IBM Support

QRadar: ログ・ソース・タイプが tatoggle.pl で自動検出されないようにする

Question & Answer


Question

管理者は、QRadar でログ・ソースが自動的に作成されるのをどのように無効にしますか?

Answer

イベント・ソースから QRadar に送信されたデータは、トラフィック分析 (TA) によって自動的に検出できます。TA は、受信 syslog イベント・ペイロードを調べて、イベントをログ・ソース・タイプと突き合わせて新しいログ・ソースを自動的に作成できるかどうかを判別します。自動検出されたログ・ソースは、QRadar の「 管理 」タブの「ログ・ソース」ウィンドウに表示されます。 tatoggle.pl ユーティリティーは、QRadar 7.3.1 管理者がログ・ソース・タイプ全体のログ・ソース自動検出を無効にできるようにするレガシー・ツールです。

特定のシナリオでは、管理者がログ・ソースの自動検出を無効にして、ログ・ソースが自動的に作成されないようにする場合があります。 たとえば、ログ・ソースが正しく作成されていない場合や、イベント・ソースからのデータの送信が非常に遅いことがわかっていて、自動検出キューに入り続けている場合などです。このような場合、管理者がこれらのイベントを受信する各管理対象ホストでログ・ソースの自動検出を無効にするのに役立ちます。 tatoggle でログ・ソース・タイプを無効にするには、ユーザーがそのログ・ソース・タイプ用に手動で作成する必要があります。

始める前に

  • これらの説明は、 QRadar 7.3.1 に対してのみ行われます。 QRadar 7.3.2 以降のバージョンでは、 DSM エディター・インターフェースを使用して、ログ・ソース・タイプの自動検出を無効にすることができます。
  • tatoggle.zip ファイルをローカル・ワークステーションにダウンロードします。
    SHA256 sum: f1bf42521d5db7a1848033d96b2b073621485423b0eaac47edc25641f6eeffaa
  • ログ・ソースの自動検出は、管理対象ホスト・レベルで機能します。自動検出したくない syslog イベントを受け取る各管理対象ホストでは、tatoggle を使用する必要があります。
  • ログ・ソース・タイプが無効になったすべてのアプライアンスで、 ECS-EC サービスを再始動する必要があります。ECS-EC サービスを再起動すると、イベントの収集が停止します。ログ・ソースの自動検出を無効にする必要がある場合は保守期間の実施が推奨されます。
  • ログ・ソース・タイプを無効にするのは、デプロイメントでログ・ソース・タイプが使用されていない場合のみにしてください。.
  • ログ・ソースの自動検出を無効にする場合は、他の管理者に通知します。
QRadar バージョン 7.3.1 でログ・ソース・タイプを無効にする手順
  1. SCP クライアントを使用して、QRadar コンソールで /opt/qradar/bin/ に tatoggle.zip をアップロードします。
  2. SSH を使用して、 root ユーザーとして QRadar コンソールにログインします。
  3. /opt/qradar/bin/ ディレクトリに移動します。
  4. ファイルを抽出するには、次のように入力します。unzip tatoggle.zip
  5. デプロイメント内のすべての管理対象ホストに tatoggle.pl をコピーするには、次のように入力します。 /opt/qradar/support/all_server.sh -p tatoggle.pl -k -r /opt/qradar/bin/
  6. 次のコマンドを使用して tatoggle.pl に権限を設定します。/opt/qradar/support/all_server.sh -C -k "chmod 755 /opt/qradar/bin/tatoggle.pl"
  7. トラフィック分析から除外する必要のある syslog イベントを受信する管理対象ホストに対して SSH セッションを開きます。
  8. ログ・ソースの自動検出を無効にするには、次のように入力します。/opt/qradar/bin/tatoggle.pl
  9. リストから、「 n 」キーまたは「 p 」キーを使用して、無効にするログ・ソース・タイプを見つけます。
  10. 無効にするログ・ソース・タイプの番号を入力します。 注: ミスをした場合、または終了したい場合は、「 q 」を押して保存せずに終了します。
    image-20200226131811-3
  11. 各ログ・ソース・タイプを使用不可にするプロセスを繰り返します。
  12. 保存して終了するには「 s 」を押します.
    重要: ECS-EC を再始動すると、サービスの再始動中に一時的にイベント収集が停止します。 厳密な停止ポリシーを持つ管理者は、保守期間に次のステップを実行できます。
  13. ecs-ecサービスを再起動します。systemctl restart ecs-ec
  14. ログ・ソースの自動検出を使用不可にする必要がある各 QRadar 管理対象ホストで、この手順を繰り返します。

    結果
    ログ・ソースの自動検出は、ログ・ソース・タイプでは無効になっており、一致する今後のログソースは自動的に作成されません。 QRadar 7.3.2 以降では、DSM エディターには、ログ・ソースの自動検出を有効または無効にするユーザー・インターフェース機能が含まれています。

ログ・ソース・タイプを使用不可にするためには ( QRadar 7.3.2 以降の )

DSM エディターを使用する方法を示します :

  1. 管理者として QRadar コンソールにログインします。
  2. ナビゲーション・メニュー (☰)をクリックしてから、「管理」タブをクリックします。
  3. 「データ・ソース」までスクロールし、「 DSM エディター」をクリックします。
  4. 使用不可にするために選択したメニューから「ログ・ソース・タイプ」を選択します。
  5. 「構成」タブをクリックします。
  6. 「ログソースの自動検出を有効にする」をクリックします。
    注: 無効にすると、アイコンは x 付きの灰色で表示されます。
    image-20200226114056-2
  7. 「保存」をクリックします。

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Log Activity","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.3.1","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
30 April 2020

UID

ibm16190419