テナントのイベントソース設定

イベントソースの設定は、［Settings］ →［ Event sources］ページで管理できます。このページにアクセスするには、Data management モードに切り替える必要があります。

［Settings］ →［ Event sources］ページ

Kaspersky CyberTrace では、イベントソースごとに正規表現とイベント正規化ルールがグループ化されます。特定のイベントソースに関連しない正規表現とイベント正規化ルールは、default イベントソースの下にグループ化されます。default イベントソースのすべての正規表現が、新しいイベントソースにコピーされます。各イベントソースには、少なくとも 1 つの正規表現が必要です。default 以外のイベントソースは追加や削除が可能で、プロパティを編集することもできます。default 以外のイベントソースを削除することもできます。

［Event sources］ページには、Kaspersky CyberTrace サービスの設定情報ファイルで定義されているすべてのイベントソースが表示されます。

イベントソースの追加

イベントソースを追加するには：

1. ［Add event source］をクリックします。

   「Add event source」ウィザードが起動されます。

   

   「Add event source」ウィザード。ステップ 1

2. 新しいイベントソースの次の設定を定義します：
   • Source ID

     イベントソースの名前。使用されているイベントソース名の中で一意でなければなりません。名前には次の文字が使用できます： アルファベット、数字、ハイフン（「-」）、ピリオド（「.」）、アンダースコア（「_」）。

   • Type

     次のいずれかを選択できます：

     • IP address

       解析ルールを追加するイベントを発行するデバイスの IP アドレス。

       IPv4 アドレスと IPv6 アドレスの両方がサポートされます。

     • Host name

       イベントを発行するデバイスのホスト名。

       この値は、このイベントソースから受信する Syslog メッセージの HOSTNAME フィールドの値と同じでなければなりません。

     • Regular expression

       Kaspersky CyberTrace が受信したイベントのソースと一致する正規表現。この正規表現は最適化されている必要があります。

3. ［Next］をクリックします。

   前のステップで入力されたデータが正しい場合、正規表現とイベント正規化ルールを指定するフォームが開きます（以下の「イベントソースプロパティの編集フォーム」サブセクションを参照してください）。

   default イベントソースのすべての正規表現が、新しいイベントソースにコピーされます。Kaspersky CyberTrace は、コピーされた正規表現を使用して、受信したイベントからのデータ取得を試行します。ウィザードのウィンドウにデータが表示されるまで、しばらくの間イベントの収集を続けることを推奨します。

   

   「Add event source」ウィザード。ステップ 2

4. ウィザードのウィンドウのデータに基づいて、正規表現とイベント正規化ルールを指定し、［Add］をクリックします。

   正規化ルールの場合は、［Apply normalization rules］スイッチを有効にします。そうしないと、正規化ルールは新しいイベントソースに関連付けられません。

入力されたイベントソースのプロパティが正しい場合、新しいイベントソースが作成されます。

イベントソースの編集

イベントソースを編集するには、次のいずれかを実行します：

• イベントソースの主な設定（名前、タイプ、値）を編集するには、［Event sources］ページで変更します。

  Default のイベントソースの主な設定を編集することはできません。

• イベントソースに定義されているイベント正規化ルールと正規表現を編集するには、必要なイベントソースに隣接する （［Edit］）をクリックします。いずれの場合も、イベントソースプロパティを編集するためのフォームが開きます（以下の「イベントソースプロパティの編集フォーム」サブセクションを参照してください）。

イベントソースプロパティの編集フォーム

イベントソースプロパティ（イベント正規化ルールと正規表現）を編集するためのフォームには、上部領域と下部領域があります。上部のエリアにはイベントが表示され、選択した正規表現によって抽出された部分文字列が強調表示されます。下部のエリアには、［Normalization rules］タブと［Regular expressions］タブという 2 つのタブがあります。

イベントソースプロパティの編集フォームが開くと、イベントソースによって発行されたイベントの収集が開始されます。これらのイベントは正規化ルールに従って処理され、結果はフォームの上部エリアに表示されます。

イベントソースのホスト名を指定しても、受信イベントの HOSTNAME フィールドを抽出できないと、イベントは表示されません。この問題を解決するには、イベントソースの IP アドレスまたは正規表現を指定するか、イベントの形式を変更します。

受信イベントのリアルタイムでの収集は中断または再開できます。受信イベントの収集を再開すると、イベントを表示するテキストボックスの内容が消去されます。このテキストボックスには最大で 100 行表示できます。それ以上のデータを受信すると、古いデータが削除されます。

イベント正規化ルールの指定

イベントソースのプロパティの編集フォームの下部エリアで［Normalization rules］タブを選択すると、イベントソースの条件を満たす受信イベントに適用される正規化ルールを追加、削除、または編集できます。どの文字列を他の文字列に置換するのか（置換ルール）と、どの文字列を無視するイベントの識別に使用するのか（無視ルール）を指定できます。［Apply normalization rules］スイッチを無効にすると、正規化ルールを指定するための制御がすべて無効化され、編集中のイベントソースで正規化ルールが保存されません。

置換ルールでは、改行文字（\n）を指定しないでください。結合された受信イベントを個々のイベントに分割するには、Kaspersky CyberTrace サービス設定情報ファイルの［InputSettings］→［EventDelimiter］要素を使用します。

作成中のイベントソースでは、当初は［Normalization rules］タブの下のフォームに、default イベントソースに指定された正規化ルールが挿入されています。

正規表現の指定

イベントソースプロパティの編集フォームの下部エリアで［Regular expressions］タブを選択すると、イベントソースの条件を満たす受信イベントに適用される正規表現を追加、削除、または編集できます。作成中のイベントソースでは、当初は［Regular expressions］タブの下のフォームに、default イベントソースに指定され、表示されているイベントから少なくとも一部のデータを抽出する正規表現が挿入されています。

正規表現には次のプロパティがあります：

• インジケータータイプ

  イベントから抽出するデータのタイプ。次のいずれかのインジケータータイプを設定できます：

  • URL
  • MD5
  • SHA1
  • SHA256
  • HASH
  • IP
  • DOMAIN
  • CONTEXT
• 正規表現名

  正規表現名は、同じイベントソースに関連する正規表現名の中で一意でなければなりません。

• 正規表現

  イベントから必要な値を抽出するために使用される正規表現。

• ［Extract all］チェックボックス

  このチェックボックスをオンにすると、正規表現は最初に一致した値のみを抽出します。このチェックボックスをオフにすると、正規表現は一致するすべての値を抽出します。

• 連結ルール

  抽出したデータの様々な部分を 1 つの値に連結する方法を指定できます（複合値の詳細を確認してください）。

  

  正規表現とそのプロパティの設定

イベントソースに指定した正規表現と一致する値を強調表示できます。強調表示したい正規表現を含むテキストボックスの内部をクリックします。

イベントソースの削除

イベントソースを削除するには：

1. 削除するユーザーに隣接する （［Delete］）をクリックします。
2. 開いた確認ウィンドウで、［Delete］をクリックします。

削除されたイベントソースは、イベントソースのリストに表示されなくなります。

ページのトップに戻る