ルールのルーティング・オプション
4 つのルールのルーティング・オプションである転送、除去、相関をバイパス、およびログのみのいずれかを選択できます。 それぞれのオプションとその使用方法を次の表で説明します。
| ルーティング・タイプ | 説明 |
|---|---|
| 転送 | データが指定した宛先転送に転送されます。 データは、データベースにも格納され、カスタム・ルール・エンジン (CRE) によって処理されます。 |
| 除去 | データは除去されます。 データはデータベースに保管されず、CRE によって処理されません。 このオプションは、「オフライン」オプションを選択すると選択できません。 除去されたすべてのイベントは、ライセンスに 100% 戻されます。 |
| 相関をバイパス | データは CRE をバイパスしますが、データベースに格納されます。 このオプションは、「オフライン」オプションを選択すると選択できません。 「バイパス相関」オプションには、QRadar® Data Store のライセンスは不要です。 「相関をバイパス」では、バッチで受信したイベントがリアルタイム・ルールをバイパスすることを許可します。 分析アプリケーション、およびヒストリカル相関の実行にイベントを使用できます。 ヒストリカル相関の実行では、イベントがリアルタイムで受信されたかのようにイベントが再生されます。 |
| 「ログのみ (Analytics を除く)」 | イベントは、データベースに保管されて「ログのみ」というフラグを立てられ、CRE をバイパスします。 これらのイベントは、ヒストリカル相関には使用できず、ライセンスに 100% 戻されます。 このオプションはフローにも、「オフライン」オプションを選択した場合にも選択できません。 「ログのみ」オプションには、QRadar Data Store のライセンスが必要です。 このライセンスを購入し、「ログのみ」オプションを選択すると、ルーティング・ルールに一致するイベントがディスクに保管され、表示や検索に使用できるようになります。 これらのイベントは、カスタム・ルール・エンジンをバイパスし、リアルタイムの相関や分析は実行されません。 イベントはオフェンスに反映されず、ヒストリカル相関の実行時に無視されます。 一部のアプリケーションも「ログのみ」イベントを無視します (https://www-ibm.com/support/docview.wss?uid=swg22009471)。 |
使用できるさまざまなルーティング・オプションの組み合わせを次の表で説明します。 これらのオプションは、オフライン・モードでは使用できません。
| ルーティングの組み合わせ | 説明 |
|---|---|
| 「転送」および「除去」 | データが指定した宛先転送に転送されます。 データはデータベースに保管されず、CRE によって処理されません。 除去されたすべてのイベントは、ライセンスに 100% 戻されます。 |
| 「転送」および「バイパス相関」 | データが指定した宛先転送に転送されます。 データはデータベースに保管されますが、 CREによって処理されることはありません。 |
| 「転送」および「ログのみ (Analytics を除く)」 | イベントは、指定の宛先転送に転送されます。 イベントは、データベースに保管されて「ログのみ」というフラグを立てられ、CREをバイパスします。 これらのイベントは、ヒストリカル相関には使用できず、ライセンスに 100% 戻されます。 |
データが複数のルールに一致する場合、最も安全なルーティング・オプションが適用されます。 例えば、除去するように構成されているルールと、CRE 処理をバイパスするルールに一致する場合、データは除去されません。 変わりに、データは CRE をバイパスし、データベースに格納されます。