Microsoft Windows セキュリティー・イベント・ログから収集されたアプリケーション・イベントの XML レベル・タグを解析するためのQRadarの構成
デフォルトでは、 Microsoft Windows セキュリティー・イベント・ログは、XML 形式のアプリケーション・イベントの QID を判別するときにレベル・タグを解析しません。 Microsoft Windows セキュリティー・イベント・ログ DSM のレベル・タグの構文解析を有効にする場合は、DSM エディターを使用してマッピングを有効にします。
手順
- 「管理」 タブをクリックします。
- 「データ・ソース」 セクションで、 「DSM エディター」をクリックします。
- 「ログ・ソース・タイプの選択」 ウィンドウで、リストから Microsoft Windows 「セキュリティー・イベント・ログ」 を選択し、 「選択」をクリックします。
- 「構成」 タブで、 「DSM パラメーター構成の表示 (Display DSM Parameters Configuration)」 を onに設定します。
- 「イベント・コレクター」 リストから、ログ・ソースのイベント・コレクターを選択します。
- 「XML アプリケーション・イベントの XML タグを使用可能にする (Enable XML Tag For XML Application events)」 を onに設定します。
- 「保存」 をクリックして、DSM エディターを閉じます。