処理ルール
処理ルールはデータを絞り込み、Source から Sumo Logic に送信されるデータを転送できます。ルールが適用されるのは Sumo Logic に送信されるデータのみであり、手元にあるログはそのまま変更されません。処理ルールを使用して Collector によって絞り込まれたデータは、1 日あたりのデータ ボリューム割り当てには含まれません。
絞り込まれたデータは Collector に取り込まれますが、Sumo Logic クラウドにはアップロードされません。以下のいずれかのルールを適用できます。
- 一致するメッセージを除外する。Sumo Logic に送信したくないメッセージを削除します (「ブラックリスト」フィルタ)。これらのメッセージは Source に達した後でスキップされ、Sumo Logic にはアップロードされません。
- 一致するメッセージを含める。Sumo Logic アカウントに含めるデータのみを送信します (「ホワイトリスト」フィルタ)。このタイプのフィルタは、ファイアウォールからのメッセージのみを含める場合に便利です。
- 一致するメッセージをハッシュ変換する。機密情報を保護するためにメッセージをランダムに生成される一意のコードに置換します。クレジットカード番号やユーザ名など、一意の識別子をハッシュ変換する必要がある場合もあります。このタイプのデータをハッシュ変換することで、データが完全に非表示の場合でもトラッキングすることができます。
- 一致するメッセージをマスクする。表現をカスタマイズ可能なマスク文字列に置換します。これは、通常はトラッキングしないパスワードなどのデータを保護するためのオプションの 1 つです。
- 一致するメッセージを転送する。Installed Collector Source から選択した Sumo 以外のロケーションにデータを送信します。
制限事項
- 除外ルール、包含ルール、ハッシュ ルール、マスク ルールは 1MB までの単一行のログと 2,000 行または 512KB まで (いずれかに達するまで) の複数行のログを処理できます。
- Source で使用できる処理ルールの最大数は 100 件です。
- 正規表現は RE2 準拠である必要があります。
処理ルール同士の関係
1 つの Source について 1 つ以上の処理ルールを作成し、異なるタイプのフィルタを組み合わせて Sumo Logic に送信するデータ セットを適切に生成できます。
Source に複数のルールがある場合、ルールは包含、除外、マスク、転送の順序で処理されます。
除外ルールは常に包含ルールより優先されます。包含ルールは最初に処理されますが、除外ルールが包含ルール フィルタに一致するデータと一致する場合、そのデータは除外されます。