How To
Summary
Log Source Management アプリでは、ユーザーがログ・ソースの種類を一括で変更することはできません。 この技術書では、QRadar API を使用してログ・ソースのログ・ソース・タイプを一括変更する方法について案内します。
Steps
以下の 3 つのステップで、ログ・ソースの種類を一括で変更します。
type_id の取得
type_id は、新しいログ・ソース・タイプの ログ・ソース・タイプ ID になります。
- QRadar コンソールに SSH で接続します。
- 次の PSQL コマンドを実行します。ただし、<log_source_type> は、変更するログ・ソース・タイプ名に置き換えます。:
psql -U qradar -c "select id,devicetypename from sensordevicetype;" | grep -i <log_source_type>
psql -U qradar -c "select id,devicetypename from sensordevicetype;" | grep -i Aruba 391 | ArubaClearPass
結果
このコマンドでは、管理者が編集したいログ・ソースのログ・ソース・タイプ ID( type_id )を返します。
ログ・ソース ID の取得
ログ・ソース ID は、編集対象のログ・ソースを識別するために使用されます。
- QRadar ユーザー・インターフェースに管理ユーザーとしてログインします。
- 「管理」セクションに移動します。
- 「 Log Source Management 」アプリを開くには、[データ・ソース]セクションまでスクロールし、[ログ・ソース]を選択します。
- 編集するログ・ソースを検索し、ID をメモします。 ID は、ログ・ソース管理アプリの左側に表示される番号です。:
この例では、前のキャプチャに表示された 6 つのログ・ソースを使用します。これらは、EMC VMWare ログ・ソース・タイプを使用して作成されており、管理者は Aruba に変更する必要があります。
結果
管理者は、編集するログ・ソースのログ・ソース ID に注意を払い書き留めることになります。
type_id とログ・ソース ID を使用した変更の適用
管理者は、type_id とログ・ソース ID を使用して、Interactive API for Developers ( 開発者向けの対話式 API ) でログ・ソースの種類を変更することができます。
- QRadar ユーザー・インターフェースにログインします。
- Interactive API for Developers (開発者向けの対話式 API) を開きます。
- 左側のメニューから、[config]、[event_sources]、[log_source_management]、[log_sources] の順に選択します。:
- [Parameters] セクションまで下にスクロールし、log_source_data パラメーターに、新しいログ・ソース・タイプのログ・ソース ID とログ・ソース・タイプ ID を JSON 形式で入力します。:
この例で使用される log_source_data のサンプルです。:[ { "type_id": 391, "id": 2590 } , { "type_id": 391, "id":2588} , { "type_id": 391, "id":2582} , { "type_id": 391, "id":2584} , { "type_id": 391, "id":2585} , { "type_id": 391, "id":2586} ]
- Try It Out! をクリックし、レスポンスが 202 であることを確認します。もし 202 でない場合は、JSON 形式に問題があります。
- Log Source Management アプリで、 ログ・ソースに新しいログ・ソース・タイプがあることを確認します。:
結果
管理者は、QRadar API を使用して、複数のログ・ソースのログ・ソース・タイプを変更できます。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSV4BL","label":"IBM QRadar"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
24 May 2023
UID
ibm16991505