メインコンテンツまでスキップ
Sumo Logic Japanese

フィールドの命名規則

Sumo Logic では、フィールについて以下の命名規則を推奨しています。このベスト プラクティスは、FER (Field Extraction Rules)、検索、およびダッシュボードを使用するデプロイ全体に渡ってフィールド名を標準化し、フィールドを名前で認識しやすくすると共に、検索のパフォーマンスも高めます。

たとえば、Source IP 用に FER を作成しておけば、複数の Source に渡って Source IP のカウントが必要になったときには、すべての Source で同じフィールド名を使用しているため、簡単にカウントできます。クエリでは、次のように簡単に指定できます。

| count by src_ip

標準的なフィールド命名規則を使用することの別の利点は、この命名規則を使用して Sumo Logic アプリケーションが作成されるということです。同じ規則を使用することで、Sumo Logic アプリケーションで事前に設定済みの検索やダッシュボードとフィールド名を合わせることができます。

標準フィールドですべての命名規則を使用できない場合は、少なくとも以下についてはフィールド命名規則を使用することをお勧めします。

  • Source ホスト
  • 転送先ホスト
  • IP アドレス
  • ユーザ

Source 情報

フィールド名 説明
src_host Source ホスト (名前または IP)
src_interface Source インターフェイス
src_ip Source IP
src_port Source ポート (文字列型)
src_user Source ユーザ名
src_zone Source ゾーン (ほとんどはファイアウォール メッセージ用)

転送先情報

フィールド名 説明
dest_host 転送先ホスト (名前または IP)
dest_ip 転送先 IP
dest_port 転送先ポート (文字列型)
dest_user 転送先ユーザ名
dest_zone 転送先ゾーン (ほとんどはファイアウォール メッセージ用)
ユーザ 追加の転送先ユーザ名 (下位互換性用)

レポート デバイス

フィールド名 説明
reporting_device レポート デバイス (ファイアウォール、ルータ、スイッチなど) のホスト名
reporting_device_ip レポート デバイスの IP アドレス

ネットワーク情報

フィールド名 説明
bytes 送受信されるバイト数
bytes_recv 受信バイト数
bytes_sent 送信バイト数

IDS

フィールド名 説明
application Application (アプリケーション)
カテゴリ 脅威カテゴリ (ウィルス、トロイの木馬など)
threat 脅威名 (virus など)
vulnerability 脆弱性

アンチウイルス

フィールド名 説明
application Application (アプリケーション)
カテゴリ 脅威カテゴリ (ウィルス、トロイの木馬など)
threat 脅威名 (virus など)
vulnerability 脆弱性

アクション

フィールド名 説明
action デバイスによる最終アクション (ファイアウォールによるブロック、ドロップ、パスなど)
orig_action デバイスによる元の (最初の) アクション

その他

フィールド名 説明
count 一部の集計済み数値を保存するために使用 (整数型)
device_product 製品名 (Windows 2012 など)
device_type ファイアウォールまたは IDS で使用される値
device_vendor ベンダ名 (Microsoft など)
generator イベントを生成する基本/インシデント検索名
service サービス名
update ソフトウェア アップデート名
  • この記事は役に立ちましたか?