UDP 複数行 Syslog プロトコルの構成オプション
単一行 Syslog イベントを複数行イベントから作成するには、UDP 複数行プロトコルを使用するようにログ・ソースを構成します。 UDP 複数行 Syslog プロトコルは、正規表現を使用して複数行 Syslog メッセージを識別し、単一のイベント・ペイロードに再組み立てします。
conn フィールドで、値 2467222 が繰り返されているとします。 このフィールドの値をキャプチャーすると、conn=2467222 が含まれるすべての Syslog メッセージが 1 つのイベントに結合されます。15:08:56 <IP_address> slapd[517]: conn=2467222 op=2 SEARCH RESULT tag=101
15:08:56 <IP_address> slapd[517]: conn=2467222 op=2 SRCH base="dc=xxx"
15:08:56 <IP_address> slapd[517]: conn=2467222 op=2 SRCH attr=gidNumber
15:08:56 <IP_address> slapd[517]: conn=2467222 op=1 SRCH base="dc=xxx"| パラメーター | 説明 |
|---|---|
| プロトコル構成 | UDP 複数行 Syslog |
| ログ・ソース ID | ログ・ソースの固有名を入力します。 「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 また、 「ログ・ソース名」と同じ値にすることもできます。 複数の UDP 複数行 Syslog ログ・ソースが構成されている場合は、それぞれに固有の名前を付けてください。 |
| Listen ポート | 着信 UDP 複数行 Syslog イベントを受け取るために QRadar が使用するデフォルトのポート番号は 517 です。 1 から 65535 の範囲内で、別のポート番号を使用することができます。 保存済みの構成を編集して新しいポート番号を使用するには、以下のステップを実行します。
ポートの更新が完了し、新しいポート番号でイベント収集が開始されます。 |
| メッセージ ID のパターン | イベント・ペイロード・メッセージをフィルタリングするために必要な正規表現。 UDP 複数行イベント・メッセージでは、イベント・メッセージの各行で共通の識別値が繰り返されている必要があります。 |
| イベント・フォーマッター (Event Formatter) | リスナーが検出した受信ペイロードのフォーマットを設定するイベント・フォーマッター。 ペイロードをそのままの状態にしておく場合は、「フォーマットしない (No Formatting)」を選択します。 ペイロードを単一行イベントとしてフォーマット設定する場合は、「Cisco ACS 複数行 (Cisco ACS Multiline)」を選択します。 ACS Syslog ヘッダーには、 |
| 詳細オプションを表示 | デフォルトは No です。 拡張オプションを構成する場合は、はい を選択します。 |
| カスタムのソース名を使用 (Use Custom Source Name) | 正規表現を使用してソース名をカスタマイズする場合は、このチェック・ボックスを選択します。 |
| ソース名の正規表現 (Source Name Regex) | この UDP 複数行 Syslog 構成によって処理されるイベントのソースを QRadar が決定する方法をカスタマイズする場合は、 「ソース名の正規表現 (Source Name Regex)」 パラメーターと 「ソース名フォーマット・ストリング (Source Name Formatting String)」 パラメーターを使用します。 「ソース名の正規表現 (Source Name Regex)」には、このプロトコルで処理するイベント・ペイロードから 1 つ以上の識別値をキャプチャーするための正規表現を入力します。 キャプチャーされた値と「ソース名フォーマット・ストリング (Source Name Formatting String)」 を併せて使用して、各イベントのソースまたはオリジンの値が設定されます。 「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションが有効にされている場合は、そのソース値を使用して、一致するログ・ソース ID 値を持つログ・ソースにイベントがルーティングされます。 |
| ソース名フォーマット・ストリング (Source Name Formatting String) | 以下の 1 つ以上の入力の組み合わせを使用して、このプロトコルで処理されるイベント・ペイロードのソース値を形成することができます。
例えば、 |
| ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source) | このチェック・ボックスがクリアされている場合、着信イベントは、発信元の IP と一致するログ・ソース ID を持つログ・ソースに送信されます。 チェック・マークが付けられている場合、このログ・ソースは、 QRadar に入力する多数のソースからの複数行イベントの単一エントリー・ポイントまたはゲートウェイとして機能し、ソースごとに UDP 複数行 Syslog ログ・ソースを構成する必要なく同じ方法で処理されます。 RFC3164 または RFC5424 準拠の Syslog ヘッダーを持つイベントは、そのヘッダー内に設定された IP またはホスト名から発信されたものとして識別されます。ただし、「ソース名フォーマット・ストリング (Source Name Formatting String)」パラメーターが使用されている場合は、例外です。その場合、各イベントでフォーマット・ストリングが評価されます。 そのようなイベントは、キャプチャーされた値に応じて QRadar 経由でルーティングされます。 対応するログ・ソース ID を持つログ・ソースが 1 つ以上存在する場合、構成済みの解析の順序に基づいてイベントが割り当てられます。 ログ・ソースがイベントを受け入れない場合、または一致するログ・ソース ID を持つログ・ソースが存在しない場合は、イベントは自動検出のために分析されます。 |
| 複数のイベントを単一行にフラット化 (Flatten Multiline Events Into Single Line) | イベントを 1 行で表示するか複数行で表示するかを指定します。 このチェック・ボックスが選択されている場合、イベントからすべての改行と復帰文字が削除されます。 |
| イベントの集約時にすべての行を保持 (Retain Entire Lines During Event Aggregation) | このオプションを使用して、プロトコルが同じ ID パターンを持つイベントを連結するときに「メッセージ ID のパターン」の前に来るイベントの一部を破棄するか保持するかを選択します。 |
| 時間制限 | イベントをイベント・パイプラインにプッシュする前に、さらに一致するペイロードを待機する秒数。 デフォルトは 10 秒です。 |
| 有効 | ログ・ソースを有効にするには、このチェック・ボックスを選択します。 |
| 信頼性 | ログ・ソースの「信頼性」を選択します。 範囲は 0 から 10 です。 送信元デバイスからの信頼性の評価によって判断される、イベントまたはオフェンスの完全性。 複数の送信元が同じイベントを報告する場合、信頼性は高くなります。 デフォルトは 5 です。 |
| ターゲット・イベント・コレクター | デプロイメント環境内で UDP Multiline Syslog リスナーをホストさせるイベント・コレクターを選択します。 |
| イベントの統合 | ログ・ソースがイベントを統合 (バンドル) できるようにするには、このチェック・ボックスを選択します。 デフォルトでは、自動的にディスカバーされたログ・ソースは、 QRadarの「システム設定」の「イベントの統合」リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。 |
| イベント・ペイロードの保管 | ログ・ソースがイベント・ペイロード情報を保管できるようにするには、このチェック・ボックスを選択します。 デフォルトでは、自動的に検出されたログ・ソースは、 QRadarの「システム設定」から ストア・イベント・ペイロード リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。 |