Question & Answer
Question
WinCollect はどのようにイベントをフィルタリングし、イベント・フィルタリングはネットワークのどこで発生しますか?
Answer
WinCollect エージェントは、イベントをフィルターするための 2 つのメソッドを提供します。(除外フィルターまたは XPath クエリ) これら 2 つのメソッドは相互に排他的であり、これらのメソッドは両方とも異なる場所でフィルタリングされるため、ログ・ソースで一緒に使用することはできません。
詳細情報はどこにありますか ?
追加の質問がある場合、またはこのコンテンツの一部が不明な場合は、QRadar フォーラムを参照するか、カスタマー・サポートにお問い合わせください。
-
除外フィルター
このタイプのフィルタリングは、 WinCollect エージェント・レベルで行われ、ローカル・イベント・コレクションとリモート・イベント・コレクションの両方に適用されます。 除外フィルタリングは、イベントの受信後にエージェントによって行われます。
除外フィルターの場合、 WinCollect エージェント(ローカルまたはリモート)は、 Microsoft Event Collection API を使用してイベントを収集します。 ポーリング間隔フィールドで指定された値が期限切れになるたびに、エージェントはイベント収集 API から利用可能なすべてのイベントを要求します。ログ・ソースに対して除外フィルターが有効になっている場合、エージェントは、イベント収集 API から取得されたすべてのイベントをソートし、管理者によって定義された除外に一致するイベントをフィルターで除外します ( Windows イベント ID またはソースのいずれかによって ) 。 次に、エージェントは残りのイベントを取得し、 name = value のペアを組み立てて、コンソールまたはイベント・コレクター・アプライアンスにイベントを転送します。イベントは、コンソールまたはイベント・コレクター・アプライアンスでイベント・パイプラインに入る前にフィルタリングされます。
図 1:除外フィルターが適用される場所の例を示します。
注: WinCollect がローカルイベントを取得しているとき、ローカルシステムに対して API 要求が行われ、イベントが取得されます。 その後、除外フィルターが適用され、イベントがコンソールまたはイベント・コレクター・アプライアンスに転送されます。
WinCollect ログ・ソースは、 Microsoft イベント ID またはサービス名の両方に対して除外フィルターを適用できます。 コンマの隣に表示される空白は除去されますが、名前間の空白は除去されません。 除外フィルター値の最大サイズは 4096 文字です。 サービスはセミコロンで区切る必要があります。 イベント ID コードは、値の範囲を記録するためにコンマまたはハイフンで区切ることができます。
- 例 1 : 最初の例は、 Microsoft イベント ID コードによってセキュリティー・イベントに適用される除外フィルターを示しています。 ログ・ソースに適用されるフィルターは、 4616 と一致するイベント ID と、イベント 4673 、 4674 、 4675 、 4676 、および 4677 と一致するイベント ID を除外します。
- 例 2 : 2 番目の例は、サービス名およびイベント ID によってアプリケーション・イベントに適用される除外フィルターをリストします。 フィルター CertEnroll ( 64-68 ) は、ソースの CertEnroll とイベントに一致するイベントを除外します。このイベントでは、 Event ID Code が 64 、 65 、 66 、 67 、および 68 のいずれかと一致します。 管理者がサービスでフィルターを掛ける場合はコンソールからイベントを確認することによってサービスの名前を判別するか、イベントを生成した Windows システム上のアプリケーション・イベント・ログで確認することができます。
図 2: Windows アプリケーション・イベントの例を示します。
- 例 3 (画面キャプチャーには表示されていません):管理者が適用する 3 つ目の例は、フィルターを組み合わせて WinCollect エージェントが複数のサービスとイベント ID コードを除外できるようにすることです。 例: SceCli ( 1202 ) ; Symantec AntiVirus ( 200 - 456 、 49 、 4904 、 400 - 670 ); CertEnroll ( 65 ); 1003, 1066 - 1202
例 1 and 2 画面 :
図 3: 2 つのサンプルフィルタが適用されたログ・ソースのユーザー・インターフェイス。
- 例 1 : 最初の例は、 Microsoft イベント ID コードによってセキュリティー・イベントに適用される除外フィルターを示しています。 ログ・ソースに適用されるフィルターは、 4616 と一致するイベント ID と、イベント 4673 、 4674 、 4675 、 4676 、および 4677 と一致するイベント ID を除外します。
-
XPath クエリ
このタイプのフィルタリングは、 Windows オペレーティング・システムで行われ、ローカルとリモートの両方のイベント・コレクションに適用されます。 XPath クエリは、 Windows 2008 Server (またはそれ以上) がインストールされている Windows オペレーティング・システムでのみサポートされます。
XPath クエリの場合、ログ・ソース・インターフェースの「ログ・タイプおよびイベント・タイプ」チェック・ボックスは無視されます。取得されるイベントのタイプは、ログ・ソースの XPath クエリ・フィールドで定義されます。Xpath クエリはオペレーティング・システム側でフィルタリングされるため、ワイヤー上でエージェントに転送されません。 XPath クエリは、ローカル・システム・ログ・ソースの場合、またはイベントをリモート側でポーリングするログ・ソースの両方に使用できます。 WinCollect エージェントは、ログ・ソースに定義されているポーリング間隔ごとに XPath クエリを要求します。 WinCollect エージェントは、結果を name = value のペアに組み立ててから、Syslogイベントをクエリからコンソールまたはイベント・コレクタ・アプライアンスに転送します。
図 4: XPath クエリが、イベントをフィルタリングする場所の例を示します。
詳細情報はどこにありますか ?
追加の質問がある場合、またはこのコンテンツの一部が不明な場合は、QRadar フォーラムを参照するか、カスタマー・サポートにお問い合わせください。
- オンライン QRadar カスタマー・フォーラム
- 24時間年中無休でサポート・チケットを送信および管理します。 IBMサービスリクエスト
- QRadar ダウンロード - IBM Fix Central
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Related Information
[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"WinCollect","Platform":[{"code":"PF016","label":"Linux"},{"code":"PF033","label":"Windows"}],"Version":"7.1;7.2","Edition":"All Editions","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
01 April 2020
UID
ibm16046660