Syslog リダイレクト・プロトコルの概要

「ログ・ソース ID 正規表現 (Log Source Identifier Regex)」からのキャプチャー・グループを結合するためのフォーマット設定ストリング。

例:

「$1」 は最初のキャプチャー・グループを使用します。

「$1$2」 は、キャプチャー・グループ 1 と 2 を連結します。

「$1 TEXT $2」 は、キャプチャー・グループ 1、リテラル「TEXT」、およびキャプチャー・グループ 2 を連結します。

結果のストリングが新しいログ・ソース ID として使用されます。

デフォルトでは、このチェック・ボックスは選択されていません。

リストから、「TCP」または「UDP」のいずれかを選択します。

Syslog リダイレクト・プロトコルでは、任意の数の UDP Syslog 接続がサポートされますが、TCP 接続は 2500 に制限されます。Syslog ストリームに含まれているログ・ソースが 2500 を超えている場合は、2 つ目のログ・ソースと listen ポート番号を入力する必要があります。

ログ・ソースを有効にするには、このチェック・ボックスを選択します。このチェック・ボックスはデフォルトで選択されます。

リストから、ログ・ソースの「信頼性」を選択します。範囲は 0 から 10 です。

送信元デバイスからの信頼性の評価によって判断される、イベントまたはオフェンスの完全性。複数の送信元が同じイベントを報告する場合、信頼性は高くなります。デフォルトは 5 です。

リストから、ログ・ソースのターゲットとして使用する「ターゲット・イベント・コレクター」を選択します。

ログ・ソースがイベントを統合 (バンドル) できるようにするには、「イベントの統合」チェック・ボックスを選択します。

デフォルトでは、自動的にディスカバーされたログ・ソースは、QRadar の「システム設定」の「イベントの統合」リストの値を継承します。ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。

「受信イベント・ペイロード (Incoming Event Payload)」リストで、ログの構文解析と保管を行うための受信ペイロード・エンコーダーを選択します。

ログ・ソースによるイベント・ペイロード情報の保管を有効にするには、「イベント・ペイロードの保管」チェック・ボックスを選択します。

デフォルトでは、自動的にディスカバーされたログ・ソースは、QRadar の「システム設定」の「イベント・ペイロードの保管」リストの値を継承します。ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。