Sumo Logic では、フィールについて以下の命名規則を推奨しています。このベスト プラクティスは、FER (Field Extraction Rules)、検索、およびダッシュボードを使用するデプロイ全体に渡ってフィールド名を標準化し、フィールドを名前で認識しやすくすると共に、検索のパフォーマンスも高めます。
たとえば、Source IP 用に FER を作成しておけば、複数の Source に渡って Source IP のカウントが必要になったときには、すべての Source で同じフィールド名を使用しているため、簡単にカウントできます。クエリでは、次のように簡単に指定できます。
| count by src_ip
標準的なフィールド命名規則を使用することの別の利点は、この命名規則を使用して Sumo Logic アプリケーションが作成されるということです。同じ規則を使用することで、Sumo Logic アプリケーションで事前に設定済みの検索やダッシュボードとフィールド名を合わせることができます。
標準フィールドですべての命名規則を使用できない場合は、少なくとも以下についてはフィールド命名規則を使用することをお勧めします。
- Source ホスト
- 転送先ホスト
- IP アドレス
- ユーザ
Source 情報
| フィールド名 |
説明 |
| src_host |
Source ホスト (名前または IP) |
| src_interface |
Source インターフェイス |
| src_ip |
Source IP |
| src_port |
Source ポート (文字列型) |
| src_user |
Source ユーザ名 |
| src_zone |
Source ゾーン (ほとんどはファイアウォール メッセージ用) |
転送先情報
| フィールド名 |
説明 |
| dest_host |
転送先ホスト (名前または IP) |
| dest_ip |
転送先 IP |
| dest_port |
転送先ポート (文字列型) |
| dest_user |
転送先ユーザ名 |
| dest_zone |
転送先ゾーン (ほとんどはファイアウォール メッセージ用) |
| ユーザ |
追加の転送先ユーザ名 (下位互換性用) |
レポート デバイス
| フィールド名 |
説明 |
| reporting_device |
レポート デバイス (ファイアウォール、ルータ、スイッチなど) のホスト名 |
| reporting_device_ip |
レポート デバイスの IP アドレス |
ネットワーク情報
| フィールド名 |
説明 |
| bytes |
送受信されるバイト数 |
| bytes_recv |
受信バイト数 |
| bytes_sent |
送信バイト数 |
IDS
| フィールド名 |
説明 |
| application |
Application (アプリケーション) |
| カテゴリ |
脅威カテゴリ (ウィルス、トロイの木馬など) |
| threat |
脅威名 (virus など) |
| vulnerability |
脆弱性 |
アンチウイルス
| フィールド名 |
説明 |
| application |
Application (アプリケーション) |
| カテゴリ |
脅威カテゴリ (ウィルス、トロイの木馬など) |
| threat |
脅威名 (virus など) |
| vulnerability |
脆弱性 |
アクション
| フィールド名 |
説明 |
| action |
デバイスによる最終アクション (ファイアウォールによるブロック、ドロップ、パスなど) |
| orig_action |
デバイスによる元の (最初の) アクション |
その他
| フィールド名 |
説明 |
| count |
一部の集計済み数値を保存するために使用 (整数型) |
| device_product |
製品名 (Windows 2012 など) |
| device_type |
ファイアウォールまたは IDS で使用される値 |
| device_vendor |
ベンダ名 (Microsoft など) |
| generator |
イベントを生成する基本/インシデント検索名 |
| service |
サービス名 |
| update |
ソフトウェア アップデート名 |
