Log Decoderサービスの構成パラメータ

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、RSA NetWitness SuiteLog Decoderで利用可能な構成パラメータについて説明します。

Log Decoderの構成設定

次の表に、Log Decoderの構成設定のリストと説明を示します。

                                       
Log Decoderの設定フィールド説明
Database /database/configについて「NetWitness Suiteコア データベース チューニング ガイド」の「データベース構成ノード」を参照
Decoder /decoder/configについて「DecoderおよびLog Decoder構成パラメータ」を参照
Index /index/configについて「NetWitness Suiteコア データベース チューニング ガイド」の「インデックス構成ノード」を参照
Logs /logs/configについて「コア サービスのログ構成」を参照
REST /rest/configについて「RESTインタフェースの構成」を参照
SDK /sdk/configについて「NetWitness Suiteコア サービス データベース チューニング ガイド」の「SDK構成ノード」および「コア サービスのsystem.rolesモード」を参照
System /sys/configについて「コア サービスのシステム構成」を参照

ログ トークナイザーの構成設定

Log Decoderには、自動ログ トークナイザーが未解析ログからメタ アイテムを作成する方法を制御する構成アイテムのセットがあります。ログ トークナイザーは、認識可能なトークンのサブセットに対してそれぞれがスキャンする組み込み型のParserのセットとして実行されます。これらの各ネイティブParserの機能について、次の表に示します。これらのwordアイテムは、ConcentratorおよびArchiverのインデックス作成エンジンに取り込まれたときに、フルテキスト インデックスを形成します。parsers.disabled構成エントリーを操作して、有効にするログ トークナイザーを制御できます。

                                                     
Parser名説明構成パラメータ
ログ トークン「word」メタ アイテムを生成する連続する文字の実行をスキャンします。token.device.types、token.char.classes、token.max.length、token.min.length、token.unicode
IPSCAN「ip.addr」メタ アイテムを生成するIPv4アドレスの可能性があるテキストをスキャンします。token.device.types
IPV6SCAN「ipv6」メタ アイテムを生成するIPv6アドレスの可能性があるテキストをスキャンします。token.device.types
URLSCAN「alias.host」、「filename」、「username」、「password」メタ アイテムを生成するURIの可能性があるテキストをスキャンします。token.device.types
DOMAINSCAN「alias.host」、「tld」、「cctld」、「sld」メタ アイテムを生成するドメイン名を表示するテキストをスキャンします。token.device.types
EMAILSCAN「email」および「username」メタを生成する可能性があるメール アドレスのテキストをスキャンします。token.device.types
SYSLOGTIMESTAMPSCAN Syslog形式のタイムスタンプである可能性のあるテキストをスキャンします。Syslogには、年とタイム ゾーンが存在しません。このようなテキストが検出されると、UTC時間に正規化されて「event.time」メタ アイテムが作成されます。token.device.types
INTERNETTIMESTAMPSCAN「event.time」メタ アイテムを生成するRFC 3339形式のタイムスタンプの可能性があるテキストをスキャンします。token.device.types

これらは、ログ トークナイザーの構成パラメータです。

                             
Log DecoderのParser設定フィールド説明
token.device.types rawテキストのトークンをスキャンする対象デバイス タイプのセットです。デフォルトでは、unknownunknownに設定されており、パースされなかったログについてのみ、rawテキストがスキャンされます。ここでログ タイプを追加することにより、パース済みログにテキスト トークン情報を付加することができます。

このフィールドが空の場合、ログのトークン化は無効です。
token.char.classes このフィールドは、生成されるトークンのタイプを制御します。alphadigitspacepunctの値を任意に組み合わせることができます。デフォルト値はalphaです。
  • alpha:トークンに英文字を含めることができます。
  • digit:トークンに数字を含めることができます。
  • space:トークンにスペースやタブを含めることができます。
  • punct:トークンに句読点を含めることができます。
token.max.length このフィールドは、トークンの長さに制限を設定します。デフォルト値は5文字です。最大文字数の設定により、Log Decoderでwordメタを格納するために必要な領域を制限できます。長いトークンを使用すると、メタ データベースでより多くの領域が必要になりますが、rawテキストの検索が若干高速になる場合があります。短いトークンを使用すると、検索時に、テキスト クエリ リゾルバーはrawログからより多くの読み取りを実行する必要がありますが、metadbとインデックスで使用する領域は大幅に削減されます。
token.min.length これは、検索可能なテキスト トークンの最小長です。トークンの最小長は、ユーザが検索ボックスに入力したときに結果を得ることができる最小文字数に対応します。推奨値はデフォルト値の3です。
token.unicode このブール値の設定は、token.char.classes設定に従って文字を分類するときに、Unicode分類規則を適用するかどうかを制御します。trueに設定した場合、各ログはUTF-8でエンコードされたコード ポイントのシーケンスとして処理され、UTF-8のデコードが実行された後で分類が実行されます。falseに設定した場合、各ログはASCII文字として処理され、ASCII文字の分類のみが実行されます。Unicode文字の分類には、Log Decoderでより多くのCPUリソースが必要です。非英語テキストのインデックス作成が不要な場合、この設定を無効にすることにより、Log DecoderのCPU使用率を削減できます。デフォルトでは有効になっています。
You are here
Table of Contents > ホストGS:参考情報 > サービス構成パラメータ > Log Decoderサービス構成パラメータ

Attachments

    Outcomes