エンドポイント イベントのデータ フォワーダでデータ フィルタを指定して、転送するデータを正確に制御できます。

重要: データ フィルタリングは、エンドポイント イベント データ フォワーダでのみ使用できます。

データ フィルタには次の 2 つのタイプがあります。

  • 基本フィルタ
    [基本]フィルタには、Lucene スクリプトの知識は必要ありません。代わりに:
    • ドロップダウン リストを使用して、データのフィルタリング方法、データ要件、およびデータ値を指定します。
    • これらは追加のみです。
    • [基本]フィルタを作成してから、[カスタム クエリ] フィルタを追加または使用する場合は、[基本]フィルタが Lucene クエリ構文に変換されます。
      注: 変換されたクエリを編集せず、カスタム クエリを作成しない限り、 [基本]フィルタに戻ることができます。それ以外の場合、 [基本]クエリ ボタンは使用できません。

      次の例では、EDR データ ストリームからのすべての Netconns が転送されます。

      フィルタ データ ページ
  • カスタム クエリ フィルタ
    [カスタム クエリ] フィルタは、Lucene クエリ構文を使用します。
    • クエリは、個別の Include ステートメントと Exclude ステートメントに整理してラベルを付けたり、1 つのステートメントとして記述したりできます。
    • [カスタム クエリ]を選択する前に作成されたすべての[基本]フィルタは、Lucene 構文を使用して[カスタム クエリ] フィルタに変換されます。
    • [カスタム クエリ] フィルタを[基本]フィルタに変換することはできません。カスタム クエリを作成した後に基本クエリを使用する場合:
      • [基本]フィルタ オプションを有効にするには、カスタム クエリを削除する必要があります。
      • [基本]フィルタが[カスタム クエリ] フィルタに変換された場合は、クエリが変更されない限り[基本]フィルタ オプションを使用できます。変換されたクエリを変更した場合、変更を取り消すまで[基本]フィルタ オプションは使用できません。
    • データ タイプとフィールドの詳細については、VMware Carbon Black Developer Network の「データ フォワーダ データ ガイド」を参照してください
    • Lucene 構文の詳細については、https://lucene.apache.org/core/2_9_4/queryparsersyntax.html を参照してください
      注: カスタム クエリでは Lucene 構文を使用しますが、Lucene のすべての機能をサポートしているわけではありません。

      次の例では、プロセス パスが path\to\noisy\process.exe の場合を除き、すべての procstart イベントとすべての netconn イベントがポート 443 に転送されます。

      フィルタ ラベル フィールド
    注: カスタム フィルタの詳細については、Tech Zone の記事「 スタート ガイド: データ フォワーダのカスタム フィルタ」を参照してください。