Troubleshooting
Problem
ログ・ソースのペイロードに UNIX 時間が含まれています。DSM を使用して正しく変換する方法はありますか?
Resolving The Problem
一部のログ・ソースはペイロードに UNIX 時間を含みます。ログ・ソース拡張のフレームワークは「年」フィールドを「年」を含まないタイムスタンプに挿入しようとするため、UNIX 時間はほとんどの DSM において問題となります。問題は UNIX 時間が「年」フィールドをフォーマットに含まないことにあります。「年」フィールドを追加すると、UNIX 時間のタイムスタンプの構文解析が正しく行われなくなります。この状態を改善する方法は、タイムスタンプの日付フォーマットに単一引用符で囲われた 'yyyy' を入力することで、ログ・ソース拡張に「年」フィールドを強制的に使用させることです。日付フォーマットにて単一引用符で囲われた文字は日付フォーマッタによって解釈されないため無視されます。これにより UNIX 時間のタイムスタンプが解析されます。
これはログ・ソースの時間が UNIX 時間である場合のペイロードの例です。
event=event1 cat=cat1 log_source_time=1506882631123 username=Example field=field1
問題の解決方法
- QRadar UI にログインします。
- 管理タブをクリックします。
- データ・ソースまでスクロールし、DSM エディターをクリックします。
- UNIX 時間を含むペイロードを受け取っている DSM を選択します。
- プロパティー配下のフィルター検索に「ログ・ソースの時刻」を入力します。
- 「システム動作のオーバーライド」にチェックを入れます。
- 「式」フィールドに
log_source_time=(.*?)\s
を入力します。 - 「フォーマット設定ストリング」フィールドに
$1yyyy
を入力します。 - 「日付形式」フィールドに
ssssssssssSSS'yyyy'
を入力します。 - OK をクリックします。
- 変更をクリックします。
結果
ペイロード内に UNIX 時間を含むイベントが解析されるようになります。
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"DSM;DSM editor;Parsing;","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
31 May 2020
UID
ibm14296705