参照:フォーマットの種類

CEF

コモンイベントフォーマット(CEF) はHP ArcSightのデフォルト形式です。CEFを定義すると デバイスベンダー、製品とバージョン、製品名、バージョン、ソース、およびエントリ終了区切り文字などの高度な設定を含めることができます。区切り文字には、次のようなエスケープ文字を使用できます:\t (タブ)、\n (改行)、および \r (キャリッジリターン)。送信先に渡す列を選択します。一部のフィールドでは、次の参照リストのとおり、変数の置換もサポートしています。参照:変数を参照してください。

デフォルト送信先:HP ArcSight

CSV

カンマ区切り値。出力に列見出しを含めるかどうかを選択します。送信先に渡す列を選択します。

デフォルト送信先:AWS S3、ファイル、ServiceNow

区切り文字で区切られた値

区切り文字で区切られた値の形式を作成するには、区切り文字に使用する文字を入力します。単一の文字に加えて、次のようなエスケープ文字を使用できます:\t (タブ)、\n (改行)、および \r (キャリッジリターン)。送信先に渡す列を選択します。

Elasticsearch

送信先としてElasticsearchが選択されている場合、有効なフォーマットはElasticsearchのみです。保存されたQuestionが送信元で選択されている場合は、[Advanced Settings (高度な設定)]を展開して、[Group columns by sensor (センサーによる列のグループ化)]を選択して単純な値の種類ではなくオブジェクトの配列として結果を返すことができます。このオプションで列をカスタマイズすることはできません。送信先に渡す列を選択します。詳細については、Elasticsearch送信先の作成を参照してください。

デフォルト送信先:Elasticsearch

HTML

出力に列見出しを含めるかどうかを選択します。送信先に渡す列を選択します。

デフォルト送信先:電子メール

JSON

JavaScript Object Notation(JSON)は軽量のデータ交換フォーマットです。保存されたQuestionが送信元で選択されている場合は、[Group columns by sensor (センサーによる列のグループ化)]を選択して、単純な値の種類ではなくオブジェクトの配列として結果を返すことができます。このオプションで列をカスタマイズすることはできません。個々のエントリ間を区切る行区切り文字を指定できます。単一の文字に加えて、次のようなエスケープ文字を使用できます:\t (タブ)、\n (改行)、および \r (キャリッジリターン)。送信先に渡す列を選択します。

デフォルト送信先:HTTP

LEEF

ログイベント拡張フォーマット(LEEF) は IBM QRadar、LogRhythm、およびMcAfee SIEMの場合のデフォルトの形式です。宛先のLEEF形式を定義するとき、LEEFバージョン、製品名、バージョン、ソース、およびエントリ終了区切り文字などの高度な設定を含めることができます。 単一の文字に加えて、次のようなエスケープ文字を使用できます:\t (タブ)、\n (改行)、および \r (キャリッジリターン)。一部のフィールドでは、次の参照リストのとおり、変数の置換もサポートしています。参照:変数を参照してください。

デフォルト送信先: IBM QRadar、LogRhythm、およびMcAfee SIEM

SQL Server

データをSQL Serverにエクスポートするときは、ソースからデータベース表の列にマップすることができます。詳細については、SQL Serverの宛先の構成を参照してください。

syslog (非推奨)

メッセージロギング基準。施設コード、重要度、メッセージ識別子、区切り文字を含むSyslogメッセージコンポーネントを定義できます。区切り文字には、次のようなエスケープ文字を使用できます:\t (タブ)、\n (改行)、および \r (キャリッジリターン)。送信先に渡す列を選択します。一部のフィールドでは、次の参照リストのとおり、変数の置換もサポートしています。参照:変数を参照してください。

Syslog RFC 5424

メッセージロギング基準。施設コード、重要度、メッセージ識別子、区切り文字を含むSyslogメッセージコンポーネントを定義できます。区切り文字には、次のようなエスケープ文字を使用できます:\t (タブ)、\n (改行)、および \r (キャリッジリターン)。送信元が保存されたQuestionの場合は、Questionの送信元を出力に送信するかどうかを選択することもできます。新しい接続のデフォルトは、Questionの送信元を送信することです。送信先に渡す列を選択します。一部のフィールドでは、次の参照リストのとおり、変数の置換もサポートしています。参照:変数を参照してください。

デフォルト送信先:ソケットレシーバ、Splunk

最終更新:2019/06/0418:43| フィードバック

Powered by Translations.com GlobalLink OneLink Software