Splunk 転送機能で、転送機能が生データを QRadar に送信するように、「sendCookedData」を false に設定する必要があります。
| パラメーター | 説明 |
|---|---|
| プロトコル構成 | TCP 複数行 Syslog |
| ログ・ソース ID | Splunk アプライアンスからのイベントの ID として、ログ・ソースの IP アドレスまたはホスト名を入力します。 「ログ・ソース ID」は、固有値でなければなりません。 |
| Listen ポート | QRadar が、Splunk から着信 TCP の複数行 Syslog イベントを受け入れる際に使用するポート番号を入力します。 デフォルトの Listen ポートは 12468 です。 重要: Listen ポート 514 は使用しないでください。
QRadar で構成するポート番号は、Splunk Forwarder で構成されているポート番号と一致する必要があります。QRadar 内の各 Listen ポートは、Forwarder のインバウンド接続を最大で 50 件まで受け入れます。 Forwarder 接続がさらに必要な場合は、複数の Splunk Forwarder ログ・ソースを別のポート上に作成します。接続制限は、各 Forwarder 接続から入ってくるログ・ソース数ではなく、Forwarder 接続数を参照します。 |
| 集約方法 (Aggregation Method) | デフォルトは「開始/終了に一致 (Start/End Matching)」です。共通の ID によって結合された複数行イベントを組み合わせる場合は、「ID でリンク (ID-Linked)」を使用します。 |
| イベント開始パターン (Event Start Pattern) | Splunk Windows イベントの開始を識別するための以下の正規表現 (regex) を入力します。 (?:<(¥d+)>¥s?(¥w{3} ¥d{2} ¥d{2}:¥d{2}:¥d{2}) (¥S+) )?(¥d{2}/¥d{2}/¥d{4} ¥d{2}:¥d{2}:¥d{2} [AP]M) このパラメーターは、「集約方法 (Aggregation Method)」パラメーターが「開始/終了に一致 (Start/End Matching)」に設定されている場合に使用可能になります。 TCP 複数行イベント・ペイロードの開始を識別するために必要な正規表現。通常、Syslog ヘッダーは日時スタンプで始まります。このプロトコルでは、イベント開始パターン (タイム・スタンプなど) のみに基づく単一行イベントを作成できます。開始パターンしか使用できない場合、このプロトコルは、それぞれの開始値の間にあるすべての情報を取り込んで有効なイベントを作成します。 |
| イベント終了パターン (Event End Pattern) | このパラメーターは、「集約方法 (Aggregation Method)」パラメーターが「開始/終了に一致 (Start/End Matching)」に設定されている場合に使用可能になります。 TCP 複数行イベント・ペイロードの終了を識別するために必要な正規表現。Syslog イベントがすべて同じ値で終了する場合は、正規表現を使用してイベントの終了を判別することができます。このプロトコルでは、イベント終了パターンのみに基づくイベントをキャプチャーできます。終了パターンしか使用できない場合、このプロトコルは、それぞれの終了値の間にあるすべての情報を取り込んで有効なイベントを作成します。 |
| メッセージ ID のパターン | このパラメーターは、「集約方法 (Aggregation Method)」パラメーターが「ID でリンク (ID-Linked)」に設定されている場合に使用可能になります。 イベント・ペイロード・メッセージをフィルタリングするために必要な正規表現。TCP 複数行イベント・メッセージでは、イベント・メッセージの各行で共通の識別値が繰り返されている必要があります。 |
| イベント・フォーマッター (Event Formatter) | 特に Windows 用に書式設定された複数行イベントの場合は、「Windows 複数行 (Windows Multiline)」オプションを使用します。 |
| 詳細オプションを表示 | デフォルトは「いいえ」です。イベント・データをカスタマイズする場合は「はい」を選択します。 |
| カスタムのソース名を使用 (Use Custom Source Name) | このパラメーターは、「詳細オプションを表示」が「はい」に設定されている場合に使用可能になります。 正規表現を使用してソース名をカスタマイズする場合は、このチェック・ボックスを選択します。 |
| ソース名の正規表現 (Source Name Regex) | このパラメーターは、「カスタムのソース名を使用 (Use Custom Source Name)」にチェック・マークが付けられている場合に使用可能になります。 このプロトコルで処理されるイベント・ペイロードから 1 つ以上の値をキャプチャーするための正規表現を入力します。キャプチャーされた値と「ソース名フォーマット・ストリング (Source Name Formatting String)」パラメーターを併せて使用して、各イベントのソースまたはオリジンの値が設定されます。そのソース値を使用して、一致するログ・ソース ID 値を持つログ・ソースにイベントがルーティングされます。 |
| ソース名フォーマット・ストリング (Source Name Formatting String) | このパラメーターは、「カスタムのソース名を使用 (Use Custom Source Name)」にチェック・マークが付けられている場合に使用可能になります。 以下の 1 つ以上の入力の組み合わせを使用して、このプロトコルで処理されるイベント・ペイロードのソース値を形成することができます。
|
| ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source) | このパラメーターは、「詳細オプションを表示」が「はい」に設定されている場合に使用可能になります。 これを選択すると、ログ・ソースから送信されるイベントを、イベントにタグ付けされたソース名に応じて、別のログ・ソースにルーティングすることができます。 このオプションが選択されておらず、「カスタムのソース名を使用 (Use Custom Source Name)」にチェック・マークが付けられていない場合は、着信イベントには、「ログ・ソース ID」パラメーターに対応するソース名でタグが付けられます。 |
| 複数のイベントを単一行にフラット化 (Flatten Multiline Events into Single Line) | このパラメーターは、「詳細オプションを表示」が「はい」に設定されている場合に使用可能になります。 イベントを 1 行で表示するか複数行で表示するかを指定します。 |
| イベントの集約時にすべての行を保持 (Retain Entire Lines during Event Aggregation) | このパラメーターは、「詳細オプションを表示」が「はい」に設定されている場合に使用可能になります。 「集約方法 (Aggregation Method)」パラメーターが「ID でリンク (ID-Linked)」に設定されている場合、「イベントの集約時にすべての行を保持 (Retain Entire Lines during Event Aggregation)」を有効にして、同じ ID パターンを持つイベントが連結されるときに「メッセージ ID のパターン」の前に来るイベントの部分を破棄するか保持するかを指定します。 |
Splunk Forwarder により QRadar に提供されるイベントは、「ログ・アクティビティー」タブに表示されます。