WinSyslog 使い方ガイド#4 処理の必要がないログを絞り込んで「破棄」する

はじめに

今回の記事では、処理する必要のないログを対象から外すための「破棄」アクションの設定方法をご紹介します。

WinSyslog のデフォルト設定では、すべての受信ログを処理します。

除外したいイベントがある場合は、フィルタでイベントの条件を指定し、「破棄」アクションと組み合わせることで、条件に一致したログが処理されないようになります。

注意

「破棄」アクションが実行されると、以降に定義されているルールのアクションは実行されません。

メッセージをすべての処理対象から除外したい場合

フィルタ条件に指定したメッセージをあらかじめすべての処理対象から除外したい場合は、以下の手順でルールを設定します。

ルールを作成する

①DefaultRuleSet 上で右クリック>ルールを作成 を選択し、新しいルールを作成します。

②表示される「Add Rule」ウィンドウ上で次のように設定します。
※ここでの設定は後回しにしても問題ありません。

  1. 任意のルール名(例:”破棄”)を入力
  2. ルール作成後…>「選択したアクションにルールを作成の」ラジオボタンを選択
  3. 内部アクション>「破棄」にチェックを入れます。>OK

③左ペインに②で作成されたルール「破棄」をクリックし、「上へ」ボタンでDefaultRuleSet の最上位に移動します。

ヒント

破棄アクションは、上記のようにあらかじめすべての処理対象から除外したい場合以外に、各ルールのアクションの最後に追加することで、処理済みログとして下位のルールでは処理対象から除外したい場合にも使用できます。

④左ペインで「フィルタ」をクリックし、フィルタ条件を設定します。
複数のログを破棄したい場合は、デフォルトで設定されている[AND]ではなく、演算子[OR]を使います。右ペインのフィルタの条件で、オペレータ[AND]をダブルクリックし、[OR]条件に切り替えます。

フィルタを追加

処理から除外したい条件を追加していきます。
ここでは、メッセージ中に特定のキーワードが含まれる場合を例にあげて説明します。

①[OR]上で右クリック>一般>メッセージ を選択します。

②[OR]の下に追加された[EVAL]をクリックし、下段のタブエリアでメッセージ内に含まれるキーワードを設定します。

  • 比較のオペレーション: contains(含む)を選択
  • プロパティ値を設定: 例: aaa と入力

複数のキーワードを処理から除外(破棄)したい場合は、上記の動作を繰り返します。

以下の場合、”aaa” “bbb” “ccc” のいずれかが含まれるメッセージすべてが破棄対象となります。

[保存]ボタンをクリックして、追加・変更した設定を反映させます。

下位のルールにおいて処理済みログとして処理対象から除外したい場合

複数のルールを設定している環境において、上位ルールで処理されたメッセージを下位のルールで処理対象から除外したい場合は、以下の手順で「破棄」アクションを追加します。

①ルールの[Actions]上で右クリック>アクションを作成>破棄 を選択します。

②アクションの最下部に破棄アクションが追加されたことを確認し、[保存]ボタンをクリックして設定を反映させます。

参考情報

製品情報・お問い合わせ

WinSyslogの製品情報はこちらをご覧ください。
評価版では30日間すべての機能をお試しいただけます。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

JTC IT用語集
TOP