How To
Summary
管理者がログ・ソース・タイプのプロパティーの自動検出構成ステータスを確認する方法。
Objective
この技術書では、どのログ・ソース・タイプで「プロパティーの自動検出構成 - プロパティーの自動検出を有効にする」フラグが有効になっているかを確認する簡単な手順を説明します。
管理者は、次の手順に従って、「プロパティーの自動検出構成 - プロパティーの自動検出を有効にする」フラグが有効になっていることを手動で確認できます。
- ナビゲーション・メニュー (
)で、「管理」 をクリックします。
- 「データ・ソース」の「イベント」セクションで、「DSM エディター」をクリックします。
- 「ログ・ソース・タイプの選択」ウィンドウで、ログ・ソース・タイプをハイライトし、[選択]をクリックします。
- 選択したログ・ソース・タイプのプロパティー・ページで、[構成] タブをクリックします。
- ページを下にスクロールして、「プロパティーの自動検出構成 - プロパティーの自動検出を有効にする」フラグが有効になっていることを確認します。
この同じページでは、「プロパティーの検出形式」タイプと「ルール、転送プロファイル、検索の索引付けでプロパティーを使用できるようにする」フラグが有効になっているかどうかも確認することができます。
結果
管理者はこのプロセスに従って各ログ・ソース・タイプを確認できますが、このプロセスには非常に時間がかかります。
Environment
All QRadar versions.
Steps
管理者は、QRadar データベースに対してコマンドを実行し、同じ結果を取得することができます。
- SSH を使用して QRadar コンソールに root ユーザーとしてログインします。
- 次の SQL コマンドは、以前に変更されたログ・ソース・タイプのリストを出力します。
psql -U qradar -c "SELECT property_discovery_profile.id, property_discovery_profile.optimized, property_discovery_profile.active, property_discovery_profile.property_discovery_type, property_discovery_profile.sensor_device_type, sensordevicetype.devicetypename FROM property_discovery_profile JOIN sensordevicetype ON property_discovery_profile.sensor_device_type = sensordevicetype.id;"
-
返される情報は次の表のようになります。
id | optimized | active | property_discovery_type | sensor_device_type | devicetypename ----+-----------+--------+-------------------------+--------------------+-------------------------- 1 | f | f | 1 | 211 | Websphere 3 | f | t | 1 | 353 | AhnLabPolicyCenter 4 | f | t | 1 | 321 | AkamaiKona 5 | f | t | 1 | 501 | AmazonAWSWAF 6 | f | t | 2 | 440 | AWSSecurityHub 7 | f | t | 3 | 507 | AmazonAWSRoute53 2 | t | f | 1 | 106 | Threecom8800SeriesSwitch (7 rows)
結果デフォルトでは、ログ・ソース・タイプの「プロパティーの自動検出構成」は無効になっています。 したがって、ログ・ソース・タイプが表にリストされていない場合、「プロパティーの自動検出構成 - プロパティーの自動検出を有効にする」は無効に設定されます。active = t の場合、ログ・ソース・タイプに対してオプション「プロパティーの自動検出を有効にする」 が有効です。active = f の場合、ログ・ソース・タイプに対してオプション「プロパティーの自動検出を有効にする」 が無効です。optimized = t の場合、オプション「ルール、転送プロファイル、検索の索引付けでプロパティーを使用できるようにする」 が有効です。optimized = f の場合、オプション「ルール、転送プロファイル、検索の索引付けでプロパティーを使用できるようにする」 が無効です。テーブル 「 property_discovery_type 」 は、プロパティー検出フォーマットに関連します。
1 = JSON
2 = CEF
3 = LEEF
5 = NAME VALUE PAIR
6 = XML
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtSAAQ","label":"DSM Editor"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
30 May 2023
UID
ibm16997905