IBM File Forwarder ソース

IBM® File Forwarder ソースは、標準の WinCollect プラグインの一部として含まれていない多くのタイプのログをモニターします。 ログを継続的にモニターすることも (継続的なモニター)、フォルダーをスキャンして新規ファイルを検索し、内容を処理して、次のファイルを待機することも (ファイル・ドロップ) できます。

ヒント: これらのログは標準プラグインの外部にあるため、 QRadar®内のイベントを解析するための DSM はありません。 カスタム DSM を作成するか、ユニバーサル DSM を使用する必要があります。
表 1. IBM File Forwarder ソース・パラメーター
パラメーター 説明
タイプ IBM ファイル・フォワーダー
ルート・ディレクトリー データのプル元となるログ・ファイルが保管されるディレクトリー。
注: リモート・ソースの UNC パスを入力する必要はなくなりました。
ファイル名パターン このパターンに一致するファイルのみが考慮されます。 これは OS ファイル・フィルターです。
*.* Will match all files
*.log will match all files with a .log extenstion
Server*.log will match all files with Server to start with and have.log extenstion
サブディレクトリーのモニター エージェントにルート・ディレクトリーのサブディレクトリーをモニターさせる場合に選択します。
モニター・アルゴリズム
  • 継続的なモニター は、ログ・ファイルの末尾にデータが継続的に追加されるログ・ファイルを対象としています。
  • ファイル・ドロップ は、ログ・ファイルがルート・ログ・ディレクトリーに「ドロップ」され、一度読み取られた後、将来無視されることを目的としています。
注: WinCollect ファイル・フォワーダーは、ペイロードの終わりを示す CRLF 文字が含まれていないファイルからイベントを正しく読み取ることができない場合があります。