カスタムログ解析

EventLog Analyzerのカスタムログ解析を利用することで、パーサールールを定義してログから追加のフィールドを抽出できます。この機能により、カスタムログ形式を作成したり、新しく作成されたカスタムログ形式にパーサールールを定義することも可能になります。

カスタムログ形式の作成方法

[設定]タブ → [管理者権限] → [カスタムログ形式]に移動します。
[+ログ形式の追加]をクリックします。
ポップアップ画面が表示されるので、[形式名]にカスタムログ形式の名前を入力します。
[タイプ]からSyslogまたはファイルのインポートを選択します。
カスタムログ形式を作成すると、新しく作成したカスタムログ形式のパーサールールを作成できる画面に移動するオプションを含む通知ボックスが表示されます。作成したカスタムログ形式の[パーサールールの管理]をクリックすることでもパーサールールの作成画面に移動できます。
タイプ（形式タイプ）が「Syslog」のログ形式は、任意のSyslogデバイスに割り当てることができます。Syslogデバイスのログ形式を変更する場合は、[設定]タブ → [ログソースの構成] → [デバイスを管理] → [Syslogデバイス]タブに移動後、Syslogデバイスの[編集]（鉛筆アイコン）をクリックして、[ログソースタイプ]の値を更新します。
タイプ（形式タイプ）が「ファイルのインポート」のログ形式は、ファイルをインポートする際に割り当てることができます。

パーサールールの作成方法

[+パーサールールの追加]をクリックします。
フィールドを抽出する方法は、「Regex（正規表現）」と「区切り文字」の2種類があります。
[ログ]のテキストボックスにログを入力または貼り付けて、[変更内容を保存]をクリックし、抽出するフィールド値を選択します。
パーサールールの[ルール名]と[フィールド名]を指定します。
[自動識別]をクリックすると、一般的なフィールドを認識し、自動的に抽出します。
[+オープン属性を追加]をクリックすると、フィールド名とフィールド値の両方を入力できるため、将来の検索が容易になります。
[生成されたパターン]には、ログからフィールドを抽出する際に使用する正規表現（Regex）パターンが表示されます。
[別のパターンを選択してください]をクリックすると、フィールドを抽出するために生成された別のパターンが表示されます。
[このパターンは次の場合にのみ適用する：]から、パーサールールの適用条件を指定できます。
[このパターンを検証する]をクリックすると、生成されたパターンがフィールドを正しく抽出しているかどうかを確認できます。
[このパターンを検証する]をクリックすると、直近で収集した50行のログで生成されたパターンを検証し、一致するログを表示します。パターンが一致しない場合、ログは一致しないログとして分類されます。パターンが適切にフィールドを抽出していない場合は、[別のパターンを選択してください]をクリックして別のパターンを選択し、再度パターンの検証を試みます。
ルールを保存するには、[パターンを作成する]または[ルールを保存]をクリックします。
メソッドを[区切り文字]に変更してフィールドを抽出することもできます。各単語間の区切り文字をスペース、カンマ、タブ、パイプから指定したり、カスタム区切り文字を入力してフィールドを抽出したりできます。カスタム区切り文字は、単語ではなく記号を入力する必要があります。抽出されたフィールドがログに適している場合は、フィールド名を指定してルールを保存します。
パーサールールを作成したら、パーサールールに関連付けられたフィールドとオープン属性、およびそのルールを無効または有効にするオプションが表示されます。また、必要に応じてパーサールールの編集や削除を行えます。
事前定義されたログ形式のパーサールールを追加する場合は、[設定]タブ → [管理者権限] →[カスタムログ形式] → [事前定義されたログ形式]に移動します。

検索タブからカスタムパーサールールを作成してフィールドを抽出する方法

検索タブから直接追加フィールドを抽出する場合は、各ログの右側にある[追加フィールドの作成]アイコンをクリックします。
ログの詳細が表示されるので、[追加フィールドの抽出]をクリックします。
パーサールールの作成方法の手順でパーサールールを作成します。
作成したパーサールールは、[設定]タブ → [管理者権限] →[カスタムログ形式]から確認できます。

注記：フィールドは、事前定義されたログ形式とカスタムログ形式の両方で抽出できます。抽出方法は、検索タブと設定タブの2つの方法があります。