IBM Support

QRadar: DSM を使用した UNIX 時間の変換方法

Troubleshooting


Problem

ログ・ソースのペイロードに UNIX 時間が含まれています。DSM を使用して正しく変換する方法はありますか?

Resolving The Problem

一部のログ・ソースはペイロードに UNIX 時間を含みます。ログ・ソース拡張のフレームワークは「年」フィールドを「年」を含まないタイムスタンプに挿入しようとするため、UNIX 時間はほとんどの DSM において問題となります。問題は UNIX 時間が「年」フィールドをフォーマットに含まないことにあります。「年」フィールドを追加すると、UNIX 時間のタイムスタンプの構文解析が正しく行われなくなります。この状態を改善する方法は、タイムスタンプの日付フォーマットに単一引用符で囲われた 'yyyy' を入力することで、ログ・ソース拡張に「年」フィールドを強制的に使用させることです。日付フォーマットにて単一引用符で囲われた文字は日付フォーマッタによって解釈されないため無視されます。これにより UNIX 時間のタイムスタンプが解析されます。
これはログ・ソースの時間が UNIX 時間である場合のペイロードの例です。
event=event1 cat=cat1 log_source_time=1506882631123 username=Example field=field1
 
問題の解決方法
  1. QRadar UI にログインします。
  2. 管理タブをクリックします。
  3. データ・ソースまでスクロールし、DSM エディターをクリックします。
  4. UNIX 時間を含むペイロードを受け取っている DSM を選択します。
  5. プロパティー配下のフィルター検索に「ログ・ソースの時刻」を入力します。

    image-20190924124212-4
     
  6. システム動作のオーバーライド」にチェックを入れます。
  7. 「式」フィールドに log_source_time=(.*?)\s を入力します。
  8. 「フォーマット設定ストリング」フィールドに $1yyyy を入力します。
  9. 「日付形式」フィールドに ssssssssssSSS'yyyy' を入力します。
  10. OK をクリックします。
  11. 変更をクリックします。
結果
ペイロード内に UNIX 時間を含むイベントが解析されるようになります。

Document Location

Worldwide

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"DSM;DSM editor;Parsing;","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
31 May 2020

UID

ibm14296705