News
Abstract
QRadar でログ・ソースを追加、編集、およびテストするための基本方式として、 QRadar® 管理者がログ・ソース管理アプリケーションを使用することが重要です。 このアプリケーションは、資格情報の一括更新の維持、構成の検証、受信したイベントの確認など、組織内の広範囲なワーク・フローの変更を担当する管理者にとって特に重要です。この技術情報では、 QRadar 開発チームが、管理者を支援するためのテスト・ツールと新機能を積極的に作成するための、 ログ・ソース管理アプリケーションの利点について説明します。
Content
サポート担当者は、イベント・ソースを QRadar に取り込む方法や、イベント収集のトラブルシューティングに関する毎週数十回にわたる管理者からの質問に回答しています。 すべての管理者には、ログ・ソース管理アプリを使用してトラブルシューティングを開始することを強くお勧めします。ネットワーク内のイベント・ソースを担当する管理者は、このアプリケーションをダウンロードしてインストールをすることで、サポート対応の時間と労力を節約できるからです。 ( https://ibm.biz/getqradarlsm ) ログ・ソース管理アプリのテスト・フレームワークは、構成の更新、一括変更、テスト構成のテスト、資格情報の検証などを支援します。我々は、管理者がこのアプリケーションを使用して、好きな点や嫌いな点を教えて欲しい、また機能リクエストを開き、テスト・ケースが必要だと思うプロトコルについても教えて欲しいと考えています。
LSM アプリのトラブルシューティング・ログを Case に追加できますか ?
ログ収集やログ・ソース構成の問題を抱えているユーザーは、ログ・ソース管理アプリからエラー・ログをダウンロードし、Case にエラー・メッセージを添付することができます。 ログ・ソース管理アプリケーションのテスト出力を追加することで、お客様の課題を把握しやすくなり、案件のクローズにかかる時間を短縮することができます。管理者は、ログ・ソース管理アプリから複数のエクスポート・ファイルを提供して、ログ・ソース構成のパラメーターを調整するとエラー出力がどのように変化するかをサポートに示すことができます。このテスト機能は、サポート・チームが、プロセス内のどこでエラーが発生したのかを把握するのに役立ち、問題を自分で解決しようとしたときに、エラー・メッセージがどのように変わったかを記録することができます。 このトラブルシューティングのデモ ( Troubleshooting demonstration ) では、テスト機能と、サポート・ケースの変更の前後に、ユーザーが複数のログを送信して追加のヘルプを得る方法について説明します。
ログ・ソース管理アプリケーションの利点
ログ・ソース管理アプリケーション V5.0.0 以降は、管理者のトラブルシューティングを合理化する重要なリリースです。管理者は、コンソールに SSH してからイベント・コレクターの SSH セッションを開き、ログ・ソースがイベントを収集していない理由を調べるためにログを grep する必要がなくなりました。ログ・ソース管理アプリケーションは、プロトコル・テスト・ケースを使用して、接続エラー、資格情報、権限、DNS の問題、証明書の問題、収集されたイベントの表示などを検証できるようになりました。
- 構成の問題のトラブルシューティングにかかる時間を大幅に短縮します。
- イベント・データを要求する QRadar® ホストからテストを実行することで、接続、DNS、ポート、証明書の問題をより効率的に検証することができます。
- QRadar® アプライアンスへのコマンド・ライン・アクセスを必要とせずに、エラー・メッセージを確認することができます。
- テスト・ケースのログをエクスポートして、構成の合理化をサポートします。
- コレクションを検証するためのテスト機能を備えたサンプル・イベントを表示します。
- QRadar ログ・ソース管理アプリケーションからログ・ソースのリストをエクスポートしてレビューに利用できます。( .csvファイル )
- さまざまなログ・ソース・タイプ間で一括して変更を行うことができます。たとえば、レガシー・ユーザー・インターフェイスで 25 のログ・ソースを編集する必要がある場合、共有資格情報を使用して 25 の異なるログ・ソース・タイプを更新することができます。
詳細について
- ログ・ソース管理アプリケーションを入手する: https://ibm.biz/getqradarlsm
注: QRadar® V7.4.0 のアップグレードには、ログ・ソースの更新と編集を行うためのデフォルトの機能として、ログ・ソース管理アプリケーションが追加されました。 - ログ・ソース管理アプリケーションでサポート・ケースをスピードアップ : Speed up ticket resolution on log sources https://youtu.be/c9kCUx3xG_E
- 公式ドキュメント: https://www.ibm.com/support/knowledgecenter/SS42VS_SHR/com.ibm.lsmapp.doc/c_Qapps_LSMApp_WhatsNew.html
- サポートと開発に関するディスカッション:Let's talk about the Log Source Management App
- フル・プレゼンテーション: https://youtu.be/I5CymLNZyXE
- トラブルシューティング・デモの開始: https://youtu.be/I5CymLNZyXE?t=2270
- PDF の概要: https://www.ibm.com/community/qradar/wp-content/uploads/sites/5/2020/03/LSM_OpenMic_Feb27.pdf
- ログ・ソース・マネージャー v6.0.0 の概要: IBM Learning Academy ( IBM IDが必要です。 )
QRadar プロトコルには何のテスト・ケースが含まれていますか?
以下のリストでは、一般的な構成の問題をトラブルシューティングするためのテスト・ケースをサポートしている QRadar のプロトコルと、そのプロトコルのリリース日についての情報を提供しています。テスト・ケースは、以下のプロトコルで構成の問題が発生した場所を特定するためのテスト・ケースの合否リストを提供しました。:
- Amazon AWS S3 REST API (added 4 August 2020)
- Log File (added 24 July 2020)
- VMware vCloud Director (added 15 July 2020)
- Okta REST API (added 7 July 2020)
- Office 365 Message Trace REST API (added 30 June 2020)
- HTTP Receiver (added 15 June 2020)
- Microsoft Azure Event Hubs (added 5 May 2020)
- Microsoft Graph Security API (added 5 May 2020)
- Microsoft DHCP (added 5 May 2020)
- Microsoft Exchange (added 5 May 2020)
- Microsoft IIS (added 5 May 2020)
- Oracle Database Listener (added 5 May 2020)
- SMB Tail (added 5 May 2020)
- IBM Cloud Identity Event Service (added 21 April 2020)
- Google G Suite Activity Reports REST API (added 21 April 2020)
- Google Cloud Pub Sub (added 31 March 2020)
- Cisco Firepower eStreamer (added 26 March 2020)
- JDBC (added 14 Feb 2020)
- Amazon Web Services (added 13 Dec 2019)
- MQ JMS (added 24 October 2019)
- TLS Syslog (added 28 Aug 2019)
- Microsoft Office 365 (added 24 July 2019)
テスト・ケースはいつ追加および更新されますか?
開発チームには、新しいプロトコル統合のためのテスト機能が含まれています。 たとえば、IBM® がベンダー API がイベントを収集するための新しいプロトコルをリリースする場合、テスト・ケースは最初のプロトコル・リリースに含まれています。 開発チームは古いプロトコルをテスト・ケースを含むように移植しており、この作業は継続中です。 テスト・ケースは Protocol- {name} RPM を介して追加され、自動更新によって QRadar アプライアンスに配信されます。 開発では、コアのログソース管理アプリに影響を与えたり、管理者にログソース管理アプリケーションの更新を強制したりせずに、プロトコル RPM を通じてテスト・ケースを追加して改善を加えることができます。 週間自動更新サーバー の変更の詳細については、下記を参照してください。: https://www.ibm.com/support/pages/node/6244622.
必要条件
リストされているバージョンを使用していない管理者は、ユーザー・インターフェイスの [テスト] タブを表示できません。 ログ・ソース管理アプリケーションでテスト機能を使用するには、次のソフトウェア・バージョンが必要です:
リストされているバージョンを使用していない管理者は、ユーザー・インターフェイスの [テスト] タブを表示できません。 ログ・ソース管理アプリケーションでテスト機能を使用するには、次のソフトウェア・バージョンが必要です:
- QRadar 7.3.2 fix pack 3 (7.3.2.20190705120852) 以降
- Log Source Management v5.0.0 以降
注: QRadar V7.4.0 にまだアップグレードしていない管理者は、ログ・ソース管理アプリケーションが、QRadar 7.4.0 の従来の QRadar ログ・ソース・ユーザー・インターフェースに取って代わることを認識しておく必要があります。
Related Information
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"7.3.2;7.3.3;7.4.0;7.4.1"}]
Was this topic helpful?
Document Information
Modified date:
18 September 2020
UID
ibm16332175