Question & Answer
Question
tcpdump を使用して IBM Security QRadar SIEM のトラブルシューティングを行うにはどうすればよいですか。
Answer
tcpdump ユーティリティーを使用して IBM QRadar SIEM のトラブルシューティングができます。これはネットワーク・トラフィックのインターフェイス、ポート、送信元 IP アドレス、宛先 IP アドレスを指定します。また、QRadar SIEM がイベントを受信していることをユーザーが判別できるように、パケット・データを画面に書き出します。
Syslog イベントのトラブルシューティングの例
トラブルシュートの Syslog イベントを IBM QRadar SIEM に送信する前に、Syslog イベントを送信しているイベント・ソースにて IP アドレスを確認する必要があります。デバイスで構成されている Syslog の宛先がトラブルシューティングの対象となります。tcpdump コマンドは、デバイスからイベントを受信するアプライアンス上で実行する必要があります。
注 : デフォルトでは、QRadar アプライアンスは常に TCP および UDP ポート 514 で Syslog イベントを listen するように構成されています。QRadar アプライアンスのファイアウォールを変更する必要はありません。
次のコマンドを実行すると、リモート Syslog ソースからのイベントについて完全な Syslog ヘッダーを確認することができます。
- SSH を使用して root として QRadar Console にログインします。
- オプション。Syslog 宛先が Event Collector アプライアンスなどの別のアプライアンスである場合は、Event Collector に SSH 接続します。
- 次のコマンドの 1 つを入力します。
- TCP Syslogの場合: tcpdump -s 0 -A host Device_Address and port 514
- UDP Syslogの場合: tcpdump -s 0 -A host Device_Address and udp port 514
注 : Device_Address は IPv4 アドレスまたはホスト名である必要があります。
例 : tcpdump -s 0 -A host x.x.x.x and port 514
コマンド・ラインにイベントが表示されない場合は、デバイスが Syslog イベントを送信していないか、またはファイアウォールが通信をブロックしている可能性があります。
- ファイアウォール管理者またはオペレーティング・グループに、QRadar アプライアンスと Syslog イベントを送信するデバイスの間に通信をブロックしているファイアウォールが無いことを確認してください。
- 通常、TCP ポートが開放されているかを確認するための簡単な方法は、QRadar からデバイスに Telnet することです。QRadar のコマンド・ラインに telnet Device_IPAddress 514 を入力します。
- リモート・デバイスの Syslog 構成を確認して、イベントを適切な QRadar アプライアンスに送信するように構成されていることを確認します。
- リモート・アプライアンスが Linux UNIX ベースの場合、次のコマンドを使用して、イベント・ソースが QRadar アプライアンスにデータを送信していることを確認できます。 tcpdump dst QRadar_Appliance_IPAddress.
Related Information
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Operating System","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2;7.3","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
02 September 2021
UID
ibm16415033