Question & Answer
Question
QRadar システムで特定の syslog パケットをキャプチャーするために、 grep で tcpdump をどのように使用しますか?
Cause
tcpdump コマンドを実行する時、特定のストリングの内容を grep することに役立ちます。ただし、これによりペイロードが表示され、ソース・ヘッダーと宛先ヘッダーが非表示になります。
Answer
grep で tcpdump を使用する場合は、パケット・ヘッダー情報が表示されるように、 -C (大文字)フラグを 10 のような値で使用します。
これにより、一致する行の前と後が 10 行ずつ表示されます。以下のコマンドは、 grep を含む tcpdump の基本テンプレートです。
tcpdump -nnAs0 -i <interface> host <host ip> and port <port> | grep -C 10 -i <grep pattern>例として、どの管理対象ホストが rsync タイムアウト・メッセージをコンソールに送信しているかを調査しているとします。この情報は、コンソールのイベント・ペイロードまたはソース IP アドレスと宛先 IP アドレスから見つけることができません。以下のコマンドを実行して、メッセージに関連付けられているパケットをキャプチャーすることができます。
tcpdump -nnAs0 -i eth0 port 514 | grep -C 10 -i rsyncRelated Information
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.1, 7.2","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
08 April 2020
UID
ibm10876284