SMB Tail プロトコルの構成オプション

SMB Tail プロトコルを使用するようにログ・ソースを構成することができます。このプロトコルは、イベント・ログに改行が追加される場合に、リモート側の Samba 共有でのイベントを監視し、Samba 共有からイベントを受信するために使用します。

SMB Tail プロトコルは、アクティブなアウトバウンド・プロトコルです。

注： SMB Trailと依存プロトコルのインストールについての詳細は、 SMB Tailと依存プロトコルのインストールを参照してください。

SMB Tail プロトコル用のプロトコル固有のパラメーターについて、以下の表で説明します。

表 1. SMB Tail プロトコルのパラメーター
パラメーター	説明
プロトコル構成	SMB Tail
ログ・ソース ID	ログ・ソースを識別するための IP アドレス、ホスト名、または個有名を入力します。
サーバー・アドレス	SMB Tail サーバーの IP アドレスまたはホスト名。
ドメイン	SMB Tail サーバーのドメインを入力します。サーバーがドメイン内にない場合は、このパラメーターはオプションです。
Username	サーバーへのアクセスに必要なユーザー名を入力します。
パスワード	サーバーへのアクセスに必要なパスワードを入力します。
パスワードの確認	サーバーへのアクセスに必要なパスワードを確認します。
ログ・フォルダー・パス	ログ・ファイルにアクセスするためのディレクトリー・パス。例えば、管理者が管理共有に c$/LogFiles/ ディレクトリーを使用したり、公開共有フォルダー・パスに LogFiles/ ディレクトリーを使用したりすることができます。しかし、c:/LogFiles ディレクトリーはログ・フォルダーのパスとしてサポートされていません。ログ・フォルダーのパスに管理共有 (C$) が含まれている場合、その管理共有 (C$) に対する NetBIOS アクセス権を持つユーザーは、ログ・ファイルの読み取りに必要な特権を持っています。ローカル・システム特権もドメイン管理者特権も、管理共有に存在するすべてのログ・ファイルにアクセスするために十分な権限を含んでいます。
ファイル・パターン	イベント・ログを識別する正規表現。
SMB バージョン	使用するサーバー・メッセージ・ブロック (SMB) のバージョンを選択します。自動 (AUTO) クライアントとサーバーが使用することに同意する最高バージョンを自動検出します。 SMB1 SMB1 の使用を強制します。 SMB1 は jCIFS.jar (Java™ ARchive) ファイルを使用します。重要: SMB1 はサポートされなくなりました。 SMB2 または SMB3 を使用するには、すべての管理者が既存の構成を更新する必要があります。 SMB2 SMB2 の使用を強制します。 SMB2 は jNQ.jar ファイルを使用します。 SMB3 SMB3 の使用を強制します。 SMB3 は jNQ.jar ファイルを使用します。注: 特定の SMB バージョン (例えば、 SMBv1、 SMBv2、および SMBv3) のログ・ソースを作成する前に、指定された SMB バージョンが、サーバー上で稼働している Windows OS によってサポートされていることを確認してください。また、指定された Windows Server で SMB バージョンが有効になっていることも確認する必要があります。どのWindowsバージョンがどのSMBバージョンをサポートしているかについての詳細は、マイクロソフトのウェブサイト TechNet ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ )をご覧ください。 WindowsおよびWindows Serverにおける SMBv1、 SMBv2、 SMBv3 の検出、有効化、無効化の方法については、マイクロソフトのサポートウェブサイト（ https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server ）を参照のこと。
ファイル読み取りの強制 (Force File Read)	このチェック・ボックスがクリアされている場合、 QRadar が変更時刻またはファイル・サイズの変更を検出したときにのみログ・ファイルが読み取られます。
再帰的 (Recursive)	ファイル・パターンでサブフォルダーを検索するようにしたい場合は、このオプションを使用します。このチェック・ボックスはデフォルトで選択されます。
ポーリング間隔 (秒)	ポーリング間隔 (新規データを確認するためのログ・ファイルに対する照会から次の照会までの間の秒数) を入力します。デフォルトは 10 秒です。
スロットル・イベント数/秒	SMB Tail プロトコルが 1 秒当たり転送するイベントの最大数。
ファイルのエンコード (File Encoding)	ログ・ファイルのイベントで使用する文字エンコード。
ファイル除外リスト	特定のファイル・ディレクトリーが開かないようにする正規表現のリスト。リストには、1 行につき 1 つの正規表現が含まれます。ファイルまたはディレクトリーが正規表現の 1 つと一致すると、そのファイルまたはディレクトリーは開きません。ファイルが使用中の場合、他のアプリケーションがそのファイルを使用できない可能性があります。このパラメーターを使用して、これらのファイルがロックされないようにしたり、プロトコルが特定のファイルにアクセスできないようにしたりします。このパターンは、ログ・フォルダーの絶対パスには適用されません。これは、パスにリストされている最終ディレクトリーにのみ適用されます。このパターンは、ログ・フォルダー・パスのディレクトリー内にあるすべてのファイルまたはディレクトリーに適用されます。以下のリストは、このフィールドに入力できる内容の例です。 `/j50.*\.log` `dhcp\.mdb` `dhcp\.tmp`