ファイル・フォワーダー・ログ・ソースの構成オプション

この参照情報を使用して、ファイル・フォワーダー・ログ・ソース用の WinCollect プラグインを構成します。

このプラグインに固有ではないパラメーターも構成する必要があります。 File Forwarder プラグインをユニバーサル DSM と一緒に使用すると、Windows ホストから多くのタイプのログをポーリングできます。

表 1. ファイル・フォワーダーのプロトコル・パラメーター
パラメーター 説明
ログ・ソース・タイプ ユニバーサル DSM
プロトコル構成 「WinCollect 「ファイル・フォワーダー」を選択します。
ローカル・システム

ログ・ソースのリモート・イベント収集を無効にします。 ログ・ソースは、ローカル・システムの資格情報を使用してイベントを収集し、 QRadar®に転送します。
ルート・ディレクトリー

QRadarに転送するログ・ファイルの場所。

WinCollect エージェントがリモートでファイルをポーリングする場合は、ログ・ファイルのサーバーとフォルダーの両方の場所をルート・ログ・ディレクトリーで指定する必要があります。
例: \\server\sharedfolder\remotelogs¥
ファイル名パターン ファイル名をフィルターに掛けるために必要な正規表現 (regex)。 パターンに一致するすべてのファイル・タイプが処理対象となります。 デフォルトのファイル・パターンは .* です。 このパターンはルート・ディレクトリー内のすべてのファイルと一致します。
モニター・アルゴリズム

「継続的モニター (Continuous Monitoring)」オプションは、データをログ・ファイルに追加するファイル・システムを対象としています。

「ファイル・ドロップ (File Drop)」オプションは、1 回読み取られた後は無視される、ルート・ログ・ディレクトリー内のログ・ファイルに使用します。
今日作成されたファイルのみモニター (Only Monitor Files Created Today) デフォルトでは有効になっています。 現在の日より前のファイルをモニターするには、このオプションをクリアします。
ファイル・モニター・タイプ

「通知ベース (ローカル) (Notification-based (local))」 オプションは、Windows ファイル・システム通知を使用して、イベント・ログの変更を検出します。

「ポーリング・ベース (リモート) (Polling-based (remote))」オプションは、リモートのファイルおよびディレクトリーの変更をモニターします。 エージェントは、リモート・イベント・ログをポーリングし、そのファイルを前回のポーリング間隔と比較します。 イベント・ログに新しいイベントが記録されている場合は、イベント・ログを取得します。
ファイル・リーダー・タイプ

「テキスト (ファイルを開いたまま保持) (Text (file held open))」オプションを選択すると、イベント・ログを生成するシステムは、常にファイルを開いたままにして、ファイルの終わりにイベントを追加します。

「テキスト (読み取り時にファイルを開く) (Text (file open when reading))」オプションを選択すると、イベント・ログを生成するシステムは、前回の既知の位置からイベント・ログを開いてイベントを書き込んだ後、イベント・ログを閉じます。

「メモリー・マップ・テキスト (ローカルのみ) (Memory Mapped Text (local only))」オプションは、IBM Professional Services からアドバイスがあった場合にのみ選択してください。 このオプションは、イベント・ログを生成するシステムがイベント・ログ末尾の変更をポーリングする場合に使用します。 このオプションを使用する場合は、「ローカル・システム (Local System)」チェック・ボックスも選択する必要があります。
ファイル・リーダーのエンコード

BOM を含まないファイルを UTF8 に変換する場合は、「ANSI」を選択します。 ファイルが既に UTF8 形式で変換が不要の場合は、「UTF8」を選択します。
ファイル・パーサー・タイプ ファイルは、単一行 (Single Line) または複数行 (Multi Line) という 2 つの方法で構文解析できます。
単一行 (Single Line)
ファイルを構文解析し、行ごとにイベントを作成します。
複数行 (Multi Line)
XML ファイルを構文解析し、指定された開始トークンが構文解析された時点から、次回、指定された開始トークンが構文解析された時点までの、複数行からなるイベントを作成します。
注: 複数行構文解析は現在、XML ファイル・タイプのみをサポートしています。
複数行の「Starts With (次で始まる)」正規表現トークン (Multi Line "Starts With" Regex Token) 複数行ファイル・パーサー・タイプには、「Starts With (次で始まる)」トークンが必要です。 「Starts With (次で始まる)」トークンは、複数行イベントの開始行となる行の先頭からのあらゆる文字を識別するために必要とされる正規表現でなければなりません。 文字の前にある類似の空白文字が原因でイベントが結合されてしまうようなことがないように、また「Starts With (次で始まる)」トークンが検出されないことが原因でファイルがまったく構文解析されないようなことがないように、できるだけ正確な正規表現にすることが重要です。
複数行パーサー・タイプの XML ファイルの例

XML ファイルが確実に構文解析され、すべての <event> ノードに対してイベントが生成されるようにするには、「\s*<event>」という複数行「Starts With (次で始まる)」トークンを使用します。


<EventList>
    <event>
        <timeStamp=10101010101 payload=example1>
    </event>
    <event>
        <timeStamp=10101010102 payload=example2>
    </event>
    <event>
        <timeStamp=10101010103 payload=example3>
    </event>
    <event>
        <timeStamp=10101010104 payload=example4>
    </event>
</EventList>
この複数行ファイル・パーサーは、 個別の単一行イベントを 14 個生成するのではなく、4 つの個別イベントを生成します。 作成される最初のイベントに対するペイロード・メッセージは、次の例のようになります。
<event> <timeStamp=10101010101 payload=example1> </event>
注: 複数行の「次で始まる」トークン " <event>" も機能します。ただし、タブとスペースは同じように見え、異なるようにコーディングすることができます。 両方のタイプの空白をカバーするため、「\s*<event>」を使用することをお勧めします。