Troubleshooting
Problem
McAfee ePo v5.10 を TLS Syslog 経由で統合した後、イベントの多くは不明となり、 「下位カテゴリー」は「保管」です。
- サポートされる McAfee EPO イベントを識別する方法
- 「 McAfee ePolicy Orchestrator Unknown 」イベントを受け取った場合はどうすればいいですか?
- サポートされていないイベント・タイプ
Symptom
「ログ・アクティビティー」タブを開き、ログ・ソースを McAfee ePo ログ・ソースにフィルター処理します。イベントの下位カテゴリーが保管になっていることが確認された場合は、イベントに対する構文解析が行われなかったことを意味し、一部の検査が必要になります。
Diagnosing The Problem
サポートされる McAfee EPO イベントを識別する方法
実際のペイロードを確認するには、イベントをドリルダウンする必要があります。リアルタイム・イベントを表示している場合は、右上隅にある一時停止アイコンをクリックしてリアルタイム・ビューを停止します。任意のイベントをダブルクリックして、プロパティーおよびペイロードを表示します。
現在サポートされているのはタグ <EPOEvent> </EPOEvent> の間のイベントのみ。
サンプル・ペイロード (source: IBM Docmentation: McAfee ePolicy Orchestrator sample event messages)
<29>1 2018-06-29T10:53:33.0Z mcafee.epo.test EPOEvents - EventFwd [agentInfo@3401 tenantId="1" bpsId="1" tenantGUID="{00000000-0000-0000-0000-000000000000}" tenantNodePath="1\2"] <?xml version="1.0" encoding="UTF-8"?><EPOEvent><MachineInfo><MachineName>mcafee.epo.test</MachineName><AgentGUID>{890cc45c-7b89-11e8-1cd6-005056afc747}</AgentGUID> [---] </CustomFields></Event></SoftwareInfo></EPOEvent>
「 McAfee ePolicy Orchestrator Unknown 」イベントを受け取った場合はどうすればいいですか?
- イベントにサポートされている正しい <EPOEvent> </EPOEvent> タグが含まれている場合は、 IBM サポートへ CASE を開き、 QID が作成されていることを確認します。QRadar ログ・アクティビティーから、「 XML 、フル」フォーマットでイベント・エクスポートしてください。
- もちろん、 DSM エディターでイベントを手動でマップすることもできます。ステップ 2 を参照してください。
- イベントにタグが含まれていない場合は、以下を行うことができます。
- DSM エディターでイベントを自分でマップします。ガイド : IBM Documentation: QRadar, event mapping
- これらのイベントをサポートする必要がある場合は、拡張要求( RFE ) を作成してください。ガイド: QRadar: Request For Enhancements (RFE) and how to use them
サポートされていないイベント・タイプ
サポートされていないイベントタイプの例をいくつか示します。これらのタグは、イベントペイロードに表示されます。これらは他のMcAfee製品を参照しています。注:これらのタグを含む一部のイベントは、解析され、正しくマッピングされているように見える場合があります。
- <BehaviourBlockEvent>
- <DLPAGENT_____> (DLP products)
- <DCMoveEventData>
- <EE_Event>
- <HostIPS8>
- <MSMERoot>
- <PortBlockEvent>
- <SCORData> (Solidcore)
- <SCOREvent>
- <SCORSoftware>
- <UpdateEvents>
Related Information
Document Location
Worldwide
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
01 September 2021
UID
ibm16455173