イベント・カテゴリー

イベント・カテゴリーは、 IBM® QRadar®による処理のために着信イベントをグループ化するために使用されます。 イベント・カテゴリーは検索可能で、ネットワークのモニターに役立ちます。

ネットワークで発生するイベントは、上位カテゴリーと下位カテゴリーに集約されます。 各上位カテゴリーには、下位カテゴリーおよびそれに関連する重大度レベルと ID 番号が含まれます。

イベントに割り当てられる重大度レベルを検討し、企業ポリシーのニーズに合うように調整できます。

上位および下位のイベント・カテゴリー ID を使用して AQL 照会を実行できます。 関連するカテゴリー名のカテゴリー ID は、イベント・カテゴリー・テーブルから取得できます。

例えば、 QRadarでアプリケーションを開発している場合、コマンド・ラインから以下のような AQL 検索を実行して、 Arielからデータを収集できます。

select qidname(qid) as 'Event', username as 'Username', devicetime as 'Time' from events where '<high-level category ID>' and '<Low-level category ID>' and LOGSOURCENAME(logsourceid) like "%Low-level category name%" last 3 days