Troubleshooting
Problem
Microsoft ログが Guardium に転送される場合、イベントが正規化されない可能性があります。 これにより、いくつかのイベントが不明と表示されることがあります。
Cause
Guardium から転送されるイベントは正規化されません。 Guardium からの標準イベントは、メッセージの優先順位機能によって決定される Syslog メッセージ・タイプとして提供されます。
facility の例として、 all, auth, authpriv, cron, daemon, ftp, kern, local0, local1, local2, local3, local4, local5, local6, local7, lpr, mail, mark, news, security, Syslog, user, uucp などがあります。
priority の例として、alert , all , crit , debug , emerg , err , info , notice , warning があります。 これらを使用していないイベントは、正規化できません。
Diagnosing The Problem
ログ・ソース拡張を必要とする Guardium からのイベントの例を以下に示します。
<25>Aug 1 10:30:01 hostname guard_sender[****]: LEEF:1.0|IBM|Guardium|10.0|SQL- Not DBA DDL activity- Alert and Log|ruleID=#######|ruleDesc=SQL- Not DBA DDL activity- Alert and Log|severity=HIGH|devTime=2016-8-1 10:29:23|serverType=MS SQL SERVER|classification=|category=**** **|dbProtocolVersion=7.0|usrName=|sourceProgram=SMS_POLICY_PROVIDER|start=##########|dbUser=NT AUTHORITY\SYSTEM|dst=***|dstPort=***|src=***|srcPort=***|protocol=WINDOWS NAMED PIPES|type=SQL_LANG|violationID=############|sql=IF EXISTS (select * from tempdb..sysobjects where name = N'*******') drop table #*******|error=
このイベントは、Guardium が必要とする優先順位機能を使用しません。
Resolving The Problem
Guardium DSM では、Guardium システム・ログのみを解析します。 これらは、QRadar が正規化できる priority モデルに従うイベントの限定サブセットです。 その他のイベントは、手動でマップする必要があります。 したがって、イベントにて不明と表示する動作は、ログ・ソースに基づいて予期される結果となり、データがどのように到着するかによります。
この問題の解決方法について提案します。
- JDBC または WinCollect プロトコルのいずれかを使用して Microsoft SQL Server イベントを直接取り出すことにより、Microsoft SQL Server DSM によるイベントの構文解析をすることができます。
- Guardium を使用すると、Microsoft SQL Server イベントを転送し、Guardium によって送信された各 SQL イベントを手動でマップすることができます。
- ログ・ソース拡張を使用して、手動でマップするイベントの数を減らすことができます。
QRadar に関する情報は以下のリンクアイコンからも確認できますのでご参照ください。
Related Information
Was this topic helpful?
Document Information
Modified date:
20 November 2018
UID
ibm10733175