OutputSettings
2024年4月11日
ID 198889
一般的なテナントの出力設定が含まれます。
出力イベントの送信先のイベントターゲットソフトウェアのアドレスとポート、および送信イベントの形式を定義します。
パス
OutputSettings
属性
この要素には属性がありません。
ネストされた要素
EventFormat、RecordFieldContextFormat、ActionableFieldContextFormat、AlertFormat の値を指定するには、イベント形式パターンを確認することが必要な場合があります。
この要素は、次のネストされた要素のコンテナです:
- EventFormat
送信イベントの形式を指定します。
[EventFormat]要素は必須です。
- RecordFieldContextFormat
コンテキストフィールドをイベントに追加する必要がある方法を指定します。
[RecordFieldContextFormat]要素は必須です。
- ActionableFieldContextFormat
入力可能フィールドをイベントに追加する必要がある方法を指定します。
[ActionableFieldContextFormat]要素は必須です。
- AlertFormat
イベントターゲットソフトウェアに Kaspersky CyberTrace サービスの状態を通知する送信イベントの形式を指定します。
[AlertFormat]要素は任意です。これが設定情報ファイル内に存在しない場合、通知は行われません。
- ConnectionString
サービスが送信イベントを送信する IP アドレスとポート(または Windows 名前付きパイプ)を指定します。
[ConnectionString]要素は必須です。
この要素の詳細は、次の「[OutputSettings]→[ConnectionString]」サブセクションを参照してください。
- AlertConnectionString
サービスがサービスアラートを送信する IP アドレス(またはホスト)およびポートを指定します。
[AlertConnectionString]要素は任意です。
この要素の詳細は、次の「[OutputSettings]→[AlertConnectionString]」サブセクションを参照してください。
- FinishedEventFormat
処理されたイベントごとに生成される情報イベントの形式を指定します。
[FinishedEventFormat]要素は必須です。
この要素の詳細は、次の「[OutputSettings]→[FinishedEventFormat]」サブセクションを参照してください。
[OutputSettings]→[ConnectionString]
サービスがサービスアラートを送信する IP アドレス(またはホスト)およびポートを指定します。
この文字列の形式は、<ip_address>:<port>
(IP アドレスとポートが使用される場合)または \\.\pipe\<pipe_name>
(Windows 名前付きパイプが使用される場合)です。
IPv4 または IPv6 アドレスを使用できます。
[OutputSettings]→[AlertConnectionString]
サービスがサービスアラートを送信する IP アドレス(またはホスト)およびポートを指定します。
この要素の値の形式は、<ip_address>:<port>
(IP アドレスとポートが使用される場合)または \\.\pipe\<pipe_name>
(Windows 名前付きパイプが使用される場合)です。IP アドレスは、それぞれがドットで区切られた 10 進表記のオクテットで構成される必要があります。各オクテットの値は、256 未満である必要があります。
[AlertConnectionString]要素は任意です。この要素を省略すると、false
値を持つ enabled 属性がこの要素用として使用されます。
この要素には、次の属性があります:
[AlertConnectionString]要素の属性
属性 | Description |
---|---|
| 指定した IP アドレスとポートに Kaspersky CyberTrace サービスがアラートイベントを送信するかどうかを定義します。 使用可能値は、 この値が この値が |
[OutputSettings]→[FinishedEventFormat]
イベントの処理後に生成される情報イベントの形式を指定します。
このパラメータが有効である場合、Kaspersky CyberTrace によって処理されるイベントごとに情報イベントが生成されます。検知がない場合でも、情報イベントが生成されます。
[FinishedEventFormat]要素は必須です。
この要素の値は、イベントの形式を指定します。この形式では、%RecordContext% パターンと正規表現名を使用できます。
%RecordContext% パターンは、次のフィールド(使用されている場合)を提供します:
- category
この種のイベントの場合は
LookupFinished
です。 - sent_events
SIEM ソリューションに送信されたイベントの数。
- total
検知イベントに割り当てられる全てのカテゴリ用として構成された次の部分文字列の連結。
<category>:<number_of_detections>;
検知がなかった場合、sent_events パラメータは
0
に設定され、total 文字列は空になります。
この要素には、次の属性があります:
[FinishedEventFormat]要素の属性
属性 | Description |
---|---|
| 特別な情報イベントが生成されるかどうかを定義します。 使用可能値は、 この値が この値が この属性は任意です。 |
例
この要素の例は、次の通りです。
<OutputSettings> <RecordFieldContextFormat><![CDATA[ %ParamName%=%ParamValue%]]></RecordFieldContextFormat> <AlertFormat>%Date% alert=%Alert%%RecordContext%</AlertFormat> <EventFormat>%RE_DATE% category=%Category% matchedIndicator=%MatchedIndicator% url=%RE_URL% src=%SRC_IP% ip=%RE_IP% md5=%RE_MD5% sha1=%RE_SHA1% sha256=%RE_SHA256% usrName=%RE_USERNAME%%RecordContext%</EventFormat> <FinishedEventFormat enabled="true">LookupFinished %RecordContext%</FinishedEventFormat> <ActionableFieldContextFormat><![CDATA[ %ParamName%:%ParamValue%]]></ActionableFieldContextFormat> <ConnectionString>127.0.0.1:9998</ConnectionString> <AlertConnectionString>192.0.2.145:9998</AlertConnectionString> </OutputSettings> |