Syslog リダイレクト・プロトコルの概要
Syslog リダイレクト・プロトコルは、Syslog プロトコルの代わりに使用されるパッシブ・インバウンド・プロトコルです。 このプロトコルは、イベントを送信した特定のデバイス名を QRadar に識別させる場合に使用します。 QRadarは、指定した未使用ポートのTCPまたはUDPを使って、Syslogイベントをパッシブにリッスンすることができます。
| パラメーター | 説明 |
|---|---|
| Protocol Configuration | Syslog リダイレクト |
| Log Source Identifier | デフォルトとして使用する 「ログ・ソース ID」 を入力します。 「ログ・ソース ID の正規表現 (Log Source Identifier Regex)」 が、指定された正規表現を使用して特定のペイロードから 「ログ・ソース ID (Log Source Identifier)」 を解析できない場合は、デフォルトが使用されます。 |
| Log Source Identifier Regex | ペイロードから 「ログ・ソース ID」 を解析するための正規表現を入力します。 |
| Log Source Identifier Regex Format String | 「ログ・ソース ID 正規表現 (Log Source Identifier Regex)」からのキャプチャー・グループを結合するためのフォーマット設定ストリング。 例: 「$1」 は最初のキャプチャー・グループを使用します。 「$1$2」 は、キャプチャー・グループ 1 と 2 を連結します。 「$1 TEXT $2」 は、キャプチャー・グループ 1、リテラル「TEXT」、およびキャプチャー・グループ 2 を連結します。 結果のストリングが新しいログ・ソース ID として使用されます。 |
| Listen Port | 未使用のポートを入力し、そのポートでイベントを QRadar に送信するようにログ・ソースを設定します。 |
| Protocol | リストから、 「TCP」 または 「UDP」を選択します。 Syslog リダイレクト・プロトコルでは、任意の数の UDP Syslog 接続がサポートされますが、TCP 接続は 2500 に制限されます。 Syslog ストリームに含まれているログ・ソースが 2500 を超えている場合は、2 つ目のログ・ソースと listen ポート番号を入力する必要があります。 |
| Perform DNS Lookup On Regex Match | 「ログ・ソース ID (Log Source Identifier)」 パラメーター値に基づいて DNS 機能を有効にするには、 「正規表現の一致時に DNS ルックアップを実行 (Perform DNS Lookup On Regex Match)」 チェック・ボックスを選択します。 デフォルトでは、このチェック・ボックスは選択されていません。 |
| Use Predictive Parsing | このパラメーターを有効にすると、アルゴリズムはイベントごとに正規表現を実行せずにイベントからログ・ソース ID パターンを抽出するため、解析速度が向上します。 ヒント: まれに、アルゴリズムが誤った予測を行うことがあります。 予測解析は、高いイベント率を受け取ることが予想され、より高速な解析を必要とするログ・ソース・タイプに対してのみ有効にします。
|
| Payload Size | ペイロード・サイズは、通信エンドポイントによって送信されるデータの長さです。 デフォルトは 2048 です。 ペイロード・サイズは 2048 から 32000 までの整数でなければなりません。 |
| Enabled | ログ・ソースを有効にするには、このチェック・ボックスを選択します。 このチェック・ボックスはデフォルトで選択されます。 |
| Credibility | リストから、ログ・ソースの「信頼性」を選択します。 範囲は 0 から 10 です。 送信元デバイスからの信頼性の評価によって判断される、イベントまたはオフェンスの完全性。 複数の送信元が同じイベントを報告する場合、信頼性は高くなります。 デフォルトは 5 です。 |