JDBC プロトコルの構成オプション
QRadar は、 JDBC プロトコルを使用して、複数のデータベース・タイプからのイベント・データを含む表またはビューから情報を収集します。
JDBC プロトコルはアウトバウンド/アクティブ・プロトコルです。 QRadar には、 JDBC用の MySQL ドライバーは含まれていません。 MySQL JDBC ドライバーを必要とする DSM またはプロトコルを使用している場合、 プラットフォームに依存しない MySQL Connector/J を http://dev.mysql.com/downloads/connector/j/からダウンロードしてインストールする必要があります。
- Java™ アーカイブ (JAR) ファイルを /opt/qradar/jars および /opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/にコピーします。
- 以下のコマンドを入力して、Tomcat サービスを再始動します。
systemctl restart tomcat - 以下のコマンドを入力して、イベント収集サービスを再始動します。
systemctl restart ecs-ec-ingress
| パラメーター | 説明 |
|---|---|
| ログ・ソース名 | ログ・ソースの固有名を入力します。 |
| ログ・ソースの説明 (オプション) | ログ・ソースの説明を入力します。 |
| ログ・ソース・タイプ | JDBC プロトコルを使用するデバイス・サポート・モジュール (DSM) を「ログ・ソース・タイプ」リストから選択します。 |
| プロトコル構成 | JDBC |
| ログ・ソース ID | ログ・ソースの名前を入力します。 名前にスペースを含めることはできません。また、JDBC プロトコルを使用するように構成されているログ・ソース・タイプのすべてのログ・ソースで固有である必要があります。 ログ・ソースが静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからイベントを収集する場合は、「ログ・ソース ID」値のすべて、または一部として、アプライアンスの IP アドレスまたはホスト名を使用します (例: 192.168.1.1 や JDBC192.168.1.1)。 静的 IP アドレスまたはホスト名を持つ単一のアプライアンスからログ・ソースがイベントを収集しない場合は、「ログ・ソース ID」値に任意の固有名を使用できます (例: JDBC1、JDBC2)。 |
| データベース・タイプ | イベントが含まれているデータベースのタイプを選択します。 |
| Database Name | 接続先となるデータベースの名前。 |
| スキーマ( Snowflake のみ) | このパラメーターは、指定されたデータベース接続後に使用されるデフォルト・スキーマ、または空ストリングのいずれかを指定します。 指定されたスキーマは、指定されたデフォルト・ロールが特権を持つ既存のスキーマでなければなりません。 |
| IP またはホスト名 | データベース・サーバーの IP アドレスまたはホスト名。 |
| 倉庫 ( Snowflake のみ) | このパラメーターは、接続後に使用する仮想ウェアハウス、または空ストリングを指定します。 指定されたウェアハウスは、指定されたデフォルト・ロールが特権を持つ既存のウェアハウスでなければなりません。 |
| 役割 ( Snowflake のみ) | このパラメータは、ドライバによって開始された Snowflake セッションで使用される、デフォルトのアクセス制御ロールを指定する。 指定された役割は、ドライバーの指定されたユーザーに既に割り当てられている既存の役割でなければなりません。 指定されたロールがユーザーに割り当てられていない場合、ドライバーによるセッション開始時にそのロールは使用されません。 |
| ポート | JDBC ポートを入力します。 JDBC ポートは、リモート・データベースで構成されているリスナー・ポートに一致している必要があります。 データベースは、着信 TCP 接続を許可しなければなりません。 有効な範囲は、1 から 65535 です。 デフォルトは以下のとおりです。
「データベース・インスタンス」 パラメーターを構成し、MSDE データベース・タイプを使用する場合は、 「ポート」 パラメーターをブランクのままにします。 |
| Username | データベース内の QRadar 用のユーザー・アカウントです。 |
| キー・ペア認証 ( Snowflake のみ) | キー・ペア認証は、ユーザー名とパスワードなどの基本認証に代わる、強化された認証のために使用します。 このオプションを有効にすると、パスワードフィールドが非表示になります。 注: Snowflake サーバーは、 QRadar と Snowflake サーバーの両方が同じタイムゾーンと密接に同期したタイムスタンプ(~30)で設定されていることを確実にするために、高精度の原子時計同期時間を使用しています。
|
| 秘密鍵ファイル名 ( Snowflake のみ) | QRadar の /opt/qradar/conf/trusted_certificates/jdbc/ ディレクトリにある秘密鍵ファイル名。 秘密鍵ファイルを生成するには、 QRadar と通信するための JDBC の設定 を参照のこと。 |
| パスワード | データベースへの接続に必要なパスワード。 |
| パスワードの確認 | データベースへの接続に必要なパスワード。 |
| 認証ドメイン (MSDE のみ) | 「Microsoft JDBCの使用」を無効にすると、 「認証ドメイン」 パラメーターが表示されます。 MSDE のドメイン (Windows ドメイン)。 ネットワークがドメインを使用しない場合は、このフィールドを空白のままにしてください。 |
| データベース・インスタンス (MSDE または Informix のみ) | データベース・インスタンス (必要な場合)。 MSDE データベースでは、単一のサーバーに複数の SQL サーバー・インスタンスを含めることができます。 SQL データベース解決のデフォルトとは異なるポート番号を使用する場合は、このパラメーターをブランクのままにします。 |
| 定義済み照会 (オプション) | ログ・ソースに対する定義済みのデータベース照会を選択します。 ログ・ソース・タイプに対して定義済み照会を使用できない場合は、 「なし」 オプションを選択できます。 特定の統合の構成ガイドで定義済み照会を使用するように指定されている場合は、リストからその照会を選択します。 それ以外の場合は、 「なし」 を選択し、残りの必須値を設定します。 |
| テーブル名 | イベント・レコードを含む表またはビューの名前。 表名に使用できる特殊文字は、ドル記号 ($)、番号記号 (#)、下線 (_)、エヌ・ダッシュ (-)、ピリオド (.) です。 |
| 選択リスト | 表をポーリングしてイベントを照会するときに含めるフィールドのリスト。 コンマ区切りのリストを使用できるほか、アスタリスク (*) を入力して、表またはビューにあるすべてのフィールドを選択することができます。 コンマ区切りリストを定義した場合は、 「比較フィールド」 パラメーターで定義されたフィールドがリストに含まれている必要があります。 |
| 比較フィールド | 照会から次の照会までの間に表に追加された新しいイベントを識別する表またはビューにある、数値またはタイム・スタンプのフィールド。 このパラメーター値を設定すると、重複するイベントが作成されないように、プロトコルによって以前にプルされたイベントがプロトコルによって識別されます。 |
| 準備済みステートメントの使用 (Use Prepared Statements) | 準備済みステートメントを使用すると、JDBC プロトコル・ソースで SQL ステートメントをセットアップし、その SQL ステートメントを別のパラメーターで何度でも実行できるようになります。 セキュリティー上およびパフォーマンス上の理由により、ほとんどの JDBC プロトコル構成で準備済みステートメントを使用することができます。 |
| 開始日時 (オプション) | データベース・ポーリングの開始日時を選択または入力します。 形式は yyyy-mm-dd HH:mm です。ここで、HH は 24 時間クロックを使用して指定します。 このパラメーターが空の場合は、すぐにポーリングが開始され、指定のポーリング間隔で繰り返されます。 このパラメーターは、プロトコルがイベント収集を初期化するためにターゲット・データベースに接続する日時を設定するために使用されます。 このパラメーターを「ポーリング間隔 (Polling Interval)」パラメーターとともに使用すると、データベース・ポーリングの具体的なスケジュールを構成できます。 例えば、これらのパラメーターを使用して、ポーリングが毎時 5 分に行われるようにしたり、1 時間ごとに行われるようにしたり、ポーリングが毎日午前 1:00 に正確に行われるようにしたりします。 このパラメーターは、ターゲット・データベースから以前の表の行を取得するために使用することはできません。 例えば、このパラメーターを 「先週」に設定した場合、プロトコルは先週のすべての表の行を取得するわけではありません。 このプロトコルは、初期接続で「比較フィールド」の最大値よりも新しい行を取得します。 |
| ポーリング間隔 (Polling Interval) | イベント・テーブルに対する照会から次の照会までの間の時間を入力します。 もっと長いポーリング間隔を定義するには、H (時間) または M (分) を数値に追加します。 最大ポーリング間隔は 1 週間です。 |
| EPS スロットル | QRadar が取り込む 1 秒当たりのイベントの最大数。 データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。 有効な範囲は 100 から 20,000 です。 |
| セキュリティー・メカニズム (Db2 のみ) | リストから、 Db2 サーバーでサポートされているセキュリティー・メカニズムを選択します。 セキュリティー・メカニズムを選択しない場合は、「なし」を選択します。 デフォルトは 「なし」です。 Db2 環境でサポートされているセキュリティ・メカニズムについての詳細は、 IBM® サポート・サイト ( https://www.ibm.com/support/knowledgecenter/en/SSEPGG_11.1.0/com.ibm.db2.luw.apdv.java.doc/src/tpc/imjcc_cjvjcsec.html ) を参照のこと |
| 名前付きパイプ通信の使用 (Use Named Pipe Communication) (MSDE のみ) | 「Microsoft JDBCを無効にすると、 「名前付きパイプ通信の使用」 パラメーターが表示されます。 MSDE データベースでは、データベースのユーザー名とパスワードではなく、Windows 認証のユーザー名とパスワードを使用するために、ユーザー名とパスワードのフィールドが必要です。 ログ・ソースの構成では、MSDE データベースの名前付きパイプであるデフォルトを使用する必要があります。 |
| データベース・クラスター名 (Database Cluster Name) | SQL サーバーをクラスター環境で実行している場合は、クラスター名を定義して、名前付きパイプ通信が確実に正しく機能するようにしてください。 「名前付きパイプ通信の使用 (Use Named Pipe Communication)」 を有効にし、MSDE データベース・タイプ・オプションを選択する場合、このパラメーターは必須です。 |
| NTLMv2 の使用 (Use NTLMv2) (MSDE のみ) | 「Microsoft JDBCを無効にすると、 「 NTLMv2の使用」 パラメーターが表示されます。 NTLMv2 認証を必要とする SQL サーバーとの通信時に、MSDE 接続で NTLMv2 プロトコルを使用する場合は、このオプションを選択します。 このオプションは、NTLMv2 認証を必要としない MSDE 接続の通信には干渉しません。 NTLMv2 認証を必要としない MSDE 接続の通信には干渉しません。 |
| Microsoft JDBC の使用 (Use Microsoft JDBC) (MSDE のみ) | Microsoft JDBC ドライバーを使用する場合、「Microsoft JDBC の使用 (Use Microsoft JDBC)」を有効にする必要があります。 このパラメーターは、デフォルトで有効になっています。 |
| SSL の使用 (MSDE のみ) | MSDE 接続が SSL をサポートする場合は、このオプションを有効にします。 |
| SSL 証明書のホスト名 | 「Microsoft JDBC の使用 (Use Microsoft JDBC)」と「SSL の使用 (Use SSL)」を両方とも有効にする場合は、このフィールドが必須です。 この値は、ホストの完全修飾ドメイン名 (FQDN) でなければなりません。 IP アドレスは使用できません。 SSL 証明書と JDBCについて詳しくは、以下のリンクの手順を参照してください。
|
| 信頼できない証明書を許可する(MSDEのみ) | エンドポイントが証明書チェーンを使用して検証できない証明書を使用している場合、このオプションを有効にします。 これには、自己署名証明書や、CA信頼にインポートしたくないプライベートCAからの証明書が含まれる。 このオプションは、証明書がデフォルトまたはシステムの信頼できるストアから検証されるパブリックCA( SaaS 製品、パブリッククラウド基盤など)から発行された証明書を持つエンドポイントには使用しないでください。 このオプションを使用する場合、証明書はPEMまたはDERエンコードされたバイナリでダウンロードし、 .cert または .crt 拡張子を持つ /opt/qradar/conf/trusted_certificates/ 場所に配置する必要があります。 注: このパラメータを使用可能にするには、[Database Type as MSDE ] > [ Use Microsoft JDBC (toggle)] > [ Use SSL (toggle)] を選択します。
を使用するため、このオプションは NTLMv2 では使用できませんjtdsカスタム TrustManager 実装をサポートしないドライバ。 |
| Oracle 暗号化の使用(Oracle のみ) | Oracle の暗号化とデータ整合性の設定 は、Oracle Advanced Security とも呼ばれます。 これを選択した場合、Oracle JDBC 接続では、サーバーが同様の Oracle データ暗号化設定をクライアントとしてサポートすることが必要になります。 |
| データベースロケール (Informix のみ) | マルチリンガル・インストールの場合は、インストール・プロセスに使用する言語 (またはソフトウェア?) を指定します。 言語を選択した後、インストールで使用する文字セットを 「コード・セット」 パラメーターで選択できます。 |
| コードセット (Informix のみ) | Code-Set パラメーターは、多言語インストールの際に、言語を選択すると表示されます。 このフィールドを使用して、使用する文字セットを指定します。 |
| 有効 | ログ・ソースを有効にするには、このチェック・ボックスを選択します。 このチェック・ボックスはデフォルトで選択されます。 |
| 信頼性 | リストから、ログ・ソースの「信頼性」を選択します。 範囲は 0 から 10 です。 送信元デバイスからの信頼性の評価によって判断される、イベントまたはオフェンスの完全性。 複数の送信元が同じイベントを報告する場合、信頼性は高くなります。 デフォルトは 5 です。 |
| ターゲット・イベント・コレクター | ログ・ソースのターゲットとして使用する「ターゲット・イベント・コレクター」を選択します。 |
| イベントの統合 | ログ・ソースがイベントを統合 (バンドル) できるようにするには、「イベントの統合」チェック・ボックスを選択します。 デフォルトでは、自動的にディスカバーされたログ・ソースは、 QRadarの「システム設定」の 「イベントの統合」 リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。 |
| イベント・ペイロードの保管 | ログ・ソースによるイベント・ペイロード情報の保管を有効にするには、「イベント・ペイロードの保管」チェック・ボックスを選択します。 デフォルトでは、自動的に検出されたログ・ソースは、 QRadarの「システム設定」から ストア・イベント・ペイロード リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。 |
| 拡張オプションを有効にする | 拡張オプションを有効にするには、このチェック・ボックスを選択します。 無効にすると、デフォルト値が使用されます。 |
| SQL ステートメントでの WITH (ロックなし) の使用 | このオプションを有効にすると、すべての SQL ステートメントの表に「WITH (NOLOCK)」が付加されます。 |
| データベースインスタンス (MSDE または Informix のみ) | 必要であれば、 QRadar のデータベース・インスタンス・パラメータ。 MSDE データベースでは、単一のサーバーに複数の SQL サーバー・インスタンスを含めることができます。 SQL データベース解決のデフォルトとは異なるポート番号を使用する場合は、このパラメーターをブランクのままにします。 注: MSDEデータベースで IPv6 アドレスを使用する場合、Database Instanceパラメータは必須です。
|