QRadar® Log Source Management アプリケーションを使用して、ネットワーク・デバイスまたはアプライアンスからイベントを受信するための新規ログ・ソースを追加します。
始める前に
ログ・ソースをサポートするデバイス・サポート・モジュール (DSM) をダウンロードしてインストールします。 DSM は、イベントの識別と解析に必要なイベント・パターンを含むソフトウェア・アプリケーションです。 イベントは、イベント・ログの元の形式から、 QRadar が使用できる形式に構文解析されます。 DSM は、 IBM® Fix Central (https://www-945.ibm.com/support/fixcentral/) からインストールできます。 詳しくは、「 DSM 構成ガイド」を参照してください。DSM を使用しないカスタム・ログ・ソース・タイプの作成も実行できます。
手順
- QRadar Log Source Management アプリケーションで、 「+ 新規ログ・ソース」をクリックします。
- 「単一ログ・ソース」をクリックします。
- 「ログ・ソース・タイプの選択」 ページで、ログ・ソース・タイプを選択し、 「プロトコル・タイプの選択」をクリックします。
- 「プロトコル・タイプの選択」 ページで、プロトコルを選択し、 「ログ・ソース・パラメーターの構成」をクリックします。
- 「ログ・ソース・パラメーターの構成」 ページで、ログ・ソース・パラメーターを構成し、 「プロトコル・パラメーターの構成」をクリックします。
- 「プロトコル・パラメーターの構成」 ページで、プロトコル固有のパラメーターを構成します。
- オプション: プロトコルのサーバー証明書が集中証明書ストアにアップロードされている場合は、 「サーバー証明書ストアの別名」 リストから証明書を選択します。
集中証明書ストアにアップロードされていないサーバー証明書をログ・ソースが必要としており、 「システム管理者」 権限を持っている場合は、 IBM QRadar Certificate Management アプリケーションから証明書をアップロードできます。
- QRadar Certificate Management アプリケーションがインストールされている場合は、 「サーバー証明書ストア別名」 リストで 「新規証明書のアップロード」を選択します。 証明書管理アプリケーションが開きます。
- QRadar Certificate Management アプリケーションがインストールされていない場合は、 「サーバー証明書ストア別名」 リストで、 「証明書管理アプリケーションのダウンロード」 を選択して IBM Security App Exchange を開き、アプリケーションをダウンロードします。
- オプション: 構成をテストできる場合は、「ステップ」ペインに 「プロトコル・パラメーターのテスト」 オプションがリストされます。 構成をテストするときに、プロトコル・パラメーターのエラーを識別できます。 詳しくは、 ログ・ソースのテストを参照してください。 構成をテストするには、以下のステップを実行します。
- 「プロトコル・パラメーターのテスト」をクリックしてから、 「テストの開始」をクリックします。
- エラーを修正するには、 「プロトコル・パラメーターの構成」をクリックします。
「
プロトコル・パラメーターの構成」ページで、プロトコル固有のパラメーターを構成してから、プロトコルを再度テストします。
構成をテストできるもののテストしない場合は、テストをスキップして終了をクリックします。
- 「終了」をクリックします。
結果
ログ・ソースがログ・ソース ページにリストされます。