IBM SAN ボリューム・コントローラー

IBM QRadar DSM IBM® SAN ボリュームコントローラーは、IBM SAN ボリュームコントローラーからイベントを収集します。

重要: この DSM は Cloud Auditing Data Federation (CADF) イベント・フォーマットのみをサポートします。このイベント・フォーマットには、 IBM SAN ボリューム・コントローラーからのクラウド・アカウントの作成、更新、削除、およびクラウド・バックアップ・アクティビティー・イベントに関連するモニターと保護が含まれます。

以下の表は、 IBM SAN ボリューム・コントローラー DSM の仕様を示しています。

表 1. IBM SAN ボリューム・コントローラー DSM の仕様
仕様	値
製造元	IBM
DSM 名	IBM SAN ボリューム・コントローラー
RPM ファイル名	DSM-IBMSANVolumeController-`QRadar_version-build_number`.noarch.rpm
サポートされるバージョン	N/A
プロトコル	Syslog
イベント・フォーマット	CADF
記録されるイベント・タイプ	アクティビティー・イベント、制御イベント、および監査のモニター・イベント
自動的に検出?	はい
ID を含む?	いいえ
カスタム・プロパティーを含む?	いいえ
詳細情報	IBM SAN ボリューム・コントローラー Web サイト (http://www-03.ibm.com/systems/storage/software/virtualization/svc/)

IBM SAN ボリューム・コントローラーを QRadarに統合するには、以下の手順を実行します。

自動更新が有効になっていない場合は、以下に示す RPM の最新バージョンを IBM サポート Web サイトからダウンロードし、リストされている順に QRadar Consoleにインストールしてください。
- DSMCommon RPM
- IBM SAN ボリューム・コントローラー DSM RPM
Syslog イベントを QRadarに送信するように IBM SAN ボリューム・コントローラー・サーバーを構成します。

QRadar でログ・ソースが自動的に検出されなかった場合は、 QRadar Consoleで IBM SAN ボリューム・コントローラー・ログ・ソースを追加します。以下の表は、 IBM SAN ボリューム・コントローラー・イベントの収集用に固有の値を必要とするパラメーターを示しています。

表 2. IBM SAN ボリューム・コントローラー・ログ・ソース・パラメーター
パラメーター	値
ログ・ソース・タイプ	IBM SAN ボリューム・コントローラー
プロトコル構成	Syslog
ログ・ソース ID	IBM SAN ボリューム・コントローラー・サーバーの IP アドレスまたはホスト名。

QRadar が正しく構成されていることを確認するには、以下の表を参照して、解析済みイベント・メッセージの例を確認してください。

重要: フォーマットの問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。

以下の表は、 IBM SAN ボリューム・コントローラーのイベント・メッセージの例を示しています。

イベント名下位カテゴリーサンプル・ログ・メッセージ

バックアップの成功 (Backup Successful)

バックアップ・アクティビティーが成功しました

表 3. IBM SAN ボリューム・コントローラーのサンプル・メッセージ
イベント名	下位カテゴリー	サンプル・ログ・メッセージ
バックアップの成功 (Backup Successful)	バックアップ・アクティビティーが成功しました	Oct 12 20:02:33 Cluster_<IP_address> IBM2145: {"typeURI": "http://example.com/cloud/audit/1.0/event","eventTime": "2016-10-12T20:02:30.000000+0000","target": {"typeURI": "service/storage/object","id": "0","name": "username"},"observer": {"typeURI": "service/network/cluster/logger","id": "10032004394","name": "username"},"tags": ["Backup"],"eventType": "activity","measurements": [{"metric": {"metricId": "www.example.com/svc/Cloud/Backup_Time/0000000000/000/0","name": "Time of backup being copied or restored","unit": "YYMMDDHHMMSS"},"result": "2016/10/12/20/02/30"},{"metric": {"metricId": "www.example.com/svc/Cloud/Backup_Generation_Number/0000000000/000/0","name": "Volume backup generation number","unit": "Natural Number"},"result": "1"}],"initiator": {"typeURI": "service/network/node","host": {"address": "<IP_address>"},"attachments": [{"content":"6005076400C8010E5000000000000000","typeURI": "text/plain","name": "volume_uuid"}],"name": "username","id": "1"},"reason": {"reasonCode": "200","reasonType": "http://www.example.com/assignments/http-status-codes/http-status-codes.xml"},"action": "backup","outcome": "success","id": "xxxxxxxxxxx-xxxxxxxxxx-xxx"}

Oct 12 20:02:33 Cluster_<IP_address> IBM2145: {"typeURI": "http://example.com/cloud/audit/1.0/event","eventTime": "2016-10-12T20:02:30.000000+0000","target": {"typeURI": "service/storage/object","id": "0","name": "username"},"observer": {"typeURI": "service/network/cluster/logger","id": "10032004394","name": "username"},"tags": ["Backup"],"eventType": "activity","measurements": [{"metric": {"metricId": "www.example.com/svc/Cloud/Backup_Time/0000000000/000/0","name": "Time of backup being copied or restored","unit": "YYMMDDHHMMSS"},"result": "2016/10/12/20/02/30"},{"metric": {"metricId": "www.example.com/svc/Cloud/Backup_Generation_Number/0000000000/000/0","name": "Volume backup generation number","unit": "Natural Number"},"result": "1"}],"initiator": {"typeURI": "service/network/node","host": {"address": "<IP_address>"},"attachments": [{"content":"6005076400C8010E5000000000000000","typeURI": "text/plain","name": "volume_uuid"}],"name": "username","id": "1"},"reason": {"reasonCode": "200","reasonType": "http://www.example.com/assignments/http-status-codes/http-status-codes.xml"},"action": "backup","outcome": "success","id": "xxxxxxxxxxx-xxxxxxxxxx-xxx"}