解析プロシージャ
プロシージャはログサーバで行い、syslog daemonで開始します。ログサーバで実行するSyslog daemonはsyslogを受信して解析を呼び出します。解析には、さまざまな解析定義や条件などを持つ多くの解析ファイルが関与し、これらは$FWDIR/conf/syslog/ディレクトリにあります。これらのファイルにはデバイス特定の解析ファイルがあり、デバイス固有のsyslogフォーマットに従って実際の解析とフィールドの抽出などが定義されています。
解析はsyslog_free_text_parser.Cファイルから開始します。このファイルは異なる辞書の用語を定義してsyslogを解析します。すべてのsyslogメッセージに共通しているフィールド(PRI、日付と時刻など)、およびsyslogを生成したマシンとアプリケーションをファイルで取り出します。
syslog_free_text_parser.CファイルではallDevices.Cファイルを使用します(2つのファイル:UserDefined/UserDefinedSyslogDevices.CとCPdefined/CPdefinedSyslogDevices.Cを参照)。
-
1番目のファイル(UserDefined/UserDefinedSyslogDevices.C)にはユーザが定義するデバイス解析ファイルの名前が含まれています。
-
2番目のファイル(CPdefined/CPdefinedSyslogDevices.C)にはCheck Pointが定義するデバイス解析ファイルが含まれています。
allDevices.Cファイルはデバイス解析ファイルを読み、受け取るsyslogをファイルで解析されるsyslogフォーマットでマッチングします。
Syslogの事前解析に成功した後(syslogフォーマットに一致したsyslogオリジン)、ファイルで残りのsyslogが解析されます。一致するものが見つからない場合、Check Pointデバイス解析ファイルに進み、一致するまで実行します。
