IBM Support

QRadar: DSM に関連付けられた QID のリストを取得する方法

How To


Summary

DSM に関連付けられた QID のリストを取得するには、2 つの方法があります。1 つは QRadar API を使用し、もう 1 つは Qradar コンソール CLI を使用します。

Steps

QRadar API を使用
 
  1. ログ・ソース・タイプ  ID を取得します.
  2. QRadar コンソール CLI に SSH で接続し、root ユーザーとしてログインします。
  3. 以下の PSQL 検索を実行します。
    注: この手順では、ログ・ソース Linux を使用しています。
    psql -U qradar -c "select id, devicetypename from sensordevicetype where devicetypename ilike '%Linux%'"
    
  4. ログ・ソース・タイプ ID の値が返されます。 出力は以下のようになります。
    image 8336
  5. 管理者として QRadar UI にログインします。
  6. ナビゲーション・メニュー ( Navigation menu icon ) で、「開発者向けの対話式 API」をクリックします。
  7. data_classification> dsm_event_mappings に移動します。
    image 8082
  8. 「Parameters」の下の 2 番目のボックスに, フィルター log_source-type_id=XX を追加します。
    例: log_source_type_id=58
  9. CURL コマンドからは、以下のようになります。
    curl -S -X GET -u admin -H 'Range: items=0-49' -H 'Version: 14.0' -H 'Accept: application/json' 'https://IP or HostName/api/data_classification/dsm_event_mappings?filter=log_source_type_id%3D58'
  10. 「Try It Out!」ボタンをクリックします。
    image 8339
  11. Response Body には DMS QID および関連 QID のリストがあります。
    image 8340
Qradar CLI を使用
  1. root ユーザーとして QRadar CLI にログインします。
    注: この手順では、ログ・ソース Linux DHCP Server を使用しています。
  2. 以下の PSQL 引数を実行して、必要な DSM devicetypedescription を検索します。
    psql -U qradar -c "select devicetypedescription from sensordevicetype where devicetypedescription ilike '%Linux%'"
    
  3. 出力は以下のようになります。
    -------------------------
     Linux iptables Firewall
     Linux DHCP Server
     Linux OS
    (3 rows)
  4. 以下の PSQL 引数の末尾に必要な DSM devicetypedescription を追加します。
    注: <DESCRIPTION-HERE> を PSQL 引数のその devicetypedescription に置き換えてください。
    psql -U qradar -c "select e.devicetypeid AS \"ID\", sn.devicetypedescription AS \"Device Description\", e.deviceeventid AS
    \"Event ID\",q.qid AS \"QID\",e.deviceeventcategory AS \"Event Category\", q.qname AS
    \"QIDmap Name\", q.lowlevelcategory AS \"Low Level Category\", l.name_i18n_key AS \"Information Level\", 
    to_char(to_timestamp(s.serial/1000),'YYYY-MM-DD HH24:MI:SS TZ') AS \"SERIAL\",e.customevent AS \"Custom Event\" 
    from dsmevent e, qidmap q, category_type l, qidmap_serial s, sensordevicetype sn where sn.id = e.devicetypeid and 
    q.lowlevelcategory = l.id and q.qid = s.qid and e.qidmapid = q.id and  sn.devicetypedescription ='<DESCRIPTION-HERE>'"
  5. 出力は以下のようになります。
    image 8095

Document Location

Worldwide

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]

Document Information

Modified date:
30 October 2023

UID

ibm17015285