sawmill v8.7.x オペレーションマニュアル...sawmill for version8.7.xユーザガイド...

SAWMILL Version 8.7.ｘ

オペレーションマニュアル Rev. 1.4

2017.2.27

SAWMILL for Version8.7.x ユーザガイド Rev. 1.3

変更履歴版発行日変更内容 1.0 2011/10/31 新規作成 1.1 2013/12/20 Sawmill8.6.x に合わせて更新 1.2 2015/3/10 Sawmill8.7.x に合わせて更新 1.3 2017/02/10 Sawmill8.7.9.x に合わせて更新 1.4 2017/02/27 サポート OS を追記


目次

1 概要 ................................................................................................................................ 1 2 導入のプランニング .............................................................................................................. 2

2.1 システム要件 ................................................................................................................. 2 2.2 ライセンスの選択 ........................................................................................................... 2 2.3 ライセンス規模 .............................................................................................................. 3 2.4 総プロファイル数の計算 ................................................................................................ 3

3 インストレーション ................................................................................................................. 4 3.1 Linux（RHEL ES/AS 5 以上）へのインストレーション ....................................................... 4 3.2 その他の Linux あるいは UNIX 系 OS へのインストレーション ....................................... 5 3.3 Windows へのインストレーション ................................................................................... 5 3.4 MacOS へのインストレーション....................................................................................... 6

4 初期設定 .............................................................................................................................. 7 4.1 GUI を日本語化する ...................................................................................................... 7 4.2 初期設定ウイザード ....................................................................................................... 7

5 プロファイルの作成 ............................................................................................................. 11 5.1 プロファイル作成ウィンドウを開く................................................................................... 11 5.2 ログソースの指定 ........................................................................................................ 12 5.3 ログフォーマットプラグインの指定 ................................................................................ 16 5.4 データベースに関するオプションを設定する ................................................................. 19 5.5 プロファイル名入力（ウイザードの終了） ....................................................................... 20

6 レポートの閲覧とカスタマイズ ............................................................................................. 21 6.1 プロファイル作成直後のレポート例 .............................................................................. 21 6.2 レポートを閲覧－デフォルトのレポートを表示させる ..................................................... 22 6.3 レポートのカスタマイズ-1 レポートフィルターを使う ...................................................... 23 6.4 レポートフィルターとログフィルターの違い .................................................................... 28 6.5 レポートのカスタマイズ-2 ソート .................................................................................. 29 6.6 レポートのカスタマイズ-3 ドリルダウン ........................................................................ 31 6.7 レポートのカスタマイズ-4 レポートの保存・作成・削除 ................................................. 33 6.8 レポートのカスタマイズ-5 グラフの表示変更及び非表示化 ......................................... 38

7 プロファイル作成後の運用及び保守管理 ............................................................................ 39 7.1 スケジューラ設定画面 ................................................................................................. 39 7.2 データベース更新 ........................................................................................................ 40 7.3 レポートの出力 ............................................................................................................ 41 7.4 レポートをメールで送信 ............................................................................................... 42 7.5 データベースから、過去のデータを削除 ....................................................................... 44

8 FAQ・トラブルシューティング ................................................................................................ 45 8.1 ライセンス関連 ............................................................................................................ 45 8.2 レポートに関して .......................................................................................................... 45 8.3 データベースに関して .................................................................................................. 48


9 高度な設定例 ..................................................................................................................... 49 9.1 Sawmill Web サーバーのアドレス及びポート番号変更 ................................................ 49 9.2 ログフィルター .............................................................................................................. 49

10 付録 ................................................................................................................................. 52 10.1 Syslog フォーマットについて ...................................................................................... 52 10.2 データベース再構築の方法 ....................................................................................... 52

11 おわりに ........................................................................................................................... 53


1

1 概要 Sawmillは米国Flowerfire社で開発されたログ解析ソフトウェアです。ルーター、ファイアウォール、

Web サーバー、メールサーバー、プロキシサーバーなどの多種多様なデバイス、システムおよび

アプリケーションの出力するログファイルの内容を統計処理した結果をグラフィカルに表示します。機密情報の流出防止、システムやビジネスそのものへのリスクを極力排除するために、定期的な

ログ解析は今や不可欠となっています。Sawmill は膨大な量のログを短時間で読み込み、データ

ベースに書き込んでレポート表示します。デフォルト設定でもログフォーマットに応じた分かり易い

レポートを生成するツールです。

〔主な特長〕 1. 各種のログファイルを解析できます（1,000 種類以上のログフォーマットを内蔵しており、

その大半は自動認識可能で、内蔵ログフォーマットで対応できないログには、カスタムメイドのプラグインを作成することにより、ほとんどのログが解析可能です）。

2. 市場における大多数の主要 OS をサポートしています（下記のサポートリスト参照）。 3. 内蔵 Web サーバーにより、Web ブラウザから GUI でインタラクティブな解析ができます。 4. 内蔵スケジューラで、設定時刻に自動的にデータベース処理や解析が行えます。 5. 操作メニューの日本語表示が可能です（日本語プラグイン使用時）。

〔Sawmill v8.7.x のサポート OS リスト〕

[linux] redhat enterprise linux x86 ( es5 /es6 ) centos 6.8( x86 ) redhat enterprise linux x64 ( es5 /es6 /es7 ) centos 7( x64 ) [Windows] Windows 7/8/10/Vista/2008/2012/2016（R2 含む）


2

2 導入のプランニング

2.1 システム要件 A. ハードウエア • できるだけ高速の CPU（クアッドコア以上が望ましい） • メモリ：コア数×2GB（クアッドコアなら 8GB） • ディスク：予想される最大ログデータ量の最低 4 倍の容量 • OS： 64bit RHEL（RedHat Enterprise Linux）を最も推奨

※Windows 系でも 64bit が望ましい注記：特に、10GB を超えるような大量のログデータを解析する場合、64bit OS 上でご使用ください。32bit OS ではアドレス空間不足によりログ解析が適正にできない可能性があるだけでなく、OS やハードに深刻な影響を与える恐れがあります。

B. サーバー構成の推奨例物理的に別のログサーバーから、Sawmill をインストールしたサーバーに向かってログファイル

をアウトプットし、Sawmill は同一サーバーに書き出されたログファイルを読み込んで解析する

構成を最も推奨します。大規模ネットワークでログサーバーが分散しているような環境では、ログファイルを FTP または

HTTP で取込んで解析することも可能ですが、パフォーマンスは低下します。データベースの構築場所についても、内蔵ディスクを推奨します。ネットワーク共有先ディスクを

使用した場合、正常に稼動てきない可能性があります。

2.2 ライセンスの選択 Sawmillには3種類の製品があります。以下の内容を検討して、どのライセンスが適しているか

を判断してください。（１） Sawmill Lite

Sawmill の他の製品で可能な機能の内、一部の機能が利用可能になっているエントリーモデルになります。限られた用途でご利用の方向けの製品です。ライセンスは 1 / 5 プロフ

ァイルサポートの 2 種類があります。（２） Sawmill Professional

一般的な解析用途に幅広くご利用可能です。ライセンスは 1 / 5 / 10 / 25 / 50 / 100 プロフ

ァイルサポートの 6 種類です。（３） Sawmill Enterprise

Professional の全機能に加えて、データベースとして MS SQL、MySQL 及び Oracle を選択することができます。また、マルチコア処理機能を提供します。ライセンスは 1 / 5 / 10 / 25 / 50 / 100 / 1,000 プロファイルサポートの 7 種類があります。


3

2.3 ライセンス規模ライセンスの規模は何種類のログファイルを何人で解析するか、またログファイルのサイズやサーバーの性能で異なります。一般的な手順は次のようになります。

2.4 総プロファイル数の計算プロファイルはログファイル解析の条件設定ファイルです。1 種類のログ解析には 1 つ以上のプロファイルを作成します。ただし複数の担当者が同時に同一ログファイルの解析をする場合

には、操作する人数分のプロファイルが必要です。たとえば 6 種類のログファイルがあり、2 名

の担当者が同時に解析する可能性があれば 12（＝6ｘ2）プロファイル以上が必要です。 Sawmill には評価版のご用意がございます。ご利用いただける期間は、インストール後 30 日です。正規ライセンス版と全く同じ機能を 30日間お試しいただけます。なお、評価ライセンスには日本語

化ファイルがありません。必要な場合は弊社までご連絡ください。正規ライセンスは弊社または販売代理店各社よりご購入ください。ライセンスコード付 CD パッケ

ージとして販売しております。


4

3 インストレーション

1.1 Linux（RHEL ES/AS 5 以上）へのインストレーション ◆インストーラーはtar.gz形式ファイルに圧縮されています。

1 実行ファイルを置きたいディレクトリにgzファイルを移動し、以下のコマンドで解凍します。〔64 ビット〕

# gunzip -c sawmill8.7.*.*_x64_linux-esX.tar.gz | tar xf - ↑X= Version番号〔32 ビット〕 # gunzip -c sawmill8.7.*.*_x86_linux-esX.tar.gz | tar xf -

↑X= Version番号

2 解凍したファイルが存在するディレクトリに移動し、実行ファイルをスタートさせます。 # cd ｛解凍したファイルのディレクトリ｝ # ./sawmill &（バックグラウンド実行）

3 Web server Running・・・等のメッセージは無視し、以下のコマンドでデーモンを登録します。

（ここでターミナルを閉じるとSawmillプロセスが停止してしまうので、ターミナルを絶対に閉じないでください！） etcフォルダの下にSawmillのディレクトリを作成します。

# mkdir /etc/sawmill

4 「LogAnalysisInfo」へのシンボリックリンクをetc/sawmillディレクトリに作成します # ln -s /{解凍したファイルのディレクトリ}/LogAnalysisInfo etc/sawmill/LogAnalysisInfo

5 Sawmill実行ファイル（インストールディレクトリ>sawmill配下の”sawmill”）を /etc/sawmill配下にコピーします。

# cp {解凍したファイルのディレクトリ}/sawmill/sawmill /etc/sawmill

6 {解凍したファイルのディレクトリ}配下のExtras/RH9 ディレクトリから、sawmilldファイルを /etc/rc.d/init.d配下に移動します。

# mv {解凍したファイルのディレクトリ}/sawmill/Extras/RH9/sawmilld /etc/rc.d/init.d

7 sawmilldをONにします。 # chkconfig --add sawmilld # chkconfig --level 2345 sawmilld on

8 ③の”Web server running ; Browse...”以降に表示のIPアドレスを使用し、Webブラウザー

からsawmill GUIにアクセスします。初期設定ウイザードに変わります（手順 4.1 参照）。

◆WebサーバーのIPアドレスやポート番号（ファイアウォールにポート開放の設定要）を変更

したい場合やSSL（HTTPS）アクセスをしたい場合は手順 10-1 をご参照ください。


5

1.2 その他の Linux あるいは UNIX 系 OS へのインストレーション ◆操作手順は RHEL と基本的に同様です（OS 固有部分を対応するものに置き換えてください）。

不明な点については、弊社ホームページのカスタマーポータルからお問合せください。

1.3 Windows へのインストレーション

1 インストールファイルsawmill8.7.x.x_xnn_windows.exeをクリックします。（注記： xnn 64bitの場合x64 、32bitの場合x86）

2 “SAWMILL 8 RELEASE NOTES” 画面が現れます。そのまま”Next”をクリックします。

3 インストール先フォルダを指定するウインドウに変わります。特に必要のない限りは、デフォルト（C:¥Program files¥sawmill 8）のままで、”Next”をクリックします。

4 インストールするコンポーネント全てにチェックが入っていることを確認し、 ”Install” をクリックします。（sawmill はサービスとしてインストールするのがデフォルトなので、変更せずに進めます。）

5 インストールが完了のメッセージが表示されます。“Finish”を押します。

6 しばらくすると、初期設定のウイザードに変わります。手順 4.2 をご参照下さい。


6

1.4 MacOS へのインストレーション

1 デフォルトのディレクトリ/Applications/Sawmillにインストールします。

2 ディレクトリLibrary/StartupItemsが存在しない場合は、作成します。

3 Library/StartupItemsディレクトリに/Applications/Swamill/Startupディレクトリをコピーします。


7

2 初期設定

1.1 GUI を日本語化する（※ここから先は、日本語 GUI の環境で説明を進めます。）

1 製品のCD-ROM内にある日本語化zipファイルを解凍します。 2 “how_to_setup”にしたがって、必要なディレクトリ（フォルダー）をコピーします。

注記 1：全てのファイルをコピー後、Sawmill サービスの再起動を行わないと、 GUI が日本語になりません。

注記 2：初期設定ウイザードを英語モードで進める場合には、日本語化ファイルのコピーは後回しで構いません。日本語化ファイルはどのタイミングでもコピーできます。以下、ウイザードに表示されるメッセージは、内容としては英語/日本語とも全く同様です。

注記 3：以下の画面ショットは Windows ですが、Linux 等でも表示内容は同様です。

1.2 初期設定ウイザード

1 ウイザード開始画面が現れます。

「次へ」をクリックします。

インストールが終了すると、自動的に初期設定ウイザードに移行します。ここではそのウイザードで設定する内容の意味と設定方法を説明していきます。


8

2 ライセンスに関する同意を求める画面に遷移します

3 ｢ライセンス同意書の条件に同意します。｣にチェックを入れ、「次へ」をクリックします。

4 ライセンスキー入力画面に変わります。

5 正規ライセンスを取得している場合は“ライセンスキーを入力してください”にチェックし、その下のボックスにライセンスコードを入力します。評価であれば “Sawmillを 30 日間評価する”にチェックを入れ、“次へ”をクリックします。


9

6 Sawmill管理者登録画面が表示されます。

7 管理者（ルート）のユーザー名とパスワードを入力して“次へ”をクリックします。今後 Sawmillにアクセスする際に、ここに入力したユーザ名とパスワードを入力する必要がありますので、メモしておいてください。

8 管理者のメールアドレス設定に関する画面が現れます

9 ルート管理者が用いているメールアドレスと、SMTPサーバーを入力します。ここでの入力はオプションですが、管理上の情報をメールで得ることができるので、入力しておくことをお勧めします。


10

10 （評価版の場合）エディションを選択する画面に遷移します。 →評価したいエディション（Lite/Professional/Enterprise）を選択し、｢次へ｣をクリックします。

11 自動フィードバックエージェント有効化の画面に変わります。

12 Sawmillの品質向上・製品改良のために、定期的にフィードバック情報を開発元に送信

することに同意いただける場合、チェックを入れてください。必須ではありません。（チェックを入れ

た場合、ポート 80 番によるHTTPコネクションが発生します。Sawmillインストールサーバー

がインターネットに繋がらない環境下にある場合、チェックは必ず外してください。）

13 ウイザード完了画面に遷移します。

14 ｢完了｣をクリックし、ウイザードを終了させます。ログイン画面に遷移します。


11

2 プロファイルの作成

1.1 プロファイル作成ウィンドウを開く

1 Webブラウザーを開き、http://ip-address:8988（ip-address: Sawmillを実行するサーバーア

ドレス、8988: デフォルトポート番号）と入力してSawmillを起動します。

2 初期設定で入力した管理者のユーザー名とパスワードでログインします。

3 以下の画面に変わります。プロファイルが一つも作成されていない状態の表示です

“新規プロファイル作成”をクリックします。

「プロファイル」とは、ログソースを読込んでデータベースに書き込み、レポートを表示させる解析に必要な処理の単位です。Sawmill をインストールし、初期設定が終了したら、解析したいログソースを選定し、プロファイルを作成します。


12

1.2 ログソースの指定解析するログファイル（ログソース）を指定します。ログソースタイプ、ログファイルのパス名などを指定します。(S)FTP、HTTP によるログファイル転送を指定することもできます。Enterprise エディションの場合は、外部のデータベース MySQL、MS SQL Server、Oracle を指定することも可能です。 Sawmill は、多彩なログソース指定方法を備えています。以下、各方法別に、実際のログソース指定オペレーションを説明していきます。

A. 単一のログファイルを指定する(ローカルディスク上)

1 前頁画面左上、｢ここから始める｣をクリックします。(既にプロファイルが存在し、プロファイ名

がひとつでもリストにある場合は、さらにその上の｢新規プロファイル作成｣をクリックします)

2 以下の別画面が開きます。ファイルへのパスがわかっている場合は、｢パス名｣右の欄に、フルパスで入力します。ディレクトリの一覧から探す場合は、「ブラウズ」をクリックします。

注記：パス名に日本語(2 バイト文字)は使用できません。

3 上記｢ブラウズ｣をクリックした場合は、さらに別画面が開かれます。ここでは、Windowsの「C」ドライブにあらかじめ作成しておいた、「logs」フォルダの中に格納した、apacheのアク

セスログを指定する例です。

4 処理したいログファイル名をクリックし、「OK」をクリックします。 →5.3「ログフォーマットプラグインの指定」に進みます。


13

B. あるディレクトリ(フォルダ)を指定、その配下にあるファイルを全て対象にする ※ここでは、Linux にインストールした場合の例で説明しています。

1 前頁、手順A-②同様、フルパスを入力するか、｢ブラウズ｣クリックで、一覧表示をさせます。一覧表示をさせると、以下のような別ウインドウが開きます。

2 上記は、あらかじめ作成しておいた、”/mnt/nas” ディレクトリに、NASをマウントし、その中の”sawmill/LogSource/apache_sample” を指定した例です。

3 ディレクトリ(フォルダ)を選択後、「OK」をクリックします。

4 上記ウインドウが閉じた後、「マッチするファイルを表示」をクリックすると、以下の様に、｢apache_sample｣配下の全てのファイルが表示され、これらが全て読込まれる対象であることを示しています。

5 正しく設定できたら、5.3「ログフォーマットプラグインの指定」に進みます。


14

C. 正規表現またはワイルドカードで、条件にマッチするファイルのみ対象とする

前頁手順Bの場合は、ディレクトリ配下の全ファイルが対象となります。しかし、一部のみ処理さ

せたい場合もあるかもしれません。処理対象ログファイル選択で、より細かい条件を指定したい

場合は、ワイルドカードや正規表現を用いるのも一手法です。

〔例 1：ワイルドカード〕ログファイルの中から、1 月のログのみ読込ませたい

1 前頁、手順B-①～③までを実行します。

2 ログソースのパス名入力欄には、 ”/mnt/nas/Sawmill/LogSource/apache_sample” と表示されています。この後ろに、ファイル名指定を追記します。 ”/mnt/nas/Sawmill/LogSource/apache_sample/apache201101*.log”

3 ｢マッチするファイルを表示｣をクリックして、以下の通り 2011 年 1 月のログのみ表示されていれば、正しく指定ができています。



15

〔例 2：正規表現〕ログファイルの中から、日付が二桁(10～31 日)のみを読込ませたい

1 前々ページ、手順B-①～③まで実行します。 2 ログソースのパス名入力欄には、

”/mnt/nas/Sawmill/LogSource/apache_sample” と表示されています。

3 次に、上記画面の「ファイル種別でマスク」をクリックします。以下のように、｢ファイルマスク｣入力欄が表示されます。

4 「ファイルマスク」欄に、以下の通り入力します。 2011[0-9]+_[1-3][0-9].log

5 入力欄すぐ下、｢ファイルマスクは正規表現｣にチェックを入れます。


16

6 「マッチするファイルを表示」をクリックし、意図したとおりに絞込みができているかを確認します。

↑意図したように、日付が二桁のログファイルのみ、マッチングしています。


1.3 ログフォーマットプラグインの指定

A. ログフォーマットプラグインとは

ログ解析を正しく、効果的に行うためには、読込んだログソースのレコード 1 件 1 件に含まれている値を、フィールドごとに正しく認識・取出しをすることが大前提となります。「ログフォーマットプラグイン」はその読み込み、フィールドの定義、値の認識と取り出し、データベース（テーブル）

への書込みといった、ログ解析の処理手続きを記述したスクリプトファイルです。読込んだログフォーマットに適応したプラグインを選択しないと、解析・レポーティングが正しく行

えません。

ワイルドカードや正規表現を用いれば、複雑な条件のログソース絞込みが可能になります。


17

B. ログフォーマットプラグイン選択の手順(適合するログフォーマットが自動検出される場合)

手順 5.2「ログソース指定」が終了し、｢次へ｣をクリックすると、ログフォーマットを判別するため、

ログソースの最初の 10 レコード(デフォルトの場合、設定で変更が可能)を読込み、適合するログフォーマットプラグインが存在する場合、以下のようなウインドウが表示されます。（ここで適合するフォーマットが無い場合の説明は、手順Cをご覧ください。）

1 表示された候補の中から、フォーマットを選択するここでは、”Apache NCSA Combined with syslog” を選択し、「次へ」をクリックします。

2 Syslogフォーマットを選択する注記：以下の画面は、読込んだログソースがSyslogフォーマットも必要とする場合に表示されます。W3C形式等のログソースの場合は自動的にスキップされ、に手順④ の画面に移ります。

3 シスログフォーマットを選択し、「次へ」をクリックします。 (「シスログを必要としますが、検出できませんでした」というメッセージが表示された場合、マニュアルでSyslogフォーマットを決定する必要があります。Syslogフォーマットについては、11.1.Appendix－Syslogフォーマットに関して－を参照してください)


18

C. ログフォーマットプラグイン選択の手順（適合するログフォーマットが検出されなかった場合）

1 上記ウインドウが表示されます。そのまま「次へ」をクリックし、手動でログフォーマットプラグインを選択します。

2 ログフォーマットプラグインを選択する上記画面に移ります。ログフォーマットプラグインは、標準で 1,000 種類以上が備わっており、一

覧から探すのは大変です。そこで、一覧上の入力欄で検索をすることができます。上記

は、”apache” で検索した例です。該当するログフォーマットプラグインのみが一覧に表示される

ので、ログソースの機種名、メーカ名等がわかっている場合には大変便利です。 ◎ログフォーマットプラグインの選択が終了したら、手順 B-②に戻って以降のオペレーションを続行してください。


19

1.4 データベースに関するオプションを設定する

1 データベースの種類、及びデータベースのディレクトリを指定します。ここで何も指定せずに、そのまま「次へ」をクリックするとデフォルトで、データベース種類：内蔵データベースディレクトリ：LogAnalysisInfo>Databases 配下で構成されます。 ◎Enterpriseエディションをお使いで、外部DBMS(MS SQL Server、My SQL、Oracle) を指定したい場合は、ここで設定します。 ◎内蔵データベースで、ディレクトリのみを変更したい場合もここで設定します。

※パフォーマンスは、内蔵データベースをローカルディスク(デフォルト)上に指定するのが最も優れています。Sawmill をインストールしたサーバーのメモリが少ないなど、データベース処

理にリソースをとられたくない場合、Sawmillデータベースに、外部DBMSを指定の上、ネット

ワーク上に置くことも選択肢になります。指定が終わったら、｢次へ｣をクリックします。

2 データベースパフォーマンスオプションの画面に移ります。レポート作成を高速にするために、デフォルト（チェックが入った状態）のままにしておくことをお勧めします。チェックをはずすと、データベースのサイズは小さくなりますが、レポート作成のパフォーマンスは落ちます。｢次へ｣をクリックします。

3 データベース数値フィールドオプションの画面になります。


20

4 必要なフィールドを選択し、”次へ” をクリックします。

1.5 プロファイル名入力(ウイザードの終了) 管理上わかりやすいプロファイル名をつけて下さい。プロファイル名を入力したら、「終了」をクリックします。

●データベース数値フィールド・・・Web ログの「セッション時間」、「訪問者数」など、ログそのものに実際に値が入っているわけではなく、ログから得られる情報から Sawmill が計算して求めるフィールドのことです。計算する分、システムに負荷がかかりますので、必要なフィールドに絞ってチェックを入れてください。

プロファイル作成が終了すると、左

記ウインドウが開きます。このまま

レポート閲覧に進む場合は上段

「データの処理＆レポートの閲覧」

を、さらに設定を変更する(ex.ログ

ソースを追加する)場合は、下段の

「プロファイルの設定を表示」をクリ

ックします。


21

2 レポートの閲覧とカスタマイズ

1.1 プロファイル作成直後のレポート例プロファイル作成が終了し、「レポートの閲覧」を選択すると、下記のようになります。

A. レポートフィールド上記画面の左ペイン（赤枠囲み）が、このプロファイルのレポートフィールドであり、同時に、これら一つ一つが、「レポート」として、画面表示（項目をクリック）フィールド（項目）の追加・削除レポートのソート特定の項目に絞って、関連する項目を表示（ドリルダウン）

などのカスタマイズ操作をする際に、その「入り口」となります。

Sawmill のレポーティングの大きな特徴として、以下の点を挙げることができます。

プロファイルを作成さえすれば、それだけで美しく見やすいレポートが提供されるひとつのプロファイルには（仕様上）上限無くレポートの新規作成（追加）ができる作成済みのレポートをGUIから簡単にかつ柔軟にカスタマイズできるここでは、上記②、③の特徴にフォーカスし、カスタマイズの方法や、レポーティングの具体例を説明していきます。


22

1.2 レポートを閲覧－デフォルトのレポートを表示させるどの画面からでも、「レポートを閲覧」をクリックすると、まず、「概要」が表示されます。左ペインに表示されている項目をクリックすれば、そのままレポートとして表示されます。

A. 「ログ詳細」をクリックした場合ペインのアイコンが三角形になっている項目は、グループ化されたレポートのグループ名であることを意味しています。クリックすると、そのグループに属しているレポートフィールドが展開され、さらにその項目をクリックすることで、各々のレポートが表示されます。

B. 「日付と時間」レポートグループをクリックします。

C. 展開された項目の中から、表示させたい項目をクリックします（ここでは、「日」）。

1 グループ名である「日付と時間」をクリックします。グループに属する項目が展開されます。

2 表示させたい項目（ここでは、「日」）をクリックします。


23

D. ログデータの日付毎に件数が表示されます。 ◆レポートごとに、表示されるフィールドは若干異なります。「ログ詳細」をクリックすると、

全フィールド、全レコードが表示されます。

1.3 レポートのカスタマイズ-1 レポートフィルターを使う

A. レポートフィルター(1) 表示されているレポートの項目をクリックする方法 →例として、特定のページに絞ったアクセス状況を見る方法を説明します。

1 左ペインの「内容」をクリックして、項目を展開します。 2 展開された項目の中の「ページ」をクリックします。 3 絞りたい項目(ここでは、”SAWMILL”)横の虫眼鏡アイコンをクリックします。

4 5 6 7 8 9 10 11 12 13 14 15 16

4 絞り込んだ項目に対応する、表示させたい他の項目を選択します。ここでは、


24

「ホスト名」をクリックします。これにより、ページ ”sawmill” にアクセスしたホスト名を表示させることができます。

※ここでは、件数の多い順 10 レコードしか表示されていません。表示行を増やすには、以下のいずれかを行ってください。

1)レポート右、真ん中より少し上、行数表示をクリックするまたは、 2)さらにその上、「カスタマイズ」をクリックする。

→「カスタマイズ」をクリックすると、上記ウインドウが開くので、「行数」欄に表示させたい行数を入力し、「OK」をクリックします。

1)

2)


25

5 指定した行数が表示されます。

B. レポートフィルター(2) レポートフィルター入力欄に条件を入力する方法 →このプロファイルで「ページ」を表示させると、製品名以外のページ名がたくさん表示されています。「レポートフィルター」の機能を、単一の製品名のレコードのみを表示させる例で説明します。

1 レポート画面左上、「フィルター」アイコンをクリックします。

2 以下ウインドウが開きます。「新規項目」をクリックします。


26

▲単一の製品名以外のレコードは、どうやら”・・・・.php” など、終わりがファイルの種類 (拡張子)になっているものが多いようです。これらが全て非表示になるよう設定します。

3 上記のようなウインドウが開きます。 1) 「フィルタータイプ」：標準 2) ｢フィールド｣：ページ 3) 「演算子」：ワイルドカードに不一致 4) 「値」： *.* 以上のように入力し、「OK」をクリックします。

4 小さい方のウインドウが閉じ、以下の画面に遷移します。フィルター条件文の左側にチェックが入っていることを確認し、「保存して適用」をクリックします。 (→チェックを外して、「保存して適用」をクリックすれば、いつでもフィルターを無効にすることができます。頻繁にフィルタリングするが、たまにはフィルター無しのレポートも閲覧したい、という場合に使うと便利です)


27

5 ファイルの種類(拡張子)を含むレコードが落とされ、少しすっきりしたレポートになりました。

C. レポートフィルター(3) さらに条件を追加してフィルタリングする例 →レポートフィルターは、条件に演算式や正規表現を記述したり、複数の条件を重ねたりすることで、より柔軟な絞込みが可能になります。例として、上記のひとつの条件でフィルタリングしたレポートから、さらに｢デフォルトページ｣を含むレコードを落とす方法を説明します。

1 再度、左上「フィルター」アイコンをクリックします。 2 「新規項目」をクリックします。

1) フィルタータイプ：「標準」 2) フィールド：「ページ」 3) 演算子：「ワイルドカードに不一致」 4) 値：「*default*」 ※ 入力後、「OK」クリック、次の画面で,チェックが入っていること

を確認し、「保存して適用」をクリックします。 ※値 *default* ・・・このマニュアルは全て日本語環境で説明していますが、表示を日本語に置換

えているだけで、データベースに格納されている値は全て英語表記なので、

このようにします。


28

「デフォルトページ」を含むレコードが表示されなくなりました。

1.4 レポートフィルターとログフィルターの違い A. 〔レポートフィルター〕

プロファイル作成で構築されたデータベースにクエリをかけ、レポートを生成する段階で絞り込む →データベースの中身そのものは変化しない

B. 〔ログフィルター〕ログレコードを処理する時点で、条件で絞る →実際に取り込むレコード数を少なくすることで、データベースのサイズを小さくできる ※ログフィルターに関して、詳細は手順 10-2 をご参照ください。

sawmill データベース

レポート作成

レポート

条件で絞込み

sawmill データベースログ取り込み、プロファイル作成

ログソース

条件で絞込み


29

1.5 レポートのカスタマイズ-2 ソート値が日付もしくは数値のフィールドは、全てソートの基準に指定できます。昇順・降順の指定はもちろん可能です。

A. 例 1：「日」レポートのソートキーとソート順を変更する方法－ソートキーは「日」

1 左ペインの「日付と時間」レポートグループをクリックし、項目を展開します。その中から、「日」をクリックします。デフォルトでは、日付は昇順（古い順）に並んでいます。

2 レポート中央右よりの、「カスタマイズ」をクリックします。

3 上記ウインドウが開きます。これは、変更前の状態です。「ソートキー」の二つ右側のプルダウンで、「降順」を選択し、「OK」をクリックします。


30

4 日付が降順（新しい順）に表示されます。

B. 例 2：ソートキーの変更

1 再び、画面中央右よりの、「カスタマイズ」をクリックします。

2 「ソートキー」プルダウンで、選択します。また、昇順・降順を右側のプルダウンから選択します。ここでは、ソートキーに、「訪問者数」、ソート順は降順とします。


31

3 訪問者数の降順で表示されています。

1.6 レポートのカスタマイズ-3 ドリルダウン Sawmill は、レポートで表示されている項目ごとに、その値にのみ対応する他項目の値を連動し

て表示させる、ドリルダウンがGUIで簡単に行えます。ここからは、ファイルサーバーアクセスログ

を例に、ドリルダウンの一例を説明します。

1 上記、ファイルサーバーアクセスログの「ログ詳細」画面の例です。まず、「ユーザーアカウント」をクリックしてみます。


32

2 上記画面に遷移します。ここで、アクセスの多い、上位 3 名にフォーカスします。ユーザ名左側の虫眼鏡アイコンをクリックすると、上記のように色が付きます。次に、左ペインの「時間帯」をクリックします。

3 上記画面に移ります。夕方と深夜にばかりアクセスがあるようです。今度は逆に、アクセス時間帯から、どのユーザが多いのかを見ていきます。深夜時間帯の横、虫眼鏡アイコンをクリックし、色が付いたのを確認したら、左ペインの「ユーザーアカウント」をクリックします。


33

4 「jupiter」さんが圧倒的に多いことがわかります。以上、ドリルダウンの例を説明しました。プロファイル作成後、左側ペインに表示される全ての項目がそれぞれ「レポート」であり、各々のレポートに表示されるレコード全てから、ドリルダウンの操作が可能です。

1.7 レポートのカスタマイズ-4 レポートの保存・作成・削除 6.3 で説明した、レポートのフィルタリング 6.5 で説明した、レポートのソート 6.6 で説明した、レポートのドリルダウン

上記操作で新たに表示されたレポートは、全て保存ができます。絞込みやドリルダウン等の条件が変わらなければ、次からは保存されたレポートのレポート名（左ペインに加わります）をクリックするだけで、同じレポートが表示されます。データベース更新(手順 7-2 をご参照ください)後のレポートは、自動で更新後のデータを反映したレポートになります。また、「日付選択」を用いて、さらに日付（日付の範囲）で絞り込むことも可能です。

A. 条件設定したレポートを保存する方法

1 上記 6.6 手順④で示したレポートを保存する場合は、中央上寄りの「その他」をクリックします。展開されたメニューの中から、「新規レポートとして保存」を選択します。


34

2 上記のような別ウインドウが開きます。最上部、レポート名には、任意の名前をつけることができます。管理上わかりやすいレポート名を決めて入力してください。ここでは、「深夜帯ユーザ」としました。

3 最下部、「有効なフィルターを保存」は、デフォルトでチェックが入っています。このままチェックを入れておきます。フィルター条件をレポート上に表示させたくない場合は、下のラジオボタン、「フィルターを、隠し表現として保存」を ON にします。表示させる場合は、デフォルトの、「明示的なフィルター条件として保存」のままにしておきます。

4 レポート名の入力、その他設定が終了したら、右上、「保存」をクリックします。

5 上記画面のとおり、左側ペインに「深夜帯ユーザ」レポートが表示されます。


35

B. レポートを新たに作成する方法

1 「レポートエディタ」を開きます。開き方：1) 初期画面(プロファイル一覧)から（レポートを新規作成したいプロファイルの）「設定オプション」→「レポートエディタ」開き方：2) 任意のレポートから、「設定でカスタマイズ」をクリック

2 上記画面に遷移します。メニューの「新規レポート」をクリックします。

3 「新規レポート」という名前のレポートが生成され、左側ペインに加わります。右側部分で、まずレポートの名前を決めます。ここでは、「ユーザ jupiter」としました。管理上わかりやすい名前をつけてください。


36

4 「レポート要素が定義されていません」の文字部分をクリックすると、以下、レポート要素編集の画面に変わります。

5 「タイプ」プルダウンから、ここでは、「standard - ユーザーアカウント -」を選択します。 6 「表示」プルダウンから、グラフとテーブルの内表示させたい方、または両方を選択します。

デフォルトは、両方(「グラフとテーブル」)です。

《下半分のタブの説明》一般：レポートの説明と、ヘッダ、フッタを定義します。ここでは、説明「テストレポート 1」

ヘッダを「header1」としました。フィルター：レポートフィルター及びテーブルフィルタを定義します。グラフ：グラフに表示させるテーブル名を定義します。ここに何もチェックが入って

いないと、手順⑥で「グラフ」または「グラフとテーブル」を選択していても、グラフは表示されません。テーブル：レポートに表示させるフィールドを定義します。フィールドの追加・削除は

ここで行います。テーブルオプション：レポートに表示させる行数と、集計行を定義します。テーブルを回転：エクセルのピヴォットテーブルのような集計を定義します。

7 全ての入力・設定が終了したら、「OK」をクリックします。 8 左上「変更を保存」をクリックします。


37

9 レポート閲覧に戻り、左側ペインに加わった、「ユーザ jupiter」をクリックすると、以下の通り表示されます。

C. レポートを削除する方法

※この手順は、 1) デフォルト(プロファイル作成時点で存在する)のレポート 2) レポートをフィルタリングまたはドリルダウンして、新規保存したレポート 3) 新たに作成したレポート全て共通です。

1 手順 B-①に従い、「レポートエディタ」を開きます。 2 左側ペインより、削除したいレポートを選択します。 3 削除したいレポート名が反転していることを確認し、メニューの「削除」をクリックします。

注記：削除を確認する警告メッセージは表示されません。左側ペインで、削除すべきレポートを正しく選択しているか、よく確認してから行ってください。


38

1.8 レポートのカスタマイズ-5 グラフの表示変更及び非表示化 A. グラフの種類の変更 1 手順 6-7、B-①にしたがい、「レポートエディタ」を開きます。 2 左側ペインより、グラフ表示の変更をしたいレポートを選択します。 3 画面中央部、表示されているレポート要素の文字上をクリックします。 4 「グラフ」タブを選択します。

5 上記別ウインドウが開きます。グラフに表示させたい項目にチェックを入れます。 6 「グラフオプション」タブを開きます。

7 上記画面に遷移します。グラフの種類を選択します。棒グラフ、折れ線グラフ、円グラフの 3 種類から選択でき、円グラフを選択した場合は、「3D 表示」にできるオプションもあります。

8 上記ウインドウの「OK」をクリックした後、左上、「変更を保存」をクリックします。

B. グラフを非表示にする方法上記画面の右上プルダウン、「表示」を「テーブル」にします。「OK」と「変更を保存」をクリックします。


39

2 プロファイル作成後の運用及び保守管理

7.1 スケジューラ設定画面

1 初期画面のメニュー「スケジューラ」をクリックします。

2 上記画面は、スケジュールが何も登録されていない状態です。

ログは毎日発生します。最新のデータが反映されたレポートを見るためには、新たに発生したログレコードを、日々取り込む必要があります。また、管理者が、その最新のレポートをメール転送させたい場合もあるでしょう。あるいは、レポートをファイルとしてアーカイブする必要があるかもしれません。新たなログデータを日々取り込んでいくと、とうぜん積み上がっていきます。そのままにしておくとデータベースが大きくなりすぎ、パフォーマンスの低下を招きます。よって一定期間経過後のデータは削除する必要もあります。 Sawmill は、以上のような、日々の運用に欠かせない作業はほぼ全て、スケジューラで自動実行が可能です。ここでは、スケジューラを用いて定期的に行ったほうがよいオペレーションの説明を、Sawmill をより便利に使いこなしていただけるような推奨例を絡めて、説明していきます。


40

7.2 データベース更新

A. データベース更新とはプロファイルが作成されると、指定したディレクトリ、または外部のデータベース（Enterprise エディションのみ）に、データベースが作成されます。新たに発生、ログファイルに蓄積されたログデータを、そのデータベースに追加（既に DB にあるデータはそのままに）するのが、データベース更新です。

B. スケジューラによるデータベース更新の設定手順

1 前頁、スケジューラ画面のメニュー、「新規スケジュール」をクリックします。

2 「名前」欄は、最初は「新規スケジュール」になっています。管理上わかりやすい名前を入力

してください。ここでは、「DB 更新_sample1」としました。 3 中央の、「アクションが定義されていません」の文字上をクリックします。

4 上記別ウインドウが開きます。アクション：「データベースを更新」

5 プロファイル：データベース更新を設定したいプロファイル（ここでは”sample1”）をそれぞれ選択します。

6 「OK」を押下します。


41

7 別ウインドウが閉じ、以下画面に変わります。

8 中央より上、「スケジュール」欄を設定します。毎日行う場合は「月」「日」とも、「全て」のままにしておきます。ここを変更することで、月 1 回あるいは週に 1 回のスケジュールにできます。

9 起動させたい時刻を「時」「分」欄で設定します。 10 左上の「変更を保存」をクリックし、反映させます。

参考 1：時刻設定欄の右側、「今すぐ実行」をクリックすると、設定した頻度・時刻に関係なく, アクションが直ちに実行されます。正しく動作するかのテストをこれで行うことができます。

参考 2：マニュアルでデータベース更新を行う方法初期画面>当該プロファイルの「設定オプション」>データベース更新> 「データベース更新を開始」の順にクリックします。

7.3 レポートの出力

1 手順 7-1、①にしたがい、スケジューラ画面を開きます。 2 同じく、7.-2-B、①にしたがい、「新規スケジュール」を開きます。 3 同じく、7-2-B、②にしたがい、アクションの名前を入力します。管理上わかりやすい名前を決

めて入力してください。ここでは、「レポート出力 sample1」としました。 4 中央の、「アクションが定義されていません」の文字上をクリックします。


42

5 アクション：プルダウンより、「レポートファイルを生成」 6 プロファイル：ファイルとしてレポート出力したいプロファイル（ここでは、「sample1」） 7 レポート：ファイルとして出力したいレポート（ここでは、「全画面一括表示」） 8 レポート日：ファイル出力の対象としたい、ログデータの日付範囲を指定

全件出力の場合→そのまま日付の範囲を絞りたい場合→「日付の範囲全体」の文字上をクリックします。

9 「日付の範囲全体」をクリックした場合、以下の画面が開きます。 →「日付を設定」プルダウンで、以下の 3 つから選択します。

a. [アクションを実行する日から数えて最終 N 日間] b. [ログ日付の最新の日から数えて最終 N 日間] c. [Custom date filter]

a または b を選択した場合、「N 日」を、その下の欄で設定します。c を選択した場合のオプションに関しては、弊社にお問合せください。

10 出力フォーマット：pdf か html を選択します。

11 出力ディレクトリ：ファイルの出力先ディレクトリを指定します。注記：pdf の場合は、ファイル名 “xxxx.pdf” までの指定が必須です。html の場合は、ファイルを格納する最下層ディレクトリまでを指定します。

12 全ての項目の入力が完了したら、右上の「OK」をクリックします。以降は、手順 7-2-B、⑦～⑪と同様です。

⑤ ⑥

⑦

注記：pdf は、「全画面一括表示」等、複数のレポート要素を含むレポート出力に対応できません。また、日本語環境では、ヘッダやレポート名が表示され

ません。いずれも仕様です。html を選択いただくことをお勧めいたします。

⑧ ⑩

⑪


43

7.4 レポートをメールで送信

A. SMTP サーバーの設定

●レポートのメール送信には、あらかじめ SMTP サーバーを設定しておく必要があります。以下の手順で行ってください。

1 初期画面>環境設定>（左ペインの）「SMTP サーバー」 2 サーバー名（ホスト名または IP アドレス）、ユーザ名、パスワードをそれぞれ入力し、

「変更を保存」を押下します。

B. レポートをメールで送信するアクションの設定

1 手順 7-1、①にしたがい、スケジューラ画面を開きます。 2 同じく、7.-2-B、①にしたがい、「新規スケジュール」を開きます。 3 同じく、7-2-B、②にしたがい、アクションの名前を入力します。管理上わかりやすい名前を決

めて入力してください。ここでは、「メール送信 sample1」としました。 4 中央の、「アクションが定義されていません」の文字上をクリックします。

5 アクション：プルダウンより、「レポートファイルをメールで送信」。 6 プロファイル：ファイルとしてレポート出力したいプロファイル（ここでは、「sample1」）。 7 レポート：ファイルとして出力したいレポート（ここでは、「全画面一括表示」）。 8 レポート日：手順 7-3-⑧を参照してください。 9 返信先：ここに入れたアドレスが、そのまま差出人のアドレスになります。 10 送信先：レポートをメール送信したいアドレスを指定します。 11 表題：メールの件名を入力します。 12 言語：言語環境を指定します。特に必要がなければ、このままにしておきます。 13 「OK」を押下し、以降は、手順 7-2-B、⑦～⑪と同様です。

⑤ ⑥

⑦ ⑧

⑨

⑩

⑪

⑫


44

7.5 データベースから、過去のデータを削除

1 手順 7-1、①にしたがい、スケジューラ画面を開きます。

2 同じく、7.-2-B、①にしたがい、「新規スケジュール」を開きます。

3 同じく、7-2-B、②にしたがい、アクションの名前を入力します。管理上わかりやすい名前を決

めて入力してください。ここでは、「古いログデータ削除 sample1」としました。

4 「アクションが定義されていません」の文字上をクリックします。

5 アクション：「データベースからデータを削除」

6 プロファイル：データ削除したいプロファイルを選択します。

7 何日以前のデータを削除対象とするか：日数を入力します。

8 「OK」を押下し、以降は、手順 7-2-B、⑦～⑪と同様です。

⑤ ⑥

⑦


45

3 FAQ・トラブルシューティング

8.1 ライセンス関連 Q1．評価版から正規版にする際、サービス再起動は必要ですか? A1．必要ありません。 Q2．評価版から正規版にする際、設定事項や、構築したプロファイルは引き継げますか? A2．引き継げます。初期画面の「ライセンス」を開いてキーを入力するだけですので、評価版

で作成したプロファイルやデータベースを壊すことはありません。 Q3．ライセンスキー入力・適用の際、インターネットに接続されていることが必要ですか? A3．必要ありません。

8.2 レポートに関して Q4. 文字化けしているのですが -その 1- A4. →原因・・・読み込んだログソースが UTF-8 でないため

（sawmill は、ユニコード UTF-8 が標準） →解決法・・・文字コード変換をする

1 当該プロファイルの「設定オプション」をクリックします。

2 以下画面に遷移します。「ログプロセス」をクリックします。

ここでは、今まで複数回の問合せがあった事項に関して、事象と対策を説明していきます。


46

3 以下の画面に移ります。「文字コード変換」をクリックします。

4 以下のようにプルダウンから選択します。 From：(例)「日本語」「shift-jis」 → ログソースの文字コードを確認し、一致させてください。 To：「ユニコード」「utf-8」

5 画面左上、「変更を保存」をクリックし、その後、データベース再構築を行います。（データベース再構築の手順は 11-2 を参照してください。）


47

Q5. 文字化けしている -その 2- A5. 原因・・・html ソースに改行キャラクター（<br>）が入ってしまうため

→解決法・・・レポートのフィールドに表示できる文字数を長くするレポート表示の部分に改行コードが入らないようにするチューニングと、データベースに保存

されている値自体に入らないようにする設定、2 段階の作業が必要です。

Q5-a レポートの表示部分のチューニング

1 当該プロファイルの「設定オプション」>レポートオプション>の順にクリックします。 2 以下画面に遷移します。「数値とテキスト」をクリックします。

3 中央部分の「テーブルセル」の各値を大きくします。〔項目の説明〕最大長：テキスト項目（フィールド）の最大文字数。この数値より多い文字列が値としてフィールドに入っていた場合、レポート表示では切り捨てられます。

最大連続長：1 行で最大何文字表示させるかの指定。この数値が少ないと改行コードが入ってしまうため、「□□・・」のような表示になることがあります。

最大連続長オフセット：文字列の最後の改行コード以降、何文字までは改行せずにそのまま表示させるかの指定。例えば、最大連続長が 10、オフセット 2 とすると、10+2＝12 となり、〈改行コード〉本日は晴天な〈改行コード〉りのような表示なってしまいます。オフセットを例えば「4」にしてやれば、10+4＝14 となり、〈改行コード〉本日は晴天なりと表示されます。

4 数値の調整が終わったら、画面左上、「変更と保存」をクリックします。


48

Q5-b データベースのチューニング

1 当該プロファイルの「設定を見る」>データベースフィールドの順にクリックします。 2 以下画面に移ります。文字数を調節したいレポートフィールドを、左ペインから選択します。

3 中央部分、「フィールド長」の数値を大きくします。 4 画面左上、「変更を保存」をクリックします。 5 データベース再構築を行います（手順は 11-2 を参照してください）。

Q6. 昨年のログデータのはずなのに、今年のデータとして表示される。なぜ? A6. RFC3164 準拠の syslog フォーマットでは、年の情報がログデータに入っておらず、

sawmill が、何年のデータかを認識できないため →対処法ログファイル名に、年を入れる

ex. file_2009.log、file_2010.log、file_2011.log・・・・注：拡張子は.log に限られます

8.3 データベースに関して Q7. スケジューラから、「データベースからデータを削除」を実行すると、以下のエラーが発生

“Unable to write ***** bytes to file LogAnalysisInfo¥・・・This can happen if you run out of disk space,・・・”

A7. 原因：ディスクの空き容量不足 →sawmill は、古いデータを削除する際、いったんデータベースを丸ごとコピーし、コピー先から、スケジューラで指定した条件にマッチするデータを削除、その後、もともとのデータベースを削除します。そのため、もともとのデータベースのサイズと同じだけの作業領域分

のディスクスペースが確保されている必要があります。


49

4 高度な設定例

1.1 Sawmill Web サーバーのアドレス及びポート番号変更

1 初期画面>環境設定>(左ペイン)「サーバー」の順にクリックします。

2 上記画面に遷移します。ポート番号及び IP アドレスを入力します。 3 https 接続をしたい場合は、その下、「https を使う」にチェックを入れます。 4 全て入力が終了したら、左上、「変更を保存」をクリックします。 5 sawmill サービスを再起動します。再起動が終わると、設定した IP アドレス、ポート番号

でのウエブアクセスが可能になります。

1.2 ログフィルター手順 6-3 にて、「レポートフィルター」を説明しました。また、ログフィルターとの違いを図示しましたが、ここでは、ログフィルターを設定し、データベースにエントリーするログメッセージを絞り込む手順を説明します。例として、手順 6-3 の「レポートフィルター」にて行ったように、「sample1」プロファイルにて、

拡張子つきのページが現れないようにしてみます。 A. 「構造体」を選択してログフィルー他を設定する 1 当該プロファイル>設定オプション>ログフィルターの順にクリックします。


50

2 上記画面に遷移します。ログフィルターの名称を決定し、入力します。管理上わかりやすい

名前をつけてください。ここでは、「ファイル名ページを無視」としました。 3 「タイプ」プルダウンから、「構造体（条件とアクション/条件またはアクション）」または「式」の

いずれかを選択します。「構造体」を選択した場合は、以下の手順を、「式」を選択した場合は、手順 B 以降を参照してください。

4 「新規条件」をクリックします。以下の別ウインドウが表示されます。

5 ログフィールド：「ページ」、演算子：「ワイルドカードで一致」、値：「.*.」をそれぞれ入力します。

入力が終了したら、「OK」をクリックします。 6 別ウインドウが閉じられます。「新規アクション」をクリックします。 7 以下別ウインドウが開きます。

8 アクション：「ログエントリーを拒絶する」を選択します。 9 「OK」をクリックし、上記別画面が閉じたら、左上の「変更を保存」をクリックします。 10 データベース再構築を実施します（方法は、手順 10-2 を参照してください）。


51

11 以下の様に拡張子を含むレコードはエントリーされず、よってレポートにも表示されませ

ん。

B. 演算式によるログフィルターの設定 1 手順A-②にて、「タイプ」プルダウンから「式」を選択すると、以下のような画面に変わります。

2 式の書き方等、詳細は、「式の参照」リンクをクリックし、表示されるドキュメントをご参照ください。


52

2 付録

1.1 Syslog フォーマットについて sawmill に標準で付属している、syslog フォーマットプラグインの名称及びフォーマット (代表的な種類のみ)

ラベル名(プロファイル作成ウイザードにおける表示名)

ファイル名フォーマット

No Syslog Header (use today's date, or use date/time from message)

nosyslog.cfg 日付フォーマットを特に指定せ

ず、システムの現在時刻またはロ

グメッセージ中の日付時刻を参

照する Seconds since Jan 1 1970 Timestamp Syslog

seconds_since_j an1_1970_ timestamp_syslog.cfg

1970 年 1 月 1 日からの通し秒数

がログレコードの先頭にあるよう

なフォーマットに適用 unix syslog unix_syslog.cfg 一般的なUnixsyslog形式に対応 unix syslog with year unix_syslog_with_

year.cfg Unix syslog に年情報の入ったフォーマットに対応

Balabit IT Security Syslog-NG syslog_ng.cfg Syslog-ng(next generation)フォ

ーマットに対応 Kiwi Syslog(ISO Sawmill) kiwi_iso.cfg Kiwi Syslog サーバーの ISO デ

ータフォーマット、yyyy-mm-dd 形

式のログに対応

1.2 データベース再構築の方法手動でデータベース再構築を行うには、以下の手順に従ってください。 1 当該プロファイル>設定オプション>データベース構築の順にクリックします。 2 「データベース構築を開始」をクリックします。 3 確認メッセージが表示されます。続行するには、「はい」をクリックします。


53

2 おわりに Sawmill 使用中に不具合を発見した場合、あるいは使用上の質問や疑問がありましたらお手数ですが下記までご連絡ください。このマニュアルは、随時見直して少しでも皆様にわかりやすく、使いやすいものに改訂していきます。お気づきの点がありましたら、ご意見ご指摘いただけたら幸いです。

ジュピターテクノロジー株式会社（Jupiter Technology Corp.）

住所：〒183-0023 東京都府中市宮町 2-15-13 第 15 三ツ木ビル 8Ｆ URL： http://www.jtc-i.co.jp/

電話番号： 042-358-1250 FAX 番号： 042-360-6221 購入前のお問い合わせ先： https://www.jtc-i.co.jp/contact/scontact.php または

[email protected]

購入後のお問い合わせ先： https://www.jtc-i.co.jp/support/customerportal/

本文書に関する諸権利は、特に記載されているもの以外は、すべてジュピターテクノロジー株式

会社に帰属しており、著作権法上認められた場合を除き、無断使用・無断転載を禁止します。

http://www.jtc-i.co.jp/

https://www.jtc-i.co.jp/contact/scontact.php

mailto:[email protected]

https://www.jtc-i.co.jp/support/customerportal/

sawmill v8.7.x オペレーションマニュアル...sawmill for version8.7.xユーザガイド...

Documents