WinSyslog 使い方ガイド#3 受信したログを任意の条件でフィルタする

はじめに

今回の記事では、WinSyslogで受信したログから必要なものだけを抽出する「フィルタ」の設定方法をご紹介します。

WinSyslogでは、SyslogファシリティやSyslogプライオリティ、日時やメッセージなどの各データは、「プロパティ」と呼ばれる変数で保存されています。

そのプロパティを「フィルタ」で指定することで、条件に合致したログに対して特定の処理(アクション)を実行することが可能となります。必要に応じて複数フィルタを組み合わせることも可能です。
※必要のないログを除外する「破棄」アクションの設定については、こちら( #4「破棄」アクション設定)をご覧ください。

フィルタの構成

ルールセットの下にルールを作成すると、ルールの下にフィルタとActionsの行が追加されます。左ツリーで追加されたフィルタをクリックすると、右側ではフィルタの条件の下に AND が表示されています。

デフォルトではフィルタは何も設定されていませんので、すべての受信ログが True(真)となり、フィルタの下に設定したActions、つまりアクションが実行されます。

オペレーションについて

AND はオペレーションの1つで、この状態でフィルタを複数追加すると、AND 条件(すべてが合致)で絞り込みができます。 AND をダブルクリックすると、OR→NOT→XOR→AND の順番でオペレーションの切り替えが可能です。

オペレーションとは各フィルタ(条件)がどのような関係の時に True(真)または False(偽)となるか定義するもので、条件 A と B がある場合、以下の表に記す定義となります。

条件True(真)False(偽)
AND(A,B)A=○ B=○A=○ B=×
A=× B=○
A=× B=×
OR(A,B)A=○ B=○
A=○ B=×
A=× B=○
A=× B=×
XOR(A,B)A=○ B=×
A=× B=○
A=○ B=○
A=× B=×
NOT AA=×A=○

フィルタ条件は、オペレーション(AND, OR 等)の下に追加していきます。

この例の場合、
ソース(送信元IP)が192.168.10.1
かつ
メッセージに”Link Down”が含まれているメッセージを受信した場合、
TRUE(真)となり、このルールで指定したアクションが実行されます。

注意

ここで入力するテキストは、大文字小文字を区別しますので、注意が必要です。

フィルタの条件

オペレーションアイコン(AND) 上で右クリック>フィルタの追加>一般>ソース のように、プルダウンメニューからフィルタを追加します。

フィルタ一覧

プロパティ説明
一般ソース送信元(IP またはホスト名)
ソース(IP タイプ)送信元(IP)
メッセージメッセージ
CustomerID全体オプションで指定
SystemID全体オプションで指定
曜日/時間月~日曜日:月~日, 時刻
インフォメーション
ユニットタイプ
SyslogSyslog
ハートビートハートビート(自分自身の死活監視)
SNMP トラップSNMP トラップ
RELP リスナーRELP 受信
SyslogファシリティSyslog Facility
プライオリティSyslog Severity(Level)
Syslog タグSyslog タグ(RFC5424)
Syslog バージョンSyslog バージョン(RFC5424)
Syslog AppnameSyslog アプリケーション名(RFC5424)
Syslog ProcIDSyslog プロセス ID(RFC5424)
Syslog MSGIDSyslog メッセージ ID(RFC5424)
Syslog StructdataSyslog 構成ヘッダ(RFC5424)
SNMPトラップCommunityコミュニティ名
Enterpriseエンタープライズ OID
Generic NameGeneric 名
Versionバージョン
Uptime稼動時間
カスタムプロパティ受信時に挿入したカスタムプロパティ
拡張 IP プロパティ>192.168.10.5, <192.168.10.10 等
ファイル確認指定したファイルの有無

主なフィルタと設定例

全般 > ソース

このフィルタは、ソースをホスト名や IP アドレスで絞込みを行う際に使用します(ホスト名は、DNS キャッシュにより名前解決されます)。
以下の例の場合、ソースのホスト名に「VPN_tokyo」を含むメッセージが True(真)となり、アクションが実行されます。

全般 > ソース(IPタイプ)

ソースをIPアドレスで絞り込む際、比較のオペレーションに比較演算子を使用することができます。
以下の例の場合、送信元が「172.16.0.110 より大きい」かつ「172.16.0.130 より小さい」 IP アドレスのメッセージが True(真)となり、アクションが実行されます。

全般 > メッセージ

このフィルタは、メッセージ本文で絞込みを行う際に使用します。
以下の例の場合、メッセージ本文に「authentication failed」を含むメッセージが True(真)となり、アクションが実行されます。

Syslog > プライオリティ

このフィルタは、Syslogメッセージのプライオリティ(Severity)で絞込みを行う際に使用します。
以下の例の場合、プライオリティが「WARNING(4)」より小さい値(重要度が高い)メッセージが True(真)となり、アクションが実行されます。

高度な設定

すべてのフィルタでは、高度な設定タブで、フィルタ条件に合致した場合、合致結果をカスタムプロパティに保存することが可能です。 さらに、そのプロパティをアクションで使用することができます。

複雑なフィルタ条件

ブーリアン演算子を利用して複雑なフィルタを構成することが可能です。

以下に例を挙げます。


「時間は、18:00:00より後に発生」
かつ「ソースは” VPN_tokyo” または ” VPN_osaka”」
かつ「メッセージ本文に“authentication failed”」 を満たすイベントログ この条件をフィルタで設定すると以下のようになります。

参考情報

製品情報・お問い合わせ

WinSyslogの製品情報はこちらをご覧ください。
評価版では30日間すべての機能をお試しいただけます。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP