メインコンテンツまでスキップ
Sumo Logic Japanese

包含ルールと除外ルール

包含除外処理ルールを使用して、Sumo Logic に送信するデータを指定できます。

  • 除外ルールはブラックリスト フィルタとして機能し、一致するデータは Sumo Logic に送信されません。
  • 包含ルールはホワイトリスト フィルタとして機能し、一致するデータは Sumo Logic に送信されます。

ベスト プラクティスとして、より少ないデータ ボリュームに一致するようにこれらのルールを指定します。

  • Source のパスからデータの大部分を収集したい場合は、除外ルールを指定すると、より少ないデータ ボリュームに一致 (除外) します。
  • Source のパスから小さなデータ セットを収集したい場合は、包含ルールを指定すると、より少ないデータ ボリュームに一致 (包含) します。

たとえば、Cisco ASA ファイアウォールからのメッセージのみを含めるには、次のフィルタを使用できます。

包含フィルタ

ルールと制限

正規表現ルールを作成するときには、次のルールに従う必要があります。

  • ルールは RE2 準拠である必要があります。

  • ルールは一部のセクションのみを解決するのではなく、ログ メッセージの先頭から末尾までメッセージ全体に一致する必要があります。

  • 単一行のメッセージでは、一致する文字列パターンが行の先頭または末尾でない場合、正規表現の先頭と末尾に .* を付ける必要があります。たとえば、「secure」または「security」という単語が含まれるメッセージを除外するには、次のようにルールを作成します。

       .*secur.*

  • 複数行のメッセージでは、単一行の修飾子 (?s) を表現の先頭と末尾に追加し、メッセージのどこに出現するかに関係なく、文字列の参照を簡略化します。たとえば、イベント コード 5156 が含まれる Windows イベント メッセージを除外するには、次のようにルールを作成します。

    (?s).*EventCode = 5156.*(?s)

  • syslog UDP メッセージの最後には改行文字が含まれる場合があるため、文字列と正しく一致させるためには上記の正規表現が必要になります。

  • 除外ルールは常に包含ルールより優先されます。包含ルールは最初に処理されますが、除外ルールが包含ルール フィルタに一致するデータと一致する場合、そのデータは除外されます。

  • 2 つ以上のルールがリストされている場合、想定される Boolean operator は OR となります。

  • 処理ルール名は 32 文字未満である必要があります。

  • ルールは単一行のログの場合 1MB のデータまで処理し、複数行のログの場合 2,000 行または 512KB のデータまで (いずれかに達するまで) 処理します。これらの制限に達すると、処理ルールはログ メッセージの残りの部分を無視し、次のログに進みます。

  • この記事は役に立ちましたか?