ログ・ソース拡張

拡張文書により、特定のログ・ソースのエレメントを構文解析する方法を拡張したり変更したりすることができます。 拡張文書を使用して、構文解析の問題を修正したり、既存の DSM からのイベントに対するデフォルトの構文解析をオーバーライドしたりすることができます。

拡張文書は、ネットワーク内のアプライアンスまたはセキュリティー・デバイスのイベントを解析する DSM が存在しないときにイベントのサポートを提供することもできます。

拡張文書は Extensible Markup Language (XML) 形式の文書であり、一般的な任意のテキスト・エディター、コード・エディター、またはマークアップ・エディターを使用して作成したり編集したりすることができます。 複数の拡張文書を作成できますが、1 つのログ・ソースに適用できる拡張文書は 1 つだけです。

XML 形式では、すべての正規表現パターンを文字データ (CDATA) セクションに記述して、正規表現に必要な特殊文字がマークアップ書式に干渉しないようにする必要があります。 例として、プロトコルを検出するための正規表現を以下のコードに示します。

<pattern id="ProtocolPattern" case-insensitive="true" xmlns=""> <![CDATA[(TCP|UDP|ICMP|GRE)]]></pattern>

(TCP|UDP|ICMP|GRE) は正規表現パターンです。

ログ・ソース拡張の構成は、以下のセクションから構成されます。

パターン
特定のフィールド名に関連付ける正規表現パターン。 パターンは、ログ・ソース拡張ファイル内で何度も参照されます。
比較グループ
構文解析される比較グループ内のエンティティー (EventName など)。構文解析のために適切なパターンおよびグループと組み合わせます。 拡張文書には任意の数の比較グループを記述できます。