HTTP レシーバー・プロトコルの構成オプション

HTTP 要求または HTTPS 要求を転送するデバイスからイベントを収集するには、HTTP レシーバー・プロトコルを使用するようにログ・ソースを構成します。

HTTPはインバウンドパッシブプロトコルです。 HTTP レシーバーは、構成された listen ポートで HTTP サーバーとして機能し、受信した POST 要求の要求本体をイベントに変換します。 HTTPS 要求と HTTP 要求の両方をサポートします。

重要: HTTPを使用する際には、認証局(CA)が発行した証明書を使用する必要があります。 CA によって検証される必要があるため、自己署名証明書にすることはできません。 HTTP 用のCA証明書の設定に関する詳細は HTTPでの証明書ベースの認証の設定 」を参照してください。
重要: ターゲット・コレクターがコンソールまたはイベント・プロセッサーである場合は、 QRadar on Cloud (QRoC) ユーザーである場合は、 IBM サポートに連絡して、この証明書ベースの認証を構成するためのサポート Case をオープンしてください。
HTTP レシーバー・プロトコル用のプロトコル固有のパラメーターについて、以下の表で説明します。
表 1. HTTP レシーバー・プロトコルのパラメーター
パラメーター 説明
プロトコル構成

リストから HTTP を選択します。
ログ・ソース ID

ログ・ソースの固有名を入力します。

「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 また、 「ログ・ソース名」と同じ値にすることもできます。 各ログ・ソースに固有の名前を付けるようにしてください。
Listen ポート

IBM QRadar が受信する HTTP イベントを受け入れるために使用されるポート。 デフォルトのポートは 12469 です。

重要: ポート 514 は使用しないでください。 ポート 514 は、標準 Syslog リスナーによって使用されます。
通信タイプ

プロトコルによって作成される HTTP の種類。

HTTP
暗号化と検証を行わずに HTTP Server を作成します。
重要: QRadar on Cloud (QRoC) ではサポートされていません。
HTTPS
暗号化と検証を使用して HTTP Server を作成します。
相互 TLS を使用する HTTPS (mTLS)
相互 TLS 認証 (mTLS) を使用する HTTP Server を作成します。
サーバー証明書 以下のいずれかのサーバー証明書オプションを選択します。
PKCS12 証明書チェーンとパスワード
このオプションを選択する場合は、 PKCS12 ファイルへのパスを構成し、パスワードを指定する必要があります。 PKCS12 ファイルに複数の項目がある場合は、使用する証明書項目を指定するために別名を指定する必要があります。
QRadar 証明書ストアから選択
このオプションを選択した場合は、 IBM QRadar Certificate Management appに証明書をアップロードする必要があります。 アプリケーションで、証明書の 目的Server または Server Clientとして設定し、その コンポーネントLog Sourceとして設定します。
自己署名生成証明書 (非推奨)
このオプションを選択すると、自己署名で生成された証明書が使用されます。 証明書がまだ生成されていない場合は、使用する証明書が生成されます。 この証明書は自己署名証明書であり、同じホスト上で生成された証明書を使用する TLS Syslog 構成と同じです。
サーバー証明書の通称 QRadar Certificate Management アプリケーションでアップロードされる、 QRadar 証明書ストアで使用可能な証明書の分かりやすい名前。
重要: QRadar Certificate Management アプリケーションは、 QRadar 7.3.3 フィックスパック 6 以降でサポートされます。
PKCS12 サーバー証明書パス 秘密鍵と証明書チェーンを含む PKCS12 ファイルへの絶対パス。

サーバー証明書オプションとして PKCS12 「証明書チェーンとパスワード」 を選択した場合、このパラメーターが表示されます。
PKCS12 パスワード PKCS12 ファイル用のパスワード。

サーバー証明書オプションとして PKCS12 「証明書チェーンとパスワード」 を選択した場合、このパラメーターが表示されます。
PKCS12 証明書別名

使用する PKCS12 ファイル内の証明書項目の別名。

PKCS12 ファイルに複数の項目がある場合は、使用する証明書項目を指定するために別名を指定する必要があります。

複数の証明書項目がある場合、単一の証明書項目を使用するには、このフィールドをブランクのままにします。

サーバー証明書オプションとして PKCS12 「証明書チェーンとパスワード」 を選択した場合、このパラメーターが表示されます。
HTTPトークンヘッダーを使用する

これにより HTTPが有効になります。 有効になっている場合、 HTTP Server と通信しようとするクライアントは、リクエストヘッダー経由で有効なアクセストークンを提供しなければなりません。
認証トークンのヘッダー名

HTTPは HTTP に追加され、使用中の認証ヘッダーと関連する認証情報に関する情報を含んでいます。 認証ヘッダー: 使用中の認証のタイプを示します。 一般的な認証ヘッダーには、Basic、Digest、および Bearer が含まれます。
認証トークン値

ヘッダーに含まれるトークン値は、使用中の認証スキームによって異なります。 例えば、基本認証の場合、トークン値は、 Base64 形式でエンコードされたユーザー名とパスワードで構成されます。
相互 TLS 認証トラストストア

「相互 TLS を使用する HTTPs (mTLS)」 通信タイプを選択する場合は、以下のいずれかのトラストストア・タイプを選択します。

システム・トラストストア
ターゲット・イベント・コレクターでオペレーティング・システムのトラストストアを使用して、サーバーのトラストストアを初期化します。
カスタム・トラストストア
ユーザー提供の Java™ 鍵ストアとパスワードを使用して、サーバー・トラストストアを初期化します。
ディスク上のクライアント証明書 (非推奨)
クライアント証明書が発行者と一致するが、発行者は検証しないことを確認します。 この方法では、すべてのクライアントが 1 つの証明書を共有する必要があります。
カスタム・トラストストア・ファイル・パス カスタム・トラストストアへの絶対パス。 カスタム・トラストストアをログ・ソースの QRadar Console または Event Collector にコピーする必要があります。
カスタム・トラストストア・パスワード カスタム・トラストストアのパスワード。
発行者検証を有効にする クライアント証明書が特定の証明書または公開鍵によって発行されたことを確認してください。 一般的なユース・ケースは、クライアント証明書を発行するために特定の中間 CA が使用されたことを確認することです。
発行者証明書または公開鍵 PEM 形式のルート発行者または中間発行者の証明書または公開鍵。

以下のテキストを含む証明書を入力します。

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

または、以下のテキストを含む公開鍵を入力します。

-----BEGIN PUBLIC KEY-----

-----END PUBLIC KEY-----

「発行者検証を有効にする」 パラメーターを有効にした場合、このパラメーターが表示されます。
CN 許可リストの使用

信頼が確立された後にクライアント証明書が一致する必要がある共通名のリストまたはパターンを指定します。 プレーン・テキストまたは正規表現を入力します。 各項目を新しい行に入力して、複数の項目を定義します。

以下のリストは、 CN 許可リストで使用する共通名エントリーのタイプの例を示しています。

固定名
127.0.0.1
1.1.1.1
ワイルドカード名
1.1.1.*
.*
ドメイン名
www.host.*.com
localhost

デフォルトでは、このパラメーターは無効になっています。
証明書失効の確認

クライアント証明書失効リストに照らして証明書失効状況を検査します。

このオプションを設定するには、クライアント証明書の X509v3の CRL配布ポイントフィールドで指定された URLへのネットワーク接続が必要です。また、 URL は証明書失効リスト(CRL)形式のみをサポートしている必要があります。

OSCP はサポートされていません。
クライアント証明書パス (非推奨)

クライアント証明書の絶対パスを設定します。 クライアント証明書をログ・ソースの QRadar Console または Event Collector にコピーする必要があります。

「通信タイプ」として 「相互 TLS (mTLS) を使用する HTTPS」 を選択し、 「相互 TLS 認証トラストストア」として 「ディスク上のクライアント証明書 (非推奨)」 を選択した場合、このパラメーターが表示されます。
イベント解析方法
HTTP 投稿ごとのイベント
HTTP の投稿全体を、特定のパターンのない単一のイベントとして扱う。
イベント・パー・ライン
正規表現を使って各イベントの開始をマークすることで、投稿を複数の単一行イベントに分割する。 Events Per Lineを選択すると、以下の2つのフィールドが表示される:
  • 特定の行に一致させる :デフォルトでは、1行につき1つのイベントを処理します。 メッセージパターンに従って特定の行にマッチするようにする。
  • メッセージ・パターン :投稿を複数の単一行イベントに分割するための正規表現を入力します
JSON配列ごとのイベント
JSON配列のルートを特定するJSONパス(JPath)を指定し、各配列エントリーを個別のイベントとして指定します。 Event Per JSON Arrayを選択すると、以下のフィールドが表示されます:
  • JSONパス式 :各配列エントリを個別のイベントとして、JSON配列のルートを識別するJSONパスを入力します。 JSONパスは、JSONオブジェクトのルートを示すフォワード・スラッシュ('/')で始まり、その後に1つ以上のJSONフィールド名を二重引用符で囲む必要があります。 例:
    JSON: {"topic":"device-events","events":[{"device_name":"device 1"},
  {"device_name":"device 2"}]}
  JSON Path expression: /"events"
  • 外側の JSON 構造を保持します:有効にすると、 JSON Path Expression の外側の JSON 構造も出力に含まれます。 デフォルトでは、 JSON Path Expression の配列要素のみが含まれます。 例:
     {"topic": "device","events": [{"audit_id": "audit 1","ap_name": "ap 1",
"device_type": "device type 1"},{"audit_id": "audit 2","ap_name": "ap 2",
"device_type": "device type 2"}]}
    これは以下のように複数のイベントに変換される:
     {"topic": "device","events": [{"audit_id": "audit 1","ap_name": "ap 1",
"device_type": "device type 1"}]}
     {"topic": "device","events": [{"audit_id": "audit 2","ap_name": "ap 2",
"device_type": "device type 2"}]}
ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)

収集されたイベントがQRadar® Traffic Analysisエンジンを通過し、QRadarが1つ以上のログソースを自動的に検出するには、このオプションを選択します。
予測解析を使用

このパラメーターを有効にすると、アルゴリズムはイベントごとに正規表現を実行せずにイベントからログ・ソース ID パターンを抽出するため、解析速度が向上します。

ただし、まれに、アルゴリズムが誤った予測を行うことがあります。 予測解析は、高いイベント率を受け取ることが予想され、より高速な解析を必要とするログ・ソース・タイプに対してのみ有効にします。

「ゲートウェイ・ログ・ソースとして使用」 パラメーターを有効にすると、予測解析を有効にできます。
ログ・ソース ID パターン (Log Source Identifier Pattern)

「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションを選択した場合は、このオプションを使用して、処理対象のイベントのカスタム・ログ・ソース ID を定義します。 「ログ・ソース ID パターン」 が構成されていない場合、 QRadar はイベントを不明な汎用ログ・ソースとして受信します。

「ログ・ソース ID パターン (Log Source Identifier Pattern)」 フィールドは、 key= value などのキーと値のペアを受け入れて、処理中のイベントのカスタム・ログ・ソース ID を定義し、該当する場合はログ・ソースが自動的に検出されるようにします。 キーは、結果のソースまたは起点の値である ID フォーマット・ストリングです。 値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。 値 (正規表現パターン) は、キャプチャー・グループもサポートします。キャプチャー・グループは、キー (ID フォーマット・ストリング) をさらにカスタマイズするために使用できます。

各パターンを新しい行に入力することで、複数のキーと値のペアを定義できます。 複数のパターンが使用された場合、一致が見つかるまで、それらのパターンは順番に評価されます。 一致が見つかると、カスタム・ログ・ソース ID が表示されます。

以下の例は、複数のキーと値のペア関数を示しています。
パターン
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
イベント
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
結果としてのカスタム・ログ・ソース ID
VPC-ACCEPT-OK
EPS スロットル

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

デフォルトは 5000 です。
拡張サーバー構成オプションの有効化 追加のサーバー・オプションを構成するには、このパラメーターを有効にします。 このパラメーターを有効にしない場合は、デフォルト値が使用されます。
ペイロードの最大長 (バイト) (Max Payload Length (Byte)) 単一イベントの最大ペイロード・サイズ (バイト単位)。 イベントは、ペイロード・サイズがこの値を超えると分割されます。

デフォルト値は 8192 で、32767 より大きくすることはできません。

「拡張サーバー構成オプションを有効にする」 パラメーターを有効にすると、このパラメーターが表示されます。
TLS プロトコル

このプロトコルで受け入れることができる TLS のバージョン。 サーバーに対して選択されているのと同じバージョンを使用して要求を送信します。

TLSv1.3 は、 QRadar 7.5.0 UP5 以降でサポートされます。

重要: TLSv1.0 および TLSv1.1 は、 QRadar 7.3.3 FP10、 7.4.3 FP3、および 7.5.0 CR ではサポートされなくなりました。 将来のリリースでは、 TLSv1.0 および TLSv1.1はサポートされない可能性があります。
POST メソッド要求の最大長 (MB) (Max POST method Request Length (MB)) POST メソッド要求本体の最大サイズ (MB 単位)。 POST 要求本体のサイズがこの値を超えると、HTTP 413 状況コードが返されます。

デフォルト値は 5 で、10 より大きくすることはできません。

「拡張サーバー構成オプションを有効にする」 パラメーターを有効にすると、このパラメーターが表示されます。
ポスト・リクエスト・ハンドラ・スレッド 受信した投稿リクエストを処理するために割り当てられた処理スレッドの数。

処理スレッドが受信ポストデータに追いつかない場合、 HTTP 429 が返される。

「拡張サーバー構成オプションを有効にする」 パラメーターを有効にすると、このパラメーターが表示されます。