IBM Support

QRadar: コマンドラインを使用した Syslog イベント・ソースのトラブルシューティング

Question & Answer


Question

Syslog のイベントを QRadar に転送しましたが、Log Activity タブにはイベントが表示されません。 コマンド・ラインを使用してイベントの問題をトラブルシューティングするにはどうすればよいですか?

Answer

管理者は、QRadar アプライアンスに組み込まれているいくつかのツールを使用して、QRadar が syslog イベントを受信している場合にトラブルシューティングを行うことができます。 アプライアンス・インターフェイスがデータを受信するのに使用される一般的な手法は、tcpdump というユーティリティを使用する方法です。
このユーティリティを使用すると、管理者は、送信される syslog データのインターフェイス、ポート、送信元または宛先 IP アドレスを定義し、パケットデータをスクリーンに表示させ、イベントが QRadar によって受信されたかどうかを判断できます。

始める前に

イベントが QRadar に送信された場合のトラブルシューティングを行う前に、イベント・ソースが Syslog イベントを QRadar に送信していることと、IP アドレスを確認する必要があります。 デバイスに設定されている Syslog の送付先は、トラブルシューティングが必要な場所です。 デバイスからイベントを受信するアプライアンスで tcpdump コマンドを実行する必要があります。


:デフォルトでは、QRadar アプライアンスは常に TCP および UDP ポート 514 で Syslog イベントを Listen するように設定されています。QRadar アプライアンスのファイア・ウォールに触れる必要はありません。

tcpdump によるイベントのトラブルシューティング

次のコマンドを使用すると、管理者はリモート Syslog ソースからのイベントの Syslog ヘッダー全体が確認できます。

  1. SSHを使用して、QRadar コンソールに root としてログインします。
  2. オプション: Syslog の送付先が Event Collector アプライアンスなど、コンソール以外のアプライアンスの場合は、該当 Event Collector に SSH でログインします。
  3. 次のコマンドのいずれかを入力します:
    • TCP Syslog の場合: tcpdump -s 0 -A host Device_Address and port 514
    • UDP Syslog の場合: tcpdump -s 0 -A host Device_Address and udp port 514

      Device_Address 部分は、IPv4 アドレスまたはホスト名でなければなりません。
      例、 tcpdump -s 0 -A host x.x.x.x and port 514

想定する結果


1. イベントが見えない

コマンド・ラインにイベントが表示されない場合、デバイスが Syslog イベントを送信していないか、ファイア・ウォールが通信をブロックしている可能性があります。

  1. Verify with your firewall administrator or operations group if any firewalls are blocking communication between the QRadar appliance and the device sending Syslog events.

    Typically, an easy method to verify if a TCP port is open is to telnet from QRadar to the device. From the QRadar command line, type     telnet Device_IPAddress 514.    ファイア・ウォールが QRadar アプライアンスと Syslog イベントを送信するデバイス間の通信をブロックしていないかどうか、ファイア・ウォール管理者または操作グループに確認してください。 通常、TCP ポートが開いているかどうかを確認する簡単な方法は、QRadar からデバイスに telnet することです。 QRadar コマンド・ラインから、telnet Device_IPAddress 514 と入力します。
  2. リモート・デバイスの Syslog 設定を確認して、適切な QRadar アプライアンスにイベントを送信するように設定されていることを確認します。
  3. リモート・アプライアンスが Linux / UNIX ベースの場合、管理者は次のコマンドを使用して、イベント・ソースが QRadar アプライアンスにデータを送信していることを確認できます。tcpdump dst QRadar_Appliance_IPAddress
 

2. コマンド・ライン上で自分のデバイスからのイベントを Listen している

該当コマンドは、Syslog の全ヘッダーとイベントのペイロードを含む結果を表示します。そのため、イベントのトラブルシューティング時に -A フラグを使用することをお勧めします。

  1. システム通知を確認する

    QRadar が自動的にログ・ソースを検出できない場合は、システム通知が作成されます。 管理者は、システム通知に記載されているホスト名または IP アドレスを確認して、QRadar がログ・ソースの送信元アドレスと判定したアドレスを特定することができます。 通常、ログソースを手動で作成する必要があります。ログ・ソース ID フィールドは、システム通知が示す内容に応じて、ホスト名または IP アドレスのいずれかで更新する必要があります。
  2. QRadar でデバイスが自動検出をサポートしているかどうかを確認する

    「DSM 設定ガイド」には、自動ログ・ソースの作成を許可するデバイス・サポート・モジュ-ル(DSM)の一覧が記載されています。
    詳細は、最新版「IBM Security QRadar DSM Configuration Guide」 を参照してください。 Master documentation link list on the QRadar Customer Forum.
  3. Syslog ヘッダーに予期しない IP アドレスが含まれているか、ログ・ソースが誤って設定された可能性がある

    tcpdump の結果を確認するとき、管理者は Syslog ヘッダーのホスト名に注意する必要があります。 syslog ヘッダーにホスト名がない場合は、パケットの IP アドレスを記録します。 QRadar Console の管理タブから、ログ・ソースウィンドウを開き、イベント・ペイロードから記録したホスト名または IP アドレスを検索します。 検索でデバイスの想定したアドレスが見つからない場合は、想定していないアドレスでログ・ソースが作成されている可能性があります。イベントのペイロードには、送信元アドレスを示す値があるはずです。 イベント・ソースが複数のデバイスからのイベントを処理したり、予期しない値が Syslog ヘッダーに代入された場合に発生します。 これは特別な状況ですが、特定のデバイスで発生します。 デバイスには、Syslog イベントを送信する前に元のイベント IP を保持するオプションがある可能性があります。

    詳しくは: How QRadar determines a hostname or IP from an event
  4. ログ・アクティビティ」タブで固有のペイロード値を検索します。

    Review the raw payloads from tcpdump and select a keyword you think is unique to your event source. Perform a search to look for the unique value.tcpdump の生ペイロードを確認し、イベント・ソースに固有のキーワードを選択します。固有の値を探すために検索を実行します。
    1. Log Activity」タブをクリックします。
    2. クイック・フィルタ検索オプションを選択します。

      :検索にクイック・フィルタを使用する方法の詳細については、
        下記を参照してください: Searching Your QRadar Data Efficiently: Part 1 - Quick Filters.
    3. 検索バーに、ペイロードに表示される固有の値を入力します。
    4. 検索結果を確認します。

      結果
      この検索では、イベント・ペイロードの一部であるクイック・フィルタに入力された任意の値が検索できます。これらのイベントは別のログ・ソースとして表示される可能性があるため、管理者はこれらのイベントをレビューすることができます。これは自動検出または拡張による誤検知の可能性があります。 この場合、「管理」> 「ログ・ソース」>「削除」にて自動検出された誤ったログ・ソースを削除することができます。 ログ・ソースが誤って検出された場合は、コンソールが最新の DSM バージョンでインストールされていることを確認する必要があります。管理者は RPM のバージョンを IBM Fix Central と比較してから、最新に更新した後にログ・ソースを再検出することができます。
tcpdump の追加説明については、以下のビデオをご参照ください:

Video - How to use tcpdump in IBM Security QRadar

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Log Activity","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.1;7.0;7.2;7.3;7.4","Edition":"All Editions","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
13 April 2020

UID

ibm16123615

Page Feedback