ログ・ファイル・プロトコルの構成オプション
リモート・ホストからイベントを受信するには、ログ・ファイル・プロトコルを使用するようにログ・ソースを構成します。
ログ・ファイル・プロトコルはアウトバウンド/アクティブ・プロトコルであり、日常イベントのログを書き込むシステムを対象としています。イベント・ファイルに情報を追加するデバイスにログ・ファイル・プロトコルを使用するのは不適切です。
SFTP、FTP、SCP、または FTPS を使用して、ログ・ファイルは一度に 1 つずつ取得されます。ログ・ファイル・プロトコルは、プレーン・テキストや圧縮ファイル、ファイル・アーカイブを管理できます。アーカイブには、一度に 1 行ずつ処理できるプレーン・テキスト・ファイルが含まれている必要があります。 ログ・ファイル・プロトコルがイベント・ファイルをダウンロードすると、そのファイルで受信された情報によって「ログ・アクティビティー」タブが更新されます。ダウンロードが完了した後にファイルに追加情報が書き込まれても、その追加情報は処理されません。
| パラメーター | 説明 |
|---|---|
| プロトコル構成 | ログ・ファイル |
| サービス・タイプ |
リモート・サーバーからログ・ファイルを取得するときに使用するプロトコルを選択します。
「リモート IP またはホスト名 (Remote IP or Hostname)」フィールドに指定するサーバーは、SFTP サブシステムが SCP または SFTP でログ・ファイルを取得できるようにする必要があります。 |
| リモート・ポート | リモート・ホストが標準以外のポート番号を使用する場合は、ポートの値を調整してイベントを取得する必要があります。 |
| SSH 鍵ファイル |
システムが鍵認証を使用するように構成されている場合は、SSH 鍵を入力します。SSH 鍵ファイルを使用するときは、「リモート・パスワード (Remote Password)」フィールドは無視されます。 SSH 鍵は /opt/qradar/conf/keys ディレクトリーに配置されている必要があります。 重要: 「SSH 鍵ファイル」フィールドでは、ファイル・パスを使用できなくなりました。「/」や「~」を含めることはできません。SSH 鍵のファイル名を入力する必要があります。既存の構成の鍵は、/opt/qradar/conf/keys ディレクトリーにコピーされます。固有性を確保するために、鍵のファイル名には「_<Timestamp>」を付加する必要があります。
|
| リモート・ディレクトリー | FTP の際に、リモート・ユーザーのホーム・ディレクトリーにログ・ファイルがある場合は、リモート・ディレクトリーを空白のままにしておくことができます。リモート・ディレクトリーのフィールドを空白にすると、作業ディレクトリーの変更 (CWD) コマンドが制限されているシステムがサポートされます。 |
| 再帰的 (Recursive) | FTP 接続または SFTP 接続で、リモート・ディレクトリーのサブフォルダー内のイベント・データを再帰的に検索できるようにするには、このチェック・ボックスを有効にします。 サブフォルダーから収集するデータは、「FTP ファイル・パターン」の正規表現に一致するかどうかで決まります。「Recursive」オプションは、SCP 接続では使用できません。 |
| FTP ファイル・パターン | リモート・ホストからダウンロードするファイルを識別するために必要な正規表現。 |
| FTP 転送モード | FTP 経由で ASCII 転送を行う場合は、「プロセッサー」フィールドで「NONE」を選択し、「イベント・ジェネレーター (Event Generator)」フィールドで「LINEBYLINE」を選択する必要があります。 |
| FTP TLS バージョン | FTPS 接続で使用できる TLS のバージョン。最も安全なバージョンを使用するには、「TLSv1.2」オプションを選択します。複数の選択可能なバージョンがあるオプションを選択すると、FTPS 接続では、クライアントとサーバーの両方で使用可能な最高バージョンがネゴシエーションされます。 このオプションを構成できるのは、「サービス・タイプ (Service Type)」パラメーターで FTPS を選択した場合のみです。 |
| 繰り返し (Recurrence) |
新しいイベント・ログ・ファイルがあるかどうかリモート・ディレクトリーをスキャンする頻度を決定する時間間隔。時間間隔には時間数 (H)、分数 (M)、または日数 (D) の値を含めることができます。例えば、繰り返しが 2H の場合は、リモート・ディレクトリーを 2 時間ごとにスキャンします。 |
| 保存時に実行 | ログ・ソース構成を保存した後、直ちにログ・ファイルのインポートを開始します。このチェック・ボックスを選択すると、前にダウンロードして処理したファイルのリストがクリアされます。最初のファイルのインポート後、ログ・ファイル・プロトコルは、管理者によって定義されている開始時刻および繰り返しスケジュールに従います。 |
| EPS スロットル | このプロトコルの上限とする 1 秒当たりのイベント数 (EPS)。 |
| ローカル・ディレクトリーの変更 | 「ターゲット・イベント・コレクター」でローカル・ディレクトリーを変更してイベント・ログを保管してから処理します。 |
| ローカル・ディレクトリー (Local Directory) | 「ターゲット・イベント・コレクター」のローカル・ディレクトリー。このディレクトリーは、ログ・ファイル・プロトコルがイベントを取得しようとする前に存在する必要があります。 |
| ファイルのエンコード (File Encoding) | ログ・ファイルのイベントで使用する文字エンコード。 |
| フォルダー分離文字 (Folder Separator) | ご使用のオペレーティング・システムでフォルダーの区切りに使用する文字。ほとんどの構成で、「フォルダーの区切り文字 (Folder Separator)」フィールドのデフォルト値を使用できます。このフィールドは、別の文字を使用して個別のフォルダーを定義するオペレーティング・システムを対象としています。例えば、メインフレーム・システムの場合にフォルダーを区切るピリオドが該当します。 |
ログ・ファイル・プロトコルとして FTPS を使用するための QRadar の構成
ログ・ファイル・プロトコルとして FTPS を構成するには、FTP サーバーに接続するすべての QRadar® イベント・コレクター上にサーバー SSL 証明書を配置する必要があります。SSL 証明書が RSA 2048 ではない場合は、新規 SSL 証明書を作成します。
openssl req -newkey rsa:2048 -nodes -keyout ftpserver.key -x509 -days 365 -out ftpserver.crtファイル拡張子が .crt である FTP サーバー上のファイルを、各イベント・コレクターの /opt/qradar/conf/trusted_certificates ディレクトリーにコピーする必要があります。