カスタムログ解析

ネットワーク管理者は、ログデータから多くの情報と洞察を常に必要としています。IT管理者が有用なログ情報を特定し、新しいフィールドとして自動的にインデックスを作成したい場合があります。インデックスを作成するフィールドが増えると、ログフォレンジック分析を実行したり、ネットワークセキュリティレポートを作成する際に、ログデータがより有用となります。

EventLog Analyzerでは、管理者が明快なフィールド抽出UIを使用することで、新たなカスタムフィールドを作成や未加工のログからフィールドを抽出が可能となります。EventLog Analyzerがネットワークシステムやアプリケーションから取得するログから、作成したカスタムフィールドを識別、解析、およびインデックス化できるようにします。

EventLog Analyzerを使用して追加のフィールドを抽出する方法は?

  • 検索タブに移動後、フィールドを抽出したいログを表示させます。[追加のフィールドを作成]をクリックします。
  • 注意: または、ログファイルをインポートする際に追加のフィールドを抽出できます。
  • 抽出されたフィールドの詳細は、[イベント情報] ウィンドウで表示できます。必要な値が解析されない場合は、[追加フィールドを抽出] をクリックすることでフィールドを抽出できます。

カスタムフィールド値の指定

カスタムフィールドを指定する方法は2つあります。

  • Regax(正規表現)方式
  • Delimiter(デリミタ)方式

Regax(正規表現)方式

  • ルール名を入力します。
  • フィールドとして抽出したい単語をクリックします。
  • 自動識別オプションを使用することで、フィールドを自動的に識別することも可能です。
  • 抽出するフィールドの名前を入力します。フィールド値にプレフィックスとサフィックスを任意で指定します。
  • [パターンを作成する]をクリックして、解析ルールパターンを作成します。

プレフィックスとサフィックスの追加

  • 精度を向上させるために、フィールド値のプレフィックスまたはサフィックスを含めることもできます。プレフィックスやサフィックスを含めるには、[カスタムフィールド] テーブルの右隅にあるアイコンをクリックして、必要なオプションを選択します。[適用] をクリックします。
  • たとえば、次のようなログメッセージがあるとします。: ネットワークログオンの成功: ユーザー名: sylvian ドメイン: ADVENTNET ログオンID: (0x0,0x6D51131) ログオンタイプ: 3 ログオンプロセス: NtLmSsp 認証パッケージ: NTLM ワークステーション名: SYLVIAN ログオンGUID: - 発信者ユーザー名: - 発信者ドメイン: - 発信者ログオンID: - 発信者プロセスID: - 転送されたサービス: - ソースネットワークアドレス: 192.168.113.97 ソースポート: 0 22873
  • 多くのログは、フィールド「ログオンタイプ」と完全に一致する名前のフィールドがあるので、プレフィックスとして静的な値を設定できます。一方、フィールド「ソースネットワークアドレス」は、ログによって異なるフィールド名を持つ場合があります("ソースIPアドレス"や"ソースアドレス"など)ので、プレフィックスやサフィックスとして動的な値を設定できます。
  • プレフィックスとサフィックスが完全一致で定義されている場合、フィールド抽出は正確になります。
  • 注意:オープン属性にはプレフィックスまたはサフィックスがありません。

パターンの検証

解析ルールパターンは、フィールド定義を使用して作成されます。正規表現に慣れている場合は、生成されたパターンを手動で編集できます。

[このパターンを検証する]リンクは、生成されたパターンを以前の検索結果に対してテストするために使用されます。表示される「一致したログ」と「一致しないログ」を分析することで、パターンの適合性を手動で確認できます。

  • [別のパターンを選択してください] をクリックして、製品によって生成されたパターンのリストからパターンを選択します。
  • 作成するパターンを適用するログタイプを選択するため、適用するログタイプの条件を既存のフィールドを用いて定義できます。
  • ルールを保存後に収集されたログよりフィールドを抽出します。

Delimiter(デリミタ)方式

  • ルール名を入力します。
  • スペース、カンマ、タブ、またはパイプなどの区切り文字を使用してフィールドを抽出できます。
  • [ルールを保存] をクリックします。