ホストGS:テーブル マップ ファイルの維持

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

RSAによって提供されるテーブル マッピング ファイル、table-map.xmlは、Log Decoderを構成する非常に重要な要素です。このファイルは、ログParserで使用されるキーをMetaDBのキーにマッピングするメタ定義ファイルです。 

table-map.xmlファイルは編集しないでください。 table-mapに変更を加える必要がある場合は、table-map-custom.xmlファイルで変更を行います。最新のtable-map.xmlファイルはLiveから入手でき、RSAでは必要に応じてこのファイルを更新しています。table-map.xmlファイルに変更を加えても、サービスまたはコンテンツのアップグレード中に上書きされる可能性があります。

table-map.xmlには、Transientに設定されているメタ キーとNoneに設定されているメタ キーの両方があります。特定のメタ キーを格納してインデックスづけするには、そのキーがNoneに設定されている必要があります。マッピングに変更を加えるには、Log Decoderでtable-map-custom.xmlという名前のファイルのコピーを作成して、メタ キーをNoneに設定する必要があります。

メタ キーのインデックスづけについて

  • Log Decoderでtable-map.xmlファイルのキーにNoneマークがついている場合、そのキーはインデックスづけされていることを意味します。
  • Log Decoderでtable-map.xmlファイルのキーにTransientマークがついている場合、そのキーはインデックスづけされていないことを意味します。キーをインデックスづけするには、table-map-custom.xmlファイルにエントリーをコピーして、キーワードflags="Transient"flags="None"に変更します。
  • キーがtable-map.xmlファイルに含まれていない場合は、Log Decoderでtable-map-custom.xmlファイルにエントリーを追加します。

注意:table-map.xmlファイルはアップグレードによって上書きされる場合があるため更新しないでください。必要なすべての変更をtable-map-custom.xmlファイルに加えます。

前提条件

Log Decoderにtable-map-custom.xmlファイルがない場合は、table-map.xmlのコピーを作成して、名前をtable-map-custom.xmlに変更します。

手順

テーブル マッピング ファイルを検証して更新するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. [サービス]グリッドで、Log Decoderを選択し、Actns.png>[表示]>[構成]を選択します。
  3. ファイル]タブをクリックして、table-map.xmlファイルを選択します。
    TblMpXML.png
  4. flagsキーワードがTransientまたはNoneに正しく設定されていることを確認します。
  5. エントリーを変更する必要がある場合、table-map.xmlファイルはアップグレードによって上書きされる可能性があるため変更しないでください。その代わりに、エントリーをコピーして、table-map-custom.xmlファイルを選択し、flagsキーワードをTransientからNoneに変更します。

    たとえば、table-map.xmlファイル内のhardware.idメタ キーに関する次のエントリーはインデックスづけされず、flagsキーワードはTransientとして表示されます。

    <mapping envisionName="hardware_id" nwName="hardware.id" flags="Transient"/>

    hardware.idメタ キーをインデックスづけするには、table-map-custom.xml内のflagsキーワードをTransientからNoneに変更します。

    <mapping envisionName="hardware_id" nwName="hardware.id" flags="None"/>

  6. エントリーがtable-map.xmlファイルに含まれていない場合は、table-map-custom.xmlファイルにエントリーを追加します。
  7. table-map-custom.xmlファイルに変更を加えた後で、[適用]をクリックします。

注意:テーブル マッピング ファイルを変更する前に、インデックスをTransientからNoneに変更することによる影響を慎重に検討してください。使用可能なストレージ容量とLog Decoderのパフォーマンスに影響が及ぶ可能性があります。そのため、デフォルトでインデックスづけされるのは特定のメタ キーに限られています。table-map-custom.xmlファイルはさまざまな用途に使用します。

You are here
Table of Contents > サービスの処理手順 > コア サービス構成ファイルの編集 > テーブル マップ ファイルの維持

Attachments

    Outcomes