例: オフェンスの最大数到達の調査

オフェンス通知の最大数に関する詳細を表示します。 「システム概要 (System Overview)」ページで、オフェンスの最大数に達したことが分かります。 通知は、追加または変更されたルールの結果である可能性があります。

通知は、多くの場合、調査したい異常なアクティビティーに付随するものです。

手順

  1. ナビゲーション・メニュー・アイコンをクリックし、リストから システムの概要 を選択します。

    システムの概要を確認することで、オフェンスの数が上限に達したことや、アクティビティーにスパイクがあることが分かる場合があります。

    図 1. システムの概要
    システムの概要
  2. グラフ上の アクティブなオフェンスの最大数に達しました 通知をクリックして、詳細を表示します。

    通知を確認することで、オフェンスの数が上限に達したことや、新規オフェンスを作成できないことが分かる場合があります。

    図 2. 通知パネル
    通知パネル
  3. ナビゲーション・メニュー・アイコンをクリックし、リストから 活動 を選択します。
  4. 活動 グラフから、 システムの概要 ページに通知が表示されている時刻範囲と同じ時刻範囲をクリックします。

    選択した時刻範囲のアクティビティーの詳細なリストで、「CRE ルールが追加された (CRE rule was added)」」がグラフの下のアクティビティーのリストに表示されます。

  5. CRE ルールが追加されました アクティビティー項目をクリックすると、そのアクティビティーに関する詳細情報が表示されます。

    通知パネルで詳細を確認することで、CRE ルールが追加されたことが分かります。ルールの追加により、アクティビティーでスパイクが発生し、「最大数のアクティブなオフェンスが作成されました (Maximum active offenses created)」という通知が表示される可能性があります。 アクティビティーを表示すると、ユーザーがシステムに対して行った変更が正しいかどうかを判別できます。 すべてのログ・ソースを誤検出ビルディング・ブロックに追加することによって、ユーザーの誤り (オフェンスが作成される原因にはならなかった) を検出できます。

    図3: アクティビティー・イベントの詳細
    アクティビティー・イベントの詳細