ログ・ソース管理の概要

IBM QRadar を構成して、お使いのネットワーク上にあるログ・ソースからのイベント・ログを受け入れることができます。 ログ・ソース とは、イベント・ログを作成するデータ・ソースのことです。

例えば、ファイアウォールや侵入防止システム (IPS) はセキュリティー・ベースのイベントをログに記録し、スイッチやルーターはネットワーク・ベースのイベントをログに記録します。

ログ・ソースからロー・イベントを受信するために、 QRadar は多くのプロトコルをサポートしています。 パッシブ・プロトコル は、特定のポートでイベントを listen します。 アクティブ・プロトコル は、API などの通信手段を使用して、イベントのポーリングと取得を行う外部システムに接続します。

ライセンスの制限に応じて、 QRadar は 300 を超えるログ・ソースからのイベントを読み取って解釈することができます。

QRadarのログ・ソースを構成するには、以下のタスクを実行する必要があります。
  1. ログ・ソースをサポートするデバイス・サポート・モジュール (DSM) をダウンロードしてインストールします。 DSM は、イベント・ログの元の形式から QRadar が使用できる形式にイベントを識別して解析するために必要なイベント・パターンを含むソフトウェア・アプリケーションです。
  2. DSM で自動ディスカバリーがサポートされている場合は、 QRadar が構成済みのログ・ソースのリストにログ・ソースを自動的に追加するまで待ちます。
  3. DSM の自動ディスカバリーがサポートされていない場合は、手動でログ・ソース構成を作成します。