以下のログを取り込むときに推奨のソースタイプを教えていただけますでしょうか。
◆ログ一覧
・IIS -> ?
・MS Exchange -> ?
・gmail -> CSV形式?
・Firewall-1 -> chackpointのApps?
・SonicWall -> SonicWallのApps?
・NetScreen/SSG -> SSGのApps?
・FortiGate -> FortiのApps?
・Proventia -> ProventiaのApps?
・Oracle -> csv形式?
・PostgreSQL -> csv形式?
・MySQL -> csv形式?
・DB2 -> csv形式?
English translation
Can you tell us the recommended source type when importing the following logs?
◆ Log list
・ IIS->?
・ MS Exchange->?
・ Gmail-> CSV format?
・ Firewall-1-> Chackpoint Apps?
・ SonicWall-> SonicWall Apps?
・ NetScreen / SSG-> SSG Apps?
・ FortiGate-> Forti Apps?
・ Proventia-> Proventia Apps?
・ Oracle-> csv format?
・ PostgreSQL-> csv format?
・ MySQL-> CSV format?
・ DB2-> CSV format?
ログを取り込む場合にまず考慮するのはApp(Add-on)が使えるか否かです。Appが使える場合は自動的にソースタイプも決まります。使えるかどうかは試してみないとわからないことが多いです。バージョンの違いやログのカスタマイズ、転送方式の違い等様々な原因で使えない場合があります。
MS製品はUFをインストールできればキーバリュー型のデータで取り込める場合が多いです。フォーマットの仕様も公開されているので手動でフィールド定義するのも容易です。
gmailはそもそも何のログをどのような方式で取り込むかが問題です。
FW製品はAppも豊富でログのフォーマットも単純です。 checkpointやSonicWallであればAppがそのまま使える可能性が高いです。
IDS/IPS系はログのフォーマットや転送方式等いろいろ複雑です。Appが使えない場合がでもAppがあればAppを参考に設定します。
DBのログの場合は監査ログであればAppがあります。個別データであればAppはないのでCSVやTSV形式でデータを取り込むのが良いと思います。ソースタイプとは関係ないですが、DBの監査ログはケースによっては100万件を超えるファイルが作成されたりするのでログの現状をよく確認してから取り込まないと障害の原因になったりします。
すべてCSVにしてしまうとソースタイプで識別できなくなるので取り込み形式はCSVでソースタイプ名は機器やログの種類等で意味を持たせたほうが良いと思います。
・IIS -> iis
・MS Exchange -> 独自
・gmail -> 独自
・Firewall-1 -> App
・SonicWall -> App
・NetScreen/SSG -> App
・FortiGate -> App
・Proventia -> App
・Oracle -> 独自
・PostgreSQL -> 独自
・MySQL -> 独自
・DB2 -> 独自
上記、ご回答いただきありがとうございます。