TCP 複数行 Syslog プロトコルの構成オプション

TCP 複数行 Syslog プロトコルは、正規表現を使用して複数行イベントの開始パターンと終了パターンを識別するパッシブ・インバウンド・プロトコルです。

複数行イベントの例を以下に示します。
2012年6月13日 午後8時15分15秒
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5156
EventType=0
TaskCategory=Filtering Platform Connection
Keywords=Audit Success
Message=The Windows Filtering Platform permitted a connection.
Process ID: 4
Application Name: System
Direction: Inbound
Source Address: <IP_address>
Source Port: 80
Destination Address: <IP_address>
デスティネーション Port:444
TCP 複数行 Syslog プロトコル用のプロトコル固有のパラメーターについて、以下の表で説明します。
表 1. TCP 複数行 Syslog プロトコルのパラメーター
パラメーター 説明
プロトコル構成 TCP 複数行 Syslog
ログ・ソース ID ログ・ソースを識別するための IP アドレスまたはホスト名を入力します。 ログ・ソース ID の代わりにソース名を使用するには、 「カスタム・ソース名の使用」 を選択し、 「ソース名の正規表現」 パラメーターと 「ソース名のフォーマット設定ストリング」 パラメーターの値を入力します。
注: これらのパラメーターは、 「詳細オプションの表示」「はい」に設定されている場合にのみ使用できます。
Listen ポート 着信 TCP 複数行 Syslog イベントを受信するポートの番号。 デフォルトの Listen ポートは 12468 です。
ポート番号を編集するには、以下の手順を実行します。
  1. プロトコルの新しいポート番号を入力します。
  2. セーブをクリック。
  3. 「管理」 タブで、 「拡張」 > 「すべての構成のデプロイ」をクリックします。
    重要: 管理者が 「すべての構成のデプロイ」をクリックすると、システムはすべてのサービスを再始動します。これにより、デプロイメントが完了するまでデータ収集にギャップが生じる可能性があります。
集計の方法 TCP 複数行 Syslog データを集約するために使用する方式。 以下のいずれかの方法を選択できます。
ID-リンクされた複数行
各行の先頭に共通の値を含む複数行イベント・ログを処理します。
マッチングの開始/終了
イベントの開始パターンと終了パターンを指定して、複数行イベントを処理します。
イベント開始パターン (Event Start Pattern)

このパラメーターは、 「集約方式」 パラメーターを 「マッチングの開始/終了」に設定した場合に使用できます。

TCP 複数行イベント・ペイロードの開始を識別するために必要な正規表現。 通常、Syslog ヘッダーの先頭は日付またはタイム・スタンプです。 このプロトコルで、イベント開始パターン (タイム・スタンプなど) のみに基づく単一行イベントを作成できます。 開始パターンしか使用できない場合、このプロトコルは、それぞれの開始値の間にあるすべての情報を取り込んで有効なイベントを作成します。
イベント終了パターン (Event End Pattern)

このパラメーターは、 「集約方式」 パラメーターを 「マッチングの開始/終了」に設定した場合に使用できます。

TCP 複数行イベント・ペイロードの終了を識別するために必要な正規表現。 syslog イベントが同じ値で終了する場合は、正規表現を使用してイベントの終了を判別します。

イベント開始パターン のみが使用され、送信側デバイスが一定の間隔で少数のイベント (低 EPS) を送信した場合、パイプラインが新しい イベント開始パターンを検出するまで、最後に送信されたイベントは処理されません。 例えば、単一の「テスト・イベント」が送信される場合、 「イベント終了パターン」を追加せずに QRadar ログ・アクティビティーに表示されないことがあります。 このシナリオを回避するには、一度に 2 つから 3 つのテスト・イベントを送信します。 「イベント終了パターン」がない場合、新しい 「イベント開始パターン」 が検出されるまで、最後のイベントはキャプチャーされません。
メッセージ ID のパターン

このパラメーターは、「集約方法 (Aggregation Method)」パラメーターが「ID でリンク (ID-Linked)」に設定されている場合に使用可能になります。

この正規表現 (regex) は、イベント・ペイロード・メッセージをフィルタリングするために必要です。 TCP 複数行イベント・メッセージでは、イベント・メッセージの各行で共通の識別値が繰り返されている必要があります。
イベント・フォーマッター (Event Formatter) Windows 専用にフォーマットされた複数行イベントの場合は、 「Windows 複数行」 オプションを使用します。
詳細オプションを表示

デフォルトは No です。 イベント・データをカスタマイズしたい場合は、はい を選択します。
カスタムのソース名を使用 (Use Custom Source Name)

このパラメーターは、「詳細オプションを表示」「はい」に設定されている場合に使用可能になります。

正規表現を使用してソース名をカスタマイズする場合は、このチェック・ボックスを選択します。
ソース名の正規表現 (Source Name Regex)

このパラメーターは、「カスタムのソース名を使用 (Use Custom Source Name)」にチェック・マークが付けられている場合に使用可能になります。

このプロトコルで処理されるイベント・ペイロードから 1 つ以上の値をキャプチャーするための正規表現を入力します。 これらの値は、各イベントのソースまたは起点の値を設定するために、 「ソース名フォーマット・ストリング」 パラメーターとともに使用されます。 そのソース値を使用して、一致するログ・ソース ID 値を持つログ・ソースにイベントがルーティングされます。
ソース名フォーマット・ストリング (Source Name Formatting String)

このパラメーターは、 「カスタム・ソース名の使用」を有効にした場合に使用できます。

以下の 1 つ以上の入力の組み合わせを使用して、このプロトコルで処理されるイベント・ペイロードのソース値を形成することができます。
  • 「ソース名の正規表現 (Source Name Regex)」からの 1 つ以上のキャプチャー・グループ。 キャプチャー・グループを参照するには、&#xa5;x 表記を使用します。ここで、x「ソース名の正規表現 (Source Name Regex)」からのキャプチャー・グループの索引です。
  • イベント・データの発信元 IP アドレス。 パケット IP を参照するには、トークン $PIP$ を使用します。
  • リテラル・テキスト文字。 「ソース名フォーマット・ストリング (Source Name Formatting String)」全体をユーザー提供のテキストにすることができます。 例えば、 「ソース名の正規表現 (Source Name Regex)」'hostname=(.*?)' であり、 hostname.com をキャプチャー・グループ 1 の値に追加する場合、 「ソース名フォーマット文字列 (Source Name Formatting String)」 \1.hostname.comに設定します。 hostname=ibmを含むイベントが処理される場合、イベント・ペイロードのソース値は ibm.hostname.comに設定され、 QRadar はその 「ログ・ソース ID」を持つログ・ソースにイベントをルーティングします。
ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)

このパラメーターは、「詳細オプションを表示」「はい」に設定されている場合に使用可能になります。

これを選択すると、ログ・ソースを通過するイベントは、イベントにタグ付けされたソース名に基づいて、他のログ・ソースにルーティングされます。

このオプションが選択されておらず、 「カスタム・ソース名の使用」 が有効になっていない場合、着信イベントには、「ログ・ソース ID」パラメーターに対応するソース名のタグが付けられます。
複数のイベントを単一行にフラット化 (Flatten Multiline Events Into Single Line)

このパラメーターは、「詳細オプションを表示」「はい」に設定されている場合に使用可能になります。

イベントを 1 行で表示するか複数行で表示するかを指定します。
イベントの集約時にすべての行を保持 (Retain Entire Lines During Event Aggregation)

このパラメーターは、「詳細オプションを表示」「はい」に設定されている場合に使用可能になります。

Aggregation Method パラメーターに 「ID-Linked Multiline」 メソッドを設定した場合、このパラメーターは集約されたイベント・データ出力を変更できます。

「イベント集約中に行全体を保持」を有効にすると、同じ ID パターンを持つイベントを集約するときに、イベントのすべての部分が保持されます。 このパラメーターを有効にしないと、イベントが集約されるときに、 「メッセージ ID パターン」 より前のイベントの部分が破棄されます。
時間制限 イベントをイベント・パイプラインにプッシュする前に、さらに一致するペイロードを待機する秒数。 デフォルトは 10 秒です。
初期スレッド数 (Initial Number of Threads) イベントのフォーマット設定および通知に使用するスレッドの初期数。
スレッドの最大数 イベントのフォーマット設定および通知に使用するスレッドの最大数。 タスク・キューがいっぱいになると、 「スレッドの最大数」 パラメーターで設定された値までのスレッドがさらに作成されます。
有効

ログ・ソースを有効にするには、このチェック・ボックスを選択します。
信頼性

ログ・ソースの「信頼性」を選択します。 範囲は 0 から 10 です。

送信元デバイスからの信頼性の評価によって判断される、イベントまたはオフェンスの完全性。 複数の送信元が同じイベントを報告する場合、信頼性は高くなります。 デフォルトは 5 です。
ターゲット・イベント・コレクター

TCP 複数行 Syslog リスナーをホストするデプロイメント内のイベント・コレクターを選択します。
イベントの統合

ログ・ソースがイベントを統合 (バンドル) できるようにするには、このチェック・ボックスを選択します。

デフォルトでは、自動的にディスカバーされたログ・ソースは、 QRadarの「システム設定」の 「イベントの統合」 リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。
イベント・ペイロードの保管

ログ・ソースがイベント・ペイロード情報を保管できるようにするには、このチェック・ボックスを選択します。

デフォルトでは、自動的に検出されたログ・ソースは、 QRadarの「システム設定」から ストア・イベント・ペイロード リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。

TCP 複数行 Syslog プロトコル構成のユース・ケース

同じシステムから送信されたすべてのイベントを収集するために TCP 複数行 Syslog リスナー・ログ・ソースを設定するには、以下の手順に従います。
  1. 「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」および「カスタムのソース名を使用 (Use Custom Source Name)」をクリアのままにしておきます。
  2. イベントを送信するシステムの IP アドレスを「ログ・ソース ID」パラメーターに入力します。
図 1. QRadar ログ・ソースは、単一システムから TCP 複数行 Syslog リスナーに送信されたイベントを収集します。
TCP Multiline Syslog プロトコルのユース・ケース 1
複数のシステムが TCP 複数行 Syslog リスナーにイベントを送信している場合、または 1 つの中間システムが複数のシステムからイベントを転送しており、syslog ヘッダーまたは IP アドレスに基づいて別々のログ・ソースにイベントをルーティングする場合は、 「ゲートウェイ・ログ・ソースとして使用」 チェック・ボックスを選択します。
注: QRadar は、各イベントで RFC3164 または RFC5424-compliant syslog ヘッダーがあるかどうかを検査し、存在する場合は、そのヘッダーの IP またはホスト名をイベントのソース値として使用します。 イベントは、そのログ・ソース ID と同じ IP またはホスト名を持つログ・ソースにルーティングされます。 そのようなヘッダーが存在しない場合、 QRadar は、イベントが到着したネットワーク・パケットからの送信元 IP 値をイベントのソース値として使用します。
図 2. syslog ヘッダーを使用して、複数のシステムから TCP 複数行リスナーに送信されるイベントを別個の QRadar ログ・ソースで収集します。
TCP Multiline Syslog プロトコルのユース・ケース 2A
図3: 別個の QRadar ログ・ソースは、syslog ヘッダーを使用して、複数のシステムから送信され、中間システムを介して TCP 複数行リスナーに転送されるイベントを収集します。
TCP Multiline Syslog プロトコルのユース・ケース 2B

Syslog ヘッダー内の IP またはホスト名以外の値に基づいてイベントを別個のログ・ソースにルーティングするには、以下の手順を実行します。

  1. 「カスタム・ソース名の使用」 チェック・ボックスを選択します。
  2. 「ソース名の正規表現 (Source Name Regex)」 および 「ソース名フォーマット設定ストリング (Source Name Formatting String)」 を構成して、 QRadar が受信したイベントをログ・ソースにルーティングするためのソース名の値を設定する方法をカスタマイズします。
図 4. 別々の QRadar ログ・ソースが、複数のシステムから送信され、中間システムを介して TCP 複数行リスナーに転送されるイベントを、ソース名正規表現およびソース名フォーマット・ストリングを使用して収集します。
TCP Multiline Syslog プロトコルのユース・ケース 3