IBM Support

QRadar: 異なるタイム・ゾーン、イベントのデバイス時刻、ログ・ファイル・プロトコルを使用する際の時刻の取り扱い

Question & Answer


Question

IBM Security QRadar SIEM では異なるタイム・ゾーン、イベントのデバイス時刻、ログ・ファイル・プロトコルを使用する際の時刻をどのように扱いますか。

Cause

複数のタイム・ゾーンに跨ってシステムを稼働させている場合、殆どのユーザーは全てのシステムをコンソール用に同じタイム・ゾーンを設定するか、或いは全てのシステムを GMT で稼働させます。これにより、複数のシステム間で時刻を同じにすることを可能にしています。

Answer

QRadar アプライアンスの時刻の更新方法:
QRadar アプライアンスのシステム時刻を構成する際に最新情報を取得するには、このリンクを使用してください。
QRadar のシステム時刻

ログ・ファイル・プロトコル - ファイルをバッチで処理する際に時間にどんな影響があるか
イベント・ログは次のように受信時刻に基づいて処理されます。ペイロードのログ・ソース時刻は相関分析の時刻と独立しています。QRadar では、 イベント時刻はイベントがイベント・パイプラインに受信された時刻です。従って、そのイベントが相関分析に渡った際のメッセージ自体のタイム・スタンプは無視されます。例えば、ファイル・サーバーから(scp/sftp/ftp 経由で ) 1 時間おきにイベントを取り出す場合、各ファイルにおよそ 50, 000 イベントがあったとします。この場合、それらを毎秒 1000 イベントで再生する場合、イベントの時刻は常に毎時最初の 50 秒となり、ファイルがログ・ファイルのプロトコル・ドライバーから再生され、イベント・コレクターに送られます。このような理由から、ログ・ファイルを取り出すときの時刻設定をより短くしてください。しかし、ログ・ファイル・プロトコルでは、新規ファイルが使用可能になったときにのみ、新規ファイルを取得することに注意して ください。

これは相関分析に影響し、これらのイベントが処理されるときのみ「発生」します。ログ・ファイル・プロトコルを使用してデータを相互に関連付けるルールを設定する必要がある場合は、それに応じてルールの時間ウィンドウを調整する必要があります。ログ・ファイル・プロトコルを使用することによってデータを取得することの第一の目的は、レポート作成です。日次(またはより長い)レポート・サイクルでは、イベントの正確な時刻は、ルールで使用する場合ほど重要ではありません。

 


QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。


[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Admin Console","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.3;7.2","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
12 December 2018

UID

ibm10741725

Page Feedback