ログ・ソース管理の概要

ネットワーク上のログ・ソースからイベント・ログを受け入れるように IBM® QRadar® を構成することができます。ログ・ソース とは、イベント・ログを作成するデータ・ソースのことです。

例えば、ファイアウォールや侵入防止システム (IPS) はセキュリティー・ベースのイベントをログに記録し、スイッチやルーターはネットワーク・ベースのイベントをログに記録します。

ログ・ソースからロー・イベントを受信するために、QRadar は多くのプロトコルをサポートしています。パッシブ・プロトコル は、特定のポートでイベントを listen します。アクティブ・プロトコル は、API などの通信手段を使用して、イベントのポーリングと取得を行う外部システムに接続します。

ライセンス制限に応じて、QRadar は、300 件を超えるログ・ソースからイベントを読み取って解釈することができます。

QRadar 用のログ・ソースを構成するには、以下のタスクを実行する必要があります。
  1. ログ・ソースをサポートするデバイス・サポート・モジュール (DSM) をダウンロードしてインストールします。DSM は、元の形式のイベント・ログを識別して、QRadar が使用できる形式に構文解析するために必要なイベント・パターンを含むソフトウェア・アプリケーションです。
  2. DSM の自動ディスカバリーがサポートされている場合は、QRadar が自動的にログ・ソースを構成済みのログ・ソースのリストに追加するまで待ちます。
  3. DSM の自動ディスカバリーがサポートされていない場合は、手動でログ・ソース構成を作成します。