IBM Support

QRadar: プロパティーの自動検出構成が有効になっているログ・ソース・タイプを特定する方法

How To


Summary

管理者がログ・ソース・タイプのプロパティーの自動検出構成ステータスを確認する方法。

Objective

この技術書では、どのログ・ソース・タイプで「プロパティーの自動検出構成 - プロパティーの自動検出を有効にする」フラグが有効になっているかを確認する簡単な手順を説明します。
管理者は、次の手順に従って、「プロパティーの自動検出構成 - プロパティーの自動検出を有効にする」フラグが有効になっていることを手動で確認できます。
  1. ナビゲーション・メニュー  ( Navigation menu icon )で、「管理」 をクリックします。
  2. 「データ・ソース」「イベント」セクションで、「DSM エディター」をクリックします。
  3. 「ログ・ソース・タイプの選択」ウィンドウで、ログ・ソース・タイプをハイライトし、[選択]をクリックします。
    logsourcetype1
  4. 選択したログ・ソース・タイプのプロパティー・ページで、[構成] タブをクリックします。
    logsourcetype2
  5. ページを下にスクロールして、「プロパティーの自動検出構成 - プロパティーの自動検出を有効にする」フラグが有効になっていることを確認します。
    logsource13
    この同じページでは、「プロパティーの検出形式」タイプと「ルール、転送プロファイル、検索の索引付けでプロパティーを使用できるようにする」フラグが有効になっているかどうかも確認することができます。

    結果
    管理者はこのプロセスに従って各ログ・ソース・タイプを確認できますが、このプロセスには非常に時間がかかります。

Environment

All QRadar versions.

Steps

管理者は、QRadar データベースに対してコマンドを実行し、同じ結果を取得することができます。
  1. SSH を使用して QRadar コンソールに root ユーザーとしてログインします。
  2. 次の SQL コマンドは、以前に変更されたログ・ソース・タイプのリストを出力します。 
    psql -U qradar -c "SELECT property_discovery_profile.id, property_discovery_profile.optimized, property_discovery_profile.active, property_discovery_profile.property_discovery_type, property_discovery_profile.sensor_device_type, sensordevicetype.devicetypename FROM property_discovery_profile JOIN sensordevicetype ON property_discovery_profile.sensor_device_type = sensordevicetype.id;"
  3. 返される情報は次の表のようになります。 
     id | optimized | active | property_discovery_type | sensor_device_type |      devicetypename
----+-----------+--------+-------------------------+--------------------+--------------------------
  1 | f         | f      |                       1 |                211 | Websphere
  3 | f         | t      |                       1 |                353 | AhnLabPolicyCenter
  4 | f         | t      |                       1 |                321 | AkamaiKona
  5 | f         | t      |                       1 |                501 | AmazonAWSWAF
  6 | f         | t      |                       2 |                440 | AWSSecurityHub
  7 | f         | t      |                       3 |                507 | AmazonAWSRoute53
  2 | t         | f      |                       1 |                106 | Threecom8800SeriesSwitch
(7 rows)
    結果
    デフォルトでは、ログ・ソース・タイプの「プロパティーの自動検出構成」は無効になっています。 したがって、ログ・ソース・タイプが表にリストされていない場合、「プロパティーの自動検出構成 - プロパティーの自動検出を有効にする」は無効に設定されます。
    active = t の場合、ログ・ソース・タイプに対してオプション「プロパティーの自動検出を有効にする」 が有効です。
    active = f の場合、ログ・ソース・タイプに対してオプション「プロパティーの自動検出を有効にする」 が無効です。
    optimized = t の場合、オプション「ルール、転送プロファイル、検索の索引付けでプロパティーを使用できるようにする」 が有効です。
    optimized = f の場合、オプション「ルール、転送プロファイル、検索の索引付けでプロパティーを使用できるようにする」 が無効です。
    テーブル 「 property_discovery_type 」 は、プロパティー検出フォーマットに関連します。
    1 = JSON
    2 = CEF
    3 = LEEF
    5 = NAME VALUE PAIR
    6 = XML

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtSAAQ","label":"DSM Editor"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
30 May 2023

UID

ibm16997905

Page Feedback