ログ・ソースの追加

ログ・ソースが自動的に検出されない場合は、ネットワーク・デバイスまたはアプライアンスからイベントを受信できるように、QRadar® Log Source Management アプリケーションを使用して、ログ・ソースを手動で追加します。

QRadar 7.3.1 から 7.3.3 のいずれかを使用している場合は、「ログ・ソース」アイコンを使用することでも、ログ・ソースを追加できます。

QRadar Log Source Management アプリケーションが QRadar コンソールにインストールされていることを確認してください。アプリケーションのインストールについて詳しくは、QRadar Log Source Management アプリケーションのインストールを参照してください。
  1. QRadar にログインします。
  2. 「管理」タブをクリックします。
  3. アプリケーションを開くために、QRadar Log Source Management アプリケーションのアイコンをクリックします。
  4. 「新しいログ・ソース (New Log Source)」 > 「単一のログ・ソース (Single Log Source)」をクリックします。
  5. 「ログ・ソース・タイプの選択」ページで、ログ・ソース・タイプを選択し、「プロトコル・タイプの選択 (Select Protocol Type)」をクリックします。
  6. 「プロトコル・タイプの選択 (Select a Protocol Type)」ページで、プロトコル・タイプを選択し、「ログ・ソース・パラメーターの構成 (Configure Log Source Parameters)」をクリックします。
  7. 「ログ・ソース・パラメーターの構成 (Configure the Log Source parameters)」ページで、ログ・ソース・パラメーターを構成し、「プロトコル・パラメーターの構成 (Configure Protocol Parameters)」をクリックします。
    以下の表は、すべてのログ・ソース・タイプに共通のログ・ソース・パラメーターを説明しています。
    表 1. 共通のログ・ソース・パラメーター
    パラメーター 説明
    ログ・ソース ID ログ・ソースを識別する IPv4 アドレスまたはホスト名。

    ネットワークに、単一の管理コンソールに接続された複数のデバイスが含まれる場合、イベントを作成したデバイスの IP アドレスを指定します。各デバイス固有 ID (IP アドレスなど) を指定することにより、イベント検索で管理コンソールがすべてのイベントのソースとして識別されることを回避します。
    有効 このオプションが有効にされていない場合、ログ・ソースはイベントを収集しません。
    信頼性 信頼性は、ログ・ソースによって作成されたイベントの整合性または有効性を表します。ログ・ソースに割り当てられている信頼性値は、着信イベントに基づいて増減され、ユーザーが作成したイベント規則に対応して調整される可能性があります。ログ・ソースからのイベントの信頼性は、オフェンスのマグニチュードの計算に反映され、オフェンスのマグニチュード値を増大または減少させる場合があります。
    ターゲット・イベント・コレクター リモート・ログ・ソースをポーリングする QRadar イベント・コレクターを指定します。

    分散デプロイメントでは、コンソールのシステム・パフォーマンスを向上させるために、このパラメーターを使用してポーリング・タスクをイベント・コレクターに移動します。
    イベントの統合 同じイベントが短い時間間隔内で複数回発生するとイベント数が増大します。 統合されたイベントを使用することで、単一のイベント・タイプが発生する頻度を「ログ・アクティビティー」タブで表示し判別できます。

    このチェック・ボックスがクリアされている場合、イベントは個別に表示され、バンドルされません。

    新しいログ・ソースと自動的に検出されたログ・ソースは、「管理」 タブの「システム設定」構成から、このチェック・ボックスの値を継承します。 このチェック・ボックスを使用して、個々のログ・ソースに対するシステム設定のデフォルトの動作をオーバーライドできます。
  8. 「プロトコル・パラメーターの構成 (Configure Protocol Parameters)」ページで、プロトコル固有のパラメーターを構成します。
    • 構成をテストできる場合、「プロトコル・パラメーターのテスト (Test Protocol Parameters)」をクリックします。
    • 構成をテストできない場合、「終了」をクリックします。
  9. 「プロトコル・パラメーターのテスト (Test Protocol Parameters)」ウィンドウで、「テストの開始 (Start Test)」をクリックします。
  10. エラーを修正するには、「プロトコル・パラメーターの構成 (Configure Protocol Parameters)」をクリックします。パラメーターを構成し、「プロトコル・パラメーターのテスト (Test Protocol Parameters)」をクリックします。
  11. 「終了」をクリックします。

「ログ・ソース」アイコンを使用したログ・ソースの追加

ログ・ソースが自動的に検出されない場合は、ネットワーク・デバイスまたはアプライアンスからイベントを受信するために QRadar にログ・ソースを手動で追加します。

QRadar 7.3.0 以前を使用している場合、QRadar にログ・ソースを追加できる方法は、「ログ・ソース」アイコンを使用することのみです。

QRadar 7.3.1 以降を使用している場合は、QRadar Log Source Management アプリケーションを使用することでログ・ソースを追加できます。

  1. QRadar にログオンします。
  2. 「管理」タブをクリックします。
  3. 「ログ・ソース」アイコンをクリックします。
  4. 「追加」をクリックします。
  5. ログ・ソースの共通パラメーターを構成します。
  6. ログ・ソースのプロトコル固有のパラメーターを構成します。
    以下の表は、すべてのログ・ソース・タイプに共通のログ・ソース・パラメーターを説明しています。
    表 2. 共通のログ・ソース・パラメーター
    パラメーター 説明
    ログ・ソース ID ログ・ソースを識別する IPv4 アドレスまたはホスト名。

    ネットワークに、単一の管理コンソールに接続された複数のデバイスが含まれる場合、イベントを作成したデバイスの IP アドレスを指定します。各デバイス固有 ID (IP アドレスなど) を指定することにより、イベント検索で管理コンソールがすべてのイベントのソースとして識別されることを回避します。
    有効 このオプションが有効にされていない場合、ログ・ソースはイベントを収集しません。
    信頼性 信頼性は、ログ・ソースによって作成されたイベントの整合性または有効性を表します。ログ・ソースに割り当てられている信頼性値は、着信イベントに基づいて増減され、ユーザーが作成したイベント規則に対応して調整される可能性があります。ログ・ソースからのイベントの信頼性は、オフェンスのマグニチュードの計算に反映され、オフェンスのマグニチュード値を増大または減少させる場合があります。
    ターゲット・イベント・コレクター リモート・ログ・ソースをポーリングする QRadar イベント・コレクターを指定します。

    分散デプロイメントでは、コンソールのシステム・パフォーマンスを向上させるために、このパラメーターを使用してポーリング・タスクをイベント・コレクターに移動します。
    イベントの統合 同じイベントが短い時間間隔内で複数回発生するとイベント数が増大します。 統合されたイベントを使用することで、単一のイベント・タイプが発生する頻度を「ログ・アクティビティー」タブで表示し判別できます。

    このチェック・ボックスがクリアされている場合、イベントは個別に表示され、バンドルされません。

    新しいログ・ソースと自動的に検出されたログ・ソースは、「管理」 タブの「システム設定」構成から、このチェック・ボックスの値を継承します。 このチェック・ボックスを使用して、個々のログ・ソースに対するシステム設定のデフォルトの動作をオーバーライドできます。
  7. 「保存」をクリックします。
  8. 「管理」タブで「変更のデプロイ」をクリックします。