ESM:[ログParserルール]タブ

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • View in full screen mode
 

重要:このトピックに記載されている情報はRSA NetWitness® Platformバージョン11.1のみに適用されます。バージョン11.2では、このタブが再設計され、[構成]ビューに移動しました。詳細については、「NetWitness11.2の[ログParserルール]タブ」を参照してください。

[ログParserルール]タブには、個々のログParserに関する情報のほか、特定のログParserに関連付けられていないログを解析できる汎用Parserがデフォルトで表示されます。

このタブを表示するには、管理[イベント ソース]>[ログParserルール]に移動します。

このタブには、次の情報が含まれます。

  • デフォルトのParserを含む特定のイベント ソース タイプのルールを表示できます。
  • 構成済みの各ログParserの名前、リテラル、パターン、メタを表示できます。

ワークフロー

このワークフローは、イベント ソースを構成するプロセスからは分離しています。

実行したいことは何ですか?

                                 
ロール実行したいことドキュメント

管理者

イベント ソースを表示および変更します。

イベント ソース グループの管理

管理者

イベント ソースを確認しマッピングします。

イベント ソースの確認とマッピング

管理者

Log DecoderにParserマッピングを追加および構成します。

Parserマッピングの管理

管理者

イベント ソース管理をトラブルシューティングします。

ESMのトラブルシューティングおよび付録

*このタスクはここで実行できます。

関連トピック

イベント ソース グループの作成

イベント ソースの作成と属性の編集

11.0より前のLog Decoderからのログの表示

簡単な説明

注:ログ パーサのリストは、Orchestration Serverによってインストールまたは登録されている、最初のLog Decoderに基づいています。Log Decoderが複数の場合、このタブには、最初のものに構成されたログ パーサのみがリストされます。

[ログParserルール]タブには、システムに構成されたログParserに関する情報が表示されます。このタブは3つのパネルで構成されます。[ログParser]リスト、選択したログParserの[詳細]、選択したログParserの[ルール]です。

         

[ログParser]リスト パネル

[ログParser]リスト パネルには、構成済みのログParserがリストされます。[詳細]および[ルール]パネルで詳細を表示するには、特定のログParserを選択します。

[詳細]パネル

[詳細]パネルには、選択したログParserのトークン一致、値一致、およびマッピング情報が表示されます。さらに、サンプル ログ メッセージの解析方法も表示されます。

                         
1

選択したログParserの名前と、現在選択されているルールが表示されます。このParserの別のルールを選択すると、この値が変更されます。

2

選択したログParserのトークン一致が表示されます。ここに表示される値は、選択したルールによって決まります。

3

選択したParserの値一致のタイプとパターンが表示されます。ここに表示される値は、選択したルールによって決まります。

4

選択したルールで一致したトークンをマッピングするNetWitnessメタが表示されます。ここに表示される値は、選択したルールによって決まります。

5

サンプル ログ メッセージが表示され、選択されたログParserのトークンと一致する文字列がハイライト表示されます。このフィールドを編集し、独自のログを追加して、選択したParserがログを解析する方法をプレビューできます。

たとえば、次のシナリオを検討します。

  • default Parserを選択します。
  • Any Domainルールを選択します。
  • トークン一致リストには、ログ メッセージから検出された一致するすべてのトークンが表示されます。DomainDomain Namedomain、ADMIN_DOMAINなどです。
  • メタ リストには、トークンの値がマッピングされるNetWitnessメタが表示されます(domain)。

たとえば、サンプル ログ メッセージ領域に次のようなテキストを入力します。

       

Below are sample log messages:

May 5 2010 15:55:49 switch : %ACE-4-400000: IDS:1000 IP Option Bad Option List by user admin@test.com from 10.100.229.59 to 224.0.0.22 on port 12345.

Apr 29 2010 03:15:34 pvg1-ace02: %ACE-3-251008: Health probe failed for server 218.83.175.75:81, connectivity error: server open timeout (no SYN ACK) domain google.com with mac 06-00-00-00-00-00.

この場合、サンプル ログ メッセージ領域は次のようになります。

いくつかの文字列がハイライト表示され、ハイライト表示の色に2つの「ペア」があることに注意してください。

  • 現在選択されているルールに一致する文字列には、濃い青色と水色のハイライトが適用されます。

    • 濃い青色でハイライト表示された文字列は、選択したルールのトークンと一致します。この例では、domainAny Domainルールに一致するトークンです。
    • 水色でハイライト表示された文字列は、濃い青色のトークンに対応する値です。たとえば、google.comは、domainトークンの値であるため、水色でハイライト表示されます。
  • 現在のParserの現在選択されていないルールに一致する文字列には、オレンジ色と黄色のハイライト表示が適用されます。

    • オレンジ色でハイライト表示された文字列は、現在選択していないルールのトークンと一致します。
    • 黄色でハイライト表示された文字列は、オレンジ色のトークンに対応する値です。たとえば、userトークンはUsernameルール(現在選択されていません)と一致します。

この例では、デフォルトのログParserを使用して、このログ メッセージを解析した場合、domainメタにはgoogle.comの値が割り当てられています。

[ルール]パネル

[ルール]パネルには、選択したログParserで使用されるルールのリストが表示されます。ルールを選択すると、[詳細]パネルの[トークン]領域と[]領域の両方に表示される値を変更できます。

         

ハイライト表示されたルールを書き留めます。

  • 現在選択されているルールは青でハイライト表示されます。
  • サンプル ログ メッセージ領域のトークンと一致するその他のルールは、オレンジ色でハイライト表示されます。
Previous Topic:[設定]タブ
You are here
Table of Contents > 参考情報 > [ログParserルール]タブ(バージョン11.1のみ)

Attachments

    Outcomes