ホストGS:Log Decoderサービスの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、RSA Security Analytics Log Decoderで利用可能な構成パラメーターのリストと説明を示します。

Log Decoderの構成設定

次の表に、Log Decoderの構成設定のリストと説明を示します。

                                     
Log Decoderの設定フィールド説明
Database /database/config。「Security Analytics コア データベース チューニング ガイド」の「データベース構成ノード」を参照してください
Decoder /decoder/config。次のトピックを参照してください: DecoderおよびLog Decoderの共通構成
Index /index/config。「Security Analytics コア データベース チューニング ガイド」の「インデックス構成ノード」を参照してください
Logs /logs/config。次のトピックを参照してください: コア サービスのログ構成
REST /rest/config。次のトピックを参照してください: RESTインタフェースの構成
SDK /sdk/config。次のトピックを参照してください:「Security Analytics コア データベース チューニング ガイド」の「SDK構成ノード」と Security Analyticsコア サービスのsystem.rolesモード
System /sys/config。次のトピックを参照してください: コア サービスのシステム構成

ログ トークナイザーの構成設定

Log Decoderには、自動ログ トークナイザーが未解析ログからメタ アイテムを作成する方法を制御する構成アイテムのセットがあります。

ログ トークナイザーはwordメタ アイテムをログに追加します。これらのwordアイテムは、ConcentratorおよびArchiverのインデックス作成エンジンに取り込まれたときに、フルテキスト インデックスを形成します。

                             
Log DecoderのParser設定フィールド説明
token.device.types rawテキストのトークンをスキャンする対象デバイス タイプのセットです。デフォルトでは、unknownunknownに設定されており、パースされなかったログについてのみ、rawテキストがスキャンされます。ここでログ タイプを追加することにより、パース済みログにテキスト トークン情報を付加することができます。

このフィールドが空の場合、ログのトークン化は無効です。
token.char.classes このフィールドは、生成されるトークンのタイプを制御します。alphadigitspacepunctの値を任意に組み合わせることができます。デフォルト値はalphaです。
  • alpha:トークンに英文字を含めることができます。
  • digit:トークンに数字を含めることができます。
  • space:トークンにスペースやタブを含めることができます。
  • punct:トークンに句読点を含めることができます。
token.max.length このフィールドは、トークンの長さに制限を設定します。デフォルト値は5文字です。最大文字数の設定により、Log Decoderでwordメタを格納するために必要な領域を制限できます。長いトークンを使用すると、メタ データベースでより多くの領域が必要になりますが、rawテキストの検索が若干高速になる場合があります。短いトークンを使用すると、検索時に、テキスト クエリー リゾルバーはrawログからより多くの読み取りを実行する必要がありますが、metadbとインデックスで使用する領域は大幅に削減されます。
token.min.length これは、検索可能なテキスト トークンの最小長です。トークンの最小長は、ユーザーが検索ボックスに入力したときに結果を得ることができる最小文字数に対応します。推奨値はデフォルト値の3です。
token.unicode このブール値の設定は、token.char.classes設定に従って文字を分類するときに、Unicode分類規則を適用するかどうかを制御します。trueに設定した場合、各ログはUTF-8でエンコードされたコード ポイントのシーケンスとして処理され、UTF-8のデコードが実行された後で分類が実行されます。falseに設定した場合、各ログはASCII文字として処理され、ASCII文字の分類のみが実行されます。Unicode文字の分類には、Log Decoderでより多くのCPUリソースが必要です。非英語テキストのインデックス作成が不要な場合、この設定を無効にすることにより、Log DecoderのCPU使用率を削減できます。デフォルトでは有効になっています。
You are here
Table of Contents > 参考資料 > サービス構成設定 > Log Decoderサービスの構成

Attachments

    Outcomes