ログパーサーの作成
[ログ パーサーの作成] ページを使用すると、サンプル ログを使用して独自のログ パーサーを作成できます。サンプルログのフィールドをSecurity Director Cloud Insightsのイベントフィールドにマッピングして、インシデントを生成するイベントのタイプを示すことで、独自のパーサーを作成できます。
新しいログ パーサーを作成するには:
設定 |
ガイドライン |
---|---|
ログパーサーの作成/編集 |
|
お名前 |
ログパーサーの一意でわかりやすい名前を入力します。 |
説明 |
ログパーサーの説明を入力します。 |
ログファイル |
|
生のログファイル |
生のログファイルを参照してアップロードします。 |
生のログの内容 |
ログ データを貼り付けます。 ログ ファイルに RFC 準拠の syslog ヘッダーが含まれていることを確認します。 |
ログファイルの形式 |
サンプル・ログ・ファイルの形式を指定します。使用可能なオプションは次のとおりです。
|
CSVヘッダー (ログファイル形式がCSVの場合) |
ログ ファイルが CSV 形式の場合は、このフィールドにフィールド名のカンマ区切りリストを指定できます。CSV ヘッダーが指定されていない場合、フィールドには csv N (N はフィールドの位置) という名前が付けられます。 |
Grokパターン (ログ ファイル形式が [その他] の場合) |
ログ ファイル形式に [その他] オプションを選択した場合は、ログ ファイルの grok パターンを指定する必要があります。grok パターンは、1 つ以上の行で構成されます。LOGPATTERN で始まる grok パターン行は、ログに適用されるパターンです。grok パターンには LOGPATTERN という名前のパターンが含まれている必要があり、それ以外の場合、パーサーには使用するパターンがありません。 |
フィールドマッピング |
|
フィールドマッピング |
[フィールド マッピング] セクションで、[ + ] アイコンをクリックします。次に、[フィールド マッピング] ページで、[解析済みフィールド] 列のフィールドを選択し、[Insights フィールド名] 列でマップする値を選択します。両方のフィールドを選択したら、[ マップ] をクリックします。マップされたフィールドが [フィールド マッピング] セクションに表示され、相互にマップされているすべてのフィールドが一覧表示されます。 [フィールド マッピング] セクションから次のアクションを実行できます。
注:
* が付いているフィールドは必須です。 |
日付形式 |
|
日付形式 |
イベント ログに表示する日付形式を選択します。 |
ログのフィルタリング |
|
ログのフィルタリング |
Security Director Cloud Insightsに悪意のあるイベントや悪意のないイベントについて通知するフィルタを作成する際に、保持するログと無視するログを決定することができます。ログフィルタリングは、「ノイズが多く」、特に関心がないログを削除し、悪意のあるイベントに関連するログを保持します。 [+] アイコンをクリックし、フィルタリング条件を次のように設定します。
[ OK] をクリックすると、条件がフィルターに追加されます。複数のフィルターを追加するには、[ + ] アイコンをクリックします。 注:
フィルターのチェック・ボックスを選択し、「編集」アイコンまたは「削除」アイコンをクリックして、フィルターを編集または削除します。 |
条件の割り当て |
|
イベントの重大度 |
設定したフィルタリングパラメータに基づいて、イベントに異なる条件を割り当てることができます。
|