コンテンツにスキップ

クエリ

ソフォスでは、デバイスの確認に利用できる、さまざまなクエリを用意しています。これらのクエリは編集できます。新しくクエリを作成することもできます。ClickHouse SQL に精通している必要があります。ClickHouse: SELECT Query を参照してください。

ライブラリ

ライブラリ」タブでは、クエリを作成、実行、および保存できます。

新しいクエリカテゴリを作成するには、 クエリライブラリの右上にある「+」アイコン 「+」アイコン。 をクリックし、カテゴリの名前と説明を入力して、「作成」をクリックします。

新しいクエリを作成するには、画面右側のボックスにクエリを入力します。「実行」をクリックしてテストできます。クエリ結果はクエリの下に表示されます。クエリを保存するには、「名前を付けて保存」をクリックし、カテゴリを選択してクエリの名前を入力し、「作成」をクリックします。

保存されたカテゴリとクエリは、「ライブラリ」タブに表示されます。事前に設定されたさまざまなクエリを提供します。

既存のクエリを開いて実行できます。これを行うには、カテゴリをクリックして展開し、クエリをクリックします。

"宛先 IP のプロトコル"(Protocols For Destination IP) クエリの例は以下です。

NDR クエリの例。

クエリに @DestIp などの変数が含まれている場合は、 クエリの左側に表示されます。次に、変数の下のボックスに値を入力します (172.32.0.1 など)。クエリを保存すると、次にクエリを選択したときに変数の値が自動的に表示されます。このため、クエリテキストには @DestIp ではなく、192.0.2.0 が表示されます 。

スキーマ

クエリを実行すると、クエリできる各テーブルのスキーマが「スキーマ」タブに表示されます。スキーマ名を展開すると、フィールドとフィールドの種類が表示されます。

次に例を示します。

スキーマの例。

履歴

履歴」タブには、実行されたクエリに関する次の情報が表示されます。

  • ユーザーの種類。例: スーパーユーザー
  • 日時。
  • 結果の数。
  • クエリーが成功したか失敗したか。

次に例を示します。

クエリ履歴。