メインコンテンツまでスキップ
Sumo Logic Japanese

処理ルール

処理ルールはデータを絞り込み、Source から Sumo Logic に送信されるデータを転送できます。ルールが適用されるのは Sumo Logic に送信されるデータのみであり、手元にあるログはそのまま変更されません。処理ルールを使用して Collector によって絞り込まれたデータは、1 日あたりのデータ ボリューム割り当てには含まれません。

絞り込まれたデータは Collector に取り込まれますが、Sumo Logic クラウドにはアップロードされません。以下のいずれかのルールを適用できます。

  • 一致するメッセージを除外するSumo Logic に送信したくないメッセージを削除します (「ブラックリスト」フィルタ)。これらのメッセージは Source に達した後でスキップされ、Sumo Logic にはアップロードされません。
  • 一致するメッセージを含めるSumo Logic アカウントに含めるデータのみを送信します (「ホワイトリスト」フィルタ)。このタイプのフィルタは、ファイアウォールからのメッセージのみを含める場合に便利です。
  • 一致するメッセージをハッシュ変換する。機密情報を保護するためにメッセージをランダムに生成される一意のコードに置換します。クレジットカード番号やユーザ名など、一意の識別子をハッシュ変換する必要がある場合もあります。このタイプのデータをハッシュ変換することで、データが完全に非表示の場合でもトラッキングすることができます。
  • 一致するメッセージをマスクする。表現をカスタマイズ可能なマスク文字列に置換します。これは、通常はトラッキングしないパスワードなどのデータを保護するためのオプションの 1 つです。
  • 一致するメッセージを転送する。Installed Collector Source から選択した Sumo 以外のロケーションにデータを送信します。

制限事項

  • 除外ルール、包含ルール、ハッシュ ルール、マスク ルールは 1MB までの単一行のログと 2,000 行または 512KB まで (いずれかに達するまで) の複数行のログを処理できます。
  • Source で使用できる処理ルールの最大数は 100 件です。
  • 正規表現は RE2 準拠である必要があります。

処理ルール同士の関係

1 つの Source について 1 つ以上の処理ルールを作成し、異なるタイプのフィルタを組み合わせて Sumo Logic に送信するデータ セットを適切に生成できます。

Source に複数のルールがある場合、ルールは包含、除外、マスク、転送の順序で処理されます。 

除外ルールは常に包含ルールより優先されます。包含ルールは最初に処理されますが、除外ルールが包含ルール フィルタに一致するデータと一致する場合、そのデータは除外されます。

  • この記事は役に立ちましたか?