IBM Support

QRadar: DSM エディターとカスタム・ログ・ソースの case とサポート・ポリシー

Question & Answer


Question

この技術書では、DSM エディターまたはレガシー XML 拡張を使用して作成されたカスタム・ログ・ソース・タイプに関連する QRadar® サポート・ポリシーについて管理者(お客様)にご案内します。 公式の DSM がないログ・ソースの場合は、カスタム・ログ・ソース・タイプを使用してログ・ソースを統合します。次に、ログ・ソース 拡張機能(デバイス拡張機能とも呼ばれます)がカスタム・ログ・ソース・タイプに適用され、ログを解析するためのロジックが提供されます。 ログ・ソース 拡張機能は、 Java™ 正規表現に基づいており、 syslog 、 JDBC 、ログ・ファイルなどの任意のプロトコル・タイプに対して使用できます。 値はログから抽出して、IBM® QRadar® 内のすべての共通フィールドにマップできます。

Answer

カスタム・ログ・ソースと DSM エディターの問題に対する責任 

DSM エディターを使用すると、管理者は、カスタム・ログ・ソースが必要な場合にカスタム解析スキームを作成できます。 この技術書は、カスタム・ログ・ソースの case のサポート対象外の作業と、QRadar 管理者の責任についてご案内します。

サポート・タイプ  説明 責任
カスタム・ログ・ソース、DSM エディターとサポート 
QRadar 技術サポート・チームは、以下のようなエラー、質問、および問題について管理者を支援できます。
  1. DSM エディターに関する機能的な問題。例えば以下のようなものです。
    • ユーザー・インターフェースを開こうとした際の、 DSM エディターの異常終了や、エラー・メッセージが表示される問題。
    • データが正しく表示されない、またはサポートされているブラウザーでユーザー・インターフェースが期待どおりに表示されない問題。
    • DSM エディターが構成変更をログ・ソースに保存できない問題。
    • 管理者の QRadar ログのエラーの確認。
    • DSM エディターの詳細構成オプションを有効または無効にすると期待どおりに機能しない問題。
  2. ユニバーサル DSM 機能に関連する特定のクエリの問題。例えば以下のようなものです。
    • サポートはユーザーを支援し DSM エディターに関連する APAR の説明。
    • ドキュメントの説明、ユーザーが DSM エディターに関する IBM ドキュメントの問題を見つけた場合の確認。
    • DSM エディターのユーザー・インターフェースでのマッピング、またはカスタム・プロパティーがどのように機能するかに関する質問への説明。
    • DSM エディターの高度な構文解析オプションが、 IBM が提供する公式 DSM の構文解析をどのように変更するかの説明。
  • QRadar テクニカル・サポート
 
QRadar サポートの対象外 管理者は DSM エディターで作成されたカスタム・ログソース・タイプを担当します。

以下の内容は、テクニカル・サポート Case の対象外となります。
  1. DSM エディター で管理者独自のカスタム・ログ・ソースを作成、修正、テスト、チューニングするためのサポート依頼。
  2. カスタム・ログ・ソースのデフォルトのイベント・プロパティーをオーバーライドするための正規表現の検証や更新。
  3. DSM エディターを使ったカスタム・イベント・プロパティーの作成支援。
  4. DSM エディターでのイベントのマッピングまたはイベントのカスタム QID の作成支援。
管理者は、ドキュメントを参照しながら、カスタム・ログ・ソースの作成、チューニング、テスト、およびメンテナンスを行う必要があります。
  1. Creating a Log Source extensions document to get data into QRadar.
  2. DSM Editor overview.
  3. Creating a Custom DSM.
  • 管理者 
  •  IBM Security® Expert Labs へお問い合わせください。( IBM Security® Expert Labs は IBM が提供する有償サービスとなります。詳細は QRadar ご購入元の IBM ビジネス・パートナーもしくは IBM 営業、あるいは IBM Web サイトのお問い合わせ先(https://www.ibm.com/contact/jp/ja/) にお問い合わせください。
    尚、上記 IBM Web サイトからお問い合わせの際は、「ビジネス上の課題への取り組みのご相談」の「「問い合わせフォーム」を使用してください。)

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]

Document Information

Modified date:
03 February 2022

UID

ibm16505229

Page Feedback