3. OASE

3.1. はじめに

本書では、OASE機能および操作方法について説明します。

3.2. OASE メニュー構成

本章では、OASEのメニュー構成について説明します。

3.2.1. メニュー/画面一覧

1. OASEのメニュー

   OASEのメニュー一覧を以下に記述します。

   表 3.75 OASE メニュー/画面一覧

   No	親メニューグループ	メニューグループ	メニュー・画面	説明
   1	OASE	イベント	イベントフロー	OASEに関する各種設定をメンテナンス（閲覧/登録/更新/廃止）できます。
   2			イベント履歴	エージェントによって取得されたイベントの一覧を閲覧できます。
   3		ラベル	ラベル作成	ラベルをメンテナンス（閲覧/登録/更新/廃止）できます。
   4			ラベル付与	ラベルを付与するために、イベント収集対象とラベル付与条件と該当ラベルを紐付（閲覧/登録/更新/廃止）できます。
   5		ルール	フィルター	フィルターをメンテナンス（閲覧/登録/更新/廃止）できます。
   6			アクション	OASEのルール判定にて条件を満たした際に実行するオペレーションとConductorの組み合わせをメンテナンス（閲覧/登録/更新/廃止）できます。
   7			ルール	ルールをメンテナンス（閲覧/登録/更新/廃止）できます。
   8			評価結果	アクション履歴を閲覧できます。「詳細」を押下するとConductor作業確認メニューに遷移します。

3.3. OASE 利用手順

各OASE メニューの利用手順について説明します

3.3.1. OASE作業フロー

OASE の各メニューにおける標準的な作業フローは以下の通りです。

各作業の詳細は次項に記載しています。

• 作業フロー詳細と参照先

  1. フィルターの登録

     メニューグループ「ルール」のフィルターの画面から、ルールに使用するラベルの条件を設定するフィルターを登録します。

     詳細は フィルター を参照してください。
  2. アクションの登録

     メニューグループ「ルール」のアクションの画面から、ルール判定にて条件を満たした際に実行するアクションを登録します。

     詳細は アクション を参照してください。
  3. ルールの登録

     メニューグループ「ルール」のルールの画面から、ルール判定の条件や使用するアクションなどを設定するアクションを登録します。

     詳細は ルール を参照してください。

3.4. OASE メニュー操作説明

本章では、OASE機能のメニュー操作説明について説明します。

3.4.1. OASE メニュー

本節では、OASEをインストールした状態で表示されるメニューの操作について記載します。

3.4.2. イベントフロー

OASE ▶ イベントフロー メニューでは、OASEに関する各種設定をメンテナンス（閲覧/登録/更新/廃止）できます。

OASE ▶ イベント履歴 、OASE ▶ フィルター 、OASE ▶ アクション 、OASE ▶ ルール と同様に使用することができます。

図 3.73 サブメニュー画面（イベントフロー）

図 3.74 使用イメージ画面（イベントフロー）

注釈

フィルター・アクション・ルール の 有効 の値がFalseの場合は、各名称が薄く表示されます。

イベントRAWデータについて

収集したイベントの元データを確認できます。

図 3.75 イベントRAWデータ（イベントフロー）

表示パターン選択について

表示パターン選択 を押下することで、表示するイベントを選択することができます。（複数選択可能）

図 3.76 表示パターン選択（イベントフロー）

表 3.76 イベントフロー画面 表示パターン選択

項目	説明
新規イベント	収集して未だ評価機能に検知されていない状態のことです。 判定時間が過ぎると、既知（判定済み）、未知、時間切れのいずれかに変化します。
既知イベント	評価機能に検知された状態もしくは対象のことです。
未知イベント	フィルターに抽出されなかった（評価機能に検知されなかった）状態もしくは対象のことです。 未知の事象であることから、今後の評価対象として検討する必要が考えられます。
時間切れイベント	下記のいずれかの理由により、ルールの評価対象から外した対象のことです。 ・TTLの2倍以上の期間が経過して、評価対象とするには古すぎる ・TTLを経過した直後の評価タイミング（ルールにマッチさせる最終タイミング）までに、マッチさせることが出来なかった
結論イベント	ルールにマッチした際に、発生するイベントのことです。
実行アクション	ルールにマッチしたことにより実行したアクションの情報を表示します。
ルール	ルールID、ルール名を表示します。

日時・範囲指定について

範囲指定 を押下することで、表示する日時の範囲を指定することができます。

図 3.77 範囲指定（イベントフロー）

〇時間 を押すことで、表示する時間を指定することができます。

デフォルトは1時間、指定できる範囲は最小5分間、最大5年間です。

図 3.78 時間指定（イベントフロー）

動作について

フィルター・アクション・ルール について、各メニューでも、イベントフロー内でもメンテナンス（閲覧/登録/更新/廃止）できます。ドラッグ&ドロップも使用できます。

図 3.79 ドラッグ&ドロップで入力（イベントフロー）

フィルター

図 3.80 フィルター入力画面（イベントフロー）

フィルター の入力項目については、フィルター を参照してください。

アクション

図 3.81 アクション入力画面（イベントフロー）

アクション の入力項目については、アクション を参照してください。

ルール

図 3.82 ルール入力画面（イベントフロー）

ルール の入力項目については、ルール を参照してください。

3.4.3. イベント履歴

1. OASE ▶ イベント履歴 メニューでは、エージェントによって取得されたイベントの一覧を閲覧できます。

図 3.83 サブメニュー画面（イベント履歴）

2. イベント履歴画面の項目は以下の通りです。

表 3.77 イベント履歴画面 項目一覧

項目	説明
オブジェクトID	自動採番のため編集不可。
イベント収集設定ID	[元データ]エージェント
イベント収集日時	エージェントがイベントを取得した日時。
イベント有効日時	イベントの有効日時。
イベント状態	以下の状態が存在します。 ・検討中 ・未知 ・判定済み ・時間切れ
イベント種別	以下の状態が存在します。 ・イベント ・結論イベント
ラベル	付与されたラベル情報。
評価ルール名	[元データ] ルール→ルールラベル名
利用イベント	評価に利用されたイベント。

3.4.4. ラベル作成

1. OASE ▶ ラベル作成 メニューでは、ラベルをメンテナンス（閲覧/登録/更新/廃止）できます。

図 3.84 サブメニュー画面（ラベル作成）

2. ラベル作成画面の入力項目は以下の通りです。

表 3.78 ラベル作成画面 入力項目一覧

項目	説明	入力必須	入力方法	制約事項
ラベルキー	ラベルキーを半角英数字と利用可能な記号(_-)で入力できます。 先頭に記号を使うことはできません。	〇	手動入力	最大長255バイト
カラーコード	設定するとイベントフロー画面で色がつきます。 設定しないとデフォルトで色がつきます。	ー	手動入力	最大長40バイト
備考	自由記述欄。レコードの廃止・復活時にも記載可能。	ー	手動入力	最大長4000バイト

3.4.5. ラベル付与

1. OASE ▶ ラベル付与 では、ラベルを付与するために、イベント収集対象とラベル付与条件と該当ラベルを紐付（閲覧/登録/更新/廃止）できます。

図 3.85 サブメニュー画面（ラベル付与）

2. ラベル付与画面の入力項目は以下の通りです。

   表 3.79 ラベル付与画面 入力項目一覧

   項目		説明	入力必須	入力方法	制約事項
   ラベリング設定名		任意のラベリング設定名を入力します。	〇	自動入力	最大長255バイト
   イベント収集設定名		エージェントで登録したイベント収集設定名が表示されます。	〇	リスト選択	ー
   	キー	検索条件となる、イベントのプロパティのキーをJSONのクエリ言語（JMESPath）で指定します。 半角英数字と記号(!#%&()*+,-.;<=>?@[]^_{|}~)を使用できます。 下記キーも入力可能です。 ・_exastro_event_collection_settings_id ・_exastro_fetched_time ・_exastro_end_time	ー	手動入力	最大長255バイト ※1
   	値のデータ型	値のデータ型を選択します。 ・真偽値、オブジェクト、配列、空判定： 比較方法が[==,≠]の場合に、いずれかを指定してください。 ・その他： 比較方法が[RegExp, RegExp(DOTALL), RegExp(MULTILINE)]の場合は指定してください。	ー	リスト選択	※1, ※2
   	比較方法	比較方法を選択します。 ・<, <=, >, >=： 値のデータ型が、[文字列、整数、小数]の場合のみ選択可能です。 ・RegExp, RegExp(DOTALL), RegExp(MULTILINE)※3： 値のデータ型が、[その他]の場合のみ選択可能です。	ー	リスト選択	※1
   	比較する値	比較する値を入力します。 ・値のデータ型で[真偽値]を選択した場合： trueかfalse（大文字が含まれていても可能）を入力します。 ・値のデータ型で[オブジェクト]を選択した場合： {}で囲みます。 ・値のデータ型で[配列]を選択した場合： []で囲みます。	ー	手動入力	最大長4000バイト ※1
   ラベル	キー	ラベル作成で登録したラベルキーが表示されます。	〇	リスト選択	※1
   	値	ラベル付与したい値を入力します。 正規表現で使用したい場合は、以下のように入力してください。 ①正規表現を使って（「比較する値」による）検索を行い、任意の値をラベルにつけたい 任意の値を入力してください。 ②正規表現を使って（「比較する値」による）検索を行い、そのマッチした結果を、ラベルの値としてそのまま利用したい場合 値を空欄にしてください。 ③②のマッチした結果に対して、正規表現置換を行いたい場合 検索結果のキャプチャグループの値を使いたい場合などを想定しています ex. ・キャプチャグループの1個目をラベルの値にしたい場合 　→ \1 ・キャプチャグループの1個目 + 任意の値（.com）をラベルの値にしたい場合 　→ \1.com	ー	手動入力	最大長255バイト ※1
   備考		自由記述欄です。	ー	手動入力	最大長4000バイト

※1 ラベル付与における各ユースケースについて、必須項目は以下の通りです。

表 3.80 ラベル付与におけるユースケースについて

ユースケース	検索条件				ラベル
	キー	値のデータ型	比較方法	比較する値	キー	値
検索条件にマッチした際に、ラベルを付与したい	〇	〇	〇	〇	〇	〇
検索条件にマッチした際に、マッチした値をそのままラベルの値として使用したい	〇	〇	〇	〇	〇	ー
検索条件のキーがマッチした際に、ラベルを付与したい	〇	ー	ー	ー	〇	〇,ー
検索条件の値がFalseの値（空文字、[]、{}、0、False）でマッチした際に、ラベルを付与したい	〇	ー	==（一致）, ≠（不一致）のみ	ー	〇	== → 〇,ー ≠ → 〇 のみ
検索条件に正規表現を使用したい	〇	その他 のみ	RegExp, RegExp(DOTALL), RegExp(MULTILINE)のみ	〇	〇	〇,ー
全てのイベントにラベルを付与したい	ー	ー	ー	ー	〇	〇

具体的な設定例に関しては、 ラベル付与での設定例 を参照してください。

※2 値の各データ型の説明は以下の通りです。

表 3.81 ラベル付与における値のデータ型について

値のデータ型	比較方法	比較する値
文字列	RegExp、RegExp(DOTALL)、 RegExp(MULTILINE)以外可能	ー 例　sample
整数	RegExp、RegExp(DOTALL)、 RegExp(MULTILINE)以外可能	ー 例　10
小数	RegExp、RegExp(DOTALL)、 RegExp(MULTILINE)以外可能	ー 例　1.1
真偽値	==（一致）, ≠不一致）のみ	true, falseのみ（大文字が含まれていても可能）
オブジェクト	==（一致）, ≠不一致）のみ	{}で囲みます。 例　{Key: Value}
配列	==（一致）, ≠不一致）のみ	[]で囲みます。 例　[aa, bb, cc]
空判定	==（一致）, ≠不一致）のみ	空文字、[]、{}、0、Falseのみ 例　""
その他	RegExp、RegExp(DOTALL)、 RegExp(MULTILINE)のみ	ー

※3 ラベル付与における正規表現に関しては、以下の通りです。

表 3.82 ラベル付与における正規表現の種類について

比較方法	説明
RegExp	オプションなしで正規表現を行います。
RegExp(DOTALL)	「.」を改行を含む全ての文字にマッチさせることができます。 このオプションがなければ、改行を含まない全ての文字、になります。
RegExp(MULTILINE)	「^」「$」が各行の先頭と末尾にマッチさせることができます。

具体的な使用例に関しては、 ラベル付与での使用例（正規表現） を参照してください。

3.4.6. フィルター

1. OASE ▶ フィルター では、フィルターをメンテナンス（閲覧/登録/更新/廃止）できます。

図 3.86 サブメニュー画面（フィルター）

2. フィルター画面の入力項目は以下の通りです。

項目	説明	入力必須	入力方法	制約事項
有効	フィルターの有効/無効を選択します。 True：有効 False：無効	〇	リスト選択	ー
フィルター名	任意のフィルター名を入力します。	〇	手動入力	最大長255バイト
フィルター条件	フィルター条件を設定するウィンドウを開きます。	〇	ー	ー
検索方法	ラベルの検索方法を選択します。 ユニーク：一意のイベントの抽出しか許可しません。複数イベントがヒットした場合、ヒットしたイベントすべてを未知のイベントとして処理します。 キューイング：一意のイベントを抽出しますが、複数イベントがヒットした場合、一番古いイベントを使用します。ルールに複数回マッチする可能性があるため、ご注意ください。	〇	手動入力	ー
備考	自由記述欄。レコードの廃止・復活時にも記載可能。	ー	手動入力	最大長4000バイト

フィルターの条件については フィルター条件 欄をクリックすることで表示されるウインドウから設定できます。

図 3.87 フィルター条件設定

3. フィルター条件の入力項目は以下の通りです。

項目	説明	入力必須	入力方法	制約事項
ラベルキー	下記キーとラベル作成で登録したラベルキーが選択できます。 ・_exastro_event_collection_settings_id ・_exastro_fetched_time ・_exastro_end_time ・_exastro_type ・_exastro_host	〇	リスト選択	ー
条件	==（一致）,≠（不一致）が選択できます。	〇	リスト選択	ー
条件値	ラベルキーに設定する値を入力します。	〇	手動入力	最大長4000バイト

3.4.7. アクション

1. OASE ▶ アクション では、アクションをメンテナンス（閲覧/登録/更新/廃止）できます。

図 3.88 サブメニュー画面（アクション）

2. アクション画面の入力項目は以下の通りです。

項目	説明	入力必須	入力方法	制約事項
アクション名	任意のアクション名を入力します。	〇	手動入力	最大長255バイト
Conductor名称	[元データ]Conductor一覧	〇	リスト選択	ー
オペレーション名	[元データ]オペレーション一覧	〇	リスト選択	ー
イベント連携（ホスト）	元イベントのラベル"_exastro_host"をアクションの対象ホストとして指定するかどうかを選択します。	〇	リスト選択	デフォルト値：False
指定（ホスト）	アクションの対象ホストを選択します。 [元データ]機器一覧	ー	リスト選択	ー
利用パラメータシート	アクションで利用するパラメータシートを選択します。 [元データ]メニュー管理	ー	リスト選択	ー
備考	自由記述欄。レコードの廃止・復活時にも記載可能。	ー	手動入力	最大長4000バイト

Tip

オペレーションを指定しない場合、「ホスト」と「利用パラメータシート」を設定します。

3.4.8. ルール

1. OASE ▶ ルール では、ルールをメンテナンス（閲覧/登録/更新/廃止）できます。

図 3.89 サブメニュー画面（ルール）

2. ルール画面の入力項目は以下の通りです。

項目	説明	入力必須	入力方法	制約事項
有効	フィルターの有効/無効を選択します。 True：有効 False：無効	〇	リスト選択	ー
ルール名	任意のルール名を入力します。	〇	手動入力	最大長255バイト
ルールラベル名	どのルールから作成された結論イベントなのかを、恒久的に判別するため "_exastro_rule_name"ラベルに設定する任意の名前を入力します。	〇	手動入力	最大長255バイト ※後から変更することはできません。
優先順位	優先順位を正の整数で入力してください。 数値が小さいものを優先します。	〇	手動入力	最大長255バイト
フィルターA	[元データ]フィルター	〇	リスト選択	ー
フィルター演算子	フィルター演算子を選択します。 A and B：AとBの両方にマッチさせる場合 A or B：AかBにマッチさせる場合 A -> B：AのあとにBが発生しているときにマッチさせる場合	〇	リスト選択	ー
フィルターB	[元データ]フィルター	ー	リスト選択	ー
作業前通知		ー	ファイル選択	最大サイズ2Mバイト ※1
作業前承認待ち	※今後機能追加予定です。	ー	ー	ー
作業前通知先	通知先を選択します。	ー	リスト選択	ー
アクションID	[元データ]アクション	ー	リスト選択	ー
作業後通知		ー	ファイル選択	最大サイズ2Mバイト ※1
作業後承認待ち	※今後機能追加予定です。	ー	ー	ー
作業後通知先	通知先を選択します。	ー	リスト選択	ー
アクション（元イベントのラベル継承）	ルールに利用した元イベントのラベルをアクションのパラメーターとして利用するかどうかを選択します。	ー	リスト選択	デフォルト値：True
結論イベント（元イベントのラベル継承）	ルールに利用した元イベントのラベルを結論イベント継承するかどうかを選択します。	ー	リスト選択	デフォルト値：False
結論ラベル設定	結論イベント用のラベル付与を設定するウィンドウを開きます。	〇	リスト選択	ー
TTL	TTL（Time To Live）とは、エージェントが取得したイベントが、ルールの評価対象として扱われる期間（秒）のことです。	〇	手動入力	最小値10（秒） 最大値2147483647（秒） デフォルトの値：3600（秒）
備考	自由記述欄。レコードの廃止・復活時にも記載可能。	ー	手動入力	最大長4000バイト

注釈

※1 テンプレートに変数を使用することはできません。

今後機能追加予定です。

例：{{ labels._exastro_fetched_time }} など

結論ラベルについては 結論ラベル設定 欄をクリックすることで表示されるウインドウから設定できます。

図 3.90 結論ラベル設定

3. 結論ラベルの入力項目は以下の通りです。

項目	説明	入力必須	入力方法	制約事項
結論ラベルキー	下記キーとラベル作成で登録したラベルキーが選択できます。 ・_exastro_host	〇	リスト選択	ー
結論ラベル値	結論ラベルキーに設定する値を入力します。	〇	手動入力	最大長4000バイト

3.4.9. 評価結果

1. OASE ▶ 評価結果 では、評価結果を閲覧できます。

図 3.91 サブメニュー画面（評価結果）

2. 評価結果画面の項目は以下の通りです。

   詳細 ボタンで Conductor ▶ 作業状態確認 に遷移し、実行状態の詳細を閲覧することができます。

項目	説明
アクション履歴ID	ラベルキーを半角英数字と利用可能な記号(_-)で入力できます。
ルールID	[元データ]ルール
ルール名	[元データ]ルール
ステータス	ステータスには以下の状態が存在します。 ・判定済み ・実行中 ・承認待ち ・承認済み ・承認却下済み ・完了 ・完了（異常） ・完了確認待ち ・完了確認済み ・完了確認却下済み
アクションID	[元データ]アクション
アクション名	[元データ]アクション
ConductorインスタンスID	[元データ]Conductor作業一覧
Conductor名称	[元データ]Conductor作業一覧
オペレーションID	[元データ]オペレーション一覧
オペレーション名	[元データ]オペレーション一覧
イベント連携	[元データ]ルール
指定ホストID	[元データ]機器一覧
指定ホスト名	[元データ]機器一覧
利用パラメータシート名	[元データ]メニュー管理
利用パラメータシート（rest）	[元データ]メニュー管理
利用イベントID	アクションを実行するに至ったイベントのID一覧。
アクション（元イベントのラベル継承）	[元データ]ルール
イベント（元イベントのラベル継承）	[元データ]ルール
アクションパラメータ	アクションへ連携するパラメータを表示します。
結論イベントラベル	結論イベントで利用するラベルを表示します。
登録日時	YYYY/MM/DD HH:MM:SS
備考	自由記述欄。レコードの廃止・復活時にも記載可能。

3.5. 付録

3.5.1. ラベル付与での設定例

ラベル付与での設定例は以下の通りです。

図 3.92 ラベル付与での記入例（ラベル付与）

3.5.2. ラベル付与での使用例（正規表現）

正規表現を使用したラベル付与での使用例は以下の通りです。

表 3.83 正規表現のオプションの有無の例

	検索条件		ラベル
メール本文	比較方法	比較する値	キー	値	付与されるラベル（key: value）
対象 サーバ:web01.com	RegExp	サーバ:(.*).com	Server	ー	Server: web01
・・・（文章） 対象 サーバ:web01.com ・・・（文章）	RegExp(DOTALL)	サーバ:(\w+).com\r\n(.*)が発生しました。	Server	\2: \1	Server: 障害: web01
サーバ:web01.com 障害が発生しました。	RegExp(MULTILINE)	^サーバ:(.*).com\r$	Server	\1	Server: web01

図 3.93 正規表現を使用する場合の設定

3.5.3. エージェントから送信されてくるイベントデータの形式

エージェントから送信されてくるイベントデータの形式は以下の通りです。

リスト 3.13 メールサーバからの受信データサンプル

{
        "event": [{
            "message_id": "<20231004071711.06338770D0A0@ita-oase-mailserver.localdomain>",
            "envelope_from": "root@ita-oase-mailserver.localdomain",
            "envelope_to": "user1@localhost",
            "header_from": "<root@ita-oase-mailserver.localdomain>",
            "header_to": "user1@localhost",
            "mailaddr_from": "root <root@ita-oase-mailserver.localdomain>",
            "mailaddr_to": "user1@localhost",
            "date": "2023-10-04 16:17:10",
            "lastchange": 1696403830.0,
            "subject": "test mail",
            "body": "sample\r\n"
            "_exastro_event_collection_settings_id": "d0c9a70c-a1c0-4c7b-9e96-82e602ebc55e",
            "_exastro_fetched_time": 1696406510,
            "_exastro_end_time": 1696406810,
            "_exastro_type": "event"
            "_exastro_event_collection_settings_name": "agent01"
        }]
}

3.5.4. イベント履歴や評価結果に大量のレコードが表示されている場合の確認事項

あるルールで設定した結論イベントが、先述のルールに到達するフィルターにマッチする設定になっていた場合

再びルールにマッチして結論イベントを生み出すという挙動を繰り返すため

無限ループ状態になり、イベント履歴や評価結果に大量のレコードが登録され続ける状態となります。

必要に応じて、フィルターやルールの無効化などを行い、設定を見直してみて下さい。