Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ログパーサーの作成

[ログ パーサーの作成] ページを使用すると、サンプル ログを使用して独自のログ パーサーを作成できます。サンプルログのフィールドをSecurity Director Cloud Insightsのイベントフィールドにマッピングして、インシデントを生成するイベントのタイプを示すことで、独自のパーサーを作成できます。

新しいログ パーサーを作成するには:

  1. Juniper Security Director Cloudにログインします。
  2. [ 共有サービス ] > [Insights ] > オンプレミス コレクター > ログ パーサーを選択します。

    「ログ・パーサー」ページが表示されます。

  3. プラス アイコン (+) を選択します。

    「ログ・パーサーの作成」ページが表示されます。

  4. に記載されている 表 1ガイドラインに従って設定を完了します。
  5. 「完了」をクリックすると、提供されたサンプル・ログに適用されるフレキシブル・ログ・パーサーの結果が表示されます。

    結果を注意深く確認して、マッピング、フィルター処理、および割り当ての条件が期待どおりかどうかを判断します。

表 1: ログパーサーの作成

設定

ガイドライン

ログパーサーの作成/編集

お名前

ログパーサーの一意でわかりやすい名前を入力します。

説明

ログパーサーの説明を入力します。

ログファイル

生のログファイル

生のログファイルを参照してアップロードします。

生のログの内容

ログ データを貼り付けます。

ログ ファイルに RFC 準拠の syslog ヘッダーが含まれていることを確認します。

ログファイルの形式

サンプル・ログ・ファイルの形式を指定します。使用可能なオプションは次のとおりです。

  • XML

  • JSON

  • Csv

  • その他

CSVヘッダー

(ログファイル形式がCSVの場合)

ログ ファイルが CSV 形式の場合は、このフィールドにフィールド名のカンマ区切りリストを指定できます。CSV ヘッダーが指定されていない場合、フィールドには csv N (N はフィールドの位置) という名前が付けられます。

Grokパターン

(ログ ファイル形式が [その他] の場合)

ログ ファイル形式に [その他] オプションを選択した場合は、ログ ファイルの grok パターンを指定する必要があります。grok パターンは、1 つ以上の行で構成されます。LOGPATTERN で始まる grok パターン行は、ログに適用されるパターンです。grok パターンには LOGPATTERN という名前のパターンが含まれている必要があり、それ以外の場合、パーサーには使用するパターンがありません。

フィールドマッピング

フィールドマッピング

[フィールド マッピング] セクションで、[ + ] アイコンをクリックします。次に、[フィールド マッピング] ページで、[解析済みフィールド] 列のフィールドを選択し、[Insights フィールド名] 列でマップする値を選択します。両方のフィールドを選択したら、[ マップ] をクリックします。マップされたフィールドが [フィールド マッピング] セクションに表示され、相互にマップされているすべてのフィールドが一覧表示されます。

[フィールド マッピング] セクションから次のアクションを実行できます。

  • カウンターを有効にして、フィールドが表示される回数をカウントします。

注:

* が付いているフィールドは必須です。

日付形式

日付形式

イベント ログに表示する日付形式を選択します。

ログのフィルタリング

ログのフィルタリング

Security Director Cloud Insightsに悪意のあるイベントや悪意のないイベントについて通知するフィルタを作成する際に、保持するログと無視するログを決定することができます。ログフィルタリングは、「ノイズが多く」、特に関心がないログを削除し、悪意のあるイベントに関連するログを保持します。

[+] アイコンをクリックし、フィルタリング条件を次のように設定します。

  • リストからログファイルフィールドを選択します。

  • リストから適切なフィルター条件 (一致、含む、含まないなど) を選択します。[一致] を選択した場合、指定する文字列は選択したフィールドと完全に一致する必要があります。[次を含む] を選択した場合、指定した文字列は、選択したフィールド内に部分文字列として表示される必要があります。

  • ログ ファイルをフィルター処理する文字列を入力します。

[ OK] をクリックすると、条件がフィルターに追加されます。複数のフィルターを追加するには、[ + ] アイコンをクリックします。

注:

フィルターのチェック・ボックスを選択し、「編集」アイコンまたは「削除」アイコンをクリックして、フィルターを編集または削除します。

条件の割り当て

イベントの重大度

設定したフィルタリングパラメータに基づいて、イベントに異なる条件を割り当てることができます。

  • イベントの重大度 - イベントの重大度を定義する条件を割り当てます。

    [ 追加 ] をクリックし、次のように条件を設定します。

    • 重大度レベルを選択します。オプションは、良性、低、中、高、および重大です。

    • リストからフィールドを選択して、そのフィールドの重大度レベルを設定します。

    • 条件を選択します。たとえば、[一致] を選択した場合、文字列は選択したフィールドと正確に一致する必要があります。[次を含む] を選択した場合、文字列は選択したフィールド内に部分文字列として表示される必要があります。

    • ログ・ファイルをフィルタリングする値を入力し、「 OK」をクリックします。

  • 進行 - イベントの進行を定義する条件を割り当てます。

    [+] アイコンをクリックし、条件を次のように設定します。

    • 進行レベルを選択します。オプションは、フィッシング、エクスプロイト、ダウンロード、感染、および実行です。

    • リストからフィールドを選択して、そのフィールドの進行レベルを設定します。

    • 条件を選択します。たとえば、[一致] を選択した場合、文字列は選択したフィールドと正確に一致する必要があります。[次を含む] を選択した場合、文字列は選択したフィールド内に部分文字列として表示される必要があります。

    • ログ・ファイルをフィルタリングする値を入力し、「 OK」をクリックします。

  • [ブロック(Blocked)]:イベントがブロックされるかどうかを定義する条件を割り当てます。

    [+] アイコンをクリックし、条件を次のように設定します。

    • ブロックするレベルを選択します。オプションは [真] と [偽] です。

    • リストからフィールドを選択して、そのフィールドのブロック レベルを設定します。

    • 条件を選択します。たとえば、[一致] を選択した場合、文字列は選択したフィールドと正確に一致する必要があります。[次を含む] を選択した場合、文字列は選択したフィールド内に部分文字列として表示される必要があります。

    • ログ・ファイルをフィルタリングする値を入力し、「 OK」をクリックします。