管理ガイドマッピングおよび解析メッセージ解析ファイルを作成する方法 › 事前一致フィルタの作成

前のトピック: グローバル フィールドの追加

次のトピック: 解析フィルタの作成

事前一致フィルタの作成

事前一致フィルタを作成することで、解析するイベント情報の検索結果を XMP ファイルが絞り込む際の効率を向上させることができます。 事前一致フィルタによって選択済みテキスト文字列が識別され、イベントの選択プロセスが絞り込まれます。その後、解析フィルタによってイベントの選択プロセスが完了します。 解析ファイルが「じょうご」だとすれば、事前一致フィルタは入り口側、解析フィルタは出口側に相当します。

事前一致フィルタが完全であるほど、解析プロセスの効率は向上します。 これは、事前一致カテゴリによって絞り込むことで、イベントの解析に必要な処理負荷が軽減されるためです。

たとえば、アクセス試行イベントを解析する場合は、「login」というテキストを検索する事前一致フィルタを作成し、適切な解析フィルタをその事前一致フィルタに追加します。

注: 事前一致フィルタを削除すると、関連付けられている解析フィルタや各種のフィルタも削除されます。

事前一致フィルタの作成方法

  1. [解析ファイル]ウィザードを開き、「一致と解析」の手順に進みます。

    ウィザードの[事前一致フィルタ]リストに、既存の事前一致フィルタがすべて表示されます。 各フィルタの横には、サンプル イベントへの事前一致数が丸かっこで囲まれて表示されます。

  2. [事前一致フィルタ]リスト上部の[事前一致文字列の追加]をクリックするか、編集する事前一致文字列を選択します。

    注: 事前一致フィルタを選択するには、[検索]フィールドに事前一致文字列の最初のいくつかの文字を入力します。 入力した文字列に一致する事前一致文字列がすべて表示されます。 検索結果として表示されている事前一致文字列では、上下矢印を使用して事前一致文字列を移動することはできません

  3. [事前一致文字列]エントリ フィールドにフィルタが検索するテキストを入力します。

    入力したテキストに一致するすべてのサンプル イベントがすぐに表示され、検出および解析された一致イベント数も併せて表示されます。

  4. (オプション)一致しないサンプル イベントもすべて表示するには、[一致しないイベントに基づいて事前一致文字列を追加]をクリックします。

    現在一致していないすべてのサンプル イベントが、新しい事前一致フィルタを作成する際に参照しやすいように、[イベント]領域に表示されます。

  5. (オプション)必要に応じて、さらに事前一致フィルタを追加または編集します。
  6. [事前一致フィルタ]リストの横の上矢印/下矢印を使用して、解析プロセスで事前一致を検索する順序を設定します。 より多くのイベントと一致する事前一致フィルタが優先順位リストの上位に来るよう設定すると、解析プロセスの効率を向上させることができます。
  7. 該当する矢印をクリックして次に完了するウィザード手順に進むか、[保存して閉じる]をクリックします。

    [保存して閉じる]をクリックした場合、新しいファイルが[解析ファイル ユーザ]フォルダに表示されます。それ以外の場合は、選択した手順が表示されます。