Troubleshooting
Problem
Amazon AWS CloudTrail から QRadar にデータを取り込もうとすると、ログ・ソースのステータス表示が「警告」となりイベント・データが取り込まれません。
Symptom
以下のようなエラー・メッセージが /var/log/qradar.error に出力されます。 [ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] com.q1labs.semsources.sources.amazonawsrest.utils.web.SimpleRESTFileLister: [ERROR] [NOT:0000003000][x.x.x.x/- -] [-/- -] Exception encountered when trying to list files from remote Amazon S3 bucket
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] java.io.IOException: Server returned HTTP response code: 403 for URL https://myexamplebucket.s3.amazonaws.com/?prefix=AWSLogs&marker=
[ecs-ec] [Amazon AWS S3 REST API Protocol Provider Thread: class com.q1labs.semsources.sources.amazonawsrest.AmazonAWSRESTProvider29154] at sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1639)
Cause
このエラーの根本原因は、AWS CloudTrail のログ・ソースが間違った Public key または Secret Access key で構成されているためです。
Resolving The Problem
Amazon の REST API を使用したイベントを取り込むためには、管理者は正しい public key および access key を使用する必要があります。Amazon のドキュメントでは public key および access key を Access Key ID および Secret Access Key としています。
Amazon AWS ログ・ソースの構成ではAmazon の AWS ドキュメントで定義されている「Access Key ID」は、ログ・ソース構成の「Public Key」フィールドに相当します。 また、Amazon の AWS ドキュメントで定義されている「Secret Access Key」は、ログ・ソース構成の「Access Key」フィールドに相当します。
例:
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Was this topic helpful?
Document Information
Modified date:
16 June 2018
UID
swg21996766