差分
このページの2つのバージョン間の差分を表示します。
両方とも前のリビジョン 前のリビジョン 次のリビジョン | 前のリビジョン | ||
ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 12:54] – [イベントアラート内のルール] junichi | ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 13:41] (現在) – [マクロ一覧] junichi | ||
---|---|---|---|
行 912: | 行 912: | ||
<wrap #ks12_4 /> | <wrap #ks12_4 /> | ||
- | ===== アラート相関: | + | ==== イベントアラート内での発報 |
- | <WRAP center round tip 60%> | + | In this section you must configure the actions to be performed when the alert is triggered and indicate at what intervals and how often this action will be executed. |
- | Version NG 741 or higher. | + | このセクションでは、アラートが発報されたときに実行されるアクションを設定し、このアクションが実行される間隔と頻度を指定する必要があります。 |
- | </WRAP> | + | * <wrap en:> |
+ | * <wrap en:> | ||
- | <WRAP center round tip 60%> | + | * <wrap ja:>**アクション(Actions)**</ |
+ | * <wrap ja:> | ||
- | バージョン NG 741 以上 | + | Once the above parameters have been selected, press the <wrap : |
- | </WRAP> | + | 上記のパラメータを選択したら、< |
- | Alerts can be built based on the events received or on the data collected with the [[: | + | <wrap #ks12_5 /> |
- | 受信したイベントまたは[[: | + | ==== イベントアラートのマクロ === |
- | This type of alerts allows working from a much more flexible perspective, | + | The macros that can be used within |
- | このタイプのアラートでは、特定のモジュールの状態に応じてアラートが生成されるだけでなく、異なるエージェントの複数の異なるモジュールによって生成されたイベントに基づいてアラートを生成できるため、かなり柔軟な設定ができます。 | + | イベントアラートの設定内で使用できるマクロは、[[# |
- | Event alerts and/or logs are based on filter rules that use the following logical operators: | + | <wrap #ks13 /> |
- | イベントアラートやログは、次の論理演算子を使用するフィルタルールに基づいています。 | + | ===== ログアラート |
- | | + | <wrap :en>**Management → Alerts → Log Alerts**</ |
- | | + | |
- | | + | |
- | | + | |
- | * '' | + | |
- | * '' | + | |
- | These logical operators are used to search for events/expressions in logs that match the configured filter rules, and if matches are found, the alert will be triggered. | + | <wrap : |
- | これらの論理演算子は、設定されたフィルタルールに一致するログ内のイベント/ | + | Alerts can be built based [[: |
- | <WRAP center round important 60%> | + | アラートは、[[: |
- | When defining | + | This type of alerts |
- | </ | + | このタイプのアラートでは、アラートが特定のモジュールのステータスに基づいて生成されるのではなく、複数の異なるモジュールや異なるエージェントによって生成された可能性のあるログに基づいて生成されるため、より柔軟な観点からの作業が可能になります。 |
- | <WRAP center round important 60%> | + | Each log alert is configured to trigger on a certain type of event; when the logical equation defined by the rules and their operators is met, the alert will be triggered. |
- | イベントに関するアラートを定義する場合、**agent**、**module**、および **event** パラメータを指定することが重要です。 | + | 各ログアラートは、特定の種類のイベントで発報されるように設定されています。ルールとその演算子によって定義された論理式が満たされると、アラートが発報されます。 |
- | </WRAP> | + | < |
- | They also use the templates to define some parameters, such as the days on which the alert will work; however, in this case **the templates do not determine when the event alert is fired**, it is through | + | Given the high number of logs that can be stored in Pandora FMS, the server works on a maximum |
- | また、アラートが動作する日などのいくつかのパラメーターを定義したテンプレートを利用します。 ただし、この場合、テンプレートは**イベントアラートがいつ発報されるかを定義しません**。フィルタールールを介して一致するイベントが検索され、対応するアラートが発報されます。 | + | </ |
- | <WRAP center round tip 60%> | + | <WRAP center round tip 90%> |
- | Given the high number of events that the Pandora FMS database can host, the server works on a maximum event window, which is defined in the '' | + | Pandora FMS データベースが保持できるログが多いため、サーバは最大ログウィンドウ(パラメータ [[: |
</ | </ | ||
- | <WRAP center round tip 60%> | + | <wrap #ks13_1 /> |
- | Pandora FMS データベースに保存できるイベントの数が多い場合、サーバは、'' | + | ==== ログアラートの作成 |
- | </WRAP> | + | < |
- | < | + | For the log alerts to work, the [[: |
- | ==== 相関アラートの作成 ==== | + | </ |
- | <WRAP center round important | + | <WRAP center round important |
- | <WRAP center round important 80%> イベント相関アラートが機能するためには、Pandora FMS サーバ設定ファイルのパラメーター | + | ログアラートが機能するには、Pandora FMS サーバ設定ファイルで '' |
- | <wrap # | + | </WRAP> |
- | === 相関アラート | + | <wrap : |
- | Menu **Management → Alerts → Alert correlation**. | + | <wrap :ja>**管理(Management) → アラート(Alerts) → ログアラート(Log Alerts)**</ |
- | メニュー | + | With the <wrap :en>**Create**</ |
- | In this overview, you will have the list of registered correlation alerts and the information about them, as well as options such as operating with the action disabled, in **standby** mode, adding more actions, editing or deleting the correlated alert. | + | <wrap :ja>**作成(Create)**</ |
- | この概要には、登録済みの相関アラートとそれらに関する情報のリストが表示されるほか、**スタンバイ**モードでアクションを無効化、アクション追、相関アラートの編集または削除などのオプションも表示されます。 | + | |
+ | * Step 2, <wrap : | ||
- | With the **Create** | + | |
+ | * ステップ 2、< | ||
- | **作成(Create)** ボタンで、新しい相関アラートが追加されます。この処理は [[# | + | When there are two or more log alerts, they are evaluated one by one following the chronological order of creation and, if necessary, establishing a hierarchy. |
- | * **Rule evaluation mode**: It can be **Pass** or **Drop**. The first means that, in case an event matches an alert, the rest of the alerts continue to be evaluated. **Drop** means that if an event matches an alert, the rest of the alerts are not evaluated. | + | ログアラートが 2 つ以上ある場合は、作成日時順に 1 つずつ評価され、必要に応じて階層が確立されます。 |
- | * **Group by**: Allows you to group the rules by Agent, Module, alert or group. For example, if a rule is configured to trigger when two critical events are received and is grouped by Agent, two critical events must arrive from the same Agent. It can be disabled. | + | |
- | * **ルール評価モード(Rule evaluation mode)**: **通過(Pass)** と**破棄(Drop)** の 2つのオプションがあります。" | + | Each log alert has two specific configuration parameters for this purpose: |
- | * **グループごと(Group by)**: エージェント、モジュール、アラート、またはグループごとにルールをグループ化できます。 例えば。 2つの障害イベントを受信したときにルールがオフになるように設定され、エージェントによってグループ化されている場合、2つの障害イベントが同じエージェントから送信される必要があります。 これは無効にできます。 | + | |
- | <WRAP center round important 90%> | + | 各ログアラートには、この目的のための 2 つの特定の構成パラメータがあります。 |
- | In case of alerts | + | * <wrap : |
+ | * <wrap : | ||
+ | |||
+ | * <wrap : | ||
+ | * <wrap : | ||
<WRAP center round important 90%> | <WRAP center round important 90%> | ||
- | ログルールを含むアラートの場合、エージェントによるグループ化にのみ影響します。 別のグループ化を選択した場合、**ログベースのエントリのアラートは決して一致しません** 。 | + | For alerts containing //logs// rules, only the grouping by Agent will be affected. If you choose a different grouping, |
</ | </ | ||
- | Each rule is configured to trigger based on a certain type of event or // | + | <WRAP center round important 90%> |
- | 各ルールは、特定のタイプのイベントまたはログの一致により動くように設定されます。 ルールまたはその演算子によって定義された論理評価が満たされると、アラートが発報されます。 | + | // |
- | <wrap # | + | </WRAP> |
- | === 相関アラートのルール === | + | * Step 3, <wrap : |
+ | * Step 4, <wrap : | ||
+ | * Step 5, <wrap : | ||
- | To define the alert rules, it will be necessary to drag the elements on the left side to the **drop area** on the right side to build your rule. | + | |
+ | * ステップ 4、< | ||
+ | * ステップ 5、< | ||
- | アラートルールを定義するには、左側の要素を右側の | + | When you finish the creation and return to the global view you will have the list of registered log alerts and information about them, as well as options about them (operate with the action disabled, in <wrap :en>**standby**</ |
- | **Available setting items:** | + | 作成が完了し、全体表示に戻ると、登録済みのログアラートのリストとそれらに関する情報、およびそれらに関するオプション(アクションを無効にしてスタンバイモードで操作する、アクションを追加する、対応するログアラートを編集または削除する)が表示されます。**また、異なるログアラート間の順序を変更することもできます**。 |
- | **設定可能な項目**: | + | <wrap #ks13_2 /> |
- | {{ : | + | ==== ログアラート内のルール ==== |
- | These elements will be enabled to guide the user in complying with the grammar of the rule. The following | + | Event alerts are based on filtering rules using the following |
- | これらの要素は、ユーザがルールの文法を満たすようにするガイドをします。ここで、使用される文法についてさらに説明します。 | + | ログアラートは、次の論理演算子を使用したフィルタリングルールに基づいています。 |
- | <WRAP center round box 90%> | + | * '' |
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
- | <font inheritance/Courier New, | + | These logical operators are used to search for logs and/or expressions that match the configured filtering rules and if matches are found the alert will be triggered. |
- | <font inherit/ | + | これらの論理演算子は、設定されたフィルタリングルールに一致するログや式を検索するために使用され、一致が見つかった場合はアラートが発報されます。 |
- | <font inherit/ | + | To define the rules of the alert, it will be necessary to drag the elements on the left side to the <wrap en:>**drop area**</wrap> on the right side to build your rule. |
- | </WRAP>\\ | + | アラートのルールを定義するには、左側の要素を右側の <wrap ja:> |
- | Where **S** is the set of rules defined for the correlated alert. | + | <WRAP center round important 90%> |
- | ここで、**S** は、相関アラートに対して定義されたルールのセットです。 | + | It will only save the changes when you press the button to advance to the next step ( <wrap en:>**Next**</ |
- | It will be necessary to drag the element over the area of definition of rules, in such a way that the image is similar to this one for example: | + | </ |
- | たとえば次のようなイメージになるように、要素をルール定義の領域にドラッグする必要があります。 | + | <WRAP center round important 90%> |
- | {{ :wiki: | + | 次のステップに進むためのボタン (ボタン <wrap ja:> |
- | < | + | </WRAP> |
- | The comparison operators '' | + | **Available configuration items**: |
- | </ | + | **利用可能な設定項目**: |
- | <WRAP center round tip 60%> | + | {{ : |
- | 比較演算子 '' | + | These elements will be enabled to guide the user in complying with the grammar of the rule. The following is a simplified explanation of the grammar to be used: |
- | </ | + | これらの要素は、ユーザがルールの文法に従うようガイドするために有効になります。以下は、使用される文法の簡単な説明です。 |
- | To clean and undo all changes there are two buttons: **Cleanup** and **Reset**. | + | <WRAP center round box 90%> |
- | すべての変更をクリーンアップして元に戻すには、' | + | <font inherit/ |
- | <WRAP center round important 90%> | + | <font inherit/ |
- | It will only save the changes when you click the **Next** button. | + | <font inherit/ |
</ | </ | ||
- | <WRAP center round important 60%> | + | Where **S** is the set of rules defined for the log alert. |
- | **次(Next)** ボタンを押さないうちは、変更は保存されません。 | + | ここで、**S** は、ログアラートに対して定義されたルールのセットです。 |
- | </WRAP> | + | Two buttons are available for cleaning and undoing all changes: <wrap en:> |
+ | |||
+ | すべての変更をクリアして元に戻すためのボタンが 2 つあります: | ||
<WRAP center round tip 90%> | <WRAP center round tip 90%> | ||
- | **Remember**: | + | The blocks have simultaneity |
</ | </ | ||
- | <WRAP center round tip 60%> | + | <WRAP center round tip 90%> |
- | 条件を満たすブロックが同時にあることに注意してください。次の理論的な例を確認してください。 | + | ブロックは条件を満たす点で同時性を持っています: |
</ | </ | ||
行 1105: | 行 1117: | ||
</ | </ | ||
- | It forces the analyzed element (whether event or log) to fulfill A and B simultaneously. | + | It forces the analyzed element (log) to fulfill |
- | 分析された要素(イベントまたはログ)が A と B を同時に満たすようにします。 | + | 分析された要素 (イベント) が A と B に同時に準拠するように強制します。 |
<WRAP center round box 30%> | <WRAP center round box 30%> | ||
行 1115: | 行 1127: | ||
</ | </ | ||
- | It forces both rules (A) and (B) to be fulfilled | + | It forces both rules (A) and (B) to be satisfied |
- | 評価ウィンドウで両方のルール(A)と(B)が満たされるようにします。 つまり、最後の数秒間('' | + | 評価ウィンドウにおいて、ルール(A)と(B)の両方を満たすことを強制します。つまり、最後の数秒間('' |
- | <wrap #ks12_1_3 /> | + | <WRAP center round tip 90%> |
- | === 相関アラートのフィールド === | + | In the comparison operators '' |
- | <WRAP center round info 60%> | + | 比較演算子 '' |
- | **Version 764 or later**: | + | </ |
- | The macros related to modules and agents are not available in the Fields of the recovery section since the recovery of these alerts is executed when the threshold ends and lacks an **event** recovery to obtain such information. | + | <wrap #ks13_3 /> |
- | </ | + | ==== ログアラート内のフィールド ==== |
- | <WRAP center round info 60%> | + | '' |
- | **バージョン | + | '' |
- | モジュールとエージェントに関連するマクロは復旧セクションのフィールドでは使用できません。これらのアラートの復旧がしきい値範囲内に戻った際に実行されますが、情報を取得するための復旧**イベント**がないためです。 | + | This information is transferred as long as the next step does not already have information defined in its '' |
+ | |||
+ | この情報は、次のステップの '' | ||
+ | |||
+ | <WRAP center round info 90%> | ||
+ | |||
+ | **Version 764 or later**: Macros related to modules and agents are not available in the fields of the <wrap : | ||
</ | </ | ||
- | In the previous section [[# | + | <WRAP center round info 90%> |
- | アラートのフィールド操作に関する詳細は、[[#アラートシステムの情報の流れ|"アラートシステム" | + | **バージョン 764 以降**: モジュールおよびエージェントに関連するマクロは、<wrap :ja>**アラート復旧(Alert recovery)**</ |
- | <wrap # | + | </WRAP> |
- | === 相関アラートの発報 === | + | <wrap #ks13_4 /> |
- | In this section you must configure the actions that will be carried out when the alert is triggered and indicate at what intervals and how often said action will be executed. | + | ==== ログアラート内での発報 ==== |
- | ここでは、アラートが発報されたときに実行するアクションを設定と、そのようなアクションを実行する間隔と頻度を設定します。 | + | In this section you must configure the actions to be performed when the log alert is triggered and indicate at what intervals and how often this action will be executed. |
- | * **Actions**: | + | このセクションでは、アラートが発報されたときに実行されるアクションを設定し、このアクションが実行される間隔と頻度を指定する必要があります。 |
- | * **Number of alerts match**: Number of intervals that have to pass since the alert was triggered for the action to be executed. If you need it to be always, you must leave these fields blank. | + | |
- | * **Threshold**: | + | |
- | * **アクション(Actions)**: 実行したいアクションです。 | + | * <wrap en:>**Actions**</ |
- | * **一致するアラート数(Number of alerts match)**: アクションを実行するためにアラートが発生してから何回分の実行間隔を待つかの設定です。常にアクションを実行する場合は、このフィールドを空白のままにする必要があります。 | + | * <wrap en:>**Threshold**</ |
- | * **しきい値(Threshold)**: アラート発報後、アクションが再度実行される状態になるまでの間隔です。 | + | |
- | Then display the list of configured actions. In this listing the **triggering** field shows at which alert intervals the action will be executed, as configured in **number of alerts match**. Also, in the **Options** column you can delete or modify the configured actions. | + | |
+ | | ||
- | 次に、設定したアクションの一覧を表示します。この一覧の | + | Once you have selected the above parameters, press the <wrap :en>**Add**</ |
- | < | + | 上記のパラメータを選択したら、< |
- | === 複数の相関アラート === | + | <wrap #ks13_5 /> |
- | When you have multiple alerts, they have a specific evaluation order. They will always be evaluated in order, starting first with the first in the list. | + | ==== ログアラートのマクロ === |
- | 複数のアラートがある場合、これらには特定の評価順序があります。それらは常にリストの最初から順番に評価されます。 | + | The macros that can be used within the configuration of an event alert are in the [[# |
- | If the **PASS** rule evaluation mode is configured, if a correlated alert is executed, the following ones will be evaluated as well. It is //normal// mode. | + | ログアラートの設定内で使用できるマクロは、[[# |
- | **通過(PASS)** ルール評価モードが設定されている場合、相関アラートが実行されると、次のアラートも評価されます。 これは | + | <wrap #ks14 /> |
- | If the **DROP** rule evaluation mode is configured, if a correlated alert configured with this mode is executed, it will stop the evaluation of the rules below it. This feature gives us the possibility of cascading alert protection. | + | ===== SIEM アラート ===== |
- | **破棄(DROP)** ルール評価モードを設定する場合、このモードで設定された相関アラートが実行されると、次のルールの評価は停止します。 この機能により、関連アラート抑制が可能になります。 | + | These alerts are evaluated by the SIEM event server at the time of their generation, so for their correct operation, the [[: |
- | The rest of the correlation rules (action fields and application of actions) work similar to the rest of Pandora FMS alerts. | + | これらのアラートは生成時に SIEM イベントサーバによって評価されるため、正しく動作するには [[: |
- | 残りの相関ルール(アクションフィールドとアクションアプリケーション)は、他の Pandora FMS アラートと同様に機能するため、追加の説明は行いません。 | + | <wrap #ks14_1 /> |
- | <wrap #ks12_1_6 /> | + | ==== SIEM アラート管理 ==== |
- | === イベントアラートマクロ === | + | <wrap : |
- | The macros that can be used within the configuration of an event alert are in the [[# | + | <wrap : |
- | イベントアラートで利用できるマクロはこの章の最後の[[#ks13|マクロ一覧]]を参照ください。 | + | In this section it is possible to create, edit and delete SIEM alerts. The [[: |
+ | |||
+ | このセクションでは、SIEMアラートの作成、編集、削除が可能です。このセクションにアクセスするには、[[: | ||
+ | |||
+ | These alerts are based on the filter system of the SIEM event views, so that any event that was displayed with the configured filter conditions will trigger the alert. | ||
+ | |||
+ | これらのアラートは SIEM イベント表示のフィルタシステムに基づいているため、設定されたフィルタ条件で表示されたすべてのイベントによってアラートが発報されます。 | ||
- | <wrap #ks13 /> | + | For example, if a SIEM alert is configured with a critical event filter, just before the SIEM event server generates one with that condition the alert will be triggered. |
+ | |||
+ | たとえば、SIEM アラートが障害イベントフィルタで設定されている場合、SIEM イベントサーバがその条件でアラートを生成する直前にアラートが発報されます。 | ||
+ | |||
+ | SIEM alerts, like all other alerts, have global configuration options for their triggering. | ||
+ | |||
+ | SIEM アラートには、他のすべてのアラートと同様に、発報するための全体設定オプションがあります。 | ||
+ | |||
+ | <wrap #ks14_2 /> | ||
+ | |||
+ | ==== SIEM アラートの操作 ==== | ||
+ | |||
+ | <wrap : | ||
+ | |||
+ | <wrap : | ||
+ | |||
+ | In this section it is possible to view, enable/ | ||
+ | |||
+ | このセクションでは、環境内で利用可能なSIEMアラートの表示、有効化/ | ||
+ | |||
+ | <wrap #ks15 /> | ||
===== マクロ一覧 ===== | ===== マクロ一覧 ===== | ||
行 1415: | 行 1457: | ||
(For Command Macros only)// | (For Command Macros only)// | ||
+ | |||
+ | **'' | ||
+ | |||
+ | (For command macros only) date and time when the last Module status change took place. | ||
+ | |||
+ | **'' | ||
+ | |||
+ | Last check date and time received by a module (useful for pass to unknown alerts). | ||
+ | |||
+ | **'' | ||
+ | |||
+ | Last check date and time received (in Unix time format) by a module (useful for pass to unknown alerts). | ||
**'' | **'' | ||
行 1549: | 行 1603: | ||
* **'' | * **'' | ||
* **'' | * **'' | ||
+ | * **'' | ||
+ | * **'' | ||
+ | * **'' | ||
* **'' | * **'' | ||
* **'' | * **'' | ||
行 1568: | 行 1625: | ||
[[: | [[: | ||
+ | |||
+ | |||
+ | ===== (OBSOLETE) アラート相関: | ||
+ | |||
+ | <WRAP center round tip 60%> | ||
+ | |||
+ | Version NG 741 or higher. | ||
+ | |||
+ | </ | ||
+ | |||
+ | <WRAP center round tip 60%> | ||
+ | |||
+ | バージョン NG 741 以上 | ||
+ | |||
+ | </ | ||
+ | |||
+ | Alerts can be built based on the events received or on the data collected with the [[: | ||
+ | |||
+ | 受信したイベントまたは[[: | ||
+ | |||
+ | This type of alerts allows working from a much more flexible perspective, | ||
+ | |||
+ | このタイプのアラートでは、特定のモジュールの状態に応じてアラートが生成されるだけでなく、異なるエージェントの複数の異なるモジュールによって生成されたイベントに基づいてアラートを生成できるため、かなり柔軟な設定ができます。 | ||
+ | |||
+ | Event alerts and/or logs are based on filter rules that use the following logical operators: | ||
+ | |||
+ | イベントアラートやログは、次の論理演算子を使用するフィルタルールに基づいています。 | ||
+ | |||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | |||
+ | These logical operators are used to search for events/ | ||
+ | |||
+ | これらの論理演算子は、設定されたフィルタルールに一致するログ内のイベント/ | ||
+ | |||
+ | <WRAP center round important 60%> | ||
+ | |||
+ | When defining alerts about events, it will be essential to indicate the parameters **agent**, **module** and **event**. | ||
+ | |||
+ | </ | ||
+ | |||
+ | <WRAP center round important 60%> | ||
+ | |||
+ | イベントに関するアラートを定義する場合、**agent**、**module**、および **event** パラメータを指定することが重要です。 | ||
+ | |||
+ | </ | ||
+ | |||
+ | They also use the templates to define some parameters, such as the days on which the alert will work; however, in this case **the templates do not determine when the event alert is fired**, it is through the filter rules that the matching event alerts will be searched for and fired. | ||
+ | |||
+ | また、アラートが動作する日などのいくつかのパラメーターを定義したテンプレートを利用します。 ただし、この場合、テンプレートは**イベントアラートがいつ発報されるかを定義しません**。フィルタールールを介して一致するイベントが検索され、対応するアラートが発報されます。 | ||
+ | |||
+ | <WRAP center round tip 60%> | ||
+ | |||
+ | Given the high number of events that the Pandora FMS database can host, the server works on a maximum event window, which is defined in the '' | ||
+ | |||
+ | </ | ||
+ | |||
+ | <WRAP center round tip 60%> | ||
+ | |||
+ | Pandora FMS データベースに保存できるイベントの数が多い場合、サーバは、'' | ||
+ | |||
+ | </ | ||
+ | |||
+ | <wrap #ks12_1 /> | ||
+ | |||
+ | ==== 相関アラートの作成 ==== | ||
+ | |||
+ | <WRAP center round important 80%> For the event correlation alerts to work, the event correlation server must be activated with the '' | ||
+ | |||
+ | <WRAP center round important 80%> イベント相関アラートが機能するためには、Pandora FMS サーバ設定ファイルのパラメーター '' | ||
+ | |||
+ | <wrap #ks12_1_1 /> | ||
+ | |||
+ | === 相関アラート / テンプレート === | ||
+ | |||
+ | Menu **Management → Alerts → Alert correlation**. | ||
+ | |||
+ | メニュー **管理(Management) → アラート(Alerts) → アラート相関(Alert correlation)**。 | ||
+ | |||
+ | In this overview, you will have the list of registered correlation alerts and the information about them, as well as options such as operating with the action disabled, in **standby** | ||
+ | |||
+ | この概要には、登録済みの相関アラートとそれらに関する情報のリストが表示されるほか、**スタンバイ**モードでアクションを無効化、アクション追、相関アラートの編集または削除などのオプションも表示されます。 | ||
+ | |||
+ | With the **Create** | ||
+ | |||
+ | **作成(Create)** ボタンで、新しい相関アラートが追加されます。この処理は [[# | ||
+ | |||
+ | * **Rule evaluation mode**: It can be **Pass** or **Drop**. The first means that, in case an event matches an alert, the rest of the alerts continue to be evaluated. **Drop** means that if an event matches an alert, the rest of the alerts are not evaluated. | ||
+ | * **Group by**: Allows you to group the rules by Agent, Module, alert or group. For example, if a rule is configured to trigger when two critical events are received and is grouped by Agent, two critical events must arrive from the same Agent. It can be disabled. | ||
+ | |||
+ | * **ルール評価モード(Rule evaluation mode)**: **通過(Pass)** と**破棄(Drop)** の 2つのオプションがあります。" | ||
+ | * **グループごと(Group by)**: エージェント、モジュール、アラート、またはグループごとにルールをグループ化できます。 例えば。 2つの障害イベントを受信したときにルールがオフになるように設定され、エージェントによってグループ化されている場合、2つの障害イベントが同じエージェントから送信される必要があります。 これは無効にできます。 | ||
+ | |||
+ | <WRAP center round important 90%> | ||
+ | |||
+ | In case of alerts that contain logs rules, it will only affect grouping by Agent. If you choose a different grouping, **alerts based on log entries will never be honored.**</ | ||
+ | |||
+ | <WRAP center round important 90%> | ||
+ | |||
+ | ログルールを含むアラートの場合、エージェントによるグループ化にのみ影響します。 別のグループ化を選択した場合、**ログベースのエントリのアラートは決して一致しません** 。 | ||
+ | |||
+ | </ | ||
+ | |||
+ | Each rule is configured to trigger based on a certain type of event or // | ||
+ | |||
+ | 各ルールは、特定のタイプのイベントまたはログの一致により動くように設定されます。 ルールまたはその演算子によって定義された論理評価が満たされると、アラートが発報されます。 | ||
+ | |||
+ | <wrap #ks12_1_2 /> | ||
+ | |||
+ | === 相関アラートのルール === | ||
+ | |||
+ | To define the alert rules, it will be necessary to drag the elements on the left side to the **drop area** on the right side to build your rule. | ||
+ | |||
+ | アラートルールを定義するには、左側の要素を右側の **ドロップエリア** にドラッグしてルールを作成する必要があります。 | ||
+ | |||
+ | **Available setting items:** | ||
+ | |||
+ | **設定可能な項目**: | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | These elements will be enabled to guide the user in complying with the grammar of the rule. The following is a simplified explanation of the grammar to be used: | ||
+ | |||
+ | これらの要素は、ユーザがルールの文法を満たすようにするガイドをします。ここで、使用される文法についてさらに説明します。 | ||
+ | |||
+ | <WRAP center round box 90%> | ||
+ | |||
+ | <font inheritance/ | ||
+ | |||
+ | <font inherit/ | ||
+ | |||
+ | <font inherit/ | ||
+ | |||
+ | </ | ||
+ | |||
+ | Where **S** is the set of rules defined for the correlated alert. | ||
+ | |||
+ | ここで、**S** は、相関アラートに対して定義されたルールのセットです。 | ||
+ | |||
+ | It will be necessary to drag the element over the area of definition of rules, in such a way that the image is similar to this one for example: | ||
+ | |||
+ | たとえば次のようなイメージになるように、要素をルール定義の領域にドラッグする必要があります。 | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | <WRAP center round tip 90%> | ||
+ | |||
+ | The comparison operators '' | ||
+ | |||
+ | </ | ||
+ | |||
+ | <WRAP center round tip 60%> | ||
+ | |||
+ | 比較演算子 '' | ||
+ | |||
+ | </ | ||
+ | |||
+ | To clean and undo all changes there are two buttons: **Cleanup** and **Reset**. | ||
+ | |||
+ | すべての変更をクリーンアップして元に戻すには、' | ||
+ | |||
+ | <WRAP center round important 90%> | ||
+ | |||
+ | It will only save the changes when you click the **Next** button. | ||
+ | |||
+ | </ | ||
+ | |||
+ | <WRAP center round important 60%> | ||
+ | |||
+ | **次(Next)** ボタンを押さないうちは、変更は保存されません。 | ||
+ | |||
+ | </ | ||
+ | |||
+ | <WRAP center round tip 90%> | ||
+ | |||
+ | **Remember**: | ||
+ | |||
+ | </ | ||
+ | |||
+ | <WRAP center round tip 60%> | ||
+ | |||
+ | 条件を満たすブロックが同時にあることに注意してください。次の理論的な例を確認してください。 | ||
+ | |||
+ | </ | ||
+ | |||
+ | <WRAP center round box 30%> | ||
+ | |||
+ | (A and B) | ||
+ | |||
+ | </ | ||
+ | |||
+ | It forces the analyzed element (whether event or log) to fulfill A and B simultaneously. | ||
+ | |||
+ | 分析された要素(イベントまたはログ)が A と B を同時に満たすようにします。 | ||
+ | |||
+ | <WRAP center round box 30%> | ||
+ | |||
+ | A and B | ||
+ | |||
+ | </ | ||
+ | |||
+ | It forces both rules (A) and (B) to be fulfilled in the evaluation window. This means that there must exist in the last few seconds (defined by the '' | ||
+ | |||
+ | 評価ウィンドウで両方のルール(A)と(B)が満たされるようにします。 つまり、最後の数秒間('' | ||
+ | |||
+ | <wrap #ks12_1_3 /> | ||
+ | |||
+ | === 相関アラートのフィールド === | ||
+ | |||
+ | <WRAP center round info 60%> | ||
+ | |||
+ | **Version 764 or later**: | ||
+ | |||
+ | The macros related to modules and agents are not available in the Fields of the recovery section since the recovery of these alerts is executed when the threshold ends and lacks an **event** recovery to obtain such information. | ||
+ | |||
+ | </ | ||
+ | |||
+ | <WRAP center round info 60%> | ||
+ | |||
+ | **バージョン 764 以降**: | ||
+ | |||
+ | モジュールとエージェントに関連するマクロは復旧セクションのフィールドでは使用できません。これらのアラートの復旧がしきい値範囲内に戻った際に実行されますが、情報を取得するための復旧**イベント**がないためです。 | ||
+ | |||
+ | </ | ||
+ | |||
+ | In the previous section [[# | ||
+ | |||
+ | アラートのフィールド操作に関する詳細は、[[# | ||
+ | |||
+ | <wrap #ks12_1_4 /> | ||
+ | |||
+ | === 相関アラートの発報 === | ||
+ | |||
+ | In this section you must configure the actions that will be carried out when the alert is triggered and indicate at what intervals and how often said action will be executed. | ||
+ | |||
+ | ここでは、アラートが発報されたときに実行するアクションを設定と、そのようなアクションを実行する間隔と頻度を設定します。 | ||
+ | |||
+ | * **Actions**: | ||
+ | * **Number of alerts match**: Number of intervals that have to pass since the alert was triggered for the action to be executed. If you need it to be always, you must leave these fields blank. | ||
+ | * **Threshold**: | ||
+ | |||
+ | * **アクション(Actions)**: | ||
+ | * **一致するアラート数(Number of alerts match)**: アクションを実行するためにアラートが発生してから何回分の実行間隔を待つかの設定です。常にアクションを実行する場合は、このフィールドを空白のままにする必要があります。 | ||
+ | * **しきい値(Threshold)**: | ||
+ | |||
+ | Then display the list of configured actions. In this listing the **triggering** field shows at which alert intervals the action will be executed, as configured in **number of alerts match**. Also, in the **Options** column you can delete or modify the configured actions. | ||
+ | |||
+ | 次に、設定したアクションの一覧を表示します。この一覧の **発報(triggering)** フィールドには、 **一致するアラート数** で設定したアクションが実行される間隔が表示されます。さらに、**オプション** 列で、設定したアクションを削除または変更できます。 | ||
+ | |||
+ | <wrap #ks12_1_5 /> | ||
+ | |||
+ | === 複数の相関アラート === | ||
+ | |||
+ | When you have multiple alerts, they have a specific evaluation order. They will always be evaluated in order, starting first with the first in the list. | ||
+ | |||
+ | 複数のアラートがある場合、これらには特定の評価順序があります。それらは常にリストの最初から順番に評価されます。 | ||
+ | |||
+ | If the **PASS** rule evaluation mode is configured, if a correlated alert is executed, the following ones will be evaluated as well. It is //normal// mode. | ||
+ | |||
+ | **通過(PASS)** ルール評価モードが設定されている場合、相関アラートが実行されると、次のアラートも評価されます。 これは //通常// のモードです。 | ||
+ | |||
+ | If the **DROP** rule evaluation mode is configured, if a correlated alert configured with this mode is executed, it will stop the evaluation of the rules below it. This feature gives us the possibility of cascading alert protection. | ||
+ | |||
+ | **破棄(DROP)** ルール評価モードを設定する場合、このモードで設定された相関アラートが実行されると、次のルールの評価は停止します。 この機能により、関連アラート抑制が可能になります。 | ||
+ | |||
+ | The rest of the correlation rules (action fields and application of actions) work similar to the rest of Pandora FMS alerts. | ||
+ | |||
+ | 残りの相関ルール(アクションフィールドとアクションアプリケーション)は、他の Pandora FMS アラートと同様に機能するため、追加の説明は行いません。 | ||
+ | |||
+ | <wrap #ks12_1_6 /> | ||
+ | |||
+ | === イベントアラートマクロ === | ||
+ | |||
+ | The macros that can be used within the configuration of an event alert are in the [[# | ||
+ | |||
+ | イベントアラートで利用できるマクロはこの章の最後の[[# | ||
+ | |||
+ | <wrap #ks13 /> | ||
===== (OBSOLETE) ===== | ===== (OBSOLETE) ===== |