管理者は、どのParserがLiveからダウンロードされ、DecoderまたはLog Decoderに導入されているか、およびそれらのうちのどのParserが有効になっているかを確認し、ParserとログParserを有効化または無効化することができます。
次の図は、Decoderで一般的に使用される設定を示しています。必要な手順のみ示すクイック基本セットアップについては、「DecoderおよびLog Decoderのクイック セットアップ」を参照してください。
ダウンロードして導入するParserは、次の理由で必要なものに限定する必要があります。
- 導入するParserの数が増えると、パフォーマンスに影響が生じます。
- 導入するParserの数が多くなると、より多くのメタ データが作成され、データ保存に影響が生じます。
- 余剰な(不要な)ログParserを持たないようにすると、メッセージの特定を誤る可能性も減少します。
[Parser構成]パネルでは、Decoderで使用するParserを選択します。一部のParserでは、Parserが作成するメタデータを構成できます。[Parser構成]パネルのオプションは次のとおりです。
注:Log Decoderの場合は、すでにLiveから導入済みのログParserが必要です。詳細については、「Liveサービス管理」ガイドの「Liveリソースの検索と導入」を参照してください。NetWitness Suite 11.0の各ドキュメントを見つけるには、バージョン11.0の「マスター目次」に移動します。
Parserを有効または無効にする、または各Parserのステータスを表示するには、次の手順を実行します。
- [管理]>[サービス]に移動します。
- [管理]の[サービス]ビューで、Log DecoderまたはDecoderを選択し、
>[表示]>[構成]を選択します。 - [Parser構成]パネルで、DecoderのParserまたはLog Decoderのイベント ソースParserを探します。
![これは、[構成]ドロップダウンを開いた状態の[Parser構成]セクションの例です。](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-89009-1-419396/770-505/ParCon30.PNG)
- [構成]列で、Parserの現在のステータスを確認します。
![これは、[構成]ドロップダウンを開いた状態の[Parser構成]セクションの例です。](https://community.rsa.com/servlet/JiveServlet/showImage/102-89009-1-419396/ParCon30.PNG)
個々のParserのステータスを更新するには、目的のParserの[構成]を選択し、ドロップダウン メニューから[無効]、[一時的]、[有効]のいずれかを選択します。あるいは、[すべて有効化]または[すべて無効化]を選択して、すべてのログParserのステータスをまとめて更新することもできます。
- [適用]をクリックします。
[適用]をクリックしたときに、NetWitness SuiteによってすべてのParserが再ロードされることに注意してください。各Parserのステータスが、選択に基づいて更新されます。