EventLog Analyzer ナレッジベース

※本ナレッジベースは、ビルド12141を元に作成しています。

EventLog Analyzerには、異なるログ種別のログを相関的に分析するコリレーション機能が備わっています。
本ナレッジでは、コリレーション機能の概要についてご紹介します。

アラート機能とコリレーション機能における検知方法の違い

コリレーション機能では、アラート機能とは異なり、連続したイベントの発生を検知します。例えばアラート機能にて「A かつ B」という条件を設定した場合、B に一致するイベントが発生後にAに一致するイベントが発生した場合も、その逆のパターンも検知の対象となります。しかし、コリレーション機能では、AのあとにBが発生した場合にアラートを発生させるよう、明示的に順序を指定することができます。

コリレーションルールの作成手順

コリレーション機能では定義済みルールが用意されています。
定義済みルール以外で、お客様環境に合わせたカスタムルールを作成する手順は以下をご参照ください。

1．[ コリレーション ] - [ ルールを管理 ] -  [ + コリレーションルールの作成 ] をクリックします。

2．左側のペインより、アクションを選択します。

3．必要に応じて、フィルタ・しきい値の設定を行います。

4．続くアクションを左側のペインより選択します。

5．何分以内に連続してアクションが発生した場合に検知の対象とするかを設定します。

6．[ 作成する ] をクリックして保存します。

7. 作成したルールの"ルールステータス"がアクティブとなっていることを確認します。
非アクティブとなっている場合は、当該ルール列をマウスオーバーすることで表示されるアクティブ化のリンクをクリックしてください。

以上の手順により、コリレーションルールを作成することが可能です。

コリレーション機能で検知した内容をアラート通知する手順

1. [ コリレーション ] - [ ルールを管理 ] をクリックします。

2. アラート通知を設定したいコリレーションルールを検索します。

3. 当該コリレーションルールのステータスがアクティブとなっていることを確認します。

4. 当該コリレーションルール列にある"アラートプロファイル"のチェックボックスにチェックを入れます。

5. 以下のようなポップアップが表示されますので、"こちらをクリックしてください"をクリックします。

6. アラート設定画面に自動的に移動します。

7. 通知方法やワークフローを設定後、[ 編集 ] をクリックします。

以上です。