Question & Answer
Question
カスタム・プロパティーがルール、ルーティング・ルール、レポート、および検索で表示されないのはなぜですか?
Cause
カスタム・プロパティーの作成時に、「ルール、転送プロファイル、検索の索引付けでプロパティーを使用できるようにする 」というオプションが選択されていません。
ルールの場合のみ: カスタム・プロパティーは、ルールのテスト対象となるレコード・タイプに対して定義する必要があります。イベント・ルールはカスタム・イベント・プロパティーのみを使用でき、フロー・ルールはカスタム・フロー・プロパティーのみを使用でき、共通ルールはカスタム・イベント・プロパティーとカスタム・フロー・プロパティーの両方として存在する正規化されたプロパティーのみを使用します。ルールが共通ルールとして構成されている場合、ユーザーが作成したカスタム・プロパティーは使用できません。
Answer
この問題を解決するには:
- QRadar UI に移動します。
- 「管理」タブ内「データ・ソース」の下の「カスタム・イベント・プロパティー」を開きます。
- 問題のあるカスタム・プロパティーを選択して編集します。
- 「カスタム・イベント・プロパティー」内の「プロパティーの定義」セクションで、「ルール、転送プロファイル、検索の索引付けでプロパティーを使用できるようにする 」のチェック・ボックスが選択されていることを確認します。
例
- 「保存」をクリックします。注:「変更のデプロイ」の必要はありません。
結果
カスタム・プロパティー・リストで、カスタム・プロパティーが表示されます。
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtrAAA","label":"Rules"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Historical Number
1585
Was this topic helpful?
Document Information
Modified date:
28 February 2024
UID
ibm17112461