ログ収集フィルター

EventLog Analyzerでは、ログ収集フィルターを設定することで、必要なログのみを収集/管理できます。

ログ収集フィルターを作成する手順

  1. [設定]タブ → [管理者権限] → [データベースフィルター]へ移動します。
  2. [+新しいフィルターの追加]をクリックします。
  3. [フィルター名]に、一意のフィルター名を入力します。
  4. [ログ形式を選択]から以下のいずれかのログ形式を選択します。
    • Windowsログ
    • Syslog
    • IBM AS/400ログ
    • アプリケーションログ
    • クラウドソース
  5. [デバイスを選択]の右端の[+]をクリックします。
  6. 表示されるポップアップ画面にて、フィルターを適用するデバイスまたはデバイスグループのチェックボックスにチェックを入れ、[追加]をクリックします。
    add-new-filter-1
  7. [フィルター条件]にて、以下のいずれかのアクションを選択します。
    • 除外する:フィルター条件に合致するログを除外します。
    • 次の事項のみ収集:フィルター条件に合致するログのみを収集します。

    注記:1つのフィルターでは、1つのアクションのみを実行できます。同じデバイスまたはデバイスグループに対して除外フィルターと収集フィルターの両方を設定したい場合は、それぞれ個別のフィルターを作成する必要があります。

  8. フィルター条件を設定します。
    add-new-filter-2

    注記[+]をクリックすることで、ANDまたはORなどの条件演算子を使用して複数のフィルター条件を設定できます。また、[+グループを追加]をクリックすることで、複数のフィルターをグループ化し、条件演算子(ANDまたはOR)で組み合わせることで、高レベルのフィルターを作成することもできます。

  9. [追加]をクリックします。

ログ収集フィルターの表示と管理

[ログ収集フィルター]画面には、作成したすべてのフィルターが表示されます。また、各アイコンをクリックすることで、フィルターを有効化/無効化、編集、または削除できます。

注記:デフォルトのフィルターは削除できないため、不要な場合は無効化してください。

[構成されたデバイス/グループ]列では、フィルターに関連付けられているデバイスのリストを確認できます。また、複数のフィルターを選択して、三点リーダーからフィルターをエクスポートおよびインポートすることもできます。

edit-delete-filter

注記:ログ収集フィルターを適用できるソースのリストは、以下のとおりです。


  • Windowsログ
  • IBM/400ログ
  • Syslog:Unix、Cisco、SonicWall、Juniper、PaloAlto、Fortinet、CheckPoint Device、NetScreen、WatchGuard、Sophos、Brracuda、Huawei、Meraki、HP、Syslog、PfSense、FirePower、F5、Stormshield、Dell、ForcePoint、Topsec、Sangfor
  • アプリケーション:Sysmon、IISサーバー(イベントビューアーのログのみ)、Oracle、ターミナル、プリンター、MSSQLサーバー(イベントビューアーのログのみ)、Syslogアプリケーション
  • クラウドソース:AWS、Salesforce