Decoder:ステップ3:ログParserの有効化と無効化

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、管理者がLog DecoderでログParserを有効化または無効化する方法について説明します。

この手順は、Liveからダウンロードして導入済みのログParserを確認したり、その中で有効化されているものを確認するのに便利です。

ダウンロードして導入するParserは、次の理由で必要なものに限定する必要があります。

  • 導入するParserの数が増えると、パフォーマンスに影響が生じます。
  • 導入するParserの数が多くなると、より多くのメタ データが作成され、データ保存に影響が生じます。
  • 余剰な(不要な)ログParserを持たないようにすると、メッセージの特定を誤る可能性も減少します。

前提条件

事前にLiveからログParserを導入しておく必要があります。詳細については、「Liveサービス管理」の「Liveリソースの検索と導入」トピックを参照してください。

手順

ログParserを有効または無効にする、または各ログParserのステータスを表示するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドでLog Decoderを選択し、[アクション]メニュー(Actions menu cropped)から[表示]>[構成]を選択します。
  3. サービスParser構成]パネルで、イベント ソースを見つけます。
  4. 構成]列で、Parserの現在のステータスを確認します。
    • チェックボックスがすでに選択されている場合は、Parserは有効になっています。
    • チェックボックスが選択されていない場合は、Parserは無効になっています。

個々のログParserの値はトグルで切り替えることができます。あるいは、[すべて有効化]または[すべて無効化]を選択して、すべてのログParserのステータスを一度に更新することもできます。

  1. Apply]をクリックします。

適用]をクリックしたときに、Security AnalyticsによってすべてのParserが再ロードされることに注意してください。

結果

各ログParserのステータスが、選択に基づいて更新されます。

You are here
Table of Contents > 必要な手順 > ステップ3:ログParserの有効化と無効化

Attachments

    Outcomes