ファイル定義の作成

非限定ログファイルを監視する場合はこの章を読み飛ばして下さい。 

限定ログファイルが事前設定されたパターンに従う為、EventSentry 内部の限定ログファイルのレイア ウトを反映させる必要があります。これにより EventSentry がデータベースで情報を統合する時、ログフ ァイルの構文解析と分割の方法が判ります。 一度ログファイル定義が作成されると、単一または複数 ログファイルに適応されます。（次章をご参照下さい） 

限定ログファイル監視の利点として、ログファイル内の有効フィールドに基づく検索とレポート作成が実 行可能になります。 例えば、IIS ログファイルを監視すると、最も頻度の高いリモート IP アドレスのログ をレポートで確認することが出来るようになります。 

既存ファイル定義の編集や新規作成するには、Log File Packages コンテナーを右クリック、Files and  Files Types を選択します。Log File Definitions エリアにより、現時点での設定済みのファイル定義の表 示と新しい定義の追加が可能になります。 

      47 

  新しい定義を追加するには、Log File Definition ダイアログで表示された Add ボタンをクリックします。こ のリスト上の定義をダブルクリックして既存の定義を編集できます。このダイアログは 2 つのメインセク ション- General と Mappings -に別けられます。両方共必須です。 

General  

オプション  説明解説 例 

name 定義の名称 

Firewall  log 

Line Separator  Unix/Linux マシン上のファイルを直接監視する場合を除き、 

Windows にこのオプションを設定して下さい。 

Windows 

      48  Field Delimiter    ログファイル内のフィールドを分割する記号  ： 

Comments Start 

With  特定の記号で始まる行は無視 ＃ 

Ignore following  characters 

ここで指定された全記号は分析される前に最新の行から除外されま す。 

（）[] 

Mapping 

マッピングセクションではログファイルの構造がどのようなものであるか、EventSentry に伝えることがで きます。これにより EventSentry は正確に構文解析できます。 また個別フィールドを個々のデータ種類 にマッピングできます。ダイアログ内の多数のフィールドと混同しないで下さい。 この章ではスクラッチ から新しいマッピングを作成する方法を説明します。 

スクラッチからの新しいファイル定義作成は少しばかり時間が掛かります。 ですが、ログファイルのレ イアウトを変更しない限り、繰り返し（作業）が要らない、一度きりの処理です。 

テンプレート使用 

ファイル定義がすでに Load from template セクションに記載されている場合、プルダウンリストから定 義を選択することをお勧めいたします。次に Load をクリックしてマッピングを事前記入します。 一度マ ッピングが表示されると、監視対象のログファイルと比較します。テンプレートファイルからのマッピング はファイル内容物（コンテンツ）に一致するか、ご確認下さい。特定のアプリケーションにはデフォルトロ グフォーマットが付いています。 このフォーマットはカスタム化が可能です。デフォルトフォーマットを改 変した場合、マッピングの適応が重要になります。 

最善の方法でログファイルのマッピングを行うには、MicrosoftExcel や OpenOffice calc.等の分割シート アプリケーションでログファイルを開きます。これによりファイルからフィールドへ変換できます。 また、

確認し易いように、各行を分割して個別フィールドに入れます。 利用可能な分割シートアプリケーショ ンが無い場合、Notepad のようなテキストエディタでログファイルを開くこともできます。 

ログファイル内の有効フィールドの構図が明確な場合、個別フィールドの配置方法を決定開始して下さ い。左側から開始します。各フィールドごとに、以下のステップを実行します。 

フィールドの解説を決める。 

フィールド種類を配置。有効なデータ型データベースの内 1 つへ。 

1.フィールド解説 

フィールド解説を指定することで、EventSentry ウェブレポートを通したログフィル分析の手助けになりま す。デフォルトの解説 Field XX をそのまま残すよりも、判りやすいフィールド名を入力します。例えば

ソース IP や 転送バイト など。この情報は検索結果やレポートに表示されます。ログファイルのヘッ ダ、またはログファイルを作成したアプリケーションから上記の情報を検索できます。 

      49   

2.データ型データベースへの配置 

フィールド解説を入力した後、フィールド内容物をデータ型へ配置できます。以下の表をご確認下さい。

どのデータベース方が利用可能かご確認できます。 各型に対して限られた数のフィールドに限り有効 です。ご注意下さい。 たとえば、一度でもデータ型 Integer（整数型）[#1] をフィールドに使用すると、2 度と使用する事はできません。次回フィールドを整数型で配置する場合、 Integer（整数型）[#2] を使 用しなければなりません。 

以下の表をご参照下さい。またどの型が使用可能かご確認下さい。 

 最長文字数  最大

Usage  Count

Best Use 

対象外 n/a 無限 対象外フィールド 

整数型  0 -       8 

 2147483647  ナンバーフィールドに使用  テキスト（最大 32 文

字）  32 文字 4  短い文字列に使用。ログファイル行の特徴 

テキスト（最大 512 文

字）  512 文字 4  中程度文字列に使用。ログファイル行の特徴 

テキスト（最大 1024

文字）  1024 文字 2  長文の文字列に使用。ログファイル行の特徴  Lookup Text  1024 文字  8  どのような文字列にも使用。ログファイル全体を再

表示し続けます  テキストとルックアップテキストの選択 

対象外 や 整数型 フィールド型を選択する場合は分かりやすいのですが、テキストタイプのデータ 型を テキスト… または ルックアップテキスト を使用する場合、上記のように明白ではありません。 

以下のルールをご利用下さい： 

ログファイル全体を通してテキストフィールドを表示したままにする場合、（例えばファイアーウォールロ グファイル内のＩＰアドレス）、データタイプ ルックアップテキスト を利用します。 

この種類のテキストは中央ルックアップテーブルに一度だけ保存されます。 データベース容量を節約 し、フィールド毎のレポート結果をグループ化できます。例えばフィールドがＩＰアドレスでファイアーウォ ールログファイルからの内部ホストだとします。これによりレポートが閲覧可能になります。このレポート はファイアーウォールによりログ（記録）されたコンピュータからの行数を表示します。 

      50  もう一方で、殆ど全ての行においてもフィールドのテキストが重複しない場合、（例えば、日付やタイム スタンプ）、テキストを通常テキストタイプで割り当てるのがベストです。数百万回も変わる数値をルック アップテーブルで記載する必然性は無いからです。