クエリ
ソフォスでは、デバイスの確認に利用できる、さまざまなクエリを用意しています。これらのクエリは編集できます。新しくクエリを作成することもできます。ClickHouse SQL に精通している必要があります。ClickHouse: SELECT Query を参照してください。
ライブラリ
「ライブラリ」タブでは、クエリを作成、実行、および保存できます。
新しいクエリカテゴリを作成するには、 クエリライブラリの右上にある「+」アイコン をクリックし、カテゴリの名前と説明を入力して、「作成」をクリックします。
新しいクエリを作成するには、画面右側のボックスにクエリを入力します。「実行」をクリックしてテストできます。クエリ結果はクエリの下に表示されます。クエリを保存するには、「名前を付けて保存」をクリックし、カテゴリを選択してクエリの名前を入力し、「作成」をクリックします。
保存されたカテゴリとクエリは、「ライブラリ」タブに表示されます。事前に設定されたさまざまなクエリを提供します。
既存のクエリを開いて実行できます。これを行うには、カテゴリをクリックして展開し、クエリをクリックします。
"宛先 IP のプロトコル"(Protocols For Destination IP) クエリの例は以下です。
クエリに @DestIp
などの変数が含まれている場合は、 クエリの左側に表示されます。次に、変数の下のボックスに値を入力します (172.32.0.1
など)。クエリを保存すると、次にクエリを選択したときに変数の値が自動的に表示されます。このため、クエリテキストには @DestIp
ではなく、192.0.2.0
が表示されます 。
スキーマ
クエリを実行すると、クエリできる各テーブルのスキーマが「スキーマ」タブに表示されます。スキーマ名を展開すると、フィールドとフィールドの種類が表示されます。
次に例を示します。
履歴
「履歴」タブには、実行されたクエリに関する次の情報が表示されます。
- ユーザーの種類。例: スーパーユーザー
- 日時。
- 結果の数。
- クエリーが成功したか失敗したか。
次に例を示します。