ルール/フィルタ/アクションの定義可能数
受信データに対してフィルタを定義し、フィルタ条件に合致した場合には、アクションを実行します。1つのルールには、フィルタディレクトリとアクションディレクトリが1個ずつあり、各ディレクトリの下に各要素を最大10個まで設定できます。フィルタディレクトリ下に複数個のフィルタが定義されている場合には、全てのフィルタが条件に合致した場合にアクションを実行します。また、アクションディレクトリ下に複数個のアクションが定義されている場合には、全てのアクションを一回ずつ実行します。
ルール自体は最大10個まで設定できます。設定できるルール、フィルタ、アクションの数は以下の数となります。ルール:最大10個
フィルタ:最大10個/ルール
アクション:最大10個/ルール
定義の有効/無効
ルール/フィルタ/アクションのそれぞれにはチェックボックスが付いており、チェックすると有効、チェックをはずすと無効になります。ディレクトリのチェックボックスは、ディレクトリ配下の全てに対しての指定とみなされます。
フィルタディレクトリのチェックボックスがチェックされていないと、アクションディレクトリのチェックボックスがチェックされていてもアクションは実行されません。
また、フィルタが一個も定義されていなくても、フィルタディレクトリのチェックボックスがチェックされている場合には、アクション実行の対象となります。すなわち、アクションが定義されておりチェックが有効ならば、データを受信するたびにアクションを実行することになりますので、ご注意ください。
定義情報の参照
ツリー上のルール名等をクリックすると右のタブ領域に定義されている情報が表示されます。
ルール追加
ルールを追加するには、ツリーのルート(一番上の『ルール』)をクリックしてください。ルール追加タブが表示されますので、ルール名を指定し、追加ボタンをクリックしてください。ツリーに指定した名前のルールのディレクトリが作成されます。このディレクトリの下には、『フィルタ』と言う名前のディレクトリ(フィルタディレクトリ)と『アクション』という名前のディレクトリ(アクションディレクトリ)が自動的に作成されます。フィルタおよびアクションはそれぞれのディレクトリの下に定義します。このディレクトリ名は変更できません。
インターバル
アクションが短時間に大量に実行されることを防ぐためにアクションの実行間隔を設定することができます。
全体
ルール全体で次にアクションを実行するまでの間隔を指定します。例えば、複数のルールを設定している場合には、あるルールのアクションが実行されると、ここで指定した間隔が経過するまでは、どのルールのアクションも実行されません。デフォルトは30分です。指定できる値は、最小値は0分、最大値は120分です。0分を指定した場合、アクションは常に実行されます。
個別
個々のルールに対して、次にアクションを実行するまでの間隔を指定します。例えば、Aという名前のルールに対して設定している場合には、ルールAのアクションが実行されると、ここで指定した間隔が経過するまでは、ルールAのアクションは実行されません。他のルールのアクションには影響を与えません。デフォルトは30分です。指定できる値は、最小値は0分、最大値は120分です。0分を指定した場合、アクションは常に実行されます。
ルール名の変更/ルールの削除
ルール名の変更
ルール名のディレクトリ上でクリックするとルール名がテキストフィールドに表示されます。ルール名を変更したい場合には、修正後、更新ボタンをクリックしてください。
ルールの削除
ルール名のディレクトリ上でクリックするとルール名がテキストフィールドに表示されます。ルールを削除したい場合には、削除ボタンをクリックしてください。
フィルタの追加
フィルタディレクトリをクリックするとフィルタ名テキストフィールドが表示されます。フィルタ名、条件とフィルタタイプごとの項目を設定し、追加ボタンをクリックしてください。フィルタディレクトリの下に、指定した名前のフィルタが作成されます。
条件
「OR」または「AND」を選択できます。
ORの場合には各フィルタ項目のいずれかの条件に合致した場合にアクションが実行されます。また、「フィルタ」の名前が青色で表示されます。
ANDの場合には各フィルタ項目のすべての条件が一致した場合にアクションが実行されます。
フィルタの削除/更新
フィルタをクリックするとフィルタ名と定義されているフィルタ内容が表示されます。削除する場合には、削除ボタンをクリックしてください。ツリー上から削除されます。更新する場合には、内容を変更後、更新ボタンをクリックしてください。
フィルタタイプ
ここで指定した条件に等しい場合に真とみなし、アクションを実行します。フィルタが複数個定義されている場合には、全てのフィルタが真の場合にアクションが実行されます。
プライオリティ
3つのリストボックスから項目を選択し、組み合わせることによってフィルタ定義します。
種別
プライオリティ、ファシリティ、セビリティの3つから選択します。
式
>(より大きい)、>=(以上)、=(等しい)、<=(以下)、<(より小さい)、!=(等しくない)の6つから選択します。
値
種別に対応したコード値を設定します。
IPアドレス
フィルタの対象となるIPアドレスを指定します。
範囲指定
開始IPアドレスから終了IPアドレスまでの範囲のIPアドレスをフィルタ対象とします。指定した範囲に含まれるかどうかを含む/含まないで指定できます。
個別指定
1個だけ指定したい場合に指定します。指定したIPアドレスと等しいか等しくないかを含む/含まないで指定できます。
ネットワーク指定したIPアドレスと送信元IPアドレスに対して、ネットマスクとの論理的なANDを行い、同じ値であるかどうかを判定します。同じ値かどうかを含む/含まないで指定できます。
ホスト名
指定したホスト名が送信元のホスト名と等しい/等しくないを指定します。
Content
指定したContentを受信したデータ中に含む/含まないを指定できます。また、チェック時に大文字/小文字の区別を行うかどうかの指定もできます。
しきい値
『受信する』の場合
指定時間間隔中に指定したデータ数を受信した場合に真とみなします。例えば、通常ではありえない受信数を受信したとき、機器の異常やDoS攻撃などを受けていると解釈したい場合などに有効です。
『受信しない』の場合
指定時間間隔中に指定したデータ数を受信しなかった場合に真とみなします。例えば、長時間にわたって何もデータを受信しない場合には、機器の故障の可能性があると解釈したい場合などに有効です。
アクションの追加
アクションディレクトリをクリックするとアクション名がテキストフィールドに表示されます。アクション名とアクションタイプごとの項目を設定し、追加ボタンをクリックしてください。アクションディレクトリの下に、指定した名前のアクションが作成されます。
アクションの削除/更新
アクションをクリックするとアクション名と定義されているアクション内容が表示されます。削除する場合には、削除ボタンをクリックしてください。ツリー上から削除されます。更新する場合には、内容を変更後、更新ボタンをクリックしてください。
アクションタイプ
ダイアログ表示
ダイアログを表示します。
メッセージ
ダイアログに表示する任意のメッセージを定義できます。メッセージ中にパラメータを指定している場合には、パラメータに対応したSLRの情報をダイアログに表示させることができます。
パラメータには以下を指定できます。パラメータを複数指定する時には、パラメータ間に空白を入れてください。パラメータ以外の文字列は無視されます。また、『$』自体を表示させたい場合には、『$$』と2文字続けて記述してください。
情報
パラメータの記述形式
全て $ALL 受信時間 $RECVTIME ベンダー名 $VENDOR 機種名 $DEVICE 表示名 $ALIAS ホスト名 $HOSTNAME IPアドレス $IP プライオリティ $PRIORITY ファシリティ $FACILITY セビリティ $SEVERITY 発生時刻 $TIMESTAMP Tag $TAG Content $CONTENT
メール送信
メールを送信します。
SMTPサーバ名
メールサーバ名を指定します。
送信者名
任意の名前を指定してください。
送信元
送信するためのクライアントのメールアドレスを指定します。
宛先
相手のメールアドレスを指定します。
表題
表題(Subject)を記述してください。
ファイル
指定したファイルの内容をメール本文に展開します。ファイル中にパラメータが記述されている場合には、対応したSLRの情報をメール本文に展開します。パラメータの内容は以下を指定できます。パラメータを複数指定する時には、パラメータ間に空白を入れてください。パラメータ以外の文字列は無視されます。また、『$』自体を表示させたい場合には、『$$』と2文字続けて記述してください。
情報
パラメータの記述形式
全て $ALL 受信時間 $RECVTIME ベンダー名 $VENDOR 機種名 $DEVICE 表示名 $ALIAS ホスト名 $HOSTNAME IPアドレス $IP プライオリティ $PRIORITY ファシリティ $FACILITY セビリティ $SEVERITY 発生時刻 $TIMESTAMP Tag $TAG Content $CONTENT
テスト送信
ボタンをクリックすると設定内容に従って実際にメールを送信します。
外部コマンド
外部コマンドを起動します。
外部コマンドのパス
外部コマンド(アプリケーション)のある場所をフルパスで指定します。
パラメータ
外部コマンド起動時に渡すパラメータを指定します。指定した文字列がそのままパラメータとして渡されますが、"$IP"を指定した場合にのみIPアドレスに変換されて渡されます。パラメータを複数指定する時には、パラメータ間に空白を入れてください。
テスト実行
ボタンをクリックすると設定内容に従って実際に外部コマンドを起動します。
