文書化されていないプロトコル

オープン・プラットフォームである IBM® QRadar® は、さまざまな統合方式 (プロトコル・タイプ) を使用してイベント・データを収集し、処理します。「文書化されていない」としてマークされている特定のログ・ソース・タイプに対して、いくつかのプロトコル・タイプを構成できます。 IBM は、これらの文書化されていないプロトコルをサポートしません。これらのプロトコルは、「 DSM 構成ガイド」で内部的にテストも文書化もされていないためです。イベント・データを QRadarに取得する方法は、お客様の責任で決定してください。

文書化されたプロトコル

「 DSM 構成ガイド」では、特定のタイプのログ・ソースを、そのログ・ソース・タイプに対して IBM が完全にサポートする各プロトコル・タイプを使用して構成する方法について説明しています。特定のログ・ソース・タイプの構成文書を持つプロトコル・タイプは、そのログ・ソース・タイプの文書化プロトコルと見なされます。文書化されたプロトコルは内部でテストされます。

文書化されていないプロトコルでの潜在的な問題の例

例えば、JDBC プロトコルは、イベント・データをデータベースに保管するシステムからイベントを取得するための文書化された構成です。また、サード・パーティー製品を介して同じイベント・データを収集し、syslog プロトコル・タイプを使用して QRadar に転送することもできます。 syslog プロトコル・タイプは文書化されていないため、データベースからイベント・データを取得して QRadarに送信するようにサード・パーティー製品を構成する必要があります。

注: 文書化されていないプロトコルを使用してイベント・データを収集および処理する場合、文書化された DSM ログ・ソース・タイプで予期されているものとは異なる形式にデータが設定される可能性があります。このため、DSM が文書化されていないプロトコルからイベントを受信すると、構文解析が機能しない可能性があります。例えば、JDBC プロトコルでは、スペースで区切られた一連のキー/値ペアで構成されるイベント・ペイロードが作成されます。ターゲットのデータベース表では、キーが列名となり、値はそのイベントが表す行の列になります。 JDBC プロトコルを使用するサポート対象のログ・ソース・タイプの DSM では、このイベント・フォーマットが期待されています。 Syslog プロトコルを介してサード・パーティー製品から転送されたイベント・データの形式がこれとは異なる場合、DSM はそのイベント・データを構文解析できません。 DSM エディターを使用して、これらのイベントを処理できるように DSM 構文解析を調整します。

詳しくは、 DSM エディターの概要を参照してください。