Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

新しいログパーサーを作成する

「新規ログ・パーサー」ページを使用して、サンプル・ログを使用して独自のログ・パーサーを作成します。サンプル・ログのフィールドをSecurity Director Insightsイベント・フィールドにマッピングして、インシデントを生成するイベントのタイプを示すことで、独自のパーサーを作成できます。

新しいログパーサーを作成するには:

[> インサイト>ログパーサーの構成] を選択します。

「ログ・パーサー」ページが表示されます。
プラスアイコン (+) を選択します。

[新しいログパーサー] ページが表示されます。
表 1 に示すガイドラインに従って構成を完了します。
「完了」をクリックすると、提供されたサンプル・ログに適用されるフレキシブル・ログ・パーサーの結果が表示されます。

結果を注意深く確認して、マッピング、フィルター処理、および割り当ての条件が期待どおりかどうかを判断します。

表 1: 新しいログパーサーの追加
設定	ガイドライン
`Create/Edit Parser`
名前	ログ・パーサーの一意でわかりやすい名前を入力します。
説明	ログ・パーサーの説明を入力します。
`Parse Log File`
未加工ログ	生のログファイルを参照してアップロードするか、[参照] ボタンの下にある別のフィールドにログデータを貼り付けます。ログファイルに RFC 準拠の syslog ヘッダーが含まれていることを確認します。
ログファイル形式	サンプル・ログ・ファイルの形式を指定します。使用可能なオプションは次のとおりです。 Xml Json Csv 他
CSV ヘッダー (ログファイル形式がCSVの場合)	ログファイルが CSV 形式の場合は、このフィールドにフィールド名のカンマ区切りリストを指定できます。CSV ヘッダーが指定されていない場合、フィールドの名前は csv`N` になり、 `N` フィールドの位置はになります。
グロクパターン (ログファイル形式が [その他] の場合)	ログファイル形式に [その他] オプションを選択した場合は、ログファイルの grok パターンを指定する必要があります。grok パターンは、1 つ以上の行で構成されます。LOGPATTERN で始まる grok パターン行は、ログに適用されるパターンです。grok パターンには LOGPATTERN という名前のパターンが含まれている必要があり、それ以外の場合、パーサーには使用するパターンがありません。
`Field Mapping`
マップされたフィールドとマップされていないフィールド	[マップされていないフィールド] セクションで、[解析されたフィールド] 列のフィールドを選択し、[Insights フィールド] 列でマップする値を選択します。両方のフィールドを選択したら、[ マップ] をクリックします。マップされたフィールドが [マップされたフィールド] セクションに表示され、相互にマップされたすべてのフィールドが一覧表示されます。 [フィールドマッピング] ページから次のアクションを実行できます。 [マップされたフィールド] セクションの円形の矢印アイコンをクリックして、マッピングを元に戻します。 [マップされていないフィールド] セクションのフィルターアイコンをクリックして、検索するテキストを入力します。 [マップされていないフィールド] セクションでは、[解析済みフィールド] 列から複数のフィールドを選択し、[Insights フィールド] 列の 1 つのフィールドにマップできます。これを行うと、[マップされたフィールド] セクションに並べ替えアイコンが表示されます。並べ替え機能を使用して、複数のフィールドに有効な値が含まれているかどうかに基づいて、複数のフィールドを適用する順序を選択します。順序が高いほど優先されます。 [ カウンター] チェックボックスをオンにして、フィールドの表示回数をカウントします。メモ： * が付いているフィールドは必須です。
`Date Format`
フィールドマッピング: 日付と時刻の書式設定	これはオプションの構成です。ログファイルで RFC 3164 または RFC 5424 で規定されている標準時刻が使用されている場合は、このフィールドを空白のままにすることができます。これらのヘッダーは自動的に解析されます。タイム・スタンプを解析できない場合は、Security Director Insightsがログ・ファイル内の日付と時刻をイベント開始時刻として解釈できるように、Ruby strftimeを使用してフォーマット・ストリングを指定します。 Ruby strftime 形式の詳細については、「 https://ruby-doc.org/core-2.3.0/Time.html#method-i-strftime」を参照してください。
`Log Filtering`
ログフィルタリング	悪意のあるイベントおよび悪意のないイベントについてSecurity Director Insightsに通知するフィルタを作成し、保持するログと無視するログを決定することができます。ログフィルタリングは、「ノイズが多く」、特に関心がないログを削除し、悪意のあるイベントに関連するログを保持します。これらのフィルターを使用すると、入力する文字列に対して完全一致または次を含むフィルターを選択できます。 [ 追加 ] をクリックし、フィルター条件を次のように構成します。リストからログファイルフィールドを選択します。リストから適切なフィルター条件 (一致、含む、含まないなど) を選択します。[一致] を選択した場合、指定する文字列は選択したフィールドと完全に一致する必要があります。[次を含む] を選択した場合、指定した文字列は、選択したフィールド内に部分文字列として表示される必要があります。編集フィールドに、ログファイルをフィルター処理する文字列を入力し、[ 追加] をクリックします。 [ OK] をクリックすると、条件がフィルターに追加されます。複数のフィルターを追加できます。「または」条件がフィルターのリストに適用されます。したがって、フィルターの順序は関係ありません。メモ：フィルターのチェック・ボックスを選択し、「削除」をクリックしてそのフィルターを削除します。
`Conditions Assignment`
条件の割り当て	設定したフィルタリングパラメータに基づいて、イベントに異なる条件を割り当てることができます。イベントの重大度 - イベントの重大度を定義する条件を割り当てます。 [ 追加 ] をクリックし、次のように条件を設定します。重大度レベルを選択します。オプションは、良性、低、中、高、および重大です。リストからフィールドを選択して、そのフィールドの重大度レベルを設定します。条件を選択します。たとえば、[一致] を選択した場合、文字列は選択したフィールドと正確に一致する必要があります。[次を含む] を選択した場合、文字列は選択したフィールド内に部分文字列として表示される必要があります。編集フィールドに、ログファイルをフィルタリングする文字列を入力し、[ 追加] をクリックします。進行 - イベントの進行を定義する条件を割り当てます。 [ 追加 ] をクリックし、次のように条件を設定します。進行レベルを選択します。オプションは、フィッシング、エクスプロイト、ダウンロード、感染、および実行です。リストからフィールドを選択して、そのフィールドの進行レベルを設定します。条件を選択します。たとえば、[一致] を選択した場合、文字列は選択したフィールドと正確に一致する必要があります。[次を含む] を選択した場合、文字列は選択したフィールド内に部分文字列として表示される必要があります。編集フィールドに、ログファイルをフィルタリングする文字列を入力し、[ 追加] をクリックします。 [ブロック(Blocked)]:イベントがブロックされるかどうかを定義する条件を割り当てます。 [ 追加 ] をクリックし、次のように条件を設定します。ブロックするレベルを選択します。オプションは [真] と [偽] です。リストからフィールドを選択して、そのフィールドのブロックレベルを設定します。条件を選択します。たとえば、[一致] を選択した場合、文字列は選択したフィールドと正確に一致する必要があります。[次を含む] を選択した場合、文字列は選択したフィールド内に部分文字列として表示される必要があります。編集フィールドに、ログファイルをフィルタリングする文字列を入力し、[ 追加] をクリックします。