on Apr 19, 2018このトピックでは、Log Decoderでイベント ソースのマッピングを有効化する方法を管理者向けに説明します。
Log Collectorは、メッセージごとにイベント ソース タイプを検出します。イベント ソースの正しいParserが識別されない場合、ごく一部のログが正しく識別されない場合があります。メッセージが誤って分類されると、イベント ソースのルールやアラートにメッセージが入力されず、レポートに適切な情報が含まれなくなります。IPアドレスに複数のイベント ソース タイプが関連付けられている場合、Parserはログが生成されたイベント ソースを厳密に特定するのが難しくなります。
IPアドレスをイベント ソース タイプにマッピングすると、Log Decoderはログが生成されたイベント ソースを特定できます。Log Decoderがマップングされたイベント ソースからメッセージを受信すると、割り当てられたParserのみがクエリされ、一致するイベントが検索されます。
イベント ソース タイプは、IPV4、IPV6、イベント ソースのホスト名の値に割り当てることができます。また、複数のイベント ソース タイプを単一のIPアドレスに割り当てることもできます。同じIPアドレスの異なるイベント ソース タイプから別々のLog Collectorにメッセージが送信される場合は、Log Collector IDを使用することもできます。
注:[管理]>[イベント ソース]>[検出]に移動して、Parserマッピング機能を有効にすることもできます。
IPアドレスのイベント ソースへのマッピングの有効化
IPアドレスのイベント ソースへのマッピングを有効化するには、次の手順に従います。
- 管理>[サービス]に移動し、Log Decoderを選択します。
-
>[表示]>[構成]を選択します。 - [構成]ページで、[Parserマッピング]タブを選択します。
[サービス]の[構成]ビューに[Parserマッピング]タブが表示されます。
IPのイベント ソースへのマッピングの更新
IPのイベント ソースへのマッピングを更新するには、次の手順に従います。
- 管理>[サービス]に移動します。
- Log Decoderを選択し、[アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
-
をクリックします。マッピング エディタが表示されます。
- 次のマッピングのいずれかを定義できます。
- 1つのホストと1つのイベント ソース タイプ
[ホスト]フィールドにホスト名を入力します。
例:10.0.0.1 - [イベント ソース]フィールドにイベント ソース タイプを入力します。
例:apache - 1つのホストと1つ以上のイベント ソース タイプ
[ホスト]フィールドにホスト名を入力します。
次に例を示します。10.0.0.1 - [イベント ソース]フィールドにイベント ソース タイプを入力します。
例:apache,sap,aix - 1つのホスト、1つのLog Collector ID、1つのイベント ソース タイプ
[ホスト]フィールドにホスト名とLog Collector IDを入力します。
次に例を示します。10.0.0.1,LC-1 - [イベント ソース]フィールドにイベント ソース タイプを入力します。
次に例を示します。apache - 1つのホスト、1つのLog Collector ID、1つまたは複数のイベント ソース タイプ
[ホスト]フィールドにホスト名とLog Collector IDを入力します。
次に例を示します。10.0.0.1,LC-1 - [イベント ソース]フィールドにイベント ソース タイプを入力します。
次に例を示します。apache,sap,aix
注:イベント ソース タイプは、Parserを入力した順序で処理されます。1つまたは複数のParserがログと一致した場合、リストの最初のParserがクエリされます。ホスト/IPは、IPv4、IPv6、ホスト名のいずれかに指定できます。
- [OK]をクリックします。
Parserマッピングが追加されます。
- Parserマッピングの選択を解除するには、[キャンセル]をクリックします。
IPのイベント ソース タイプへのマッピングの読み取り
IPのイベント ソース タイプへのマッピングを読み取るには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
マッピングが表示されます。
IPのイベント ソース タイプへのマッピングの編集
IPのイベント ソース タイプへのマッピングを編集するには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- 編集するマッピングを選択します。
注: 一度に編集できるマッピングは1つだけです。 -
をクリックします。 - [イベント ソース]フィールドで、イベント ソースを変更します。
注: ホストは編集できず、フィールドは無効になっています。 - [OK]をクリックして、編集済みのイベント ソースを受け入れます。
- 変更をキャンセルするには、[キャンセル]をクリックします。
IPのイベント ソース タイプへのマッピングを削除します。
IPのイベント ソース タイプへのマッピングを削除するには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- 削除するマッピングを選択します。
-
をクリックします。
マッピングが削除され、グリッドが更新されます。 - 変更をキャンセルするには、[キャンセル]をクリックします。
ホスト名またはイベント ソース タイプのソート
ホスト名またはイベント ソース タイプをソートするには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- 列をソートするには、列のヘッダーにある
をクリックします。選択したIPアドレスにイベント ソース タイプが適用されます。ログは、リストのParserの順番でパースされます。
IPのイベント ソースへのマッピング エントリーのインポート
IPのイベント ソースへのマッピング エントリーをインポートするには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- [アクション]>[インポート]を選択します。
[インポート]ダイアログが表示されます。
- をクリックします。
- インポートするファイルを選択して[OK]をクリックします。
- Parser をロードするには、[インポート]をクリックします。
注:一度に1つの.csvファイルのみをインポートできます。
IPのイベント ソースへのマッピング エントリーのエクスポート
IPのイベント ソースへのマッピング エントリーをエクスポートするには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- エクスポートするマッピングを選択します。
- [アクション]>[エクスポート]>[選択]を選択します。
[選択範囲のエクスポート]ダイアログが表示されます。
- ファイル名を入力し、[エクスポート]をクリックします。
IPのイベント ソースへのマッピング エントリーの検索
IPのイベント ソースへのマッピング エントリーを検索するには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- [Parserマッピング]ツールバーで、[フィルタ]フィールドにホストまたはイベント ソースを入力します。
- Enterをクリックします。
[フィルタ]フィールドに入力した名前と一致するホストまたはイベント ソースが表示されます。
