メインコンテンツまでスキップ
Sumo Logic Japanese

処理ルールの作成

既存の Source に処理ルールを追加することも、新規 Source を設定するときに処理ルールを作成することもできます。

  1. 既存の Source の処理ルールを作成するには、[Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] に移動して Source の横にある [Edit (編集)] をクリックします。ページ下部で [Processing Rules (処理ルール)] の横にあるメニューをクリックし、[Add Rule (ルールの追加)] をクリックします。

    設定中の Source の処理ルールを作成するには、[Processing Rules for Logs (ログの処理ルール)] の横にあるメニューをクリックして [Add Rule (ルールの追加)] をクリックします。

    処理ルールの追加

  2. [Processing Rule for Logs (ログの処理ルール)] ダイアログが表示されます。 

    処理ルールの追加
     
  3. ルールの名前を入力します (名前は 32 文字までです)。
  4. [Filter (フィルタ)] について、絞り込むメッセージを定義する正規表現を入力します。ルールはメッセージ全文に一致する必要があります。
    • 複数行のログ メッセージでは、テキストが含まれる行の前後の行を取得し、(?s).*matching text(?s).* のようにセグメントを (?s).* で囲みます。
  5. 作成する処理ルールのタイプを選択します。
  • 一致するメッセージを除外するSumo Logic に送信したくないメッセージを削除します (「ブラックリスト」フィルタと考えるとよいでしょう)。これらのメッセージは Source に達した後でスキップされ、Sumo Logic にはアップロードされません。
  • 一致するメッセージを含めるSumo Logic アカウントに含めるデータのみを送信します (「ホワイトリスト」フィルタ)。このタイプのフィルタは、Sumo Logic に送信するログ データのリストが、除外するすべてのタイプのメッセージ用に除外フィルタを設定するよりも絞り込むほうが簡単な場合にとても便利です。たとえば、ファイアウォールからのメッセージのみを含める場合です。
  • 一致するメッセージをハッシュ変換する機密情報を保護するためにメッセージをランダムに生成される一意のコードに置換します。クレジットカード番号やユーザ名など、一意の識別子をハッシュ変換する必要がある場合もあります。このタイプのデータをハッシュ変換することで、データが完全に非表示の場合でもトラッキングすることができます。
  • 一致するメッセージをマスクする表現をカスタマイズ可能なマスク文字列に置換します。これは、通常はトラッキングしないパスワードなどのデータを保護するためのオプションの 1 つです。
  • 一致するメッセージを転送する。Installed Collector Source から選択した Sumo 以外のロケーションにデータを送信します。このオプションは、Data Forwarding の宛先を設定している場合のみ使用できます。詳細については、「Installed Collector からのデータの転送」を参照してください。
  1. [適用] をクリックします。

    rule-action.png
  1. [Save (保存)] をクリックします。
     
  • この記事は役に立ちましたか?