IBM Cloud Object Storage プロトコルの構成オプション

IBM QRadar用のIBM Cloud Object Storage プロトコルは、IBM Cloud Object Storage バケットからオブジェクトに含まれるログを収集するアウトバウンド・プロトコルまたはアクティブ・プロトコルです。

重要: IBM Cloud Object Storage プロトコルを構成する前に、 IBM Cloud Object Storage バケットにアクセスするためのユーザー・アクセス役割とサービス資格情報を構成します。

バケットにアクセスするには、リーダー、ライター、またはマネージャーのいずれかの役割が必要です。ユーザー・アクセスの役割と許可について詳しくは、バケット許可 (https://cloud.ibm.com/docs/cloud-object-storage?topic=cloud-object-storage-iam-bucket-permissions) を参照してください。

ハッシュ・ベースのメッセージ認証コード (HMAC) 資格情報を含むサービス資格情報を作成する必要があります。サービス資格情報について詳しくは、HMAC 資格情報の使用 (https://cloud.ibm.com/docs/cloud-object-storage?topic=cloud-object-storage-uhc-hmac-credentials-main) を参照してください。

表 1. IBM Cloud Object Storage プロトコル共通ログ・ソース・パラメーター
パラメーター	説明
プロトコル構成	IBM Cloud Object Storage
ログ・ソース ID	ログ・ソースの固有名を入力します。ログ・ソース ID は、特定のサーバーを参照する必要はなく、ログ・ソース名と同じ値にすることができます。
HMAC アクセス・キー ID	サービス資格情報の構成時に生成されたアクセス・キー ID。
HMAC 秘密アクセス・キー	サービス資格情報の構成時に生成された秘密アクセス・キー。
エンドポイント	バケット構成ページに記載されているパブリック・エンドポイント。
バケット名	ログが保管されているバケットの名前。
接頭部	プレフィックスで始まるオブジェクトまたはファイル・キーの収集を制限するプレフィックス・フィルター値。バケットからすべてのファイルをプルするには、スラッシュ (/) を使用します。重要: 「接頭部」の値を変更すると、永続ファイル・マーカーがクリアされます。次回のプル実行時に、新しい接頭部に一致するすべてのファイルがダウンロードされます。接頭部ファイル・パスを使用してフォルダーを指定する場合は、ファイル・パスの先頭にスラッシュを使用しないでください。例えば、代わりに folder1/folder2 を使用します。
イベント・フォーマット	以下のイベント・フォーマットがサポートされています。 LINEBYLINE 1 行に 1 つのレコードを含む未加工のログ・ファイル。圧縮には、.gz、.gzip、または.zipのいずれかのファイルを使用できます。 W3C 名前と値のペアのイベントを出力するための汎用 W3C フォーマット・データを含むファイル (.gzファイルのみ)。
ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)	イベントのカスタム・ログ・ソース ID を定義しない場合は、チェック・ボックスをクリアします。「ゲートウェイ・ログ・ソースとして使用」を選択せず、「ログ・ソース ID パターン」を構成しない場合、 QRadar はイベントを不明な汎用ログ・ソースとして受信します。
ログ・ソース ID パターン (Log Source Identifier Pattern)	ゲートウェイ・ログ・ソースとして使用を選択した場合は、カスタム・ログ・ソース ID を定義できます。このオプションは、処理中のイベント、および自動的に検出されるログ・ソースに使用します。「ログ・ソース ID パターン」を構成しない場合、 QRadar はイベントを不明な汎用ログ・ソースとして受信します。カスタム・ログ・ソース ID を定義するには、キーと値のペアを使用します。このキーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。この値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。各パターンを新しい行に入力して、複数のキーと値のペアを定義します。複数のパターンは、リストされている順序で評価されます。一致が見つかると、カスタム・ログ・ソース ID が表示されます。以下の例は、複数のキーと値のペア関数を示しています。 `Patterns VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK) Events {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0} Resulting custom log source identifier VPC-ACCEPT-OK`
詳細オプションを表示	イベント収集の拡張オプションを構成するには、このオプションをオンに設定します。
ファイル・パターン	プルするファイルに一致するファイル・パターンの正規表現を入力します (例: `.*?\.json\.gz`)。このオプションは、詳細オプションの表示をオンに設定した場合に使用できます。
ローカル・ディレクトリー (Local Directory)	ターゲット・イベント・コレクターのローカル・ディレクトリー。このディレクトリーは、プロトコルがイベントの取得を試行する前に存在している必要があります。このオプションは、詳細オプションの表示をオンに設定した場合に使用できます。
プロキシーの使用 (Use Proxy)	QRadarがプロキシーを使用してIBM Cloud Object Storage にアクセスする場合は、プロキシーの使用を有効にします。プロキシーで認証が必要な場合は、プロキシー・サーバー、プロキシー・ポート、プロキシー・ユーザー名、およびプロキシー・パスワードの各パラメーターを構成します。プロキシーが認証を必要としない場合、「プロキシー・ユーザー名」フィールドと「プロキシー・パスワード」フィールドはブランクのままにします。
繰り返し (Recurrence)	プロトコルが新規データをポーリングする頻度を決定する時間間隔を入力します。時間間隔には時間数 (H)、分数 (M)、または日数 (D) の値を含めることができます。例えば、2H = 2 時間、15M = 15 分、30 = 30 秒です。最小値は 60 (秒) または 1M です。
EPS スロットル	QRadar が取り込む 1 秒当たりのイベントの最大数。データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。デフォルトは 5000 です。