ファイル収集:(オプション)カスタムのコンテンツTypespecの作成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックではカスタム ファイル収集用typespecファイルを作成する方法について説明します。

はじめに

このトピックでは、Log CollectorのカスタムTypespecを作成する方法について説明します。トピックには次の項目が含まれます。

  • カスタムTypespecの作成手順
  • ファイル収集Typespec構文
  • ファイル収集のサンプル

手順に戻る

手順

カスタムTypespecファイルを作成するには、次の手順を実行します。

  1. 既存のTypespecファイルをコピーし、同じディレクトリに保存します。
    たとえば、/etc/netwitness/ng/logcollection/content/collection/fileからapache.xmlファイルをコピーし、同じディレクトリに新しい名前で保存します。
  2. 要件に応じてファイルを変更します。
  3. Log Collectorを再起動します。
  4. Log Collectorを再起動するまで、Security Analyticsに新しいデバイス タイプは表示されません。

ファイル収集Typespec構文

                                                                                                                                                    
構文説明
<?xml version="1.0" encoding="UTF-8"?>この行は変更しないでください。
<typespec>この行は変更しないでください。
<name>eventsource</name><event source="source" name.="name." eventsourceは、ファイル イベント ソースの名前(たとえば、apache)に置き換えてください。  Security Analyticsでは、[表示]>[構成]>[イベント ソース]タブの[ソース]パネルにこの名前が表示されます。</event>
有効な値は英数字の文字列です。-(ダッシュ)、_(下線)、またはスペースは使用できません。  この名前は、フォルダ内のすべてのtypespecファイル全体にわたり一意である必要があります。
<type>file</type>  イベント ソースのタイプ(ファイル、odbc、windowsなど)。  この行は変更しないでください。
<prettyName>event-source-name</prettyName>イベント ソースのユーザー定義名。  nameと同じ値(たとえば、apache)を使用するか、もっと分かりやすい名前を使用することができます。
<version>1.0</version>  <</td>このtypespecファイルのバージョン。デフォルト値は1.0です。
<author>author-name</author>typespecファイルの作成者。author-nameは、自分の名前に置き換えてください。
<description>formal-description</description>イベント ソースの正式な説明。formal-descriptionは、イベント ソースの実際の説明に置き換えてください。
<デバイス>この行は変更しないでください。
<name>event-source</name>イベント ソース名。event-sourceは、ファイル イベント ソースの名前(たとえば、apache)に置き換えてください。
</device>この行は変更しないでください。
<構成[コウセイ]> 
</configuration>
ファイル収集では使用しません。
<collection>この行は変更しないでください。
<ファイル><file>の下の構文は、イベントの収集および処理に使用されます。
<parserId>file.event-source-name</parserId>「今後のリリースのために予約されています。」
<processorType>processor-type</processorType>プロセッサ タイプ。  processor-typeの例としては、generic、xml、tagvalmap、oracleがあります。プロセッサー タイプは、RSA enVisionのハンドラーに似ています。<</p>
<dataStartLine>n</dataStartLine>nはSecurity Analyticsがイベントの収集を開始するログ ファイルの行番号です。デフォルト値は1です。
<fieldDelim>x</fieldDelim>フィールドを区切るために使用する区切り文字を指定します。  xには、次のいずれかの値を指定します。
  •   ||(パイプ)
  •   ^(キャレット)
  •   ,(コンマ)
  •   :(コロン)
  •   0x20(スペース)
<idField>n</idField>Msg ID(メッセージID)のフィールド番号。たとえば、イベント内でスペースで区切られたフィールドの6番目をMsg IDとして識別する場合は、nに6を指定します。
<lineDelim>x</lineDelim>イベントの末尾を検出する改行文字。たとえば、CRおよびLFの値を16進数で指定するには、xに\nを指定します。 
<eventGroups> <eventGroups>の下の構文は、processorType = xmlの場合にのみ使用されます。
<eventGroup>この行は変更しないでください。
<globalInfo></globalInfo>  globalInfo xpath。親ノード情報を読み取り、その情報を各レベルに追加します。
<eventXPath>//Audit/AuditRecord</eventXPath>イベントのxpath
</eventGroup> この行は変更しないでください。
</eventGroups>xmlプロセッサ タイプ タグの末尾。この行は変更しないでください。
ファイル収集では、イベント変換時に以下のタグを使用します。
<transformPrefixTag>prefix</transformPrefixTag>指定されたprefixを変換されたイベントの前に挿入します。たとえば、APACHEを指定した場合、Security Analyticsはプレフィックスとして%APACHEを挿入します。
<transformReplaceFieldDelim>n
</transformReplaceFieldDelim>
変換フラグ指定時に区切り文字を置き換えるかどうかを指定します。有効なnの値は次のとおりです。
  • 0(デフォルト)= 置き換えません
  • 1 = 置き換えます
<transformPrefixFilename>n
</transformPrefixFilename>
変換フラグ指定時にファイル名にプレフィックス(たとえば、APACHE)を追加するかどうかを指定します。有効なnの値は次のとおりです。
  • 0(デフォルト)= 追加しません
  • 1 = 追加します
<transformMultipleDelimiterAsOne>n
</transformMultipleDelimiterAsOne>
複数のシーケンシャル区切り文字を1つに組み合わせるかどうかを指定します。有効なnの値は次のとおりです。
  •   0 = 組み合わせません
  •   1(デフォルト)= 組み合わせます
<transformReplacementFieldDelim>x
</transformReplacementFieldDelim>
transformReplaceFieldDelimフラグ = 1の場合に、rawデータのフィールド区切り文字を指定された値(x)に置き換えます。
</file>この行は変更しないでください。
</collection>この行は変更しないでください。
</typespec>この行は変更しないでください。

ファイル収集Typespecファイルのサンプル

-# Sample apache typespec , file collection

<&lt;?xml>

    <typespec>

    <name>apache</name>             

    <type>file</type>                

    <prettyName>apache</prettyName>  

    <version>1.0</version>           

    <author>administrator</author>    

    <description>FileCollection specification for eventsource type "Apache Web Server" using file handler type "APACHE"</description>  

    <デバイス>

        <name>apache</name>          

 

<   >

    </configuration>

    <collection>

        <ファイル>

        -# below tags are used for event collection and processing

            <parserId>file.apache</parserId>           

            <processorType>generic</processorType>     

            <dataStartLine>1</dataStartLine>          

            <fieldDelim>0x20</fieldDelim>              

            <idField>6</idField>                       

            <lineDelim>\n</lineDelim>                  

        -# below tags are used only when processorType = xml

            <eventGroups>                              

                <eventGroup>

                    <globalInfo></globalInfo>                      

                    <eventXPath>//Audit/AuditRecord</eventXPath>   

                </eventGroup>

            </eventGroups>

        -# xml processortype specific tags ends 

        -# below tags are used during event transformation

            <transformPrefixTag>APACHE</transformPrefixTag>            

            <transformReplaceFieldDelim>0</transformReplaceFieldDelim> 

            <transformPrefixFilename>0</transformPrefixFilename>           

            <transformMultipleDelimiterAsOne>1</transformMultipleDelimiterAsOne>  

            <transformReplacementFieldDelim></transformReplacementFieldDelim>  

        </file>

    </collection>

</typespec>         
You are here
Table of Contents > ファイル収集プロトコル構成ガイド > 手順 > (オプション)ファイル収集用のカスタムのコンテンツTypespecの作成

Attachments

    Outcomes