IBM Support

QRadar: ログ・アクティビティーに「 Event 0 」および「 Category 0 」を表示する「 イベント名 」および「 下位カテゴリー 」について

Troubleshooting


Problem

 「ログ・アクティビティー」タブのイベントは、カスタム DSM で正常に構文解析を行いますが、「 イベント名 」列に「 Event 0 」そして「 下位カテゴリー 」列に「 Category 0 」を表示します。この事象の原因は何でしょうか ?

Symptom

 「ログ・アクティビティー」タブのイベントは、カスタム DSM で正常に構文解析を行いますが、ユーザー・インターフェースで複数の列に「 Event 0 」と「 Category 0 」を表示します。
image 10028

Cause

カスタム DSM を作成する管理者は DSM エディターで構成エラーがある場合、ユーザー・インターフェース内に生成した Event 0 や Low Level Category 0 をフィールドに表示する場合があります。カスタム DSM は、イベント・ペイロード内のテキストと一致する正規表現をプロパティーに関連付ける必要があります。正規表現 ( regex ) がフィールド・タイプと一致しない場合、DSM はイベントを {フィールド名} 0 として構文解析します。この事象の一般的な例として、管理者が IPv6 アドレスを IPv4 フィールドに構文解析しようとする場合が挙げられます。

管理者は、次の DSM エディターのフィールドで IPv6 の正規表現を使用する必要があります:
  • アイデンティティー IPv6
  • IPv6 宛先
  • IPv6 送信元

    image 10164
    図 1: プロパティー内の各フィールドには、テキスト、数値、ポート、日付、IP アドレスなどの値が割り当てられます。
 
 
ログ・ソース・タイプでこの動作を再現するには:
  1. IPv6 宛先」などの IPv6 フィールドを構成します。
  2. システム動作のオーバーライド 」のチェック・ボックスにチェックを入れます。
  3. 」フィールドに、ペイロードをキャプチャーできる一般的な正規表現を追加します。宛先 IP と次の文字(今回の場合はコンマ)の間の値をキャプチャーする表現が明らかに IPv6 アドレスとマッチングしない場合は、構文解析の事象が発生する可能性があります。
     image 10035
    図 2: DSM エディターの IPv6 固有のプロパティーに IPv4 アドレスを抽出できる表現は、構文解析の事象が発生する可能性があります。
  4. 変更内容を保存します。
  5. イベントがカスタム・ログ・ソース・タイプで構文解析されるのを待ちます。

    結果
    ユーザー・インターフェースは Event 0 および Low Level Category 0 を表示します。ユーザーがログを確認するとパーサーが例外を生成し、構文解析プロセスが回避することを示します。パーサーはデータの形式を理解できず、正しいイベント名、重大度、重み、および下位カテゴリーを取得するためのイベントを QRadar ID ( QID ) にマップできません。DSM エディターでの構成事象により、ユーザー・インターフェースが Event 0 または Category 0 に置換する原因となります。
    image 10028

Resolving The Problem

  1. 管理者として QRadar® にログインします。
  2. 管理 」タブをクリックします。
  3. DSM エディターを開き、カスタム・ログ・ソース・タイプを編集します。
  4. 以下の IPv6 フィールドの正規表現を確認してください:
    • アイデンティティー IPv6
    • IPv6 宛先
    • IPv6 送信元
  5. 正規表現がジェネリックまたは IPv4 アドレスをキャプチャーできる場合は、以下いずれかのオプションを選択します:
    1. システム動作のオーバーライド 」チェック・ボックスのチェックを外します。オーバーライドをクリアにすると、フィールドでの構文解析はデフォルト構成に戻り、イベントを許可して正常に構文解析する可能性があります。
      image 10030
    2. IPv6 アドレス形式に一致させるため、「 」フィールドを編集します。

      結果
      フィールド抽出を無効にする、または正規表現に修正後、「 ログ・アクティビティー」タブにイベントが正しくマップされます。
      image 10036

Document Location

Worldwide

[{"Type":"SW","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]

Document Information

Modified date:
09 August 2021

UID

ibm16462243

Page Feedback