ホストGS:Log Decoderサービスの構成パラメータ

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Jul 10, 2019
Version 5Show Document
  • View in full screen mode
 

このトピックでは、RSA NetWitness PlatformのLog Decoderで利用可能な構成パラメータについて説明します。

Log Decoderの構成設定

次の表に、Log Decoderの構成設定のリストと説明を示します。

                                       
Log Decoderの設定フィールド説明
Database

/database/configについて「NetWitness Platformコア データベース チューニング ガイド」の「データベース構成ノード」を参照

Decoder

/decoder/configについて「DecoderおよびLog Decoderの構成パラメータ」を参照

Index

/index/configについて「NetWitness Platformコア データベース チューニング ガイド」の「インデックス構成ノード」を参照

Logs

/logs/configについて「コア サービスのログ構成」を参照

REST

/rest/configについて「RESTインタフェースの構成」を参照

SDK

/sdk/configについて「NetWitness Platformコア サービス データベース チューニング ガイド」の「SDK構成ノード」および「コア サービスのsystem.rolesモード」を参照

System

/sys/configについて「コア サービスのシステム構成」を参照

ログ トークナイザーの構成設定

Log Decoderには、自動ログ トークナイザーが未解析ログからメタ アイテムを作成する方法を制御するための構成があります。自動ログ トークナイザーは、組み込み型Parserのセットとして実装されており、各Parserはぞれぞれが識別可能なトークンのサブセットをスキャンします。各Parserの機能を、次の表に示します。これらのwordアイテムは、ConcentratorおよびArchiverのインデックス作成エンジンに取り込まれたときに、フルテキスト インデックスを形成します。parsers.disabled構成エントリーを操作して、有効にするログ トークナイザーを制御できます。

                                                     
Parser名説明構成パラメータ
Log Tokens連続する文字をスキャンし、「word」メタ アイテムを生成します。token.device.types、token.char.classes、token.max.length、token.min.length、token.unicode
IPSCANIPv4アドレスの可能性があるテキストをスキャンし、「ip.addr」メタ アイテムを生成します。token.device.types
IPV6SCANIPv6アドレスの可能性があるテキストをスキャンし、「ipv6」メタ アイテムを生成します。token.device.types
URLSCANURIの可能性があるテキストをスキャンし、「alias.host」、「filename」、「username」、「password」メタ アイテムを生成します。token.device.types
DOMAINSCANドメイン名の可能性があるテキストをスキャンし、「alias.host」、「tld」、「cctld」、「sld」メタ アイテムを生成します。token.device.types
EMAILSCANメール アドレスの可能性があるテキストをスキャンし、「email」および「username」メタを生成します。token.device.types
SYSLOGTIMESTAMPSCAN Syslog形式のタイムスタンプである可能性のあるテキストをスキャンします。Syslogには、年とタイム ゾーンが存在しません。このようなテキストが検出されると、UTC時間に正規化されて「event.time」メタ アイテムが作成されます。token.device.types
INTERNETTIMESTAMPSCANRFC 3339形式のタイムスタンプの可能性があるテキストをスキャンし、「event.time」メタ アイテムを生成します。token.device.types

次の表に、ログ トークナイザーの構成パラメータを示します。

                               
Log DecoderのParser設定フィールド説明
token.device.types

rawテキストのトークンをスキャンする対象デバイス タイプのセットです。デフォルトでは、unknownに設定されており、パースされなかったログについてのみ、rawテキストがスキャンされます。ここでログ タイプを追加することにより、パース済みログにテキスト トークン情報を付加することができます。

このフィールドが空の場合、ログのトークン化は無効です。

token.char.classes

このフィールドは、生成されるトークンのタイプを制御します。alphadigitspacepunctの値を任意に組み合わせることができます。デフォルト値はalphaです。

  • alpha:トークンに英文字を含めることができます。
  • digit:トークンに数字を含めることができます。
  • space:トークンにスペースやタブを含めることができます。
  • punct:トークンに句読点を含めることができます。
token.max.length

このフィールドは、トークンの長さに制限を設定します。デフォルト値は5文字です。最大文字数の設定により、Log Decoderでwordメタを格納するために必要な領域を制限できます。長いトークンを使用すると、メタ データベースでより多くの領域が必要になりますが、rawテキストの検索が若干高速になる場合があります。短いトークンを使用すると、検索時に、テキスト クエリ リゾルバーはrawログからより多くの読み取りを実行する必要がありますが、metadbとインデックスで使用する領域は大幅に削減されます。

token.min.length

これは、検索可能なテキスト トークンの最小長です。トークンの最小長は、ユーザが検索結果を得るために検索ボックスに入力する必要のある最小文字数に対応します。推奨値はデフォルト値の3です。

token.unicode

このブール値の設定は、token.char.classes設定に従って文字を分類するときに、Unicode分類規則を適用するかどうかを制御します。trueに設定した場合、各ログはUTF-8でエンコードされたコード ポイントのシーケンスとして処理され、UTF-8のデコードが実行された後で分類が実行されます。falseに設定した場合、各ログはASCII文字として処理され、ASCII文字の分類のみが実行されます。Unicode文字の分類には、Log Decoderでより多くのCPUリソースが必要です。非英語テキストのインデックス作成が不要な場合、この設定を無効にすることにより、Log DecoderのCPU使用率を削減できます。デフォルトでは有効になっています。

You are here
Table of Contents > 参考情報 > サービス構成パラメータ > Log Decoderサービスの構成パラメータ

Attachments

    Outcomes