Decoder:イベント ソース マッピングの有効化

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Log Decoderでイベント ソースのマッピングを有効化する方法を管理者向けに説明します。

Log Collectorは、メッセージごとにイベント ソース タイプを検出します。イベント ソースに対応する正しいParserが識別されない場合、同じイベント ソース タイプに共通するメッセージが誤って分類される可能性があります。メッセージが誤って分類されると、イベント ソースのルールやアラートにメッセージが入力されず、レポートに適切な情報が含まれなくなります。IPアドレスに複数のイベント ソース タイプが関連付けられている場合、Parserはログが生成されたイベント ソースを厳密に特定するのが難しくなります。

IPアドレスをイベント ソース タイプにマッピングすると、Log Decoderはログが生成されたイベント ソースを特定できます。マップングされたイベント ソースからLog Decoderにメッセージが配信されると、割り当てられたParserのみがクエリーされ、一致するイベントが検索されます。

イベント ソース タイプは、IPV4、IPV6、イベント ソースのホスト名の値に割り当てることができます。また、複数のイベント ソース タイプを単一のIPアドレスに割り当てることもできます。同じIPアドレスの異なるイベント ソース タイプから別々のLog Collectorにメッセージが送信される場合は、Log Collector IDを使用することもできます。

手順

IPアドレスのイベント ソースへのマッピングの有効化

IPアドレスのイベント ソースへのマッピングを有効化するには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[システム]>[ログParserマッピング]を選択します。
  2. Log Decoderを選択し、Actions menu cropped[表示]>[構成]を選択します。
    [サービス]の[構成]ビューに[Parserマッピング]タブが表示されます。

IPのイベント ソースへのマッピングの更新

IPのイベント ソースへのマッピングを更新するには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Log Decoderを選択し、[アクション]列で、Actions menu cropped>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示されます。
  3. Parserマッピング]タブを選択します。

  4. ic-add.pngをクリックします。
    マッピング エディタが表示されます。
  5. 次のマッピングのいずれかを定義できます。

1つのホストと1つのイベント ソース タイプ
- [ホスト]フィールドにホスト名を入力します。 
  例:10.0.0.1
- [イベント ソース]フィールドにイベント ソース タイプを入力します。
  例:apache
1つのホストと1つ以上のイベント ソース タイプ
- [ホスト]フィールドにホスト名を入力します。
  例:10.0.0.1 
- [イベント ソース]フィールドにイベント ソース タイプを入力します。 
  例:apache,sap,aix
1つのホスト、1つのLog Collector、1つのイベント ソース タイプ
- [ホスト]フィールドにホスト名とLog Collector IDを入力します。 
  例:10.0.0.1,LC-1
- [イベント ソース]フィールドにイベント ソース タイプを入力します。
  例:apache
1つのホスト、1つのLog Collector ID、1つまたは複数のイベント ソース タイプ
- [ホスト]フィールドにホスト名とLog Collector IDを入力します。
  例:10.0.0.1,LC-1
- [イベント ソース]フィールドにイベント ソース タイプを入力します。
  例:apache,sap,aix

注:イベント ソース タイプは、Parserを入力した順序で処理されます。1つまたは複数のParserがログと一致した場合、リストの最初のParserがクエリーされます。ホスト/IPは、IPv4、IPv6、ホスト名のいずれかに指定できます。

  1. OKをクリックします。
    Parserマッピングが追加されます。
  1. Parserマッピングの選択を受け入れるには、[適用]をクリックします。
  2. Parserマッピングの選択を解除するには、[元に戻す]をクリックします。

IPのイベント ソース タイプへのマッピングの読み取り

IPのイベント ソース タイプへのマッピングを読み取るには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Log Decoderサービスを選択します。
  3. アクション]列で、Actions menu cropped[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示されます。
  4. Parserマッピング]タブを選択します。
    マッピングが表示されます。

IPのイベント ソース タイプへのマッピングの編集

IPのイベント ソース タイプへのマッピングを編集するには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Log Decoderサービスを選択します。
  3. [アクション]列で、Actions menu cropped>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示されます。
  4. Parserマッピング]タブを選択します。
  5. 編集するマッピングを選択します。
  6. をクリックします。
  7. イベント ソース]フィールドで、イベント ソースを変更します。
  8. OK]をクリックして、編集済みのイベント ソースを受け入れます。
  9. 編集済みのイベント ソースを受け入れるには、[OK]をクリックします。
  10. 変更をキャンセルするには、[キャンセル]をクリックします。

IPのイベント ソース タイプへのマッピングを削除します。

IPのイベント ソース タイプへのマッピングを削除するには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Log Decoderサービスを選択します。
  3. [アクション]列で、Actions menu cropped>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示されます。
  4. Parserマッピング]タブを選択します。
  5. 削除するマッピングを選択します。
  6. ic-delete.pngをクリックします。
    マッピングが削除されます。
  7. 変更をキャンセルするには、[キャンセル]をクリックします。

ホスト名またはイベント ソース タイプのソート

ホスト名またはイベント ソース タイプをソートするには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Log Decoderサービスを選択します。
  3. [アクション]列で、Actions menu cropped>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示されます。
  4. Parserマッピング]タブを選択します。
  5. 列をソートするには、列のヘッダをクリックします。
    選択したIPアドレスにイベント ソース タイプが適用されます。ログは、リストされている順序でParserでパースされます。

IPのイベント ソースへのマッピング エントリーのインポート

IPのイベント ソースへのマッピング エントリーをインポートするには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Log Decoderサービスを選択します。
  3. [アクション]列で、Actions menu cropped>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示されます。
  4. Parserマッピング]タブを選択します。
  5. [アクション]>[インポート]を選択します。
    [インポート]ダイアログが表示されます。
  6. ic-add.pngをクリックします。
  7. インポートするファイルを選択して[OK]をクリックします。
  8. Parser をロードするには、[インポート]をクリックします。

注:一度に1つの.csvファイルのみをインポートできます。

IPのイベント ソースへのマッピング エントリーのエクスポート

IPのイベント ソースへのマッピング エントリーをエクスポートするには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Log Decoderサービスを選択します。
  3. [アクション]列で、Actions menu cropped>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示されます。
  4. Parserマッピング]タブを選択します。
  5. エクスポートするマッピングを選択します。
  6. [アクション]>[エクスポート]>[選択]を選択します。
    [選択範囲のエクスポート]ダイアログが表示されます。
  7. ファイル名を入力し、[エクスポート]をクリックします。

IPのイベント ソースへのマッピング エントリーの検索

IPのイベント ソースへのマッピング エントリーを検索するには、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Log Decoderサービスを選択します。
  3. [アクション]列で、Actions menu cropped>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示されます。
  4. Parserマッピング]タブを選択します。
  5. [Parserマッピング]ツールバーで、[フィルタ]フィールドにホストまたはイベント ソースを入力します。
  6. Enterをクリックします。
    フィルタ]フィールドに入力した名前と一致するホストまたはイベント ソースが表示されます。
You are here
Table of Contents > 追加の手順 > イベント ソース マッピングの有効化

Attachments

    Outcomes