SQS キューを使用する場合の Amazon AWS Route 53 の Amazon AWS S3 REST API ログ・ソース・パラメーター
| パラメーター | 値 |
|---|---|
| Log Source type | Amazon AWS Route 53 |
| Protocol Configuration | Amazon AWS S3 REST API |
| Log Source Identifier | ログ・ソースの固有名を入力します。 「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 「ログ・ソース ID」は、「ログ・ソース名」と同じ値にすることもできます。 複数の Amazon AWS Route 53 ログ・ソースが構成済みの場合は、最初のログ・ソースを awsroute53-1、2 番目のログ・ソースを awsroute53-2、3 番目のログ・ソースを awsroute53-3 として識別できます。 |
| Authentication Method |
|
| Access Key ID | 「認証方式」で「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、「アクセス・キー ID (Access Key ID)」パラメーターが表示されます。 AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「アクセス・キー ID (Access Key ID)」。 この値は、AWS S3 バケットにアクセスするために使用される「アクセス・キー ID (Access Key ID)」でもあります。 |
| Secret Key ID | 「認証方式」で「アクセス・キー ID (Access Key ID)」/「秘密鍵 (Secret Key)」を選択した場合は、「秘密鍵 ID (Secret Key ID)」パラメーターが表示されます。 AWS ユーザー・アカウント用のセキュリティー資格認定を構成したときに生成された「秘密鍵 (Secret Key)」。 この値は、AWS S3 バケットにアクセスするために使用される「秘密鍵 ID (Secret Key ID)」でもあります。 |
| Event Format | 「LINEBYLINE」を選択します。 ログ・ソースは JSON 形式のイベントを収集します。 |
| S3 Collection Method | 「SQS イベント通知 (SQS Event Notifications)」を選択します。 |
| SQS Queue URL | S3 から ObjectCreated イベントに関する通知を受信するようにセットアップされた SQS キューの https:// で始まる完全な URL を入力します。 |
| Region Name | SQS キューまたは S3 バケットが含まれているリージョン。 例: us-east-1、eu-west-1、ap-northeast-3 |
| Use as a Gateway Log Source | 収集されたイベントが QRadar トラフィック分析エンジンを通過し、 QRadar が 1 つ以上のログ・ソースを自動的に検出するようにするには、このオプションを選択します。 |
| Log Source Identifier Pattern | このオプションは、「ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)」」が「はい」に設定されている場合に有効になります。 処理中のイベントのカスタム・ログ・ソース ID を定義する場合は、このオプションを使用します。 このフィールドは、カスタム・ログ・ソース ID を定義するためのキーと値のペアを受け入れます。ここで、キーは ID フォーマット・ストリングで、値は関連付けられた正規表現パターンです。 新しい行にパターンを入力することによって、複数のキー値ペアを定義できます。 複数のパターンが使用された場合、一致が見つかり、カスタム・ログ・ソース ID が返されるまで、それらのパターンは順番に評価されます。 |
| Show Advanced Options | このオプションは、イベント・データをカスタマイズする場合に選択します。 |
| File Pattern | このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。 プルするファイルに一致するファイル・パターンの正規表現を入力します (例: .*?\.json\.gz)。 |
| Local Directory | このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。 ターゲット・イベント・コレクターのローカル・ディレクトリー。 このディレクトリーは、AWS S3 REST API プロトコルがイベントの取得を試行する前に存在している必要があります。 |
| S3 Endpoint URL | このオプションは、「詳細オプションを表示」が「はい」に設定されている場合に有効になります。 AWS REST API を照会するために使用されるエンドポイント URL。 エンドポイント URL がデフォルトと異なる場合は、エンドポイント URL を入力します。 デフォルトは http:/s3.amazonaws.com です。 |
| Use S3 Path-Style Access | パス形式アクセスを使用することを S3 要求に強制します。 この方法は、AWS によって非推奨になっています。 ただし、他の S3 互換 API を使用する場合に、この方法が必要になることがあります。 例えば、バケット名にピリオド (.) が含まれている場合は、https://s3.region.amazonaws.com/bucket-name/key- name path-styleが自動的に使用されます。したがって、このオプションは必須ではありませんが、使用することができます。 |
| Use Proxy | QRadar がプロキシーを使用して Amazon Web サービスにアクセスする場合は、 「プロキシーの使用」を有効にします。 プロキシーが認証を必要とする場合、「プロキシー・サーバー」、「プロキシー・ポート」、「プロキシー・ユーザー名」、「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー IP またはホスト名 (Proxy IP or Hostname)」フィールドを構成します。 |
| Recurrence | 新しいデータの有無を確認するスキャンのためにポーリングが行われる頻度。 SQS イベント収集方式を使用する場合、「SQS イベント通知 (SQS Event Notifications)」には最小値の 10 (秒) を指定できます。 SQS キューのポーリングはより頻繁に行われる場合があるため、より小さい値を使用できます。 新しいデータに対してポーリングが行われる頻度を決定する時間間隔を入力します。 時間間隔には時間数 (H)、分数 (M)、または日数 (D) の値を含めることができます。 例えば、2H = 2 時間、15M = 15 分、30 = 30 秒です。 |
| EPS Throttle | QRadar が取り込む 1 秒当たりのイベントの最大数。 データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。 デフォルトは 5000 です。 |
Amazon AWS S3 REST API プロトコルについて詳しくは、 Amazon AWS S3 REST API プロトコルの構成オプションを参照してください。