はじめに
今回の記事では、WinSyslogで受信したログから必要なものだけを抽出する「フィルタ」の設定方法をご紹介します。
WinSyslogでは、SyslogファシリティやSyslogプライオリティ、日時やメッセージなどの各データは、「プロパティ」と呼ばれる変数で保存されています。
そのプロパティを「フィルタ」で指定することで、条件に合致したログに対して特定の処理(アクション)を実行することが可能となります。必要に応じて複数フィルタを組み合わせることも可能です。
※必要のないログを除外する「破棄」アクションの設定については、こちら( #4「破棄」アクション設定)をご覧ください。
フィルタの構成
ルールセットの下にルールを作成すると、ルールの下にフィルタとActionsの行が追加されます。左ツリーで追加されたフィルタをクリックすると、右側ではフィルタの条件の下に AND が表示されています。
デフォルトではフィルタは何も設定されていませんので、すべての受信ログが True(真)となり、フィルタの下に設定したActions、つまりアクションが実行されます。
オペレーションについて
AND はオペレーションの1つで、この状態でフィルタを複数追加すると、AND 条件(すべてが合致)で絞り込みができます。 AND をダブルクリックすると、OR→NOT→XOR→AND の順番でオペレーションの切り替えが可能です。
オペレーションとは各フィルタ(条件)がどのような関係の時に True(真)または False(偽)となるか定義するもので、条件 A と B がある場合、以下の表に記す定義となります。
| 条件 | True(真) | False(偽) |
|---|---|---|
| AND(A,B) | A=○ B=○ | A=○ B=× A=× B=○ A=× B=× |
| OR(A,B) | A=○ B=○ A=○ B=× A=× B=○ | A=× B=× |
| XOR(A,B) | A=○ B=× A=× B=○ | A=○ B=○ A=× B=× |
| NOT A | A=× | A=○ |
フィルタ条件は、オペレーション(AND, OR 等)の下に追加していきます。
この例の場合、
ソース(送信元IP)が192.168.10.1
かつ
メッセージに”Link Down”が含まれているメッセージを受信した場合、
TRUE(真)となり、このルールで指定したアクションが実行されます。
ここで入力するテキストは、大文字小文字を区別しますので、注意が必要です。
フィルタの条件
オペレーションアイコン(AND) 上で右クリック>フィルタの追加>一般>ソース のように、プルダウンメニューからフィルタを追加します。
フィルタ一覧
| プロパティ | 説明 | |
|---|---|---|
| 一般 | ソース | 送信元(IP またはホスト名) |
| ソース(IP タイプ) | 送信元(IP) | |
| メッセージ | メッセージ | |
| CustomerID | 全体オプションで指定 | |
| SystemID | 全体オプションで指定 | |
| 曜日/時間 | 月~日 | 曜日:月~日, 時刻 |
| インフォメーション ユニットタイプ | Syslog | Syslog |
| ハートビート | ハートビート(自分自身の死活監視) | |
| SNMP トラップ | SNMP トラップ | |
| RELP リスナー | RELP 受信 | |
| Syslog | ファシリティ | Syslog Facility |
| プライオリティ | Syslog Severity(Level) | |
| Syslog タグ | Syslog タグ(RFC5424) | |
| Syslog バージョン | Syslog バージョン(RFC5424) | |
| Syslog Appname | Syslog アプリケーション名(RFC5424) | |
| Syslog ProcID | Syslog プロセス ID(RFC5424) | |
| Syslog MSGID | Syslog メッセージ ID(RFC5424) | |
| Syslog Structdata | Syslog 構成ヘッダ(RFC5424) | |
| SNMPトラップ | Community | コミュニティ名 |
| Enterprise | エンタープライズ OID | |
| Generic Name | Generic 名 | |
| Version | バージョン | |
| Uptime | 稼動時間 | |
| カスタムプロパティ | 受信時に挿入したカスタムプロパティ | |
| 拡張 IP プロパティ | >192.168.10.5, <192.168.10.10 等 | |
| ファイル確認 | 指定したファイルの有無 | |
主なフィルタと設定例
全般 > ソース
このフィルタは、ソースをホスト名や IP アドレスで絞込みを行う際に使用します(ホスト名は、DNS キャッシュにより名前解決されます)。
以下の例の場合、ソースのホスト名に「VPN_tokyo」を含むメッセージが True(真)となり、アクションが実行されます。
全般 > ソース(IPタイプ)
ソースをIPアドレスで絞り込む際、比較のオペレーションに比較演算子を使用することができます。
以下の例の場合、送信元が「172.16.0.110 より大きい」かつ「172.16.0.130 より小さい」 IP アドレスのメッセージが True(真)となり、アクションが実行されます。
全般 > メッセージ
このフィルタは、メッセージ本文で絞込みを行う際に使用します。
以下の例の場合、メッセージ本文に「authentication failed」を含むメッセージが True(真)となり、アクションが実行されます。
Syslog > プライオリティ
このフィルタは、Syslogメッセージのプライオリティ(Severity)で絞込みを行う際に使用します。
以下の例の場合、プライオリティが「WARNING(4)」より小さい値(重要度が高い)メッセージが True(真)となり、アクションが実行されます。
高度な設定
すべてのフィルタでは、高度な設定タブで、フィルタ条件に合致した場合、合致結果をカスタムプロパティに保存することが可能です。 さらに、そのプロパティをアクションで使用することができます。
複雑なフィルタ条件
ブーリアン演算子を利用して複雑なフィルタを構成することが可能です。
以下に例を挙げます。
例
「時間は、18:00:00より後に発生」
かつ「ソースは” VPN_tokyo” または ” VPN_osaka”」
かつ「メッセージ本文に“authentication failed”」 を満たすイベントログ この条件をフィルタで設定すると以下のようになります。
参考情報
- Syslogサーバー設定の基本情報
https://www.jtc-i.co.jp/product/winsyslog/syslog-server.html - WinSyslogアクション一覧
https://www.jtc-i.co.jp/product/winsyslog/action.html - WinSyslogプロパティリスト(挿⼊可能な変数)
https://www.jtc-i.co.jp/support/documents/tips/winsyslog_propertylist.pdf
製品情報・お問い合わせ
WinSyslogの製品情報はこちらをご覧ください。
評価版では30日間すべての機能をお試しいただけます。
