Zscaler NSS での syslog フィードの構成

イベントを収集するには、syslog イベントを IBM® QRadar® に転送するように、Zscaler NSS でログ・フィードを構成する必要があります。

手順

  1. Zscaler NSS の管理ポータルにログインします。
  2. 「管理 (Administration)」 > 「設定 (Settings)」 > 「Nanolog Streaming Service」を選択します。
  3. 「NSSFeeds」タブで「追加 (Add)」をクリックします。
  4. フィードの名前を入力します。
  5. NSSServer メニューで、「NSS」を選択します。
  6. SIEM の IP アドレスを QRadar イベント・コレクター の IP アドレスに設定します。
  7. SIEM の TCP ポートをポート 514 に設定します。
  8. 「フィード出力タイプ (Feed Output Type)」を「QRadar LEEF」に設定します。「フィード出力フォーマット (Feed Output Format)」に、以下のストリングが自動的に設定されます。 
    %s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss: 
LEEF:1.0|Zscaler|NSS|4.1|%s{reason}|cat=%s{action}
¥tdevTime=%s{mon} %02d{dd} %d{yy} %02d{hh}:
%02d{mm}:%02d{ss} %s{tz}¥tdevTimeFormat=MMM dd yyyy HH:mm:ss 
z¥tdst=%s{sip}¥tsrcPostNAT=%s{cintip}
¥trealm=%s{location}¥tusrName=%s{login}¥tsrcBytes=%d{reqsize}
¥tdstBytes=%d{respsize}
¥trole=%s{dept}¥tpolicy=%s{reason}¥turl=%s{eurl}
¥trecordid=%d{recordid}
¥tbwthrottle=%s{bwthrottle}¥tuseragent=%s{ua}
¥treferer=%s{ereferer}¥thostname=%s{ehost}
¥tappproto=%s{proto}¥turlcategory=%s{urlcat}
¥turlsupercategory=%s{urlsupercat}
¥turlclass=%s{urlclass}¥tappclass=%s{appclass}¥tappname=%s{appname}
¥tmalwaretype=%s{malwarecat}
¥tmalwareclass=%s{malwareclass}¥tthreatname=%s{threatname}
¥triskscore=%d{riskscore}
¥tdlpdict=%s{dlpdict}¥tdlpeng=%s{dlpeng}¥tfileclass=%s{fileclass}
¥tfiletype=%s{filetype}
¥treqmethod=%s{reqmethod}¥trespcode=%s{respcode}¥t%s{bamd5}¥n
  9. 「保存」をクリックします。

    QRadar は、Zscaler NSS アプライアンスのログ・ソースの検出と作成を自動的に実行します。QRadar に転送されたイベントは、「ログ・アクティビティー」タブで表示できます。

親トピック: Zscaler Nanolog Streaming Service