Troubleshooting
Problem
Cause
QRadar の WinCollect イベントには 2 つのログ・ソースがあります。
1. 作成したログ・ソースまたは Windows イベントのインストール中にエージェントによって自動的に作成されたログ・ソース。
2. WinCollect エージェントからのステータス・メッセージについて LEEF Syslog イベントを解析する WinCollect 内部 DSM。このログ・ソースは、WinCollect DSM - <Log Source Identifier> と呼ばれます。
QRadar で構文解析順序が正しくない場合、 Windows データが含まれている Syslog イベントが WinCollect 内部 DSM に割り当てられる可能性があります。この構文解析順序の事象が発生すると、ログ・ソースの「 Log Source Type [Indexed] 」で検索しても、予期したとおりにデータが返されません。ただし、 tcpdump を使用してエージェントから着信するイベントを表示することはできます。
Resolving The Problem
手順:
WinCollect エージェント・ログ・ソースにイベントが表示されない場合、エージェントから Windows イベントを受信する QRadar アプライアンスで構文解析順序の事象がある可能性があります。これらイベントのタイプを受信できる別のログ・ソースが誤って構成されている、またはログ・ソースの自動ディスカバリーから構成されている場合、構文解析順序の事象が発生する可能性があります。イベントを検出できなくても、既に tcpdump を使用して受信されていることを検証している管理者は、これらのイベントが誤ったログ・ソースに送信されないことを保証するために構文解析順序をチェックできます。正常な構文解析は、画面キャプチャーに WinCollect DSM の Windows 認証サーバーを表示することです。
- 「管理設定」を開きます。
a. IBM Security QRadar V7.3.1 では、ナビゲーション・メニュー( ☰ )をクリックし、「管理」をクリックして「管理」タブを開きます。
b. IBM Security QRadar V7.3.0 以前では、「管理」タブをクリックします。 - 「ログ・ソース」をクリックします。
図 1: 「ログ・ソース」アイコンの場所
- イベントを使用してユーザー・インターフェースから「 WinCollect ログ・ソース」を選択し、「解析の順序」をクリックします。
図 2: 「ログ・ソース」画面から「解析の順序」を開くと、イベントを受信する特定のイベント・コレクターにフィルターすることが可能です。
- 構文解析順序の一覧に Windows 認証サーバーと WinCollect の両方のログ・ソース・タイプが表示される場合は、 Windows 認証サーバーが最初になるように構文解析の順序を変更してください。
図 3: この例では、Desktop はログ・ソース・タイプが Windows 認証サーバーの Microsoft セキュリティー・イベント・ログ・ソースで、構文解析順序で最初にリストされている必要があります。WinCollect DSM - <Log Source Identifier> のあらゆる値は、構文解析順序が低くなければなりません。
- 「保存」をクリックします。
結果:
構文解析順序が更新され、WinCollect 内部 DSM に割り当てられているイベントが正しく割り当てられます。管理者は「ログ・アクティビティー」タブで「 Log Source Type [Indexed] 」の検索を作成できるので、リモート・エージェントからデータが着信していることを確認するため、ログ・ソースを選択してください。イベントの受信を確認しても、割り当てられたログ・ソースの下に正常に表示されないログ・ソースについては、この手順を繰り返してください。
参考情報:
tcpdump ユーティリティーを QRadar で使用する方法については、「コマンドラインを使用した Syslog イベント・ソースのトラブルシューティング」をご参照ください。
Related Information
Was this topic helpful?
Document Information
Modified date:
26 May 2022
UID
ibm16528306