IBM Support

QRadar: サポート・チケットを開く前にログをサニタイズする方法について

Question & Answer


Question

セキュリティ上の観点から IP アドレス情報を保護するために、 QRadar ログをそのまま提示することを懸念しています。 IBM へレビュー用として提示する前に QRadar のログをサニタイズしてもよいでしょうか?

Answer

サニタイズしても問題ございません。 QRadar には、ログ・ファイルから情報のサニタイズをヘルプするために管理者が実行できるスクリプトがあります。 Scrub.pl は、セキュリティー上の問題により get_logs.sh の出力を送信および実行できないお客様のためのオプションです。

管理者が get_logs.sh を実行できない場合は、 QRadar サポートがトラブルシューティングのために以下のファイルを送信し、スクラブのリクエストを行います。

  • /var/log/qradar.log
  • /var/log/qradar.error
  • /var/log/messages
  • /var/log/qradar-sql.log


ログの送信からどのような情報をスクラブすることができますか?

 Scrub.pl スクリプトは、 /opt/qradar/bin/ ディレクトリーに存在し、 QRadar ログ・ファイルから以下の情報を削除することができます。

  • Usernames
  • IP addresses
  • Domain names
  • Group names

どのように scrub.pl を使用するのでしょうか?

機密情報のログをスクラブするには、管理者はスクリプトを実行する必要があり、次にサポートチケットと共に提出する前にログファイルから情報が適切に削除されていることを確認します。

<手順>

1. SSH を使用して、 root ユーザーとしてコンソールにログインします。
2. <オプション> 問題が管理対象ホストに関連している場合は、コンソールからそのアプライアンスに SSH 接続する必要があります。
3. /opt/qradar/bin ディレクトリーに移動します。
4. QRadar ログファイルをスクラブするには、以下のようにコマンドを入力します。
     ./scrub.pl /var/log/qradar.error /tmp/scrubbedqradar.log
     最初のディレクトリー・パスがスクラブされるファイルです。 2 番目のディレクトリー・パスは、ユーザー名、 IP アドレス、ドメイン名、およびグループ名を削除するためにスクラブされ出力するファイルの名前です。

     ファイルがスクラブされた場合は、次のメッセージが表示されます。
     The log file was successfully scrubbed - /tmp/scrubbedqradar.log.
     (ログ・ファイルは、 /tmp/scrubbedqradar.log として正常にスクラブされました。)
5. 上記ステップ 4 を繰り返し、その他のログ・ファイル ( error.log 、 messages 、 qradar-sql.log ) をスクラブし、新たに出力されたファイルを提供します。
6. Web ブラウザーを開いてチケットをオープンし、そのスクラブ・ログをチケットに添付します。
      <サポート・コミュニティのご案内>
       https://www-01.ibm.com/support/docview.wss?uid=swg22006904
7. QRadar サポート担当者がサポート・チケットについてお客様へ連絡します。

[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"General Information","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2;7.3","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
28 April 2020

UID

ibm10967301