How To
Summary
この技術書には WinCollect と QRoC( QRadar on Cloud )の連携に関する情報がまとめられています。
Steps
違いについて
管理対象 WinCollect エージェントは QRoC ではサポートされていないため、スタンドアロン・エージェントを使用する必要があることに留意してください。
" 管理対象デプロイメントは、 QRadar on Cloud 環境ではサポートされません。 IBM QRadar on Cloud を使用するお客様は、スタンドアロンの WinCollect エージェントを使用する必要があります。"
次に、デプロイメントの一部であるデータ・ゲートウェイ、イベント・プロセッサ( EP )、またはイベント・フロー・プロセッサ( EPFP )にイベントのみを送信できます。 それらを QRoC コンソールに直接送信する場合は、TLS Syslog を使用することによってのみ送信できます。
注: コンソールに直接イベントを送信すると、イベントがキューに入らないことがあります。 データ・ゲートウェイ、EP、または EPFP は、イベントをより適切にキューイングする機能を備えています。
イベントを QRoC コンソールに直接送信する方法
QRoC コンソールに直接イベントを送信したい場合は、TLS Syslog のみを使用できます。手順は以下の通りです。
1. WinCollect エージェントの IP アドレスを許可リストに追加します。
QRoC 環境にログインし、Self-Service Management アプリを開き、[許可]セクションに移動し、IP アドレス(およびマスク)を入力して接続を許可します。
2. ログ・ソースを作成します。
a. ログ・ソース管理アプリに移動してログ・ソースを作成します。次の構成オプションを使用する必要があります。
- ログ・ソース・タイプ: Universal DSM
- プロトコル・タイプ: TLS Syslog
- TLS Listening port: 6514
- Authentication mode: TLS
- Certificate Type: Generated Certificate
b. 保存して変更のデプロイを実施します。
注:
設定中に「 Test 」タブが表示されますが、これは最初に変更を保存してデプロイしないと失敗します。
このプロセスにより、QRoC のポート 6514 が開きます。
3. IBM サポートから証明書を取得します。
IBM サポートでケースを開き、QRoC コンソールから次のファイル /opt/qradar/conf/trusted_certificates/syslog-tls.cert を要求します。
これには、-----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- を含める必要があります。
この証明書は次のようになります:
-----BEGIN CERTIFICATE-----
MIIDITCCAgmgAwIBAgIJAPJsnrBOTkIzMA0GCSqGSIb3DQEBDQUAMCcxCjAIBgNV
<here you will see a long string>
2trDsZvwqpWSDjQAiHg+xO+eME0dyE3PILu6Z9WoAAEWcnWIXA==
-----END CERTIFICATE-----
この証明書は、TLS Syslog を使用してログを QRoC コンソールに送信する際に必要です。
4. スタンドアロンの WinCollect エージェントで宛先を作成します。
WinCollect スタンドアロン・エージェントのインストール方法に疑問がある場合は、この技術書の「スタンドアロン WinCollect エージェントのインストール方法」セクションを確認してください。
a. WinCollect Configuration Console で 「Destination」 セクションを開き、Add New Destination を右クリックします。
b. 新しい Destination の名前を追加します。
c. 新しい宛先をクリックします。 Destination > Syslog TCP > New Destination:
これにより、宛先の構成が開きます。
-Hostname / IP: コンソールの QRoC IP アドレス。
-Port: 6514
-Certificate (turns on TLS): ここで、IBM サポートから取得した証明書を貼り付ける必要があります。前後にスペースを残さないようにしてください。
5. WinCollect エージェントでログ・ソースを作成します。
スタンドアロン WinCollect エージェントでログ収集を構成するためのエントリーには、「Devices」という名前が付けられています。
a. 監視する Windows イベント・タイプを右クリックし、ログ・ソース管理アプリで行うのと同じように構成を追加します。 前の手順で作成した証明書を持つ宛先を選択してください。
b. 完了したら、変更を適用するためにデプロイする必要があります。WinCollect 構成コンソールの右上に「Deploy Changes」オプションがあります。
これで、QRoC でイベントを確認できます。
TLS Syslog を使用するときにイベントを解析する方法
TLS Syslog プロトコルは、複数のイベントタイプを収集するために使用され、イベントを解析しません。Windows イベントを解析するには "Use As A Gateway Log Source" オプションを使用する必要があります。これを有効にすると新しいフィールド "Log Source Identifier Pattern" が表示されます。
“Log Source Identifier Pattern” では、正規表現を使ってイベントのパターンを見つけ、このパターンを新しい Log Source Identifier として割り当てることができます。 そして、それらはパイプラインに入れられ、QRadar によって自動検出されます。
このファイルは key-value の形式で動作し、key は新しい log source identifier、value は正規表現のパターンを示します。例えばあなたのイベントの始めの部分が以下の形状だとしましょう。
<13>Apr 08 09:26:42 myserver01 AgentDevice=WindowsLog AgentLogFile=Security...
次の値を Log Source Identifier Pattern に指定します。
$1=\d{2}:\d{2}:\d{2}\s(.*?)\sAgent
これは、イベント内で時間形式 nn:nn:nn(nは数字)の後にスペースが続くものを検索し、そこから次のスペースまでをグループ番号 1 ( $ 1 ) として扱います。 グループ番号 1 は、新しいログ・ソース識別子として使用されます。
スタンドアロンの WinCollect エージェントをインストールする方法
1. サーバーの前提条件を確認します。
- Install .net framework version 3.5
- Install Microsoft Management Console (MMC) 3.0 and later.
2. WinCollect エージェント・ソフトウェアをインストールします。
a. FixCentral からエージェント用の.exe ( 7.4.0-QRADAR-AGENT-wincollect-<version>.x64.exe ) をダウンロードします。
b. ログ・ソースをインストールの時に作成するかしないかを選択できます。
3. スタンドアロン・パッチをインストールします。
これにより、エージェント構成との対話を可能にするグラフィカル・インターフェイスがコンソールに提供されます。
a. FixCentralからコンソール用の.exe ( 7.4.0-QRADAR-wincollect-standalone-patch-installer-<version>.exe ) をダウンロードしてください。
b. インストール・ウィザードに従ってインストールしてください。
4. WinCollect 構成コンソールを開きます:
Windows の検索バーで検索します。
5. これで、Devices でログ・ソースを追加し、Destinationsでこの情報を送信する場所を指定することができます。
![device](/support/pages/system/files/inline-images/device.png)
Additional Information
Related Information
Document Location
Worldwide
Was this topic helpful?
Document Information
Modified date:
31 March 2023
UID
ibm16553526