|
|
|
集約ルールは、ネイティブ イベントが精製済みイベントでどのように表示されるかを制御します。 [フィールド別に集約]および[集計したフィールド]を選択して、集約表示を設定します。
集約ルール表示の設定方法
集約される情報をグループ化する際に使用するフィールドを 1 つまたは複数選択します。 たとえば、ログインの失敗を集約するルールの場合は、source_username を選択すれば、一意のユーザごとに、条件に一致するログイン失敗イベントの数が表示されます。 ルールを完成させるには、1 つ以上の[フィールド別に集約]フィールドを選択する必要があります。
[フィールド別に集約]によって集約された情報を分割する際に使用するフィールドを 1 つまたは複数選択します。 たとえば、ログインの失敗を集約するルールの場合は、[フィールド別に集約]で source_username を選択し、[集計したフィールド]として dest_hostname を選択します。 この表示では、一意のユーザごとに、条件に一致するログイン失敗イベントの数が、ログインを試みたホスト別に分けて表示されます。
集計したフィールドの情報は、集約されたイベントの元のイベント フィールドに保持されます。 前述の例では、ユーザがログインを試みた一意のホストが、それぞれ発生数と共に hostname1:2,hostname2:5 という形式で保存されます。 この例では、ホスト 1 に対する 2 回の試行とホスト 2 に対する 5 回の試行を表しています。
集計したフィールドは任意です。ルールを完成させるのに、集計したフィールドを選択する必要はありません。
[保存して閉じる]をクリックすると、新規ルールがリストに表示されます。それ以外の場合は、選択した手順が表示されます。
新しくルールを作成すると、バージョン 1.0 として保存されます。 後でこのルールを編集すると、新しいルールを保存するたびに新バージョンとして保存されます。 以前のバージョンを表示し、必要に応じて適用したりコピーしたりすることができます。
| Copyright © 2010 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |