Microsoft Azure Event Hubs コネクター の構成オプション

オンラインで編集

Microsoft Azure イベント・ハブ コネクター は、 Microsoft Azure イベント・ハブからイベントを収集する QRadar® 製品 のアクティブなアウトバウンド コネクター です。

重要: デフォルトでは、各 イベント・コレクター は、ファイル・ハンドルを使い尽くす前に、最大 1000 個のパーティションからイベントを収集できます。 さらに多くのパーティションから収集する場合は、 IBM® サポートに連絡して、拡張チューニング情報と支援を受けることができます。 詳しくは、IBM サポート (https://www.ibm.com/mysupport/s/?language=en_US) を参照してください。

以下のパラメーターは、 Microsoft Azure Event Hubs アプライアンスからイベントを収集するために固有の値を必要とします。

表 1. Microsoft Azure Event Hubs データ・ソース のパラメーター
パラメーター
イベント・ハブ接続ストリングを使用 (Use Event Hub Connection String)
接続ストリングを使用して Azure イベント・ハブで認証します。
注: このスイッチをオフに切り替える機能は推奨されません。
イベント・ハブ接続ストリング (Event Hub Connection String)

イベント・ハブへのアクセスを提供する許可ストリング。 例:

Endpoint=sb://<Namespace 
Name>.servicebus.windows.net/;SharedAccess
KeyNam Key Name>;SharedAccessKey=<SAS Key>;
EntityPath=<Event Hub Name>
コンシューマー・グループ 接続中に使用されるビューを指定します。 各Consumer Groupは、独自のセッション・トラッキングを維持します。 コンシューマー・グループおよび接続情報を共有するすべての接続は、セッション・トラッキング情報を共有します。
ストレージ・アカウント接続ストリングを使用 (Use Storage Account Connection String)
接続ストリングを使用して Azure ストレージ・アカウントで認証します。
注: このスイッチをオフに切り替える機能は推奨されません。
ストレージ・アカウント接続ストリング

ストレージ・アカウントへのアクセスを提供する許可ストリング。 例:

DefaultEndpointsProtocol=https;Account 
Name=<Stor Account Name>;AccountKey=<Storage Account
 Key>;EndpointSuffix=core.windows.net
Syslog への Azure Linux イベントの形式設定 (Format Azure Linux Events To Syslog) Azure Linux® ログを、 Linux システムからの標準 syslog ロギングに似た単一行の syslog 形式にフォーマットします。
ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)

収集されたイベントが QRadar 製品の トラフィック分析エンジンを通過し、 QRadar 製品 が 1 つ以上を自動的に検出するようにするには、このオプションを選択します。

このオプションを選択すると、オプションでログ・ソース ID パターンを使用して、処理中のイベントのカスタムログ・ソース IDを定義できます。
ログ・ソース ID パターン (Log Source Identifier Pattern)

「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションを選択した場合は、このオプションを使用して、処理対象のイベントのカスタム・ログ・ソース ID を定義します。 「ログ・ソース ID パターン」 が構成されていない場合、 QRadar 製品 は、不明な汎用イベントとしてイベントを受信します。

「ログ・ソース ID パターン (Log Source Identifier Pattern)」 フィールドは、 key= value などのキーと値のペアを受け入れて、処理中のイベントのカスタム・ログ・ソース ID を定義し、該当する場合は自動的に検出されるようにします。 キーは、結果のソースまたは起点の値である ID フォーマット・ストリングです。 値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。 値 (正規表現パターン) は、キャプチャー・グループもサポートします。キャプチャー・グループは、キー (ID フォーマット・ストリング) をさらにカスタマイズするために使用できます。

各パターンを新しい行に入力することで、複数のキーと値のペアを定義できます。 複数のパターンが使用された場合、一致が見つかるまで、それらのパターンは順番に評価されます。 一致が見つかると、カスタム・ログ・ソース ID が表示されます。

次の例では複数のキーと値のペアの機能を示します。
パターン
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
イベント
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
結果としてのカスタム・ログ・ソース ID
VPC-ACCEPT-OK
予測解析を使用 このパラメーターを有効にすると、アルゴリズムはイベントごとに正規表現を実行せずにイベントから データ・ソース ID パターンを抽出するため、解析速度が向上します。

予測解析を有効にするのは、高いイベント率を受け取ることが予想され、より高速な解析が必要な データ・ソース ・タイプに対してのみにしてください。
プロキシーの使用 プロキシーを構成すると、 データ・ソース のすべてのトラフィックがプロキシーを経由して Azure イベント・ハブにアクセスします。 このパラメーターを有効にした後、プロキシー IP またはホスト名プロキシー・ポートプロキシー・ユーザー名、およびプロキシー・パスワードの各フィールドを構成します。

プロキシーが認証を必要としない場合は、プロキシー・ユーザー名フィールドとプロキシー・パスワードフィールドをブランクのままにすることができます。

注: プロキシーのダイジェスト認証は、Java™ SDK for Azure Event Hubs ではサポートされていません。 詳しくは、Azure Event Hubs - Client SDKs (https://docs.microsoft.com/en-us/azure/event-hubs/sdks) を参照してください。
プロキシー IP またはホスト名 プロキシー・サーバーの IP アドレスまたはホスト名。

このパラメーターは、プロキシーの使用 が有効になっている場合に表示されます。
プロキシー・ポート プロキシーとの通信に使用されるポート番号。 デフォルト値は 8080 です。

このパラメーターは、プロキシーの使用 が有効になっている場合に表示されます。
プロキシー・ユーザー名 プロキシー・サーバーにアクセスするためのユーザー名。

このパラメーターは、プロキシーの使用 が有効になっている場合に表示されます。
プロキシー・パスワード プロキシー・サーバーにアクセスするためのパスワード。

このパラメーターは、プロキシーの使用 が有効になっている場合に表示されます。
EPS スロットル 1 秒当たりの最大イベント数 (EPS)。 デフォルトは 5000 です。