例: ログ・ソース拡張の構成エラーが異常なアセット増加の原因になる過程

カスタマイズしたログ・ソース拡張は、正しく構成されていないと、異常なアセット増加の原因になることがあります。

中央のログ・サーバー上にあるイベント・ペイロードからのユーザー名を解析することにより、アセット更新を IBM QRadar に提供するように、カスタマイズされたログ・ソース拡張を構成します。 ログ・ソース拡張は、イベント・ホスト名プロパティーをオーバーライドするように構成します。そうすることで、カスタム・ログ・ソースによって生成されるアセット更新は、必ず中央のログ・サーバーの DNS ホスト名を指定するようになります。

QRadar が、ユーザーがログインしたアセットのホスト名を持つ更新を受け取る代わりに、ログ・ソースは、すべて同じホスト名を持つ多数のアセット更新を生成します。

この状態では、異常なアセット増加は、多数の IP アドレスとユーザー名が含まれる 1 つのアセット・プロファイルが原因で発生します。