管理ガイドマッピングおよび解析データ マッピング ファイルを作成する方法 › 条件付きマッピングの設定

前のトピック: concat 関数マッピングの設定

次のトピック: ブロック マッピングの設定

条件付きマッピングの設定

条件付きマッピングでは、CEG フィールドが可能性のあるさまざまな結果にリンクされ、特定のフィールド用にデフォルトや条件値を設定することができます。 たとえば、条件付きマッピングを使用して、成功値や失敗値をマッピングしたり、イベント ソースを名前やグループで識別したりすることができます。

条件付きマッピングによって、特定の CEG フィールドに、デフォルト値と 1 つ以上の条件値が割り当てられます。 条件値ごとに条件を設定できます。 イベントが条件と一致すると、選択されたフィールドに適切な条件値が割り当てられます。 一致しない場合は、精製済みイベント フィールドにデフォルト値が表示されます。

重複した条件付きマッピングがある場合、DM ファイルでは最初に検出されたものが使用され、それ以上の分析は行われません。 パフォーマンスを向上させるために、一般的な条件を最初に定義してください。

注: スタンドアロンの条件付きマッピングは、ブロック マッピングより遅くなります。 必要な場合は、単独で使用することをお勧めします。

条件付きマッピングの設定方法

  1. マッピング ファイル ウィザードを開き、名前を入力し、マッピング ファイル用のログ名を選択して、[条件付きマッピング]の手順に進みます。

    [条件付きマッピング]画面が表示され、現在のデフォルト マッピングが表示されます。 [フィールド]列に CEG フィールド名または解析済みフィールド名が、[値]列に現在のデフォルト値が表示されます。

    注: 解析済みフィールド値を表示するには、[ファイル詳細の指定]の手順で解析ファイルを選択してください。

  2. [条件付きフィールド マッピング]リストで[条件付きマッピングの追加]をクリックし、新しい行を選択します。

    [マッピングの詳細]ペインが表示され、[フィールド]ドロップダウン リストおよび[値]シャトル コントロールが表示されます。

  3. [フィールド]メニューからマッピング先の CEG フィールドを選択します。 入力し始めると、オートコンプリート機能によって、使用可能な CEG フィールドのリストが絞り込まれます。
  4. [値の追加]エントリ フィールドに必要なデフォルト マッピングを入力し、[値の追加]をクリックして、[選択されたフィールド]ペインに表示します。 不要な値を削除するには、[使用可能なフィールド]ペインにそれらを移動します。
  5. [条件値]リストの[条件値の追加]をクリックします。

    新しい値が表示されます。

  6. [新しい値]のテキストを選択して強調表示し、名前を変更します。

    新しい名前がリストに表示され、フィルタ ダイアログ ボックスが[詳細]ペインに表示されます。

  7. 条件値を定義するフィルタを作成します。 たとえば、1 つ以上のフィルタを作成して、event_source_address フィールドを IP アドレスにリンクし、地理的なグループなど、ビジネス グループに属するイベント ソースを特定することができます。
  8. 必要な条件付きマッピングをすべて追加したら、適切な矢印をクリックして次に実行するウィザード手順に進むか、[保存して閉じる]をクリックします。

    [保存して閉じる]をクリックすると、新規ファイルが[マッピング ファイル]ユーザ フォルダに表示されます。それ以外の場合は、選択した手順が表示されます。

詳細情報:

詳細フィルタの使用