Question & Answer
Question
イベント/フロー・データは、ソース・イベント/フロー・プロセッサーからターゲット・プロセッサーへコピーできる場合があります。データがコピーされた場合、そのデータを検索するのに検索フィルターにターゲット・プロセッサーを使用できますか。
Answer
ソース・イベント/フロー・プロセッサーからターゲット・プロセッサーにコピーされるデータについて、コピーされたデータを検索する時にターゲット・プロセッサーを検索パラメーターとして使用することはできません。この動作は以下の内容が要因となります:
- イベントがソース・プロセッサー内の Ariel データベースに書き込まれると、それらのイベントは固有のプロセッサーで一意的にタグ付けされる。
- データがソース・プロセッサーからターゲット・プロセッサーにコピーされると、イベントは引き続きソース・プロセッサー・タグに関連付けられる。
- コピーされたデータを検索する時に検索フィルターでターゲット・イベント・プロセッサーを使用する場合、データはソース・プロセッサーにタグ付けされているため結果が得られない。別のイベント・プロセッサーにコピーしたデータは、元のプロセッサーのタグ付けが変わらない。
例として、以下のホストを持つ環境があるとします。
- コンソール
- イベント・プロセッサー A
- イベント・プロセッサー B
イベント・プロセッサー B (ソース) が使用不可になっているがまだそのプロセッサー上に存在するデータを検索可能にしておく必要がある場合は、データをイベント・プロセッサー A (ターゲット)にコピーすることはできます。データをイベント・プロセッサー A にコピーした後にそのデータで検索を実行すると、データがまだ(元々あった)イベント・プロセッサー B にタグ付けされているため、イベント・プロセッサー A でデータをフィルタリングすることはできません。
コピーされたデータを検索する必要がある場合は、ペイロード、ログ・ソース、ドメインなどのような他のパラメーターを使用することができます。検索が使用可能なパラメーターは、データが次のようにコピーされたかどうかに依ります。
- 同じデプロイメントの 2 つのプロセッサー間
または - 異なるデプロイメントの 2 つのプロセッサー間
異なるデプロイメント間でデータがコピーされる場合、デプロイメントに対して固有であるログ・ソースやドメインなどのパラメーターはデプロイメントは検索で使用できません。この状況では、時系列のパラメーターまたはペイロードを使用して検索結果をフィルターに掛けることが最善の方法です。
Related Information
[{"Type":"SW","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt8AAA","label":"Ariel"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
31 July 2021
UID
ibm16459877