IBM
QRadar 用の Extreme スタック可能スイッチおよびスタンドアロン・スイッチの DSM は、syslog を使用してイベントを受け入れます。
このタスクについて
QRadar は、関連するすべてのイベントを記録します。 QRadarで Extreme スタック可能スイッチおよびスタンドアロン・スイッチのデバイスを構成する前に、syslog イベントを転送するようにデバイスを構成する必要があります。
syslog イベントを QRadarに転送するようにデバイスを構成するには、以下のようにします。
手順
- Extreme スタック可能スイッチおよびスタンドアロン・スイッチのデバイスにログインします。
- 以下のコマンドを入力します。
set logging server <index> [ip-addr <IP
address>] [facility <facility>] [severity
<severity>] [descr <description>] [port
<port] [state <enable | disable>]
各項目の意味は次のとおりです。
- <index> は、このサーバーのサーバー・テーブル索引番号 (1 から 8) です。
- <IP address> は、 syslog メッセージを送信したいサーバーの IP アドレスです。 IP アドレスの入力は必須ではありません。 IP アドレスを定義しなかった場合、指定した索引番号を使用して Syslog サーバー表内の項目が作成され、IP アドレスが割り当てられていないことを示すメッセージが表示されます。
- <facility> は syslog ファシリティです。 有効な値は、local0 から local7 です。 ファシリティー値の入力は必須ではありません。 値を指定しなかった場合、set logging デフォルト・コマンドで構成されたデフォルト値が適用されます。
- <description> は、 facility/serverの説明です。 説明の入力は必須ではありません。
- <port> は、クライアントがメッセージをサーバーに送信するために使用するデフォルトの UDP ポートです。 指定しない場合は、 set
logging デフォルト・コマンドで構成されたデフォルト値が適用されます。 ポート値の入力は必須ではありません。
- <enable | disable> このファシリティ/サーバー構成を使用可能または使用不可にします。 オプションの選択は必須ではありません。 状態を指定しなかった場合、enable と disable のいずれにもデフォルトで設定されません。
- <severity> は、サーバーがメッセージをログに記録するサーバー重大度レベルです。 有効な範囲は、1 から 8 です。 指定しない場合は、 set logging デフォルト・コマンドで構成されたデフォルト値が適用されます。 重大度値の入力は必須ではありません。 以下に、有効な値を示します。
- 1: 緊急 (システムが使用不可)
- 2: アラート (即時アクションが必要)
- 3: 重大な状態
- 4: エラー状態
- 5: 警告状態
- 6: 通知 (有意状態)
- 7: 情報メッセージ
- 8: デバッグ・メッセージ
- これで、 QRadarでログ・ソースを構成する準備ができました。
Extreme スタック可能スイッチおよびスタンドアロン・スイッチのデバイスからイベントを受信するように QRadar を構成するには、以下のようにします。
「ログ・ソース・タイプ」リストで、以下のいずれかのオプションを選択します。
- Extreme スタック可能スイッチおよびスタンドアロン・スイッチ
- Extreme A シリーズ
- Extreme B2 シリーズ
- Extreme B3 シリーズ
- Extreme C2 シリーズ
- Extreme C3 シリーズ
- Extreme D シリーズ
- Extreme G シリーズ
- Extreme I シリーズ
Extreme スタック可能スイッチおよびスタンドアロン・スイッチについて詳しくは、ベンダーの資料を参照してください。