イベントを検索するときは、次の一般的な注意事項を順守してください。

• すべてのフィールドで否定（!）を使用できます。

• すべてのフィールドで検索値のカンマ区切りリストを使用できます。指定したフィールドにリストされた値のいずれかを含むレコードは、その検索条件に一致します。

• すべてのフィールドで、引用符で囲んだカンマ区切りリストを検索値として使用できます。

  • 値を 1 つのみ含むことができるフィールドの場合、検索条件に一致するのは、指定したフィールドに引用符内の文字列と同じ文字列が含まれるレコードです。たとえば、A, B, "C, D, E" を検索すると、指定したフィールドに「A」または「B」または「C, D, E」を含むレコードが一致します。これにより、使用できる値にカンマを含むフィールドでの一致が可能です。

  • 同時に複数の値を含むことができるフィールドの場合、引用符で囲んだカンマ区切りリスト内のすべての値が指定したフィールドに含まれるレコードが検索条件に一致します。

  • 同時に複数の値を含むことができるフィールドについては、引用符で囲んだカンマ区切りリストだけでなく、単一の値も検索条件に使用することができます。たとえば、A, B, "C, D, E" をこれらの文字の 1 つまたは複数を含むことができるフィールドで検索すると、指定したフィールドに A または B、または C、D、E のすべてを含むレコードが一致します。

• フィールドでその情報を利用できないイベントを示すには、そのフィールドで n/a を指定します。フィールドに情報が入力されているイベントを示すには !n/a を使用します。

• 多くの数値フィールドの前には、より大きい（>）、以上（>=）、より小さい（<）、以下（<=）、等しい（=）または等しくない（<>）の演算子を付けることができます。

ヒント	長い複雑な値を（SHA-256 ハッシュ値など）を含むフィールドを検索する場合は、ソース資料から検索基準値をコピーし、検索ページの適切なフィールドに貼り付けることができます。

検索ページの多くのテキスト フィールドでは、文字列内の文字に一致させるために、アスタリスク（*）を使用することができます。たとえば net* と指定すると、network、netware、netscape などに一致します。

英数字以外の文字（アスタリスク文字を含む）を検索するには、検索文字列を引用符で囲みます。たとえば、次の文字列を検索するとします。

Find an asterisk (*)

この場合は、次のように入力します。

"Find an asterisk (*)"

ワイルドカードを使用できるテキスト フィールドで、文字列の部分一致を検索するには、ワイルドカードを使用する必要があります。 たとえば、ページ ビューを含む（つまりメッセージが「Page View」である）すべての監査レコードを監査ログ内で検索する場合、「Page」を検索しても結果は返されません。代わりに、「Page*」と指定してください。

一部のフィールドでは、アスタリスクを使用せずにフィールドの内容をすべてまたは一部検索することができます。完全一致の場合は、検索文字列を引用符で囲む必要があります。引用符で囲まなかった場合は、部分一致が実行されます。たとえば、フィールド検索で、引用符を使用せずに Scan Completed with Detection という文字列を検索すると、該当フィールドに次の文字列が含まれているレコードと、該当フィールドが検索文字列と完全に一致するレコードが返されます。

Scan Completed, No Detections
Scan completed With Detections

Firepower システムでは、ネットワーク構成の一部として使用可能な名前付きオブジェクト、オブジェクト グループ、およびアプリケーション フィルタを作成できます。検索を実行または保存するときには、検索条件としてこれらのオブジェクト、グループ、およびフィルタを使用できます。

検索を実行するときに、オブジェクト、オブジェクト グループ、およびアプリケーション フィルタは ${object_name} という形式で表示されます。たとえば、オブジェクト名 ten_ten_network であるネットワーク オブジェクトは、検索では ${ten_ten_network} と表されます。

検索基準としてオブジェクトを使用できる検索フィールドの横にはオブジェクト追加アイコン（）が表示され、これをクリックすることができます。

時間値を指定できる検索条件フィールドで使用可能な形式を、次の表に示します。

時間値の前に、以下のいずれか 1 つの演算子を指定できます。

検索で IP アドレスを指定するときには、個別の IP アドレス、複数アドレスのカンマ区切りリスト、アドレス ブロック、またはハイフン（-）で区切った IP アドレス範囲を入力することができます。また、否定を使用することもできます。

IPv6 をサポートする検索（侵入イベント、接続データ、相関イベントの検索など）では、IPv4 アドレス、IPv6 アドレス、および CIDR/プレフィックス長アドレス ブロックを任意に組み合わせて入力できます。IP アドレスを使用してホストを検索した場合、結果には、少なくとも 1 つの IP アドレスが検索条件と一致するホストがすべて含まれます（つまり、IPv6 のアドレスの検索では、プライマリ アドレスが IPv4 であるホストが返されることがあります）。

CIDR またはプレフィックス長の表記を使用して IP アドレスのブロックを指定する場合、Firepower システムは、マスクまたはプレフィックス長で指定されたネットワーク IP アドレスの部分のみを使用します。たとえば 10.1.2.3/8 と入力すると、Firepower システムは 10.0.0.0/8 を使用します。

IP アドレスをネットワーク オブジェクトによって表すことができるため、IP アドレス検索フィールドの横にあるネットワーク オブジェクト追加アイコン（）をクリックして、ネットワーク オブジェクトを IP アドレス検索基準として使用することもできます。

管理対象デバイスを制約として使用して検索を作成する場合、[デバイス（Device）] 検索条件フィールドに次のいずれかを指定できます。

• 管理対象デバイス名、IP アドレス、またはホスト名

• デバイス グループ名

• デバイス スタック名

• 7000 または 8000 シリーズ デバイス高可用性ペアの名前

システムでグループ、デバイス高可用性ペア、またはスタックの一致が検出されると、検索を実行するために、そのグループ名、デバイス高可用性ペア名、またはスタック名が適切なメンバー デバイス名に置き換えられます。デバイス フィールドのデバイス グループ、デバイス高可用性ペア、またはスタックを使用する検索を保存すると、デバイス フィールドで指定した名前がシステムによって保存され、検索が実行されるたびにデバイス名の置換が再度実行されます。

Firepower System では、検索においてポート番号の特定の構文に対応しています。次の入力が可能です。

• 1 つのポート番号

• コンマで区切られたポート番号リスト

• ポート番号範囲を示すのにダッシュで区切られた 2 つのポート番号

• 1 つのポート番号の後に、スラッシュで区切られたプロトコル省略形（侵入イベントを検索する場合のみ）

• 1 つのポート番号またはポート番号範囲の前に 1 つの感嘆符（指定されたポートの否定を表す）

（注）	ポート番号や範囲を指定するときには、スペースを使用しないでください。

• 監査ログのワークフロー フィールド

• アプリケーション データ フィールド

• アプリケーションの詳細データ フィールド

• キャプチャされたファイルのフィールド

• ホワイト リスト イベントのフィールド

• 接続およびセキュリティ インテリジェンス イベント フィールド

• 相関イベントのフィールド

• ディスカバリ イベントのフィールド

• [ヘルス イベント（Health Events）] テーブル

• ホスト属性データ フィールド

• ホスト データ フィールド

• ファイルおよびマルウェア イベント フィールド

• 侵入イベント フィールド

• 侵入ルール更新ログのフィールド

• 修復ステータスのテーブル フィールド

• Nmap スキャン結果のフィールド

• サーバ データ フィールド

• サードパーティの脆弱性データのフィールド

• ユーザ関連フィールド

• 脆弱性データのフィールド

• ホワイト リスト違反のフィールド