Troubleshooting
Problem
「 イベントのマップ 」ボタンがグレーアウトになり、イベントをマップできないことがあります。
Symptom
「 イベントのマップ 」ボタンは表示されますが、グレーアウトされています。
Cause
考えられる原因:
- 当該のイベントは、スクリーン・キャプチャーで示されているように適切な構文解析が行われなかったため、ストレージにルーティングされています。そのイベントは、Linux® OS DSM で構文解析されず、単に同じホストまたは IP から発生しただけです。これは Linux OS Syslog ストリームで対応可能な Unix サービスの変動性が原因で、Linux OS では一般的です。DSM はイベントを構文解析できない場合、イベント ID およびイベント・カテゴリーの属性がイベントに対して構文解析されません。これら 2 つのフィールドは、QID マップのルックアップを実行するために使用します。イベント・キーが無い場合は、イベントをマップする機能はありません。
- 当該のログ・ソースが内部タイプ ( SIM 監査、SIM 通知、など... ) の場合、内部イベントを再マップすることができないため、サポートされません。
- Linux 以外のログ・ソース・タイプは、ストレージにルーティングされ、構文解析されないため、「イベントのマップ」ボタンがグレーアウトされる原因となります。
Environment
QRadar® 7.3.3 および 7.4.x
Diagnosing The Problem
Resolving The Problem
イベントをマップするには、以下のことを実行する必要があります:
- DSM エディターで不明なイベントを開きます。
- イベント・カテゴリーおよびイベント ID をキャプチャーするための正規表現を記載します。
- イベント・カテゴリーおよびイベント ID に基づいて、イベント名を作成します。
- 要件に応じて、他のフィールドをキャプチャーすることができます。
- フィールドをキャプチャー後、イベント名と QID を作成するため「 イベント・マッピング 」をクリックします。
- 「 + 」ボタンをクリックします。
- 「 QID の選択 」をクリックします。
- 要求ごとに、上位カテゴリー と 下位カテゴリー を指定します。
- QID 番号を入力するか、イベント名の一部を入力します。
- 「 検索 」をクリックします。
- 必要なイベント名を選択し、「 OK 」をクリックします。
- マップしたいイベントのイベント ID とイベント・カテゴリーを入手します。これらは、ステップ 2 での正規表現としてキャプチャーされたものと同じであることを確認してください。
- 変更内容を保存し、ログ・アクティビティーを確認します。
結果
「 イベントのマップ 」ボタンがグレーアウトされていても、別の方法によってイベントをマップすることができます。
Related Information
Document Location
Worldwide
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtEAAQ","label":"Log Activity"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"7.3.3;7.4.0"}]
Was this topic helpful?
Document Information
Modified date:
13 August 2021
UID
ibm16410426