IBM Support

QRadar: ログ・ソース拡張の要件

Troubleshooting


Problem

ログ・ソース拡張が機能しないのはなぜですか?

Cause

ログ・ソース拡張を作成するときに、イベント名パターンが使用されていない場合、ログ・ソース拡張はどのイベントにも関連付けられません。 その結果、ログ・ソース拡張で指定された他のパターンは解析されません。

Resolving The Problem

ログ・ソース拡張には、適用する必要のあるイベントを識別するためのイベント名パターンが必要です。
この例では、EventName-FireEyeEventName にリンクされています。このパターンを使用して、解析する必要のあるイベントを特定しています。これにより、他のすべてのパターンがペイロードを解析できるようになります。




結果:ログソース拡張機能にリストされているすべてのパターンが解析されました。


[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Log Activity","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"Version Independent","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
09 September 2022

UID

ibm16595043