについての可視性を提供しません。

  • これはアプリケーション/サービス固有の接続データ(collaboration.sessions)とは結合されません。 例えば、これはTeamsの通話品質やZoomの通話ジッターについての可視性を提供しません。

  • Nexthinkは任意の接続やトレーサートを行わないため、ゲートウェイを介した中間のホップについての洞察を提供しません。

NQL 10,000行制限

ネットワークビューは、最大10,000のユニークな接続パスに制限されています。

接続パスは、ネットワークビューの4つのカラムの各値の異なる組み合わせです。 以下の表は接続パスの例です。

このページのネットワークビューの使用法を参照して、ネットワークビューのカラムとフィールド階層に関する詳細を確認してください。

パス
列1:デバイス
列2:ユーザー
列3:バイナリ
列4:宛先

組織 → 地域

AD → 部門

アプリケーション → 名称

行き先 → タイプ

1

アメリカ合衆国

Null

Null

インターネット

2

アメリカ合衆国

Null

Null

イントラネット

3

アメリカ合衆国

Null

Null

データセンター

4

アメリカ合衆国

Null

Null

不明

5

アメリカ合衆国

Null

Chrome

インターネット

10,000

シンガポール

エンジニアリングオペレーション

Photoshop

不明

クエリのタイムアウト

ネットワークビューのクエリは、膨大な接続データの読み込みに時間を要します。 読み込み時間を短縮するために、接続データの量を減らすか:

  • 時間枠を短縮する。

  • フィルターを適用する。


関連トピック

関連トレーニング

Last updated

Was this helpful?