ログ・ソース ID パターン

ログ・ソース ID パターンを使用して、イベントのポスト時にペイロードとともに送信される ID をカスタマイズします。 ご使用のイベント・フォーマットとイベント・タイプの ID を選択できます。

重要:

ログ・ソース ID パターンを最大限に活用するには、正規表現 (regex) の基本とその使い方を理解している必要があります。

ログ・ソース ID パターンには、キー値ペアのリストを使用できます。 キーは、正規表現として表される ID です。 値はイベント・データに一致する正規表現です。 イベント内のデータが正規表現に一致すると、イベントと、その値に関連付けられている ID がポストされます。

基本的な例

Key1 = value1

Key2 = value2

Key3 = value3

この例では、イベントに「value1」という値が含まれている場合、そのイベントの ID は key1 になります。 イベントに「value2」という値が含まれている場合、ID は Key2 になります。 イベントに「value1」と「value2」の両方が含まれている場合、最初の ID である Key1 が一致します。

この例では、ID オプションごとに 1 つずつ、合計 3 つの Syslog ログ・ソースを手動で作成する必要があります。

正規表現の例

Key1 = value1

Key2 = \d\d\d (ここで、 \d\d\d は、3 つの連続する数字に一致する正規表現です。)

\1= \d(\d) (ここで、\d(\d) は、連続する 2 桁に一致し、2 桁目ををキャプチャーする正規表現です。\1 は、値フィールドに最初に取り込まれた値を参照します。)

この例では以下の条件が該当します。
  • \d は「数字」を表します。
  • イベントに「value1」という値が含まれている場合、そのイベントの ID は Key1 である。
  • イベントに「111」または「652」などの 3 つの連続する数字が含まれている場合、ID は Key2 である。
  • イベントに「11」、「73」、および「24」などの 2 つの連続する数値が含まれている場合、ID は ¥1 である。 正規表現では 2 番目の値 (この例では「1」、「3」、および「4」) が、今後使用するために括弧付きで保存されます。 正規表現により保存された値は、後で ID として使用されます。 キーを「¥1」に設定した場合、このキーは正規表現で最初に保存された値に一致します。 この場合 ID はハードコーディングされた値ではなく、10 個の値 (0 から 9) のいずれかになります。 サンプル・イベントには 3 つの ID (「1」、「3」、および「4」) が含まれています。

ID Key1 と Key2 を使用してログ・ソースを作成し、また Key1 に含まれる可能性がある値ごとに 1 つのログ・ソースを作成する必要があります。 この例では、イベントが正しいログ・ソースに移動できるようにするには、3 つのログ・ソースを作成する必要があります。 ID が「1」に設定されているログ・ソース、ID が「3」に設定されているログ・ソース、および ID が「4」に設定されているログ・ソースです。 設定される可能性があるすべての ID をキャプチャーするため、10 個の Syslog ログ・ソースが必要となります。 各ログ・ソースは 1 つの数字に対応しています。

ログ・ソース ID パターンの使用に関するヒント

受信するデータのタイプと、ログ・ソースに必要な細分度を把握しておくことが重要です。 各 QRadar 環境は固有です。 ログ・ソース ID パターンを構成する際に役立つヒントを以下に示します。

ソースでデータを分離しておく

ほとんどのゲートウェイ・サポート・サービス ( Microsoft Azure Event Hubs や Google Pub Sub など) では、ソース側のデータを分離する方法が提供されています。 QRadar 側の複雑さを軽減するために、データを別々のソースに保持してください。 例えば、Windows ログ、 Linux® ログ、および監査ログを収集する場合は、構成を簡素化するために 3 つの別個のゲートウェイ・ログ・ソースを使用します。 これらのすべてのログを 1 つのソースに収集する場合、 QRadar はイベントを識別し、それらを正しいログ・ソースに関連付ける必要があります。

可能であれば正規表現をハードコーディングする

キーをハードコーディングすると、値の正規表現に一致するすべてのイベントが 1 つのログ・ソースによって収集されます。 このアクションにより、ログ・ソースの作成と保持の労力が軽減され、ログ・ソースのモニターが容易になります。

オンラインの正規表現テスターを使用する

ログ・ソースを保存して有効にする前に、オンライン・ツールを使用して正規表現をテストしてください。

イベント・リトリーバーを使用して ID を決定する

イベント・リトリーバーを使用して、割り当てられたログ・ソース ID を QRadarに表示します。 これを使用して、正規表現と ID が正しく一致していることをテストすることもできます。