このトピックでは、Log Decoderでイベント ソースのマッピングを有効化する方法を管理者向けに説明します。
Log Collectorは、メッセージごとにイベント ソース タイプを検出します。イベント ソースの正しいパーサが識別されない場合、ごく一部のログが正しく識別されない場合があります。メッセージが誤って分類されると、イベント ソースのルールやアラートにメッセージが入力されず、レポートに適切な情報が含まれなくなります。IPアドレスに複数のイベント ソース タイプが関連付けられている場合、Parserはログが生成されたイベント ソースを厳密に特定するのが難しくなります。
IPアドレスをイベント ソース タイプにマッピングすると、Log Decoderはログが生成されたイベント ソースを特定できます。マップングされたイベント ソースからLog Decoderにメッセージが配信されると、割り当てられたParserのみがクエリされ、一致するイベントが検索されます。
イベント ソース タイプは、IPV4、IPV6、イベント ソースのホスト名の値に割り当てることができます。また、複数のイベント ソース タイプを単一のIPアドレスに割り当てることもできます。同じIPアドレスの異なるイベント ソース タイプから別々のLog Collectorにメッセージが送信される場合は、Log Collector IDを使用することもできます。
注:[管理]>[イベント ソース]>[検出]に移動して、パーサ マッピング機能を有効にすることもできます。
IPアドレスのイベント ソースへのマッピングの有効化
IPアドレスのイベント ソースへのマッピングを有効化するには、次の手順に従います。
- [管理]>[システム]>[ログ パーサーのマッピング]に移動します。
- [Decoder]を選択し、
>[表示]>[構成]を選択します。 - [構成]ページで、[パーサ マッピング]タブを選択します。
[サービス]の[構成]ビューに[パーサ マッピング]タブが表示されます。![これは、[パーサ マッピング]タブの例です。](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-88979-1-419381/770-371/PrsMapTb1_1000x482.png)
![これは、[パーサ マッピング]タブの例です。](https://community.rsa.com/servlet/JiveServlet/showImage/102-88979-1-419381/PrsMapTb1_1000x482.png)
IPのイベント ソースへのマッピングの更新
IPのイベント ソースへのマッピングを更新するには、次の手順に従います。
- [管理]>[サービス]に移動します。
- [Log Decoder]を選択し、[アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [パーサ マッピング]タブを選択します。
-
![[追加]アイコン](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-88979-1-419494/ic-add.png)
をクリックします。マッピング エディタが表示されます。
![これは、[マッピング エディタ]ダイアログの例です。](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-88979-1-419414/PrsMpEd.png)
- 次のマッピングのいずれかを定義できます。
![[追加]アイコン](https://community.rsa.com/servlet/JiveServlet/showImage/102-88979-1-419494/ic-add.png){kind=small}
![これは、[マッピング エディタ]ダイアログの例です。](https://community.rsa.com/servlet/JiveServlet/showImage/102-88979-1-419414/PrsMpEd.png)
1つのホストと1つのイベント ソース タイプ
- [ホスト]フィールドにホスト名を入力します。
例:10.0.0.1
- [イベント ソース]フィールドにイベント ソース タイプを入力します。
例:apache
1つのホストと1つ以上のイベント ソース タイプ
- [ホスト]フィールドにホスト名を入力します。
例:10.0.0.1
- [イベント ソース]フィールドにイベント ソース タイプを入力します。
例:apache,sap,aix
1つのホスト、1つのLog Collector ID、1つのイベント ソース タイプ
- [ホスト]フィールドにホスト名とLog Collector IDを入力します。
例:10.0.0.1,LC-1.
- [イベント ソース]フィールドにイベント ソース タイプを入力します。
例:apache
1つのホスト、1つのLog Collector ID、1つまたは複数のイベント ソース タイプ
- [ホスト]フィールドにホスト名とLog Collector IDを入力します。
例:10.0.0.1,LC-1
- [イベント ソース]フィールドにイベント ソース タイプを入力します。
例:apache,sap,aix
注:イベント ソース タイプは、パーサを入力した順序で処理されます。1つまたは複数のパーサがログと一致した場合、リストの最初のパーサがクエリされます。ホスト/IPは、IPv4、IPv6、ホスト名のいずれかに指定できます。
- [OK]をクリックします。
Parserマッピングが追加されます。
- パーサ マッピングの選択を解除するには、[キャンセル]をクリックします。
IPのイベント ソース タイプへのマッピングの読み取り
IPのイベント ソース タイプへのマッピングを読み取るには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [パーサ マッピング]タブを選択します。
マッピングが表示されます。
IPのイベント ソース タイプへのマッピングの編集
IPのイベント ソース タイプへのマッピングを編集するには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- 編集するマッピングを選択します。
注: 一度に編集できるマッピングは1つだけです。 -
![[編集]アイコン](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-88979-1-419499/ic-edit.png)
をクリックします。 - [イベント ソース]フィールドで、イベント ソースを変更します。
注: ホストは編集できず、フィールドは無効になっています。 - [OK]をクリックして、編集済みのイベント ソースを受け入れます。
- 変更をキャンセルするには、[キャンセル]をクリックします。
![[編集]アイコン](https://community.rsa.com/servlet/JiveServlet/showImage/102-88979-1-419499/ic-edit.png){kind=small}
IPのイベント ソース タイプへのマッピングを削除します。
IPのイベント ソース タイプへのマッピングを削除するには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- 削除するマッピングを選択します。
-
![[削除]アイコン](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-88979-1-419377/delete_icon.png)
をクリックします。
マッピングが削除され、グリッドが更新されます。 - 変更をキャンセルするには、[キャンセル]をクリックします。
![[削除]アイコン](https://community.rsa.com/servlet/JiveServlet/showImage/102-88979-1-419377/delete_icon.png){kind=icon}
ホスト名またはイベント ソース タイプのソート
ホスト名またはイベント ソース タイプをソートするには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- 列をソートするには、列のヘッダーにある
をクリックします。選択したIPアドレスにイベント ソース タイプが適用されます。ログは、リストされている順序でパーサでパースされます。
IPのイベント ソースへのマッピング エントリーのインポート
IPのイベント ソースへのマッピング エントリーをインポートするには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- [アクション]>[インポート]を選択します。
[インポート]ダイアログが表示されます。![これは、[インポート]ダイアログの例です。](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-88979-1-419466/ImportD.png)
- をクリックします。
- インポートするファイルを選択して[OK]をクリックします。
- Parser をロードするには、[インポート]をクリックします。
![これは、[インポート]ダイアログの例です。](https://community.rsa.com/servlet/JiveServlet/showImage/102-88979-1-419466/ImportD.png)
注:一度に1つの.csvファイルのみをインポートできます。
IPのイベント ソースへのマッピング エントリーのエクスポート
IPのイベント ソースへのマッピング エントリーをエクスポートするには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- エクスポートするマッピングを選択します。
- [アクション]>[エクスポート]>[選択]を選択します。
[選択範囲のエクスポート]ダイアログが表示されます。![これは、[選択範囲のエクスポート]ダイアログの例です。](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-88979-1-419491/ExpMap.png)
- ファイル名を入力し、[エクスポート]をクリックします。
![これは、[選択範囲のエクスポート]ダイアログの例です。](https://community.rsa.com/servlet/JiveServlet/showImage/102-88979-1-419491/ExpMap.png)
IPのイベント ソースへのマッピング エントリーの検索
IPのイベント ソースへのマッピング エントリーを検索するには、次の手順に従います。
- [管理]>[サービス]に移動し、Log Decoderサービスを選択します。
- [アクション]列で、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示されます。 - [Parserマッピング]タブを選択します。
- [Parserマッピング]ツールバーで、[フィルタ]フィールドにホストまたはイベント ソースを入力します。
- Enterをクリックします。
[フィルタ]フィールドに入力した名前と一致するホストまたはイベント ソースが表示されます。
