Troubleshooting
Problem
「ログ・アクティビティー ( Log Activity ) 」タブでイベントを開いてイベントの詳細を表示すると、いくつかのカスタム・フィールドに値として「null」が表示されます。以下に例を示します。
Symptom
- コンソールは、QRadar バージョン 7.4.3 以降でインストールされている。
- これらのフィールドはカスタム・イベント・プロパティー構成に存在しないため、無効化できない。
- フィールドは DSM エディターに表示されないため、値を割り当てることができない。
- コンソール上でWebサーバー ( Tomcat ) を再起動した後も問題は継続します。
Cause
この動作になる理由は、QRadar V7.4.3 では、カスタム・プロパティーの命名規則を標準化するために多くのフィールドが非推奨になったためです。 非推奨フィールドの完全なリストについては、「 Alias properties created for custom properties」を参照してください。
"During the upgrade to 7.4.3, and when you install content after the upgrade, alias properties are created for custom properties that don't conform to naming best practices."
従来のカスタム・イベント・プロパティー・フィールドは、データベースでは非推奨になりましたが、「ログ・アクティビティー ( Log Activity ) 」タブまたは「ネットワーク・アクティビティー ( Network Activity ) 」タブでは非表示になりませんでした。 別名プロパティーがまだ存在するため、ユーザー・インターフェースに「null」の値を表示するカスタム・プロパティーがいくつか存在する可能性があります。
Resolving The Problem
この問題の APAR は IJ34647として存在します。 この問題をサブスクライブするには、 IJ34647: UPGRADING TO QRADAR 743 RESULTS IN A LIST OF DEPRECATED CUSTOM EVENT PROPERTIES BEING DISPLAYED を参照してください。
非推奨のカスタム・プロパティー・イベント名を持つ管理者は、検索、ルール、およびレポートで更新されたプロパティー名を使用する必要があります。 推奨されないプロパティー名を使用することはできません。 非推奨フィールドを使用する新規カスタム・イベント・プロパティーを作成しようとすると、「 The name of custom properties definition is deprecated 」というエラーが表示されます。
図 1 : DSM エディターを使用して非推奨の名前のプロパティーを作成すると、エラーが表示されます。
図 2 : カスタム・イベント・プロパティー構成インターフェースでは、従来のユーザー・インターフェースにもエラーが表示されます。
「 Property name 'EventID' is deprecated 」というエラー・メッセージが表示された場合は、カスタム・イベント・プロパティーに固有の名前を割り当てる必要があります。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
26 February 2023
UID
ibm16854303