ユーザ定義のイベントの作成

新規イベント定義を作成するには、既存のイベント定義を右クリックするか、アクションのメニューで以下を実行します:

右クリック	アクションメニュー	内容
新規	新規カスタムイベント	イベント定義ウィザードを起動し、ベースにするイベントを選択できます(既存のイベント定義を基にするか、新たに定義するか)。
名前を付けて保存	イベントに名前を付けて保存	ハイライトされたイベント定義のプロパティを基にイベント定義を作成します。名前を付けて保存を選ぶと、選択したイベント定義に新しい名前を付けて、後で編集できるように保存するようメッセージが表示されます。名前を付けて保存は、プロパティウィンドウからも選択できます。

すべてのユーザ定義イベントは、ポリシータブ > イベントポリシー > ユーザ定義イベントに保存されます。イベント定義が存在する場合は、プロパティウィンドウから編集できます。このウィンドウは右クリックまたはアクションメニューからアクセスできます。

新規イベント定義の作成

ユーザが定義したイベントだけでなく、すべてのイベントを編集することができます。事前定義されたイベントを変更すると、新しいユーザ定義のイベントとして保存されます。

新規イベント定義を作成するには

1. アクションメニューから、新規カスタムイベントを選択します。

   イベント定義ウィザードが開きます。

2. イベントの作成:

   1. 既存イベントからベースにするものを選択します。

   2. 作成したいイベントと同様のプロパティを持つイベントを選択します。

   3. ［次へ］をクリックします。。

3. イベント定義に名前を付けます。

4. 説明を入力します。

5. イベントの深刻レベルを選択します。

6. ［次へ］をクリックします。。

7. イベントを生成するオプションを設定します。

   • 単一ログ - ウイルスが発見された際にレポートするウイルススキャナからのログなど、頻繁にイベントを示します。

   • 複数ログ - 高接続レートなどの複数ログのコンビネーションによってイベントが識別される場合に必要です。

   ［次へ］をクリックします。。

8. このイベントを発生させる可能性があるプロダクトを確認します。

9. 次へを選択します。

10. オプション：プロダクトフィルタを編集します。

    • プロダクトを追加した場合、各プロダクトのフィルタを編集したり(すべてのプロダクトフィルタの編集)、新たに追加したプロダクトのみを編集したり(新たに追加した選択したプロダクトのみ編集)できます。

    • 他のプロダクトを追加しない場合、既存プロダクトのフィルタの編集(はい)またはこの手順をスキップ(いいえ、そのままにしておく)することができます。

    ［次へ］をクリックします。。

11. イベント定義フィルタで必要な各ログのプロダクトフィルタの編集/追加

    1. ログのフィールドリストからログフィールドを選択します。

    2. 追加をクリックしてフィルタを編集します。

    3. フィルタがすべての条件または任意の条件と一致することを確認します。

    4. ログフィールドをダブルクリックしてフィルタに使用する値を選択します。

    ［次へ］をクリックします。。

12. 各プロダクトのフィルタを定義したら、次のオプションを選択してログのプロセス方法を定義します。

    • __秒以内に最低__件のログが発生した場合にイベントを検出には、イベントを定義するイベントしきい値が含まれます。イベントを定義するログの数や期間(秒)を変更し、イベントのしきい値を編集できます。

    • 各イベント定義に同時に存在する複数のイベント候補を設定できるでは、以下で選択するフィールド(またはフォールドのセット)を基にSmartEventで異なるイベント候補を作成するかどうかを設定できます。

      異なるイベント候補が作成されるフィールドを選択では、イベント候補間の差異化に使われるフィールド(またはフィールドのセット)を設定できます。

    • ログを数えるときに__フィールドの一意の値を使用では、イベントのしきい値を超えたかどうか判断する際、SmartEventで特定フィールドの一意の値を数えるよう指定します。このプロパティを選択肢ない場合は、SmartEventは受け取ったログの合計数を数えます。

13. ［完了］をクリックします。。

ユーザ定義のイベントのカスタマイズ

ユーザ定義のイベントのカスタマイズ:

1. ポリシータブ > イベントポリシー > ユーザ定義イベントで、ユーザ定義のイベントを右クリックしてプロパティを選択します。

2. タブで、必要な変更を行います。

   • 名前 - イベント定義の名前を指定し、説明を入力して深刻度のレベルを選択します。説明フィールドに入力したテキストは、イベントの内容領域(イベントの設定可能なプロパティの下)に表示されます。

   • フィルタ - プロダクトのフィルタを編集するには

     1. プロダクトを選択します。

     2. 可能なログのフィールドリストからログフィールドを選択します。

     3. 必要なフィールドが表示されない場合は、フィールドをさらに表示...を選択してログフィールドリストに追加します。

     4. 追加をクリックしてフィルタを編集します。

     5. フィルタがすべての条件または任意の条件に一致するかどうかを選択します。

   • ログの回数

     この画面ではSmartEventでこのイベント関連のログのカウント方法を定義します。

     • 単一ログ - ウイルスが発見された際にレポートするウイルススキャナからのログなど、頻繁にイベントを示します。

     • このオプションを使用して、イベント候補の中のグループイベントに使用するフィールドを設定できます。これらのフィールドに一致する値を持つログは、同じイベントに追加されます。例:同じ名前と発信元のウイルスの検出をレポートする複数のログは、同じイベントとして統合されます。

     • 複数ログ - 高接続レートなどのアクティビティレベルを識別するイベントに必要です。

     • 複数ログによりイベントがトリガされるときのイベント候補の動作を設定します:

     • Detect the event when at least... - しきい値を超過した場合にイベントの発生を意味するイベントしきい値を設定します。

     • 異なるイベント候補を作成するフィールドの選択 - ここで指定したフィールドの同じ値を持つログによってイベントが生成されます。イベント候補で同じグループにログを分類する定義の方法については、ここで関連するフィールドを選択します。

     • 一意の値を使用 - ここで指定するフィールドの一意の値を持つログのみがイベント候補でカウントされます。例:ポートスキャンイベントでは、スキャンした一意のポートを含むログがカウントされます。また、イベント候補ですでに発生したポートを含むログは、ログとしてカウントされません。

     • 詳細 - イベントのキープアライブの時間を定義し、作成されたイベントの新しいログについてSmartEvent相関ユニットでSmartEvent Serverをアップデートする頻度を設定します。

   • イベントフォーマット

     イベントが生成される際、イベント詳細ペインで表示されるイベントに関する情報。

     この画面では、詳細ペインに情報を追加するかどうか、またその情報元となるログフィールドを指定できます。

     表示カラムでクリアできます。イベントフィールドは未入力になります。

   • GUIの表示

     すべてのイベントは変更できます。この画面では、表示する設定パラメータを選択できます。

     • しきい値セクションには、イベントを作成するために一致べきログの数が表示されます。通常1つのログイベントには表示されず、複数ログイベントのときに表示されます。

     • 除外セクションでは、イベントの除外を追加すると表示されるログフィールドを指定できます。

     • 例外セクションでは、イベントの例外を追加すると表示されるログフィールドを指定できます。

3. ［OK］をクリックします。変更を保存します。