このトピックでは、すべての収集プロトコルを対象としたイベント フィルタの作成方法と管理方法について説明します。
注:Syslogの収集はローカルLog Collectorに対して構成することはできません。リモートCollectorに対してのみ、Syslogの収集を構成する必要があります。詳細な構成情報については、「ローカルCollectorおよびリモートCollectorの構成」を参照してください。
イベント フィルタの構成
イベント ソースを構成するには、次の手順を実行します。
- [管理]>[サービス]に移動します。
- [Log Collector]サービスを選択します。
- [アクション]で、[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
-
[イベント ソース]タブをクリックします。
-
[イベント ソース]タブで、ドロップダウン メニューから任意の収集方法や[フィルタ]を選択します。
次の画面に、選択したSyslogを示します。
注:Syslogの構成はリモートCollectorでのみ利用可能です。ローカルCollectorサービスを使用している場合、Syslogをドロップダウン メニューから選択することはできません。
[フィルタ]ビューでは、選択された収集方法(ある場合)に対して構成されているフィルタを表示します。
-
[フィルタの追加]ダイアログが表示されます。
-
新しいフィルタの名前と説明を入力して[追加]をクリックします。
[フィルタ]パネルに新しいフィルタが表示されます。
-
[フィルタ]パネルで新しいフィルタを選択し、[フィルタ ルール]パネルのツールバーで
をクリックします。
[フィルタ ルールの追加]ダイアログが表示されます。
- [ルールの条件]の下の
をクリックします。
-
ルールのパラメータを追加し、[更新]>[OK]をクリックします。
NetWitness Suiteにより、定義されたルールを使用してフィルタが更新されます。
注:ルールは、アクション タイプが処理を中止したり、最後のルールがチェックされるまで上から順に処理されます。デフォルトの動作では、一致が検出されない場合はルールを受け入れます。
次の表では、フィルタ ルールを追加するためのパラメータについて説明します。
イベント フィルタ ルールの「キー」パラメータ
[キー]フィールドの値は、フィルタに適用される収集メソッドによって異なります。
その他のイベント フィルタ ルール パラメータ
次の表では、イベント フィルタ ルールを作成するために利用可能なその他すべてのフィールドについて説明します。
フィルタ ルールの変更
イベント ソースを変更するには、次の手順を実行します。
- [管理]>[サービス]に移動します。
- [Log Collector]サービスを選択します。
- [アクション]で、[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
-
[イベント ソース]タブをクリックします。
-
[イベント ソース]タブで、ドロップダウン メニューから任意の収集方法や[フィルタ]を選択します。
次の画面に、選択したCheck Pointを示します。
[フィルタ]ビューでは、選択された収集方法(ある場合)に対して構成されているフィルタを表示します。
-
[フィルタ ルール]リストで、ルールを選択し、
をクリックします。
[フィルタ ルールの編集]ダイアログが表示されます。
-
変更するルール条件を選択します。
- 変更が必要なパラメータを変更し、[更新]>[OK]をクリックします。
NetWitness Suiteにより、選択したフィルタ ルールにパラメータの変更が適用されます。