TWLogEye開発20日目：Sigmaルール、設変数名変換、Grokと正規表現による情報抽出の処理を整理して作りました

今朝は４時半に自力でおきました。夜中に助手の猫さんが起こしきたので、１階まで行ってお世話しました。二度目に来た時は説得して、かみさんの布団で寝てもらいました。今の寝ています。

２日前に考えた

を試行錯誤の結果、整理して作りました。
整理したマインドマップは

です。
プログラムの構成は

のような感じです。
ポイントは、

• SigmaのConfigは、Log Sourceに毎に設定できるようにした

• Configのファイル名はLog Sourceに対応する(Product_Category_Server)

• syslogのメッセージ部分からJSON/Key=Valu/grock/正規表現でデータ抽出できるようにした

• 複数のGROKパターンはファイルから読み込む

• 名前付きキャプチャーの正規表現パターンもファイルから読むこむ

• SIgmaのルールをチェックするコマンドを追加した

です。
とりあえず、ソースコードはできました。テストすれば最初のバージョンのリリースができそうです。でも、今朝は時間切れです。

明日に続く