ログ・ソースの追加

ログ・ソースが自動的に検出されない場合は、 QRadar Log Source Management アプリを使用して手動で追加し、ネットワーク・デバイスまたはアプライアンスからイベントを受信できるようにします。

QRadar 7.3.1 から 7.5.0 更新パッケージ 3 を使用している場合は、 「ログ・ソース」アイコンを使用してログ・ソースを追加することもできます。 QRadar 7.5.0 Update Package 4 以降では、 「ログ・ソース」 アイコンをクリックすると、 QRadar Log Source Management アプリケーションが開きます。

始める前に

QRadar ConsoleQRadar Log Source Management アプリケーションがインストールされていることを確認します。 アプリのインストールの詳細については、ログ ソース管理アプリQRadar®のインストールを参照してください。

手順

  1. QRadarにログインします。
  2. 「管理」 タブをクリックします。
  3. アプリケーションを開くには、 QRadar 「Log Source Management」 アプリケーション・アイコンをクリックします。
  4. 新規ログ・ソース > 「単一ログ・ソース」をクリックします。
  5. 「ログ・ソース・タイプの選択」 ページで、ログ・ソース・タイプを選択し、 「プロトコル・タイプの選択」をクリックします。
  6. 「プロトコル・タイプの選択」 ページで、プロトコルを選択し、 「ログ・ソース・パラメーターの構成」をクリックします。
  7. 「ログ・ソース・パラメーターの構成」 ページで、ログ・ソース・パラメーターを構成し、 「プロトコル・パラメーターの構成」をクリックします。
    以下の表は、すべてのログ・ソース・タイプに共通のログ・ソース・パラメーターを説明しています。
    表 1. 共通のログ・ソース・パラメーター
    パラメーター 説明
    Enabled このオプションが有効になっていない場合、ログ・ソースはイベントを収集しません。
    Credibility 信頼性は、ログ・ソースによって作成されたイベントの整合性または有効性を表します。 ログ・ソースに割り当てられている信頼性値は、着信イベントに基づいて増減されて、ユーザーが作成したイベント規則に対応して調整される場合があります。 ログ・ソースからのイベントの信頼性は、オフェンスのマグニチュードの計算に反映され、オフェンスのマグニチュード値を増大または減少させる場合があります。
    Target Event Collector ログ・ソースのプロトコルが実行されるQRadarホストを指定します。 アウトバウンド・プロトコルは、このホストからリモート・システムへの接続を開始し、インバウンド・プロトコルは、リモート・システムによって送信されたイベント・データを受信するために、このホスト上のポート・リスナーを初期化します。
    このパラメーターは、ログ・ソースをEvent Collectorアプライアンスに割り当てるために特に使用されるものではありません。 Event Collectorコンポーネントは以下のホストに存在するため、プロトコルはこれらのホストのいずれにも割り当てることができます。
    • Event Collectors
    • Event Processors
    • データ・ゲートウェイ (QRadar on Cloud のみ)
    • そのQRadar Console
    ヒント: イベントを収集できるすべての QRadar ホストには、syslog ログ・ソースが割り当てられているかどうかに関係なく、ポート 514 でアクティブな syslog リスナーがあります。 ターゲット・イベント・コレクター・パラメーターは、Syslog プロトコルを使用するログ・ソースには使用されません。
    Coalescing Events

    同じQIDユーザー名送信元 IP宛先 IP宛先ポートドメイン、およびログ・ソースを持つ複数のイベントが短い時間間隔 (10 秒) 内に発生した場合、それらのイベントは統合 (バンドル) されます。

    イベントは一緒にバンドルされるため、保管されるイベントの数が減り、イベントのストレージ・コストが削減されます。 イベントを統合すると、ロー・ペイロードやイベント・プロパティーなどの情報が失われる可能性があります。 デフォルトでは、有効になっています。 詳しくは、QRadar では統合はどのように機能しますか? を参照してください。
  8. 「プロトコル・パラメーターの構成」 ページで、プロトコル固有のパラメーターを構成します。
    • 構成をテストできる場合は、「プロトコル・パラメーターのテスト (Test Protocol Parameters)」をクリックします。
    • 構成をテストできない場合は、「終了」をクリックします。
  9. 「プロトコル・パラメーターのテスト」 ウィンドウで、 「テストの開始」をクリックします。
  10. エラーを修正するには、「 プロトコル・パラメーターの構成」をクリックします。 パラメーターを構成し、「プロトコル・パラメーターのテスト (Test Protocol Parameters)」をクリックします。
  11. 「終了」をクリックします。

ログ・ソース・アイコンを使用したログ・ソースの追加

ログ・ソースが自動的に検出されない場合は、ネットワーク・デバイスまたはアプライアンスからイベントを受信するために QRadar のログ・ソースを手動で追加します。

QRadar 7.3.0 以前を使用している場合は、ログ・ソース アイコンを使用するだけで、ログ・ソースを QRadar に追加することができます。

QRadar 7.3.1 以降を使用している場合は、 QRadar Log Source Management アプリケーションを使用してログ・ソースを追加できます。

手順

  1. QRadarにログオンします。
  2. 「管理」 タブをクリックします。
  3. 「ログ・ソース」 アイコンをクリックします。
  4. 「追加」をクリックします。
  5. ログ・ソースの共通パラメーターを構成します。
  6. ログ・ソースのプロトコル固有のパラメーターを構成します。
    以下の表は、すべてのログ・ソース・タイプに共通のログ・ソース・パラメーターを説明しています。
    表 2. 共通のログ・ソース・パラメーター
    パラメーター 説明
    Enabled このオプションが有効になっていない場合、ログ・ソースはイベントを収集しません。
    Credibility 信頼性は、ログ・ソースによって作成されたイベントの整合性または有効性を表します。 ログ・ソースに割り当てられている信頼性値は、着信イベントに基づいて増減されて、ユーザーが作成したイベント規則に対応して調整される場合があります。 ログ・ソースからのイベントの信頼性は、オフェンスのマグニチュードの計算に反映され、オフェンスのマグニチュード値を増大または減少させる場合があります。
    Target Event Collector ログ・ソースのプロトコルが実行されるQRadarホストを指定します。 アウトバウンド・プロトコルは、このホストからリモート・システムへの接続を開始し、インバウンド・プロトコルは、リモート・システムによって送信されたイベント・データを受信するために、このホスト上のポート・リスナーを初期化します。
    このパラメーターは、ログ・ソースをEvent Collectorアプライアンスに割り当てるために特に使用されるものではありません。 Event Collectorコンポーネントは以下のホストに存在するため、プロトコルはこれらのホストのいずれにも割り当てることができます。
    • Event Collectors
    • Event Processors
    • データ・ゲートウェイ (QRadar on Cloud のみ)
    • そのQRadar Console
    ヒント: イベントを収集できるすべての QRadar ホストには、syslog ログ・ソースが割り当てられているかどうかに関係なく、ポート 514 でアクティブな syslog リスナーがあります。 ターゲット・イベント・コレクター・パラメーターは、Syslog プロトコルを使用するログ・ソースには使用されません。
    Coalescing Events

    同じQIDユーザー名送信元 IP宛先 IP宛先ポートドメイン、およびログ・ソースを持つ複数のイベントが短い時間間隔 (10 秒) 内に発生した場合、それらのイベントは統合 (バンドル) されます。

    イベントは一緒にバンドルされるため、保管されるイベントの数が減り、イベントのストレージ・コストが削減されます。 イベントを統合すると、ロー・ペイロードやイベント・プロパティーなどの情報が失われる可能性があります。 デフォルトでは、有効になっています。 詳しくは、QRadar では統合はどのように機能しますか? を参照してください。
  7. 「保存」をクリックします。
  8. 「管理」 タブで、 「変更のデプロイ」をクリックします。