Troubleshooting
Problem
Cisco Firepower Management Center の古いバージョンで、「 RNA Flow Statistics 」は eStreamer 4.x からのレガシー・レコード名です。
この文章では、識別方法についてご案内します。
注: eStreamer 5.x では、RNA Flow Statistics はサポート終了となっており、 QRadar DSM ガイドにリストされていない eStreamer のバージョンを使用されている場合、ご使用の eStreamer プロトコルをサポートされているバージョンにアップグレードする必要がある場合があります。
Cause
「 Connection Statistic 」イベント・タイプは、どのように「ログ・アクティビティ」タブ内で Firewall allow 、 deny データにマップされているでしょうか。
Resolving The Problem
以下の例では、ペイロードの 2 番目のイベントがレコード・タイプ「 RNA_FLOW_STATISTICS 」であることを示しています。
このレコード・タイプは、「 Connection Statistics 」とも呼ばれ、 ログ・アクティビティで RNA の connection イベントとして提供する Cisco Firepower Management Center ログの イベントです。
"DeviceType=Estreamer DeviceAddress=x.x.x.x CurrentTime=1567644018456 recordType=RNA_FLOW_STATISTICS recordLength=700 timestamp=05 Sep 2019 01:40:15 netmapDomainRef=0 detectionEngineRef=7 ipAddress=0.0.0.0 MACAddress=00:00:00:00:00:00 hasIPv6=true eventSecond=0 eventMicroSecond=0 eventType=FLOW_STATISTICS fileNumber=6E59705D filePosition=94020000 ipV6Address=0:0:0:0:0:0:0:0 flowStatistics.initiatorIPAddress=x.x.x.x flowStatistics.responderIPAddress=x.x.x.x flowStatistics.originalClientIPAddress=0:0:0:0:0:0:0:0 flowStatistics.policyRevision=0000000000000000000000005D69CA75 flowStatistics.ruleId=268435469 flowStatistics.tunnelRuleId=0 flowStatistics.ruleAction=2 flowStatistics.ruleReason=64 flowStatistics.initiatorPort=52016 flowStatistics.responderPort=443 flowStatistics.tcpFlags=0 flowStatistics.protocol=6 flowStatistics.netFlowIPAddress=0:0:0:0:0:0:0:0 flowStatistics.instanceId=1 flowStatistics.connectionCounter=46175 flowStatistics.firstPacketTimestamp=1567644011
RNA Flow Statistics は、 eStreamer 4.x のレガシー・レコード名です。これらのイベントには、接続イベントをトリガーとしたルールに選ばれたアクションに関する情報が含まれます。これらのイベントは、値の「
ruleAction
」に基づいてマップされます。これらの値と説明は、以下のとおりです。
1 Pending
2 Allow
3 Trust
4 Deny
5 Reset
6 Audit
7 HTTP Bypass
8 Int Reset
9 Rate Limit
10 Agent
11 Captive
12 No Auth
13 Invalid
14 Fast Path
22 NX Domain
23 Sinkhole
ルール・アクションに基づいて、カテゴリーとアクションが QRadar にマップされます。前述にあるペイロードの例では、「 flowStatistics.ruleAction=2 」が Allow イベント・レコードにマップされています。
eStreamer プロトコルの詳細については、 QRadar DSM ガイドをご参照ください。
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Log Source;Parsing","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
07 January 2021
UID
ibm11284646