Sumo Logic では、フィールについて以下の命名規則を推奨しています。このベスト プラクティスは、FER (Field Extraction Rules)、検索、およびダッシュボードを使用するデプロイ全体に渡ってフィールド名を標準化し、フィールドを名前で認識しやすくすると共に、検索のパフォーマンスも高めます。
たとえば、Source IP 用に FER を作成しておけば、複数の Source に渡って Source IP のカウントが必要になったときには、すべての Source で同じフィールド名を使用しているため、簡単にカウントできます。クエリでは、次のように簡単に指定できます。
| count by src_ip
標準的なフィールド命名規則を使用することの別の利点は、この命名規則を使用して Sumo Logic アプリケーションが作成されるということです。同じ規則を使用することで、Sumo Logic アプリケーションで事前に設定済みの検索やダッシュボードとフィールド名を合わせることができます。
標準フィールドですべての命名規則を使用できない場合は、少なくとも以下についてはフィールド命名規則を使用することをお勧めします。
- Source ホスト
- 転送先ホスト
- IP アドレス
- ユーザ
Source 情報
フィールド名 |
説明 |
src_host |
Source ホスト (名前または IP) |
src_interface |
Source インターフェイス |
src_ip |
Source IP |
src_port |
Source ポート (文字列型) |
src_user |
Source ユーザ名 |
src_zone |
Source ゾーン (ほとんどはファイアウォール メッセージ用) |
転送先情報
フィールド名 |
説明 |
dest_host |
転送先ホスト (名前または IP) |
dest_ip |
転送先 IP |
dest_port |
転送先ポート (文字列型) |
dest_user |
転送先ユーザ名 |
dest_zone |
転送先ゾーン (ほとんどはファイアウォール メッセージ用) |
ユーザ |
追加の転送先ユーザ名 (下位互換性用) |
レポート デバイス
フィールド名 |
説明 |
reporting_device |
レポート デバイス (ファイアウォール、ルータ、スイッチなど) のホスト名 |
reporting_device_ip |
レポート デバイスの IP アドレス |
ネットワーク情報
フィールド名 |
説明 |
bytes |
送受信されるバイト数 |
bytes_recv |
受信バイト数 |
bytes_sent |
送信バイト数 |
IDS
フィールド名 |
説明 |
application |
Application (アプリケーション) |
カテゴリ |
脅威カテゴリ (ウィルス、トロイの木馬など) |
threat |
脅威名 (virus など) |
vulnerability |
脆弱性 |
アンチウイルス
フィールド名 |
説明 |
application |
Application (アプリケーション) |
カテゴリ |
脅威カテゴリ (ウィルス、トロイの木馬など) |
threat |
脅威名 (virus など) |
vulnerability |
脆弱性 |
アクション
フィールド名 |
説明 |
action |
デバイスによる最終アクション (ファイアウォールによるブロック、ドロップ、パスなど) |
orig_action |
デバイスによる元の (最初の) アクション |
その他
フィールド名 |
説明 |
count |
一部の集計済み数値を保存するために使用 (整数型) |
device_product |
製品名 (Windows 2012 など) |
device_type |
ファイアウォールまたは IDS で使用される値 |
device_vendor |
ベンダ名 (Microsoft など) |
generator |
イベントを生成する基本/インシデント検索名 |
service |
サービス名 |
update |
ソフトウェア アップデート名 |