ESM:イベント ソース グループの作成フォーム

Document created by RSA Information Design and Development Employee on Apr 19, 2018Last modified by RSA Information Design and Development Employee on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

イベント ソース グループの作成フォームは、イベント ソース グループを作成または編集するときに表示されます。

パラメータ

次の表は、イベント グループの作成/編集フォームのフィールドについて説明しています。

                             
フィールド説明
グループ名

このフィールドは必須です。グループの識別子としてNetWitness Platform UI全体に表示されます。

説明

グループの目的やそのグループに関する詳しい説明(オプション)。

ツール

esm_grpRules.png

ツールバーでは、次のアイテムを使用できます。

  • 追加(+]:[追加]をクリックするとメニューが表示され、条件またはグループを追加できます。
  • 削除(-]:選択したルールをリストから削除します。

新しいグループを追加すると、ネストされた条件のレベルが作成されます。

条件

以下の「ルールの条件」の表で説明します。

キャンセル/保存

キャンセル]オプションと[保存]オプションはフォームで使用できます。

ルールの条件

指定したルールによって、このイベント ソース グループに含めるイベント ソースが決まります。ルールの内容は次のとおりです。

  • グループ化:ルール間の連携方法
  • 属性:ルールの照合対象の属性
  • 演算子:ルールによる属性の照合方法
  • 値:ルールで使用される属性値

次の表は、このルールの構成要素について詳しく説明しています。

                           
ルールの構成要素詳細
グループ化

イベント ソース グループに複雑なルールを作成する場合に、条件をグループ化できます。ルールをグループ化する場合の選択肢を次に示します。

  • すべてに合致:論理的にはANDと同等です
  • いずれかに合致:論理的にはORと同等です
  • いずれにも合致しない:論理的にはNOTと同等です

シンプルなグループを作成する場合や、1つの条件しか指定しない場合は、デフォルト値(すべてに合致)を選択したままにします。

属性

すべてのイベント ソース属性がドロップダウン リストに表示されます。属性は、属性のセクションごとに表示されます。たとえば、先頭にIdentification属性すべてが表示され、その後にPropertiesImportanceと続きます。

演算子

次のいずれかのオプションを選択します。

  • 次に等しい:属性値が指定された値と一致するイベントソースを返します。

  • 次に等しくない:属性値が指定された値と一致しないイベント ソースを返します

  • 次に含まれる(in):コンマ区切り形式で値リストを指定し、属性値がいずれかの値と一致するイベント ソースが返されます。次に例を挙げます。

    Where IP in 10.25.50.146, 10.25.50.248

    この条件は、IP属性の値が10.25.50.146 or 10.25.50.248のいずれかのイベント ソースを返します。

  • 次に含まれない(not in):[次に含まれる(in)]と似ていますが、属性値が指定されたどの値とも等しくないイベント ソースが返されます。

  • 次で始まる:属性値が指定された文字列で始まるイベント ソースを返します。次に例を挙げます。

    Where Event Source Type Like Apache

    この条件は、Event Source TypeがApacheで始まるイベント ソースを返します。

  • 次で始まらない:[次で始まる]と似ていますが、指定された文字列で始まらない属性値を持つイベントソースを返します。

  • 次より大きい:指定された値よりも大きな属性値を持つイベントソースを返します。たとえば、「Priorityが5より大きい」という条件の場合、この条件と一致するのはPriorityが6以上のイベントソースです。

  • 次より小さい:[次より大きい]と似ています。指定された値よりも小さな属性値を持つイベントソースを返します。

値または値のセットを入力します。値のタイプは、条件の属性によって異なります。たとえば、IPv6の場合は、IPv6形式で指定する必要があります。

You are here
Table of Contents > イベント ソース グループの管理 > イベント ソース グループの作成フォーム

Attachments

    Outcomes