パラメーター |
説明 |
|---|---|
ログ・ソース ID |
Check Point Firewall イベントの ID として、ログ・ソースの IP アドレスまたはホスト名を入力します。 「ログ・ソース ID」は、固有値でなければなりません。 |
| ログ・ソース ID 正規表現 (Log Source Identifier Regex) | イベント・ペイロードからの Check Point Firewall IP アドレスを識別するために必要な正規表現 (regex) を入力します。 例: 管理者は以下の正規表現を使用して、Splunk Forwarder から提供された Check Point Firewall イベントを構文解析できます。
orig=(¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}) |
| 正規表現と一致した場合に DNS ルックアップを実行 (Perform DNS Lookup On Regex Match) | DNS 機能を有効にする場合は、「正規表現と一致した場合に DNS ルックアップを実行 (Perform DNS Lookup On Regex Match)」チェック・ボックスを選択します。DNS 機能は、「ログ・ソース ID」パラメーターの値に基づいて動作します。 デフォルトでは、このチェック・ボックスは選択されていません。 |
| Listen ポート | QRadar が受信 syslog リダイレクト・イベントを受け入れるために使用するポート番号を入力します。 デフォルトの listen ポートは 517 です。 構成するポート番号は、syslog イベントを転送するアプライアンスで構成されているポートに一致する必要があります。管理者は、このフィールドにポート 514 を指定できません。 |
| プロトコル | リストから、「UDP」または「TCP」のいずれかを選択します。 syslog リダイレクト・プロトコルでは、任意の数の UDP syslog 接続がサポートされますが、TCP 接続は 2500 に制限されます。syslog ストリームに含まれているログ・ソースが 2500 を超えている場合は、2 つ目の Check Point ログ・ソースと listen ポート番号を入力する必要があります。 |
| 有効 | ログ・ソースを有効にするには、このチェック・ボックスを選択します。このチェック・ボックスはデフォルトで選択されます。 |
| 信頼性 | リストから、ログ・ソースの「信頼性」を選択します。範囲は 0 から 10 です。 送信元デバイスからの信頼性の評価によって判断される、イベントまたはオフェンスの完全性。複数の送信元が同じイベントを報告する場合、信頼性は高くなります。デフォルトは 5 です。 |
| ターゲット・イベント・コレクター | リストから、ログ・ソースのターゲットとして使用する「ターゲット・イベント・コレクター」を選択します。 |
| イベントの統合 | ログ・ソースがイベントを統合 (バンドル) できるようにするには、「イベントの統合」チェック・ボックスを選択します。 デフォルトでは、自動的にディスカバーされたログ・ソースは、QRadar の「システム設定」の「イベントの統合」リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。 |
| 受信イベント・ペイロード (Incoming Event Payload) | 「受信イベント・ペイロード (Incoming Event Payload)」リストで、ログの構文解析と保管を行うための受信ペイロード・エンコーダーを選択します。 |
| イベント・ペイロードの保管 | ログ・ソースによるイベント・ペイロード情報の保管を有効にするには、「イベント・ペイロードの保管」チェック・ボックスを選択します。 デフォルトでは、自動的にディスカバーされたログ・ソースは、QRadar の「システム設定」の「イベント・ペイロードの保管」リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。 |