ゲートウェイ・ログ・ソース

ゲートウェイ・ログ・ソースは、1 つの DSM タイプに依存するのではなく、多くのデバイス・サポート・モジュール (DSM) を使用するようにプロトコルを構成するために使用します。 ゲートウェイ・ログ・ソースを使用すると、イベント・アグリゲーター・プロトコルがさまざまなイベント・タイプを動的に処理できます。

ゲートウェイ・ログ・ソースは DSM を使用しません。 DSM の構文解析を、適切な ID と DSM を持つスタンドアロンの Syslog ログ・ソースに委任します。 該当するログ・ソースは、コレクター・ログ・ソース (ゲートウェイ) とパーサー・ログ・ソースです。 パーサー・ログ・ソースは、ゲートウェイから着信するデータを突き合わせますが、イベント自体をアクティブに収集することはしません。

ゲートウェイ・ログ・ソースを作成する前に、データ・ゲートウェイから収集しようとするデータのタイプを把握しておく必要があります。 データ・ゲートウェイは多くのデータ・タイプを収集できますが、 QRadar はデフォルトですべてのデータ・タイプをサポートしているわけではありません。 データを正しく構文解析するには、収集しようとしているイベントを処理できる DSM が存在する必要があります。 QRadar がイベントのソースをサポートしている場合でも、ゲートウェイが予期しない形式でイベントを返すと、DSM がイベントを解析しない可能性があります。 例えば、データ・ゲートウェイがイベントを JSON 形式で返したが、DSM は LEEF 形式を予期していた場合は、データを解析するためにカスタムの DSM が必要になることがあります。

ゲートウェイ・ログ・ソースは、選択されたプロトコルを使用してイベントへのアクセスと収集を行い、他のログ・ソースと同じように機能します。 ゲートウェイ・ログ・ソースとその他のログ・ソースの違いは、収集されたイベントをポストする準備ができたときに生じます。 通常のログ・ソースは、選択された DSM にイベントを構文解析させようとします。 ゲートウェイログソースは、デフォルトの識別子を 0.0.0.0 または接続されたサービスIPアドレス（パケットソースIPアドレス）に設定したSyslogペイロードとしてイベントを送信します。

イベントが Syslog ペイロードとしてイベント・パイプラインに送信されると、そのイベントがログ・ソースの自動検出によって処理されます。 指定された識別子を持つ既存のログソースが存在する場合、DSMでイベントが解析されるかどうかに関わらず、そのイベントはそのログソースで処理されます。 既存のログソースが存在しない場合、自動検出をサポートするDSMによってイベントが解析されます。 DSMでイベントが正しく解析された場合、その特定のDSMのログソース自動検出の設定に応じて、一般的に$$DEVICE_TYPE$$ @ $$SOURCE_ADDRESS$$という命名形式のログソースが作成されます。

通常、自動的に作成されるログソースには、有効なsyslogヘッダー、パケットソースIP、または 0.0.0.0 である場合、 ログソース識別オプションがホスト名/IPに設定されています。 自動的に作成されたログソースに一致させるには、ペイロードに 「ログソース識別子」 に一致する識別子を含める必要があり、選択したDSMがそれを解析できなければなりません。 解析できないイベントは、sim-genericに直接送信されるか、保存されます。

ゲートウェイ・ログ・ソースを構成するには、選択したプロトコルの「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションを有効にします。 このオプションを有効にすると、イベントがイベント・パイプラインに送信され、自動検出されます。 この機能から最大値を取得するには、 ログ・ソース ID パターンを使用します。