管理ガイドマッピングおよび解析メッセージ解析ファイルを作成する方法 › 解析フィルタの作成

前のトピック: 事前一致フィルタの作成

次のトピック: 動的解析

解析フィルタの作成

解析フィルタを作成して、XMP ファイルによるイベント データの解析方法を定義できます。 各解析フィルタには、事前一致フィルタが関連付けられています。 解析プロセスによって、事前一致文字列が検出された後、その事前一致に関連付けられた各解析フィルタを使用して、指定された情報が検出されます。 解析プロセスは、最初に一致したものを返します。

メッセージ解析ウィザードの[一致と解析]の手順にある[解析フィルタの追加]ボタンをクリックすると、解析ファイル フィルタ ウィザードが開始します。 効果的な解析フィルタを作成するには、正規表現構文について十分に理解しておく必要があります。

解析フィルタの作成方法

  1. 解析ファイル フィルタ ウィザードを開き、[フィルタの詳細]ページにフィルタ名および任意で説明を入力します。
  2. [新規追加]をクリックして、フィルタによって解析されるすべてのイベントに表示する静的フィールド値を追加します。

    静的フィールド行が表示され、[新しいフィールド]セルおよび[新しい値]セルが表示されます。

  3. [新しいフィールド]セルおよび[新しいフィールド]セルにエントリを入力します。 オート コンプリート機能によって、[新しいフィールド]セルへの入力と共に使用可能な CEG フィールド名が絞り込まれ、選択肢メニューが表示されます。
  4. (オプション)必要に応じて手順 2 ~ 3 を繰り返し、静的フィールド値を追加します。
  5. [正規表現]の手順に進みます。

    [解析表現のテスト]画面が表示され、現在の正規表現が表示されます。 正規表現のすぐ下に、[イベント]ペインがあります。 以前にサンプル イベントをロードしていれば、この領域に 1 つ以上のサンプル イベントが表示されます。 正規表現を作成すると、ウィザードによって、その正規表現に対してこれらのイベントをテストできます。

  6. [ライブラリに対してトークンを追加または削除します]をクリックして、現在のフィルタで使用するために追加できる事前定義済み正規表現のリストを表示します。 追加するトークンを選択し、[OK]をクリックして、[解析トークン]リストに追加します。
  7. (オプション)[新しい正規表現トークン]をクリックして、解析トークンを作成し、[トークンの詳細]ペインに正規表現構文を入力します。 現在の環境用のカスタム表現が作成されます。 [解析トークン]ペインの一番上の[選択したトークンをライブラリに追加します]をクリックして、カスタム トークンをローカル ライブラリに追加できます。

    注: 新しい日時トークンを作成する場合、「日時の値として処理する」チェック ボックスをオンにして、時間の値を解析する際の形式を入力してください。 この値は表示形式には影響しません。

  8. [正規表現]エントリ フィールドにフィルタ用の正規表現文を追加します。 [解析トークン]リストから表現をドラッグ アンド ドロップできます。 [正規表現]エントリ フィールドで、表現を直接入力および編集することもできます。

    注: [解析トークン]リストでトークンを選択すると、[トークンの詳細]ペインにその正規表現構文が表示されます。 特定のルールの解析トークン マッピングを表示して、ほかの解析ルールで再度利用することができます。

  9. (オプション)表示するキー ペアがターゲット イベントに含まれている場合は、[動的な名前/値のペア]チェック ボックスをオンにしてください。 詳細については、「動的な解析」を参照してください。
  10. (オプション)動的な解析を使用する場合は、動的なペア エントリ フィールドに動的な解析表現を入力してください。 たとえば、以下のように入力します。 
    (_PAIR_KEY_) = (_PAIR_VALUE_) ;

    ペア内部が等号で区切られ、ペアどうしがセミコロンで分割されて表示されます。 表現を追加すれば、ペアを別の形式で表示することができます。 詳細については、「動的な解析」を参照してください。

  11. [イベント]ペインおよび[解析されたイベント]ペインを使用して、ファイルによるサンプル イベントの解析方法をプレビューします。 解析フィルタ正規表現を変更すると、サンプル イベントの解析された部分が青いテキストで強調表示され、動的に解析されたペアが緑色で表示されます。 解析の有効性を検証できます。
  12. (オプション)[イベント]ペイン下の[戻る]矢印および[進む]矢印を使用して、使用可能なサンプル イベント間を移動し、追加テストを行うサンプル イベントを切り替えます。
  13. 正規表現に問題がなければ、[保存して閉じる]をクリックします。 [リセット]を使用すると、正規表現を最初の状態に戻すことができます。

    解析ファイル フィルタ ウィザードが閉じ、解析ファイル ウィザードの[一致と解析]の手順に戻ります。

詳細情報:

動的解析

解析トークン

ライブラリへのカスタム トークンの追加