メインコンテンツまでスキップ
Sumo Logic Japanese

インデックスへの保存

作成した Scheduled Search は、インデックスに保存することができます。こうすることで、_index=index_name を使用してデータを後で検索することにより、検索のパフォーマンスを高めることができます。

たとえば、以下のクエリを使用して Linux システムへのログインの成功メッセージを検索し、Scheduled Search のインデックスに保存アラート タイプを使用して結果をインデックスに保存できます。

_sourceCategory=OS/Linux* ("su:" or "sudo:" or "sshd:" or "sshd[" or "pam:") (("Accepted" and "pam") or "session" or ("to" and "on")) !"closed"
| parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<dest_host>\S*)\s(?:\w*):\s+(?<message>.*)$" nodrop
| parse regex "\S*\s+\d+\s+\d+:\d+:\d+\s(?<dest_host>\S*)\s(?:\S*)\[\d+\]:\s+(?<message>.*)$" nodrop
| parse "session * for user * by *(uid=" as (action,dest_user,src_user) nodrop
| parse regex "session (?<action>\w*) for user (?<dest_user>\S*)" nodrop
| parse "Accepted keyboard-interactive/pam for * from * port * *" as (dest_user,src_host,src_port,protocol)
| parse "rhost=* " as src_host nodrop
| where dest_user!="" | "Login/Success" as classification | "Low" as Severity | "Linux" as Device_Vendor | "OS" as Device_Type

インデックスには内容が分かりやすく、覚えやすい名前を付けてください。名前には、英数文字とアンダースコア (_) のみを使用できます。他の特殊文字は使用できません。

Scheduled View を作成すべきか、インデックスに保存を使用すべきかの判断

使用事例で Scheduled View を使用できるのであれば、Scheduled View の方が多くの保護機能や管理機能があるので、ほとんどの場合には Scheduled View を使用した方がよいでしょう。Scheduled View では使用できない operator を検索クエリで使用する必要がある場合は、Scheduled Search 結果をインデックスに保存します。

制限事項

  • インデックスに保存を使用すると、Collector のメタデータ フィールド (_collector など) が削除されます。 
  • ロール フィルタが機能しない場合があります。フィルタがインデックスに存在しない (または _collector のように変更された) フィールドに依存している場合は機能しません。
  • 保存できる結果の上限は 512 件です。

Scheduled Search 結果のインデックスとしての保存

  1. 検索を保存します。 
  2. [Schedule this Search (この検索をスケジュールする)] をクリックします。
    SaveToIndex.png
  3. 設定オプションのすべてについては、「検索のスケジュール」を参照してください。 
  4. Alert Type (アラート タイプ)[Save to Index (インデックスへの保存)] を選択します。
  5. Index Name (インデックス名)。クエリのデータを検索する際に使用する名前です。内容が分かりやすく、覚えやすい名前を付けてください。名前には、英数文字とアンダースコア (_) のみを使用できます。他の特殊文字は使用できません。
  6. [Save (保存)] をクリックします。

Scheduled Search をインデックスとして保存した後は、Scheduled Search をキャンセルまたは編集できますが、インデックスを削除することはできません。 

  • この記事は役に立ちましたか?