Windows ログ・ソースのパラメーター

共通パラメーターは、 WinCollect エージェントまたは WinCollect プラグインのログ・ソースを構成するときに使用します。 各 WinCollect プラグインには、固有の構成オプションのセットもあります。

表 1. 共通 WinCollect ログ・ソース・パラメーター
パラメーター 説明
ログ・ソース ID

Windows ベースのイベントを収集する対象のリモート Windows オペレーティング・システムの IP アドレスまたはホスト名。 ログ・ソース ID は、ログ・ソース・タイプに対して固有でなければなりません。

リモート・ソースのイベントをポーリングするために使用されます。
ローカル・システム

ログ・ソースのリモート・イベント収集を無効にします。

ログ・ソースは、ローカル・システムの資格情報を使用してイベントを収集し、 QRadar®に転送します。

注: 完全修飾ドメイン・ネーム (FQDN) ログ・ソース ID を使用していて、エージェントがドメイン・コントローラーにインストールされている場合は、このボックスをクリアする必要があります。
ドメイン

オプション

Windows ベースのログ・ソースが含まれているドメイン。

以下の例では、正しい構文 LAB1, server1.mydomain.com を使用しています。次の構文は正しくありません: \\mydomain.com
イベント・レート・チューニング・プロファイル (Event Rate Tuning Profile) デフォルトのポーリング間隔が 3000 ミリ秒の場合、達成可能な 1 秒当たりのイベント数 (EPS) レートの概算は以下のとおりです。

  • デフォルト (エンドポイント) (Default (Endpoint)): 33 から 50 EPS

  • 標準的なサーバー (Typical Server): 166 から 250 EPS

  • イベント・レートが高いサーバー (High Event Rate Server): 416 から 625 EPS

ポーリング間隔が 1000 ミリ秒の場合、概算の EPS レートは以下のとおりです。

  • デフォルト (エンドポイント) (Default (Endpoint)): 100 から 150 EPS

  • 標準的なサーバー (Typical Server): 500 から 750 EPS

  • イベント・レートが高いサーバー (High Event Rate Server): 1250 から 1875 EPS

WinCollectのチューニングに関する詳細は IBM®http://www.ibm.com/support/docview.wss?uid=swg21672193 を参照してください。
ポーリング間隔 (ミリ秒) WinCollect が新規イベントをポーリングする時間間隔 (ミリ秒)。
アプリケーションまたはサービスのログ・タイプ

オプション。

XPath 照会に使用します。

イベントを Windows アプリケーション・ログの一部として書き込む製品に対して、特殊な XPath 照会を提供します。 したがって、別の製品のログ・ソースに分類されるイベントから Windows イベントを分離することができます。
イベント・ログ・ポーリング・プロトコル (Event Log Poll Protocol) QRadar が Windows デバイスとの通信に使用するプロトコル。 デフォルトは MSEVEN6です。
ログ・フィルター・タイプ

Windows イベント・ログからの特定のイベントを無視するように WinCollect エージェントを構成します。

また、ID コードまたはログ・ソースによってグローバルにイベントを無視するように WinCollect エージェントを構成することもできます。

イベントの除外フィルター を使用できるログ・ソース・タイプは、セキュリティー、システム、アプリケーション、DNS サーバー、ファイル複製サービス、およびディレクトリー・サービスです。

グローバル除外では、イベント・ペイロードの EventIDCode フィールドを使用します。 除外される値を判別するには、ソースと ID の除外で、Windows イベント・ペイロードの Source= フィールドと EventIDCode= フィールドを使用します。 複数のソースはセミコロンを使用して区切ります。

例: 除外フィルターは、コンマとハイフンを使用して、単一の EventIDs または範囲 (4609、4616、6400-6405 など) をフィルターに掛けることができます。

フィルタリングについて詳しくは、「 WinCollect Event Filtering 」(http://www.ibm.com/support/docview.wss?uid=swg21672656) を参照してください。
セキュリティー WinCollect がセキュリティー・ログを QRadarに転送できるようにするには、このチェック・ボックスを選択します。
セキュリティー・ログ・フィルター・タイプ

Windows イベント・ログから収集された特定のイベント ID を無視するには、「除外フィルター (Exclusion Filter)」を選択します。

Windows イベント・ログで収集された特定のイベント ID を含めるには、「包含フィルター (Inclusion Filter)」を選択します。

「NSA フィルター (NSA Filter)」オプションを使用すると、国家安全保障局が推奨するイベント ID のリストが「セキュリティー・ログ・フィルター (Security Log Filter)」フィールドに設定されます。

デフォルトは 「フィルタリングなし」です。

注: リストからフィルター・タイプを選択すると、新しいフィールド 「セキュリティー・ログ・フィルター (Security Log Filter)」 が表示されます。 含めるまたは除外するイベント ID を指定する必要があります。
システム WinCollect がシステム・ログを QRadarに転送できるようにするには、このチェック・ボックスを選択します。
システム・ログ・フィルター・タイプ

Windows イベント・ログから収集された特定のイベント ID を無視するには、「除外フィルター (Exclusion Filter)」を選択します。

Windows イベント・ログで収集された特定のイベント ID を含めるには、「包含フィルター (Inclusion Filter)」を選択します。

「NSA フィルター (NSA Filter)」オプションを使用すると、国家安全保障局が推奨するイベント ID のリストが「システム・ログ・フィルター (System Log Filter)」フィールドに設定されます。

デフォルトは 「フィルタリングなし」です。

注: リストからフィルター・タイプを選択すると、新しいフィールド 「システム・ログ・フィルター (System Log Filter)」 が表示されます。 含めるまたは除外するイベント ID を指定する必要があります。
アプリケーション WinCollect がアプリケーション・ログを QRadarに転送できるようにするには、このチェック・ボックスを選択します。
アプリケーション・ログ・フィルター・タイプ

Windows イベント・ログから収集された特定のイベント ID を無視するには、「除外フィルター (Exclusion Filter)」を選択します。

Windows イベント・ログで収集された特定のイベント ID を含めるには、「包含フィルター (Inclusion Filter)」を選択します。

「NSA フィルター (NSA Filter)」オプションを使用すると、国家安全保障局が推奨するイベント ID のリストが「アプリケーション・ログ・フィルター (Application Log Filter)」フィールドに設定されます。

デフォルトは 「フィルタリングなし」です。

注: リストからフィルター・タイプを選択すると、新しいフィールド 「アプリケーション・ログ・フィルター (Application Log Filter)」 が表示されます。 含めるまたは除外するイベント ID を指定する必要があります。
DNS サーバー WinCollect が DNS サーバー・ログを QRadarに転送できるようにするには、このチェック・ボックスを選択します。
DNS サーバー・ログ・フィルター・タイプ (DNS Server Log Filter Type)

Windows イベント・ログから収集された特定のイベント ID を無視するには、「除外フィルター (Exclusion Filter)」を選択します。

Windows イベント・ログで収集された特定のイベント ID を含めるには、「包含フィルター (Inclusion Filter)」を選択します。

「NSA フィルター (NSA Filter)」オプションを使用すると、国家安全保障局が推奨するイベント ID のリストが「DNS サーバー・ログ・フィルター (DNS Server Log Filter)」フィールドに設定されます。

デフォルトは 「フィルタリングなし」です。

注: リストからフィルター・タイプを選択すると、新しいフィールド 「DNS サーバー・ログ・フィルター (DNS Server Log Filter)」 が表示されます。 含めるまたは除外するイベント ID を指定する必要があります。
ファイル・レプリケーション・サービス WinCollect がファイル複製サービスのログを QRadarに転送できるようにするには、このチェック・ボックスを選択します。
ファイル・レプリケーション・サービス・ログ・フィルター・タイプ (File Replication Service Log Filter Type)

Windows イベント・ログから収集された特定のイベント ID を無視するには、「除外フィルター (Exclusion Filter)」を選択します。

Windows イベント・ログで収集された特定のイベント ID を含めるには、「包含フィルター (Inclusion Filter)」を選択します。

注: リストからフィルター・タイプを選択すると、新しいフィールド 「ファイル複製サービス・ログ・フィルター (File Replication Service Log Filter)」 が表示されます。 含めるまたは除外するイベント ID を指定する必要があります。
ディレクトリー・サービス WinCollect がディレクトリー・サービス・ログを QRadarに転送できるようにするには、このチェック・ボックスを選択します。
ディレクトリー・サービス・ログ・フィルター・タイプ (Directory Service Log Filter Type)

Windows イベント・ログから収集された特定のイベント ID を無視するには、「除外フィルター (Exclusion Filter)」を選択します。

Windows イベント・ログで収集された特定のイベント ID を含めるには、「包含フィルター (Inclusion Filter)」を選択します。

注: リストからフィルター・タイプを選択すると、新しいフィールド 「ディレクトリー・サービス・ログ・フィルター (Directory Service Log Filter)」 が表示されます。 含めるまたは除外するイベント ID を指定する必要があります。
転送されたイベント

QRadar が、サブスクリプションを使用するリモート Windows イベント・ソースから転送されるイベントを収集できるようにします。

イベント・サブスクリプションを使用する転送イベントは、 WinCollect エージェントによって自動的に検出され、syslog イベント・ソースであるかのように転送されます。

Windows システムからイベント転送を構成する場合は、イベントの事前レンダリングを有効にします。

重要: WinCollect は、「転送されたイベント」チャネルからのログのプルのみをサポートします。 あるサブスクリプションから別のチャネルへのイベントの書き込みはサポートされていません。
「転送されたイベント」フィルター・タイプ

Windows イベント・ログから収集された特定のイベント ID を無視するには、「除外フィルター (Exclusion Filter)」を選択します。

Windows イベント・ログで収集された特定のイベント ID を含めるには、「包含フィルター (Inclusion Filter)」を選択します。

「NSA フィルター (NSA Filter)」オプションを使用すると、国家安全保障局が推奨するすべてのチャネルとそれぞれのフィルターが「転送されたイベント・フィルター (Forwarded Events filter)」フィールドに設定されます。

デフォルトは 「フィルタリングなし」です。

注: リストからフィルター・タイプを選択すると、新しいフィールド 「転送されたイベント・フィルター (Forwarded Events Filter)」 が表示されます。 含めるまたは除外するイベント ID を指定する必要があります。
「転送されたイベント」フィルターを使用する場合は、フィルタリングするイベント ID を括弧で囲み、送信元またはチャネルを特定する必要があります。 区切り文字としてはセミコロンを使用します。 例:
Application(200-256,4097,34);Security(1);Symantec(1,13)
この例では、チャネル・アプリケーションについてはイベント ID 200 から 256、4097 および 34 が、 セキュリティーについてはイベント ID 1 が、 Symantec という送信元についてはイベント ID 1 および 13 がフィルタリングされます。
イベント・タイプ

少なくとも 1 つのイベント・タイプを選択する必要があります。

特定のイベント・タイプを収集する必要がある場合は、それらの特定のイベント・タイプを使用してカスタム XPath を作成するための手順に従ってください。 詳しくは、 カスタム・ビューの作成を参照してください。
Active Directory ルックアップの有効化 (Enable Active Directory Lookups)

WinCollect エージェントが、 Active Directory ルックアップを担当するドメイン・コントローラーと同じドメイン内にある場合は、このチェック・ボックスを選択できます。 ドメインおよび DNS のオーバーライドのパラメーターを空白にすることができます。

重要: 「ドメイン・コントローラー名のルックアップ (Domain Controller Name Lookup)」 パラメーターおよび 「DNS ドメイン名のルックアップ (DNS Domain Name Lookup)」 パラメーターに値を入力する必要があります。
ドメイン・コントローラー名のオーバーライド

Active Directory 検索を担当するドメイン・コントローラーが WinCollect エージェントのドメインの外部にある場合に必要です。

Active Directory ルックアップを担当するドメイン・コントローラーの IP アドレスまたはホスト名。
XPath照会

カスタマイズされたイベントを Windows イベント・ログから取得するために使用する構造化 XML 式。

XPath 照会を使用してイベントをフィルターに掛ける場合、その XPath 照会で指定した項目に加えて、「標準ログ・タイプ (Standard Log Type)」または「イベント・タイプ (Event Type)」で選択したチェック・ボックスの項目も収集されます。

XPath 照会を使用して情報を収集するには、Windows 2008 で 「リモート・イベント・ログ管理」 を有効にすることが必要な場合があります。
ターゲット内部宛先

内部宛先として、イベント・プロセッサー・コンポーネントがある任意の管理対象ホストを使用します。
ターゲット外部宛先

宛先リストで構成した 1 つ以上の外部宛先に、イベントを転送します。