Question & Answer
Question
QRadar におけるログ・ソース拡張の現在の制限は何ですか?
Answer
QRadar バージョン 7.1.x および 7.2.x ログ・ソース拡張には、以下の制限が適用されます。
- ログ・ソース拡張は、イベントのイベント名を「変更」することも、イベント名に置き換えることもできません。 イベント名は、変更できないフィールドの一つです。 一致したフィールドを別の属性にマップできますが、実際のイベント名を変更することはできません。
- ログ・ソース拡張機能は、複数行イベントを正しく処理できません。QRadar は、単一行イベントを解釈するように設計されています
ただし、ストリーミング・イベント用の TCP Multiline Syslog プロトコルや、UDP Multiline Syslog プロトコルなど、複数行のイベントを読み取ることができるプロトコルもあります。 ログ・ファイル・プロトコルを使用している場合は、ID -リンクされた複数行または正規表現ベースの複数行など、フラット・ファイルから複数行イベントを処理するために使用できるイベント生成プログラムがあります。
これらのオプションのいずれにも該当しない場合、複数行ログでは、一部のプレ処理がファイルの単一行フォーマットを作成する必要がある場合があります。これは、ログ・ソース拡張によって解析される可能性があります。 例えば、xml2csv などのツールを使用して、複数行を 1 つの簡単な構文解析の行にすることができます。 - 「開始時刻」または「ストレージ時間」を設定または変更するために、ログ・ソース拡張 ( LSX ) を強制することはできません。 LSX が変更できる唯一の時間値は、ログ・ソース時刻 ( LSX 内の Device Time )です。
- ログ・ソース拡張では $ 1 または $ 2 などの変数は使用できません。
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Related Information
[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"General Information","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.1;7.2","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
28 February 2019
UID
ibm10870896