TLS Syslog 経由の複数のログ・ソース

暗号化された Syslog イベントを単一の TLS Syslog listen ポートに送信するように、ネットワーク内の複数のデバイスを構成することができます。 TLS Syslog リスナーは、ゲートウェイとして機能し、イベント・データを暗号化解除し、Syslog プロトコルで構成された追加のログ・ソースに QRadar 内でフィードします。

TLS Syslog プロトコルを使用する場合は、特定のパラメーターを使用する必要があります。

TLS で暗号化された Syslog をサポートするネットワーク内の複数のデバイスは、TCP 接続を介して、暗号化されたイベントを TLS Syslog listen ポートに送信できます。 これらの暗号化されたイベントは、TLS Syslog (ゲートウェイ) によって暗号化解除され、イベント・パイプラインに注入されます。 暗号化解除されたイベントは、適切な受信側ログ・ソースまたはオートディスカバリー用のトラフィック分析エンジンに経路指定されます。

イベントは、QRadar内で、イベントのソース値と一致するLog Source Identifier値を持つログ・ソースにルーティングされます。 RFC3164、RFC5425、または RFC5424 に準拠した Syslog ヘッダーを持つ Syslog イベントの場合、ソース値はヘッダーからの IP アドレスまたはホスト名です。 準拠するヘッダーがないイベントの場合、Syslog イベントを送信したデバイスの IP アドレスがソース値になります。

QRadar では、複数のデバイスから 1 つの TLS Syslog listen ポートに送信される暗号化されたイベントを受信するために、Syslog プロトコルを使用して複数のログ・ソースを構成できます。

注: ほとんどの TLS 対応クライアントでは、サーバーの接続を認証するためにターゲット・サーバーまたはリスナーのパブリック証明書が必要です。 デフォルトでは、TLS Syslog ログ・ソースは、ログ・ソースが割り当てられているターゲット Event Collector 上の /opt/qradar/conf/trusted_certificates/syslog-tls.cert という名前の証明書を生成します。 この証明書ファイルは、TLS 接続を行っているすべてのクライアントにコピーする必要があります。

TLS Syslog を介してログ・ソースを追加するには、 ログ・ソースの追加に移動します。

注: ネットワーク内のデバイスごとにログ・ソースを追加する手順を繰り返す必要があります。 また、「ログ・ソース」ウィンドウで、複数の受信側ログ・ソースを一括で追加することもできます。 バルク・ログ・ソースの追加を参照してください。