カスタム・イベント・キー
ベンダーおよびパートナーは、独自のカスタム・イベント・キーを定義し、それを LEEF フォーマットのペイロードに組み込むことができます。
アプライアンスのイベントに関する情報を表すデフォルトのキーがない場合は、イベント・ペイロード内で、カスタム・キーと値のペア属性を使用します。 カスタム・イベント属性は、定義済みイベント属性に対して受け入れ可能なマッピングがない場合にのみ作成します。 例えば、アプライアンスでアクセスをモニターする場合、デフォルトで LEEF にファイル名属性がないときには、ユーザーがアクセスするファイル名を要求することができます。
注: イベント属性のキーと値は、ペイロードごとに 1 回のみ表示できます。 同じペイロードでキーと値のペアを 2 回使用すると、 IBM® Security QRadar® が重複キーの値を無視する可能性があります。
カスタム・イベント・キーは 非正規化されます。つまり、LEEF イベントに含める特殊なキーと値のペアは、デフォルトでは QRadarの 「ログ・アクティビティー」 タブに表示されません。 QRadarの 「ログ・アクティビティー」 タブでカスタム属性および 非正規化 イベントを表示するには、カスタム・イベント・プロパティーを作成する必要があります。 正規化されていない イベント・データは、引き続き LEEF イベントの一部であり、 QRadarで検索可能であり、イベント・ペイロードで表示可能です。 カスタム・イベント・プロパティーの作成について詳しくは、「 IBM QRadar Administration Guide」を参照してください。