ログ・ファイル・プロトコルの構成オプション

リモート・ホストからイベントを受信するには、ログ・ファイル・プロトコルを使用するようにログ・ソースを構成します。

ログ・ファイル・プロトコルは、日次イベント・ログを書き込むシステム用のアクティブなアウトバウンド・プロトコルです。 イベント・ファイルに情報を追加するデバイスにログ・ファイル・プロトコルを使用するのは不適切です。

SFTP、FTP、SCP、または FTPS を使用して、ログ・ファイルは一度に 1 つずつ取得されます。 ログ・ファイル・プロトコルは、プレーン・テキストや圧縮ファイル、ファイル・アーカイブを管理できます。 アーカイブには、一度に 1 行ずつ処理できるプレーン・テキスト・ファイルが含まれている必要があります。 ログ・ファイル・プロトコルがイベント・ファイルをダウンロードすると、そのファイルで受信された情報によって「ログ・アクティビティー」タブが更新されます。 ダウンロードが完了した後にファイルに追加情報が書き込まれても、その追加情報は処理されません。

ログ・ファイル・プロトコル用のプロトコル固有のパラメーターについて、以下の表で説明します。
表 1. ログ・ファイル・プロトコルのパラメーター
パラメーター 説明
プロトコル構成 ログ・ファイル
ログ・ソース ID

ログ・ソースの固有名を入力します。

「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 また、 「ログ・ソース名」と同じ値にすることもできます。 複数の構成済みログ・ファイル・ログ・ソースがある場合は、それぞれに固有の名前を付けてください。
サービス・タイプ

リモート・サーバーからログ・ファイルを取得するときに使用するプロトコルを選択します。

  • SFTP - Secure File Transfer Protocol (デフォルト)
  • FTP - ファイル転送プロトコル
  • FTPS - ファイル転送プロトコル・セキュア
  • SCP - セキュア・コピー・プロトコル

「リモート IP またはホスト名 (Remote IP or Hostname)」フィールドに指定するサーバーは、SFTP サブシステムが SCP または SFTP でログ・ファイルを取得できるようにする必要があります。
リモート IP またはホスト名 イベント・ログ・ファイルを含むデバイスの IP アドレスまたはホスト名を入力します。
リモート・ポート リモート・ホストが標準以外のポート番号を使用する場合は、イベントを取得するためにポート値を調整する必要があります。
リモート・ユーザー イベント・ファイルを含むホストへのログインに使用するユーザー名を入力します。
リモート・パスワード ホストへのログインに使用するパスワードを入力します。
厳密なホスト・キー検査を有効にする 「ホスト鍵リスト」 パラメーターでターゲット・ホストに対して許可される公開鍵のリストを定義するには、このオプションを有効にします。
注: このオプションは、 「サービス・タイプ」 フィールドで SFTP (Secure File Transfer プロトコル) または SCP (セキュア・コピー・プロトコル) のいずれかを選択した場合にのみ使用可能です。
ホスト・キー・リスト

ターゲット・ホストへの接続時に使用する Base64 エンコードのホスト鍵のリストを指定します。 改行を使用して複数のキーを区切り、フォーマットにブランク行を使用します。 サポートされるホスト鍵タイプは、 ssh-dssssh-rsaecdsa-sha2-nistp256ecdsa-sha2-nistp384、および ecdsa-sha2-nistp521です。

これらの鍵を取得するには、 Linuxでは OpenSSH コマンド ssh-keyscan を実行し、Windows では ssh-keyscan.exe を実行します。あるいは、 /root/.ssh/id_rsa.pubのような場所からターゲット・システムから直接公開鍵を取得します。 Base64 ハッシュのみを使用し、ホスト名やアルゴリズムは使用しないでください。

注: このオプションは、 「サービス・タイプ」 フィールドで SFTP (Secure File Transfer プロトコル) または SCP (セキュア・コピー・プロトコル) のいずれかを選択した場合にのみ使用可能です。
SSH 鍵ファイル

システムが鍵認証を使用するように構成されている場合は、SSH 鍵を入力します。 SSH 鍵ファイルを使用するときは、「リモート・パスワード (Remote Password)」フィールドは無視されます。

SSH 鍵は /opt/qradar/conf/keys ディレクトリーに配置されている必要があります。

重要: 「SSH 鍵ファイル」 フィールドは、ファイル・パスを受け入れなくなりました。 「/」または「~」を含めることはできません。 SSH 鍵のファイル名を入力します。 既存の構成の鍵は、/opt/qradar/conf/keys ディレクトリーにコピーされます。 固有性を確保するには、キーのファイル名に「_< Timestamp>」を付加する必要があります。
リモート・ディレクトリー FTP の場合に、ログ・ファイルがリモート・ユーザーのホーム・ディレクトリーにある場合は、リモート・ディレクトリーを空白のままにしておくことができます。 リモート・ディレクトリーのフィールドを空白にすると、作業ディレクトリーの変更 (CWD) コマンドが制限されているシステムがサポートされます。
再帰的 (Recursive) FTP 接続または SFTP 接続で、リモート・ディレクトリーのサブフォルダー内のイベント・データを再帰的に検索できるようにするには、このチェック・ボックスを有効にします。 サブフォルダーから収集するデータは、「FTP ファイル・パターン」の正規表現に一致するかどうかで決まります。 「Recursive」オプションは、SCP 接続では使用できません。
FTP ファイル・パターン リモート・ホストからダウンロードするファイルを識別するために必要な正規表現。
FTP 転送モード FTP を介した ASCII 転送の場合、 「プロセッサー」 フィールドで NONE を選択し、 「イベント生成プログラム」 フィールドで LINEBYLINE を選択する必要があります。
FTPS TLS バージョン
FTPS 接続と互換性のある TLS バージョン。 最高レベルの TLS セキュリティーの場合は、 「TLS 1.3」 を選択します。 複数のバージョンをサポートするオプションを選択すると、FTPS 接続は、クライアントとサーバーの両方でサポートされる最新バージョンをネゴシエーションします。 TLS 1.3 は、 QRadar 7.5.0 更新パッケージ 5 以降と互換性があります。
重要: TLS 1.0 および TLS 1.1 は、 QRadar 7.4.3 フィックスパック 3 および 7.5.0 の候補リリース・バージョンではサポートされなくなり、それ以降のリリースではサポートされなくなります。
制約事項: QRadar は明示的 FTPS のみをサポートします。

FTP サーバーがセッションの再利用をサポートしている場合は、FTP サーバー構成ファイルでそれを使用不可にしてください。 この構成オプションは、 「サービス・タイプ」 パラメーターで FTPS が選択されている場合に適用できます。
SCP リモート・ファイル SCP ファイル転送の場合は、リモート・ホスト上のファイルの名前を入力します。 選択できるファイルは 1 つだけです。 このパラメーターは、ファイル・グロビングや正規表現などのメソッドを含む、複数のファイルの追加をサポートしません。
開始時刻 ファイルのインポートを開始するログ・ソースの時刻を選択します。 このパラメーターは 「繰り返し」 パラメーターと連動して、リモート・ディレクトリーでファイルをスキャンするタイミングと頻度を設定します。
繰り返し (Recurrence)

新しいイベント・ログ・ファイルがあるかどうかリモート・ディレクトリーをスキャンする頻度を決定する時間間隔。 時間間隔には時間数 (H)、分数 (M)、または日数 (D) の値を含めることができます。 例えば、繰り返しが 2H の場合は、リモート・ディレクトリーを 2 時間ごとにスキャンします。
保存時に実行 ログ・ソース構成を保存した後、直ちにログ・ファイルのインポートを開始します。 このチェック・ボックスを選択すると、前にダウンロードして処理したファイルのリストがクリアされます。 最初のファイル・インポートの後、ログ・ファイル・プロトコルは、管理者が定義する開始時刻と繰り返しスケジュールに従います。
EPS スロットル

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。
プロセッサー リモート・ホスト上のファイルがアーカイブ・フォーマットで保管されている場合は、イベント・ログの圧縮解除に使用するプロセッサーを選択します。 ファイルがアーカイブ形式で保管されていない場合は、 「なし」を選択します。 デフォルト値は 「なし」です。
以前に処理したファイルを無視 (Ignore Previously Processed File(s)) ログ・ソースが処理するファイルを追跡するには、このチェック・ボックスを選択します。 このオプションは、2 回目に処理されるファイルからの重複イベントを防止します。 このチェック・ボックスは、FTP および SFTP ファイル転送に適用されます。
ローカル・ディレクトリーの変更 「ターゲット・イベント・コレクター」でローカル・ディレクトリーを変更してイベント・ログを保管してから処理します。
ローカル・ディレクトリー (Local Directory) 「ターゲット・イベント・コレクター」のローカル・ディレクトリー。 このディレクトリーは、ログ・ファイル・プロトコルがイベントを取得しようとする前に存在する必要があります。
イベント・ジェネレーター (Event Generator) プロトコルのイベント・ジェネレーターとして使用する、以下のいずれかのファイル・タイプを選択します。
LineByLine
各行は単一のイベントとして処理されます。 10 行のファイルにより、10 個の別個のイベントが作成されます。
HPTアンデム
ファイルは、HPTandem NonStop バイナリー監査ログとして処理されます。 ログ・ファイル内の各レコード (1 次または 2 次) は、テキストに変換され、単一イベントとして処理されます。 HPTandem 監査ログでは、 [aA]\d{7}というファイル名パターンを使用します。
WebSphere Application Server
WebSphere Application Serverのイベント・ログを処理します。 リモート・ディレクトリーは、DSM で構成されるファイル・パスを定義する必要があります。
W3C
W3C フォーマットを使用するソースからのログ・ファイルを処理します。 ログ・ファイルのヘッダーは、ファイルの各行に含まれる順序とデータを識別します。
Fair Warning
患者の ID と医療情報を保護する Fair Warning デバイスからのログ・ファイルを処理します。 リモート・ディレクトリーは、Fair Warning デバイスが生成するイベント・ログへのファイル・パスを定義する必要があります。
DPI サブスクライバー・データ
このファイルは、Juniper Networks MX ルーターによって生成された DPI 統計ログとして処理されます。 ファイルのヘッダーは、ファイルの各行に含まれる順序とデータを識別します。 ヘッダーの後のファイル内の各行は、タブ区切りにフォーマット設定されます。name=valueペア・イベント。
SAP 監査ログ
SAP 監査ログのファイルを処理して、 SAP システムのセキュリティー関連イベントの記録を保持します。
Oracle BEA WebLogic
Oracle BEA WebLogic アプリケーション・ログ・ファイルのファイルを処理します。
Juniper SBR
Juniper Steel-belted RADIUS からのイベント・ログ・ファイルを処理します。
ID-リンクされた複数行
複数行イベント・メッセージの各行の先頭に共通の値を含む複数行イベント・ログを処理します。 このオプションは、正規表現を使用して、複数行イベントを識別し、単一イベント・ペイロードに再アセンブルします。
行比較機能
パターンに一致する行が検出されるまで行を繰り返し、パターンに一致しない行はすべて破棄します。
Oracle OS XML 監査
Oracle Databaseによって生成された監査ログを処理します。
Oracle OS 複数行監査
アクション、ユーザー、状況などの監査情報を含む複数行の Oracle 監査ログを処理します。
正規表現ベースの複数行
指定された正規表現の開始パターン、終了パターン、および無視パターンに基づいて行を反復し、パターンに一致しないストリーム内の行をすべて破棄します。
ファイルのエンコード (File Encoding) ログ・ファイルのイベントで使用する文字エンコード。
メッセージ ID のパターン 複数行イベント・メッセージの各行の先頭にある共通値を識別する正規表現 (regex) を入力します。
フォルダー分離文字 (Folder Separator) ご使用のオペレーティング・システムでフォルダーの区切りに使用する文字。 ほとんどの構成では、「フォルダー分離文字 (Folder Separator)」フィールドのデフォルト値を使用できます。 このフィールドは、別の文字を使用して個別のフォルダーを定義するオペレーティング・システムを対象としています。 例えば、メインフレーム・システムの場合にフォルダーを区切るピリオドが該当します。
「開始パターン」 RegEx 各行の開始パターンを識別する正規表現 (regex) を入力します。
「終了パターン」 RegEx 各行の終了パターンを識別する正規表現 (regex) を入力します。
「パターンを無視」 RegEx 各行の特定のパターンを除外するための正規表現 (regex) を入力します。
日時の正規表現 (Date Time RegEx) 各行の日時形式を識別する正規表現 (regex) を入力します。
日時形式 (Date Time Format) 各行からのイベントの開始を示す日時形式を入力します。

ログ・ファイル・プロトコルに FTPS を使用するための QRadar の構成

ログ・ファイル・プロトコル用に FTPS を構成するには、FTP サーバーに接続するすべての QRadar Event Collectors にサーバー SSL 証明書を配置する必要があります。 SSL 証明書が RSA 2048 ではない場合は、新規 SSL 証明書を作成します。

以下のコマンドは、Open SSL を使用して Linux システム上に証明書を作成する場合の例です。
openssl req -newkey rsa:2048 -nodes -keyout ftpserver.key -x509 -days 365 -out ftpserver.crt

.crt ファイル拡張子を持つ FTP サーバー上のファイルは、各 Event Collectors上の /opt/qradar/conf/trusted_certificates ディレクトリーにコピーする必要があります。