IIS 検索例クイックガイド

最後の更新
PDFとして保存

IIS 検索例クイックガイドでは、さまざまな用途で役に立つ IIS 検索クエリの例について説明します。

このクイックガイドの例では、必要に応じて以下のようなアクセスログメッセージを使用します。

2015-06-03 00:02:48 GET /myurl dp=mysearch 8200 10.1.1.1 Windows-RSS-Platform/2.0+(IE+11.0;+Windows+NT+6.2) - - abcd.com 200 0 0 2583 271 15

キーワード式

使用例	Sumo Logic クエリの例
メッセージを指定して失敗またはエラーを検索する。	`"ID = 123456" AND (fail* OR error)`
sshd ログのエラーを検索する。デフォルトは AND です。2 重引用符で囲まない限り、大文字と小文字を区別しません。	`sshd (fail* OR error OR allowed OR identity)`
ルータメッセージを除いて、一般的な承認失敗を検索する。	`(fail* OR error?) NOT _source=routers`

詳細については、「キーワード検索式」を参照してください。

Parse、Count、および Top オペレータ

使用例	Sumo Logic クエリの例
シンプルなワイルドカードを使用して "from" および "to" フィールドを抽出する。たとえば、未処理のイベントに "From: Jane To: John" が含まれている場合は、from=Jane および to=John になります。	`* \| parse "From: * To: *" as from, to`
正規表現パターンを使用して IP アドレスを抽出する。	`* \| parse regex "(?<c_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"`
アクセスされたページを特定して、"cs_uri_stem" フィールドとして抽出する。	`_source=IIS \| parse "GET * " as cs_uri_stem`
ステータスコード "200" のメッセージを特定して、"sc_substatus"、"sc_win32_status"、および "sc_bytes" フィールドとして抽出する。	`_source=IIS \| parse " 200 * * * " as sc_substatus, sc_win32_status, sc_bytes`
	以下の例は、上記のパースの適用を前提としています。
各クライアント IP アドレスに送信された合計バイト数を計算する。	`\| count, sum(sc_bytes) by c_ip`
正常な HTTP 応答の平均サイズを計算する。	`\|` `avg(sc_bytes)`
"sc_substatus" フィールドが欠落していても、それらのメッセージを除外しない (nodrop)…それ以外の場合は一致しないものを除外する。	`\| parse " 200 * " as sc_substatus` `nodrop`
ページのアクセス回数を計算する。	`\| count by cs_uri_stem`
クライアント IP アドレスごとのページの合計数を計算する。	`\| count by c_ip`
クライアント IP アドレスごとのページの合計数を計算して、降順にソートする。	`\| count by c_ip \| sort by _countdesc`
上位 10 ページを特定する。	`\| count by cs_uri_stem \| top 10 cs_uri_stem by _count`
帯域幅使用率の上位 10 クライアント IP アドレスを特定する。	`\| sum(sc_bytes) as total_bytes by c_ip \| top 10 c_ip by total_bytes`
ヒット数の上位 100 クライアント IP アドレスを特定する。	`\| count by c_ip \| top 100 c_ip by _count`

詳細については、「Parse」、「Count」、および「Top」を参照してください。

Timeslice と Transpose

使用例	Sumo Logic クエリの例
ホストまたはドメインが "abcd.com" の場合に、タイムスライス 15m で sc_status を集計する。	`source=IIS \| parse "abcd.com * " as sc_status \| timeslice 15m \| count by _timeslice, sc_status`
結果を転置して、時間を X 軸に sc_status を Y 軸にする (値は凡例に表示可能)。	`\| transpose row _timeslice column sc_status`

詳細については、「Timeslice」と「Transpose」を参照してください。

条件オペレータ

使用例	Sumo Logic クエリの例
ソース "IIS" について、クライアントエラーステータスコードが 400 番台のすべてのメッセージを検索する。	`_source=IIS 40* \| parse "abcd.com * " as sc_status \| where sc_status matches "40*"`
ソース "IIS/Access" について、ブラウザごとのヒット数を集計する。	`source=IIS/Access \| parse “* * * * * * * * “ as date, time, csmethod, cs_uri_stem, cs_uri_query, s_port, c_ip, cs_UserAgent \| if (cs_UserAgent matches "MSIE",1,0) as ie \| if (cs_UserAgent matches "Firefox",1,0) as firefox \| if (cs_UserAgent matches "Safari",1,0) as safari \| if (cs_UserAgent matches "Chrome",1,0) as chrome \| sum(ie) as ie, sum(firefox) as firefox, sum(safari) as safari, sum(chrome) as chrome`
where オペレータを使用して週末日のみ特定する。	`* \| parse "day=*:" as day_of_week \| where day_of_week in ("Saturday","Sunday")`
パスにサブディレクトリ "Courses" が含まれている URL をすべて特定する。	`* \| parse "GET * " as cs_uri_stem \| where cs_uri_stem matches "Courses"`
数値 2、3 または 6 を含むバージョン番号を検索する。num オペレータを使用して文字列を数値に変換します。	`* \| parse "Version=*." as number \| num(number) \| where number in (2,3,6)`

詳細については、「Where」および「If」を参照してください。

メタデータフィールドをキーワード式に追加すると、クエリで詳細を指定できます。メタデータフィールドには、_sourceCategory、_sourceHost 、および _sourceName があります。[Collection (コレクション)] タブでソースメタデータを編集します。詳細については、「検索メタデータ」を参照してください。