[ルール]インタフェースでは、すべての受信イベントを評価して、指定した出力チャネルに選択したイベントを配信するルールを定義することができます。たとえば、重大度5の各イベントを、セキュリティアナリスト配信リストまたは管理者に電子メールで送信することができます。
メモ:すべてのイベントはデータベースにも配信されます。
受信イベントはそれぞれのフィルタリングルールに従って評価され、一致が見つかると、そのルールに関連付けられている配信アクションが実行されます。
電子メールに送信: 設定されたSMTPリレーを使用して、イベントをユーザに送信します。
ファイルに書き出し: Identity Auditサーバ上の指定されたファイルにイベントを書き出します。
Syslogに送信: 設定済みのSyslogサーバにイベントを転送します。
ヒント:関連付けられているアクションによって、イベントが1件ずつ処理されます。したがって、イベントの送信先の出力チャネルを選択する場合は、パフォーマンスに対する影響を考慮する必要があります。たとえば、「ファイルに書き出し」アクションは使用するリソースが最も少ないため、大量のイベントを電子メールまたはSyslogに送信する前にデータ量を決定する、ルールの条件をテストする際に使用できます。
また、「電子メールに送信」アクションを設定する場合は、受信者が効率よく処理でき、ルールに従ってフィルタリングを調整できるイベント数を判断する必要があります。
イベント出力は、軽量なデータ交換形式であるJavaScript Object Notation (JSON)形式で送信されます。イベントは、フィールド名(イベント名を示す「evt」など)、コロン、値(「Start」など)をカンマで区切って構成されます。
{"st":"I","evt":"Start","sev":"1","sres":"Collector","res":"CollectorManager","rv99":"0","rv1":"0","repassetid":"0","rv77":"0","agent":"Novell SecureLogin","obsassetid":"0","vul":"0","port":"Novell SecureLogin","msg":"Processing started for Collector Novell SecureLogin (ID D892E9F0-3CA7-102B-B5A1-005056C00005).","dt":"1224204655689","id":"751D97B0-7E13-112B-B933-000C29E8CEDE","src":"D892E9F0-3CA7-102B-B5A2-005056C00004"}