管理ガイド › マッピングおよび解析 › データ マッピング ファイルを作成する方法 › 直接マッピングの設定

直接マッピングの設定

直接マッピングは、ネイティブ イベントと単一の精製済みイベント値を 1 対 1 対応で設定します。 そのため、直接マッピングは、デフォルト値のほか、一般的な値でも ideal_model フィールドのようにめったに変化しないものに対してのみ使用することをお勧めします。

マッピングに設定できる精製済みイベント値の定義は、以下のとおりです。

テキスト値

特定の CEG フィールド用の特定のテキストを設定します。 適切なイベントがマッピングされるたびに、この値が表示されます。 たとえば、CEG ideal_model フィールドを「ファイアウォール」に設定すると、そのマッピングを含むすべてのルールで、ideal_model フィールドに「ファイアウォール」と表示されます。

フィールド値

特定の CEG フィールドまたは解析済みフィールドに含まれる、元のイベント フィールドの内容を設定します。 フィールド値は、ドル記号「$」を前に付けることでテキスト値と区別します。 たとえば、CEG event_logname フィールドを「$ ログ」に設定すると、ネイティブ イベントの［ログ］フィールドに表示されるすべてのテキストがマップ済みイベントに表示されます。

直接マッピングの設定方法

1. マッピング ファイル ウィザードを開き、名前を入力し、マッピング ファイル用のログ名を選択して、［直接マッピング］の手順に進みます。

   ［直接マッピング］画面が表示され、現在のマッピングまたはデフォルト マッピングが表示されます。 ［名前］列に CEG フィールド名または解析済みフィールド名が表示されます。 ［値］列にテキスト値またはフィールド値のどちらかが表示されます。

   注： 解析済みフィールド値を表示するには、［サンプル イベントの利用］の手順で解析ファイルを選択してください。

2. ［直接マッピングの追加］をクリックして新しいマッピング エントリを表の下部に追加して選択するか、現在の直接マッピングを選択して編集します。

   そのフィールド用の直接マッピングがあれば、［マッピングの詳細］領域に表示されます。

3. 使用可能であれば、［フィールド］ドロップダウン メニューからマッピング先の CEG フィールドまたは解析済みイベント フィールドを選択します。 入力し始めると、オートコンプリート機能によって、使用可能な CEG フィールドのリストが絞り込まれます。
4. ［値の追加］エントリ フィールドに新しい値を入力し、その横にある［直接マッピングの追加］をクリックします。 値の前に「$」を入力すると、テキスト値ではなくフィールド値を表します。

   ［選択されたフィールド］領域に値が表示されます。

5. （オプション）1 つのフィールドに複数の直接マッピングを入力し、上矢印や下矢印を使用して、DM ファイルがマッピング分析する順序を設定することができます。 精製済みイベントには、DM ファイルによって最後に検出された直接マッピングが表示されます。

   注： 複数の値を追加するとマッピングのパフォーマンスが低下するため、この機能の使用は控えめにしてください。

6. （オプション）シャトル コントロールを使用して、不要な値を［使用可能なフィールド］領域に移動し、現在のマッピング用として分析されないようにします。
7. 必要な直接マッピングをすべて追加したら、適切な矢印をクリックして次に実行するウィザード手順に進むか、［保存して閉じる］をクリックします。

［保存して閉じる］をクリックすると、新規ファイルが［マッピング ファイル］ユーザ フォルダに表示されます。それ以外の場合は、選択した手順が表示されます。