Question & Answer
Question
「 My Custom Log Source 」で、ログ・ソース管理アプリケーションにプロトコル・オプションとして使用可能な予期されたプロトコルがありません:
Cause
QRadar® システムから別の QRadar® システムへ DSMs のマイグレーション後、まれにカスタム・ログ・ソースが構成済みのプロトコルの関連付けを失う可能性があります。
Answer
カスタム・ログ・ソース・タイプと関連付けされたプロトコル間の関連付けを再度追加する必要があります。
手順:
- ログ・ソース管理アプリケーションからログ・ソースの「 log_source_id 」を取得します:
- QRadar® コンソールの CLI に SSH で接続します。
- カスタム・ログ・ソースの「 device_type_id' 」を取得します:
psql -U qradar -c "select id,devicename,devicetypeid as device_type_id from sensordevice where id=<log_source_id>;"
- プロトコルの「 protocol_id 」を取得します:
psql -U qradar -c "select id as protocol_id, protocoldescription from sensorprotocol where protocolname like '%<protocol_name>%';"
- カスタム・ログ・ソース・タイプおよびプロトコルの関連付けをチェックします:
psql -U qradar -c "select * from sensordeviceprotocols where sensordevicetypeid=<device_type_id> and sensorprotocolid=<protocol_id>;"
- カスタム・ログ・ソース・タイプとプロトコルの関連付けが存在しないことを確認したら、以下のように関連付けを追加します:
psql -U qradar -c "insert into sensordeviceprotocols values (device_type_id>,<protocol_id>);"
- 上記ステップ 5 を再度実施し、現時点でカスタム・ログ・ソース・タイプおよびプロトコルの関連付けが存在することを確認します。
- ログ・ソース管理アプリケーションを最新表示 (開いている場合) にする、またはアプリケーションを再度開き直します。
-
カスタム・ログ・ソースを開き、予期されたプロトコルがプロトコル・オプションとして使用可能になったことを確認します。
Related Information
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"},{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
14 September 2021
UID
ibm16423873