辞書

フリーテキストパーサーで、辞書を使ってログから値を変換できます。これらは、異なるデバイスからのログで、同じ意味を持つ値を共通の値に変換し、イベント定義に使用するために利用します。

辞書ファイルはそれぞれ.iniファイルとして定義されます。.iniファイルでは、セクション名は辞書名で値は辞書の値です(各辞書に1つ以上のセクションを含むことが可能)。

[dictionary_name]

Name1 = val1

Name2 = val2

[cisco_action]          [3com_action]

permitted = accept      Permit    = accept

denied = reject         Deny      = reject

解析ファイルの辞書へのリファレンスは以下の表のとおりです。

:command (
      :cmd_name (try)
      :parse_from (start_position)
      :regexp ("list (.*) (permitted|denied) (icmp) ([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+) -> ([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+).* packet")
       :add_field (
               :type (index)
               :field_name (action)
               :field_type (action)
               :field_index (2)
               :dict_name (cisco_action)
       )
)