ネットワークビュー

接続の問題は、さまざまなデバイス、ユーザー、バイナリ、および宛先にわたって発生する可能性があります。 ネットワークビューは、connection.events データのインタラクティブな視覚化を提供することにより、トラブルシューティングを加速し、ネットワーク関連の問題を修正するための適切なチームやベンダーを特定するのに役立ちます。

Network_View_overview.png

ネットワークビューへのアクセス

ネットワークビューは、ネットワーク関連の問題のトラブルシューティングを簡素化するために、さまざまなモジュールや機能で利用可能です。

アプリケーション モジュール

これは、アプリケーション所有者がデスクトップまたはネットワークアプリケーションのネットワーク接続問題をトラブルシューティングすることを可能にします。

アプリケーションでネットワークビューにアクセスするには:

  • アプリケーション モジュールでデスクトップまたはネットワーク アプリを開きます。

  • ウェブとデスクトップの両方でアプリケーションを使用している場合は、デスクトップタブをクリックします。

  • ネットワークタブを表示します。

詳細については、アプリケーション ドキュメントページを参照してください。

デバイスビュー

デバイスビューでは、特定のデバイスのトラブルシューティングを続けることができます。デバイスビューでネットワークビューにアクセスするには、ネットワーク タブを開きます。 詳細については、デバイスビュー ドキュメントページを参照してください。

インベスティエーションモジュール

Investigationsを使用すると、クエリを書いたり更新したりして、ネットワークビューに視覚化することで、問題を調査できます。

調査でネットワークビューを表示するには:

  • Investigationページのビジュアルエディタから、表示ドロップダウンメニューで接続イベントを選択します。

  • 調査ページのNQLエディターから、connection.eventsテーブルでクエリを実行します。

詳細については、Investigationsドキュメンテーションをご参照ください。

検索を使用すると、特定のバイナリ、ユーザー、宛先ドメイン、またはポートを迅速にトラブルシューティングし、事前にフィルタリングされた調査にアクセスすることができます。

  • 宛先ドメインまたはポートのトラブルシューティングを行うには:

    • Nexthinkで設定されているかに関わらず、特定の宛先ドメインまたはポートを入力し、ポップアップ検索ウィンドウで宛先への接続をクリックし、読み込んだページのネットワークタブを開きます。

  • バイナリ、ユーザー、またはデバイスをトラブルシューティングするには:

    • バイナリアクションメニューから全てを取得 > (接続)イベントを選択し、ポップアップ検索ウィンドウで読み込まれたページのネットワークタブを開きます。 以下の画像を参照してください。

システムは、使用するエントリポイントに基づいてネットワークビューの視覚化をフィルタリングします。 たとえば、特定のバイナリに対して事前にフィルタリングされた接続イベントを表示するネットワークビュー。

NetworkView-1709903355.png

詳細については、検索ドキュメンテーションを参照してください。

デスクトップ仮想化モジュール

デスクトップ仮想化により、接続内のパターンとして問題を表示することで、仮想デスクトップインフラストラクチャ(VDIs)のパフォーマンス低下の原因を迅速かつ正確に特定できます。

デスクトップ仮想化でネットワークビューにアクセスするには:

  1. デスクトップ仮想化モジュールのセッション概要ダッシュボードからセッション名を選択します。

  2. 接続タブを選択します。

詳細については、セッションビューの使用方法 のドキュメントページを参照してください。

ネットワークビューのデータプライバシー

ネットワークビューやインベスティエーションでユーザーが機密データを見られないようにするには、データプライバシーを定義してください。

  • 行き先とドメイン: 行き先とドメインをユーザーから隠すために非表示に設定します。

  • デバイス: デバイス名をユーザーから隠すために非表示に設定します。

  • ユーザー: ユーザー名をユーザーから隠すために非表示に設定します。

データプライバシーの制限は、ネットワークビューで使用される connection.events データに適用されます。

Data privacy settings

詳細については、Roles ドキュメントを参照してください。

インベスティエーションでネットワークビューを見る

インベスティエーションでネットワークビューを表示するには、クエリが Connection events テーブルを使用している必要があります。

Visual editorで、Displayドロップダウン内のConnection Eventsを選択します。

NQLエディタで、クエリがconnection.eventsで開始することを確認してください。

特定のネットワーク関連の問題をクエリを使用してトラブルシューティングするには、アプリケーション接続のトラブルシューティングドキュメントを参照してください。

ネットワークビューの使い方

ネットワークビューは、選択されたconnection.events のメトリクスを複数のプロパティに分解し、接続経路上でプロパティがどのように関連しているかを示します。 ノードと線がこれらの関係を表します。

ネットワークビューの接続経路はデフォルトで4列を表示し、ノードや線をクリックすることで特定のフィールドへのドリルダウンが可能です。

表示されているメトリクスを切り替え、問題のトラブルシューティングを開始するには:

  1. ネットワークビジュアライゼーションの上部にあるDisplayドロップダウンをクリックします。

  2. 特定の接続データセットに利用可能なメトリクスの1つを選択します。

Network_View_metrics.png

ネットワークビューでのトランスポートプロトコル

ネットワークビューに表示されているconnection.events データをトランスポートプロトコルに従ってソートします。

ネットワークビューの視覚化の上に次のオプションを見つけます。

  • デバイスによって確立されたTransmission Control Protocol (TCP) 接続のためにTCPのみをクリックします。

  • User Datagram Packages (UDP) の場合はUDPのみをクリックします。

  • TCPとUDPの両方の場合はすべてをクリックします。

視覚的比較のための線の太さ

2つのノードを結ぶ線の太さは、同じ2つの列内の異なるノード間のメトリック値と比較したとき、それぞれのノード間のメトリック値に比例します。

以下のスクリーンショットは、この場合、failed_connections_ratio 値を表すアプリケーション → 名前行き先タイプの列間のメトリック値を示しています。

line_thickness1.png

この場合のメトリック値を考慮した場合の Excel アプリケーションノードとイントラネット行き先間の細い線は、Microsoft Office アプリケーションノードと比較して小さな failed_connections_ratio を表します。

line_thickness2.png

問題関連のメトリクスを表示する場合、太い線は最も問題のある領域を特定するのに役立ちます。

問題検出のためのラインカラー

問題をすばやく特定するために、次の問題関連のメトリクスに対してラインは赤で表示されます。

  • 失敗した接続割合: failed_connections_ratio

  • 失敗した接続数: number_of_failed_connections

  • 失敗した接続 - ホストなし: number_of_no_host_connections

  • 失敗した接続 - サービスなし: number_of_no_service_connections

  • 失敗した接続 - サービスなし: number_of_rejected_connections

これらの問題関連のメトリクスに対して、システムはトランスポートプロトコルをTCPのみに設定します。これはTCP接続にのみ適用されます。

Network_View_overview.png

問題に関連しない他のメトリクスの場合、ラインは青で表示されます。

non-negative_metric.png

ノードの並べ替え

データの解釈を促進するため、各ノードはそのノードを通過するすべてのパスに関連付けられています。

システムは、各列内のノードを降順に並べます。 これにより太いラインが上部に表示されやすくなりますが、必ずしもそうではありません。

ネットワークビューは、各列の上位8つのノードを表示します。 列にノードが8つ以上ある場合、値は列の下部にあるその他ノードに集約されます:

  • 詳細をクリックして、列内の別の8つのノードを開きます。

  • 少なくをクリックして、追加のノードを非表示にします。

洞察を得るためにノードやラインをホバーする

ノードまたはラインにカーソルを合わせると、そのノードやラインを通過する接続メトリック値がハイライト表示されます。 ​ノードまたは接続の種類によっては、トラブルシューティングを支援するAI駆動のインサイトもポップアップに表示されます。

ノードやラインをホバーすることで:

  • ウェブを検索することなく、特定のノードが何であるかとその目的を表示することで、トラブルシューティングを加速します。

  • 非準拠でセキュリティリスクとなりうる接続を特定するのを支援します

    • 接続が正常か異常かを診断できるようにする。

    • 以下のメトリックにおいて値が問題であるかどうかを確認できるようにする:

      • 接続 RTT

      • 失敗した接続数 と共に接続失敗率を考慮する

以下の例では、excel.exeアプリケーションとイントラネット宛ての接続が失敗した比率が強調表示されています。

ノードおよびラインのインサイトは、バイナリーなどの特定のノードタイプ、および次のメトリックにのみ利用可能です:

  • 失敗した接続

  • 接続失敗率

  • 接続 RTT

AI 生成コンテンツやインサイトを示すために ✦ きらめくアイコンが表示されます。

AI は急速に進化し、優れたインサイトを提供していますが、まだ誤りを犯すことがあります。 Nexthink では、精度を確保し、情報に基づいた意思決定をサポートするために結果を検証することをお勧めします。

特定のフィールドを絞り込む

ネットワークビューはデフォルトで4つの列を表示します。 各列は、画面上に表示されるノードの数を減らすためのフィールド階層に関連付けられています。

下記の表には、各列における一般から特定へと進むフィールド階層がリストされています。

列1: デバイス
列2: ユーザー
列3: バイナリー
列4: 行き先

組織 → 地域

AD → 部署

アプリケーション → 名前

行き先 → タイプ

組織 → サブ組織

ユーザー名

バイナリ → 製品名

行き先 → 所有者

組織 → エンティティ

バイナリ → 名前

行き先 → 国

デバイス → 名前

バイナリ → バージョン

行き先 → データセンター地域

行き先 → ドメイン名

ネットワークビューのフィールドを絞り込むためのオプションは次の通りです:

  • ノードをクリックしてネットワーク ビューのビジュアライゼーションを表示します

  • 2つのノード間のをクリックします

ノードまたはラインをクリックした後、ネットワークビューの各列見出しで展開可能なドロップダウンを使用して、階層を上に戻っていくことができます。

リーフカウント

各ノードには、そのレベルのノードで構成される層が存在できます。 ノードの下に1つ以上の層が存在する場合、最下層のノード数がノード名の横に括弧内で表示されます。 たとえば:

  • デバイス列では、デバイスの数です

  • ユーザー列では、ユーザーの数です

ノードに子ノードがない場合、ノードはリーフノードと呼ばれます。 したがって、括弧内の数字は各ノードのリーフカウントを示し、問題の規模を一目で把握するのに役立ちます。

バイナリ列では、数値はバイナリMD5ハッシュの数です。

Node leaf count

リーフカウントは、列名の横にも表示されます。

ノードをクリック

ノードをクリックしてフィルターを適用し、列階層を1つ下のレベルに掘り下げます。

次の例では、ネットワークビューがZoomアプリケーションに対してフィルターを適用しています。

node_click_start.png

したがって、3番目の列はアプリケーション → 名前からバイナリ → 製品名へと階層が下がります。

node_click_result.png

可視化と内訳は次の通りです:

列 1: デバイス
列 2: ユーザー
列 3: バイナリ
列 4: 行き先

組織 → 地域

AD → 部署

アプリケーション → 名前

行き先 → タイプ

組織 → サブ組織

ユーザー名

バイナリ → 製品名

行き先 → 所有者

組織 → エンティティ

バイナリ → 名前

行き先 → 国

デバイス → 名前

バイナリ → バージョン

行き先 → データセンター地域

行き先 → ドメイン名

ラインをクリック

ラインをクリックすることで:

  • 選択したラインにフィルターを適用し、それは接続する2つのノードをクリックするのと同等です。

  • 接続された列の階層を1段階アップします。

line_click_start.png

したがって、上記の例を使用すると、Zoomインターネットのノードの間のラインをクリックすると次のように結果が得られます:

  • 3 番目の列はアプリケーション → 名前からバイナリ → 製品名に降り下がります。

  • 4 番目の列は、行き先 → タイプから行き先 →所有者に降り下がります。

line_click_result.png

可視化と内訳は次の通りです:

列 1: デバイス
列 2: ユーザー
列 3: バイナリ
列 4: 行き先

組織 → 地域

AD → 部門

アプリケーション → 名前

行き先 → タイプ

組織 → サブ組織

ユーザー名

バイナリ → 製品名

行き先 → 所有者

組織 → エンティティ

バイナリ → 名前

行き先 → 国

デバイス → 名前

バイナリ → バージョン

行き先 → データセンター地域

行き先 → ドメイン名

階層を戻る

ノードやラインをクリックした後、ネットワークビューのフィールドの階層を戻るためには次の手順をとります:

  1. ネットワークビュー列の見出しにあるドロップダウンをクリックします。

  2. 階層内の現在のレベルより上のフィールド名をクリックします。

navigating_back.png

特定のバイナリまたは行き先ドメインに関連するネットワークビューにアクセスすると、システムはネットワークビュー内の列にフィルターを適用し、要求されたフィールドに一致するように階層を設定します。

以下の例では、特定のバイナリexcel.exeにおける生存接続データが事前にフィルタリングされています。 フィールド階層フィルターを解除するには、フィルターをクリアをクリックしてください。

| where binary.binary.name in ["excel.exe"]
clear filters.png

ポートの表示

ネットワーク接続アクティビティを持つポートが追加の列として表示されるように、ポートを表示ボタンをトグルします。 これにより、ファイアウォールで誤ってブロックされている可能性のあるポートについてトラブルシューティングできたり、予想されないトラフィックを持つポートを特定できたりします。

数千のポートが接続されることがありますが、システムは既存のフィルターと期間のコンテキスト内で上位の指標値を持つ20のポートを表示するだけです。

ネットワークビューの次のパラメータで見ていると仮定します:

  • アプリケーション: Microsoft 365: Outlook

  • 期間: 過去7日間

  • 指標: 失敗した接続

  • フィルター: バイナリ名(outlook.exeバイナリノードをクリックしました)

ポート表示トグルが有効な場合、それはMicrosoft 365: Outlookアプリケーションとoutlook.exeバイナリの最も接続失敗が多い上位20のポートを特定して表示します。

show_ports1.png

システムは上位20のポートのみを表示するため、これらの20のポートを利用しているかどうかに基づき、他の列のノードが変わる可能性があります。

ノードまたはラインをクリックするたびに、システムは上位20のポートを決定します。 データに依存して、ドリルダウンすることで表示される正確なポートが変更される可能性があります。

すでに1つ以上のポートでフィルタリングされたクエリから始める場合、たとえば、検索を使用して、ネットワークビューは指定されたポートがあるポート列を自動的に表示します。

次のNQLクエリから開始し、2つのポートにフィルターをかけた後にネットワークタブを開くと、ポート3268と443が表示されるPorts列が表示されます。 この場合、システムはネットワークビューで表示されるポート数を制限しません。

接続イベントが過去の7日間に発生
| where application.name == "*Outlook*"
| where destination.port in [3268, 443]
show_ports2.png

失敗した接続と接続失敗率

失敗した接続を見る際、失敗接続率も考慮されるべき重要な要因です。

たとえば、このスクリーンショットのポート列を見ると、443番ポートが最も多くの接続失敗を持っています。

image-20240419-120923.png

このノードにカーソルを当てると、410kの試行接続がこのポートを通じて行われていることがわかります。 失敗した接続の割合は低いです:0.82%

image-20240419-121022.png

失敗した接続数が次に多いポート3268を見てみると、異なる状況が見られます。 このポート経由の接続は100%失敗しています。 高い絶対数の接続失敗と高い失敗接続率を考慮すると、調査するべき事項と言えるでしょう。

image-20240419-121228.png

接続タイムライン

接続タイムラインは、選択した指標の時間経過における進展を表示します。 たとえば、失敗した接続を選択している場合、期間選択ツールで選んだ期間内での失敗した接続の数を示します。

タイムラインは接続経路と同期しています。 ノードでドリルダウンやアップを行うと、タイムラインチャートもそれに応じて更新されます。 調査モジュールにいる場合、クエリにフィルターを適用している場合、そのフィルターは接続経路とタイムラインの両方に適用されます。

接続タイムラインを使用した期間のズーム

接続タイムラインはインタラクティブです。 関心のある特定の期間に焦点を合わせるには、マウスカーソルをその期間にドラッグしてクリックします。

この操作により、その期間のネットワークビューチャートとタイムラインの両方が読み込まれ、その時間中の接続データを分析できます。

現在、タイムライン上で期間を選択するためにドラッグしても、ページ上部の期間選択ツールは更新されません。 表示されるデータを期間選択ツールの選択に合わせるには、リセット期間ボタンを接続タイムラインの上部にクリックしてください。

ネットワークビューの能力

ネットワークデータ

ネットワークビューはアプリケーション接続データ(connection.events)に結び付けられており、オペレーティングシステムレベルから観察した接続です。

  • これはデバイスレベルの接続データ(connectivity.events)に結合することはありません。 たとえば、遅い接続RTT時間やそのWi-Fiアクセスポイント、Wi-Fi信号強度には可視性を提供しません。

  • これはブラウザーレベルの接続データ(web.eventsweb.errors)とは結合しません。 たとえば、従業員が特定のHTTPエラーを見たり、https/httpを通じて接続していたりするかどうかには可視性を提供しません。

  • これはアプリケーション/サービス特定の接続データ(collaboration.sessions)に結合することはありません。 たとえば、Teamsの通話品質やZoomの通話ジッターには可視性を提供しません。

  • Nexthinkは合成接続やトレースルートを行わないため、中間ゲートウェイを介した中間ホップに関する洞察を提供しません。

NQL 10,000行の制限

ネットワークビューは最大10,000のユニークな接続経路に制限されています。

接続経路とは、ネットワークビューの各4列の値の配列です。 下記の表は接続経路の例です。

このページの ネットワークビューの使用について、ネットワークビューの列やフィールド階層に関する詳細を参照してください。

経路
列 1: デバイス
列 2: ユーザー
列 3: バイナリ
列 4: 行き先

組織 → 地域

AD → 部門

アプリケーション → 名前

行き先 → タイプ

1

アメリカ合衆国

無し

無効

インターネット

2

アメリカ合衆国

なし

無効

イントラネット

3

アメリカ合衆国

無し

無効

データセンター

4

アメリカ合衆国

なし

無効

不明

5

アメリカ合衆国

なし

Chrome

インターネット

10,000

シンガポール

エンジニアリング業務

Photoshop

不明

クエリタイムアウト

ネットワークビューのクエリは接続データの大量ロードに時間を要します。 ロード時間を早めるためには、接続データの量を減らしてください。

  • 期間を短縮します。

  • フィルターを適用します。


関連トピック

関連トレーニング

Last updated

Was this helpful?