HOME
Lv014

「Lv014」の記事一覧

statsコマンドの結果に対し、行ごとに条件に応じた集計値を上書きせず追加するコマンドはどれか。

eventstatsは集計結果を元の各イベントに新しいフィールドとして追加し、行をまとめません。

2026年3月23日

サーチ実行中に「Tag」が適用されるのは、どの要素の直後か。

イベントタイプが判定された直後に、それに関連付けられたタグがイベントに付与されます。

2026年3月23日

CIMの「Malware」データモデルにおいて、検知された脅威の名前を格納する標準フィールド名はどれか。

CIMではウイルスやマルウェアの名称はsignatureフィールドにマッピングされます。

2026年3月23日

データモデルの「データセット」をサーチ文で直接参照するコマンドはどれか。

from datamodel:"."の構文で、特定のデータセットをソースとして検索できます。

2026年3月23日

ルックアップ定義で「非限定的なルックアップ（WILDCARD(field)）」を有効にした際、テーブル側に含める記号はどれか。

match_type = WILDCARD(field)を設定すると、テーブル内のアスタリスクをワイルドカードとして扱えます。

2026年3月23日

REXコマンドにおいて、単語の境界（空白や記号との境目）を示すメタ文字はどれか。

\bは「word boundary」を指し、単語の開始や終了を特定するのに役立ちます。

2026年3月23日

マルチバリューフィールドの特定の位置（インデックス）の値を取得する関数はどれか。

mvindex(field, index)を使用して、0から始まる任意の位置の値を取り出せます。

2026年3月23日

検索結果の順序を反転させる（最後を最初にする）コマンドはどれか。

reverseコマンドは、現在の結果セットの行順序を単純に逆転させます。

2026年3月23日

文字列「123.45」を数値型に変換するために使用する関数はどれか。

tonumber関数は、文字列や他の型を数値型（float/int）に変換します。

2026年3月23日

大規模なインデックスに対して「*」のみで検索を行う際、パフォーマンスに最も悪影響を与える要因はどれか。

全イベントをスキャンするため、膨大なディスク読み取りが発生しシステムを圧迫します。

2026年3月23日