Question & Answer
Question
Answer
管理者は、QRadar アプライアンスに組み込まれているいくつかのツールを使用して、QRadar が Syslog イベントを受信しているかどうかをトラブルシューティングすることができます。アプライアンス・インターフェイスがデータを受信していることを証明する一般的な手法は、tcpdumpと呼ばれるユーティリティーを使用することです。このユーティリティーでは、管理者が送信される Syslog データのインターフェース、ポート、送信元または送信先の IP アドレスを定義し、パケット・データを画面上に書き出すことで、QRadar がイベントを受信しているかどうかを判断できるようになります。
始める前に
トラブルシューティングの前に、イベントが QRadar に送信されている場合、Syslog イベントを送信しているイベント・ソースを確認し、IP アドレスを確認する必要があります。トラブルシューティングを行う必要があるのは、デバイスに設定されている Syslog の送信先です。tcpdump コマンドは、デバイスからイベントを受信しているアプライアンスで実行する必要があります。
注: デフォルトでは、QRadar アプライアンスは、TCP および UDP ポート 514 で Syslog イベントをリッスンするように構成されています。QRadar デバイスのファイアーウォールを触る必要はありません。
Tcpdump を使用したイベントのトラブルシューティング
次のコマンドを使用すると、管理者は、リモート・ソースからのイベントの完全な Syslog ヘッダーを確認できます。
- SSH を使用して、root として QRadar コンソールにログインします。
- オプション。 Syslog の宛先が別のアプライアンス (イベント・コレクター・アプライアンスなど) である場合は、イベント・コレクターに SSH で接続します。
- 次のいずれかのコマンドを入力します。:
- TCP Syslog の場合は、次のように入力します。:
tcpdump -s 0 -A host Device_Address and port 514 - UDP Syslog の場合は、次のように入力します。:
注: Device_Address は、IPv4 アドレスまたはホスト名である必要があります。tcpdump -s 0 -A host Device_Address and udp port 514
例えば:tcpdump -s 0 -A host x.x.x.x and port 514
- TCP Syslog の場合は、次のように入力します。:
結果
結果に応じて、手順 A または B に従ってください。
A: イベントが表示されない
コマンド・ラインにイベントが表示されない場合は、デバイスが Syslog イベントを送信していないか、ファイアーウォールが通信をブロックしている可能性があります。 問題を解決するには、次の手順を使用します。
- QRadar アプライアンスと Syslog イベントを送信するデバイスとの間の通信をファイアーウォールがブロックしていないかどうか、ファイアーウォール管理者または運用グループに確認してください。 通常、TCP ポートが開いているかどうかを確認する簡単な方法は、QRadar からデバイスに telnet することです。 これを行うには、QRadar コマンド行から次のコマンドを入力します。:
telnet QRadar Event Collector_IPAddress 514 - リモートデバイスの Syslog 設定を確認し、適切な QRadar アプライアンスにイベントを送信するよう設定されていることを確認します。
- リモート・アプライアンスが Linux または UNIX ベースの場合、管理者は次のコマンドを使用して、イベント・ソースが QRadar アプライアンスにデータを送信していることを確認できます。:
tcpdump dst QRadar_Appliance_IPAddressResult
問題が解決しない場合は、 IBM サポート にお問い合わせください。
B: コマンド・ラインにデバイスからのイベントが一覧表示される
tcpdump コマンドが完全な Syslog ヘッダーとイベント・ペイロードを含む結果を表示する場合は、次の手順を実行します。
- システム通知を確認します。システム通知は、QRadar がログ・ソースを自動的に検出できない場合に作成されます。管理者は、システム通知で表示されたホスト名または IP アドレスを確認し、QRadar がどのアドレスをログ・ソースのアドレスであると判断しているかを識別できます。通常は、ログ・ソースを手動で作成する必要があります。またシステム通知が示す内容に応じ、ログ・ソース識別子フィールドは、ホスト名または IP アドレスのいずれかで更新する必要があります。
- デバイスが QRadar での自動検出をサポートしているかどうかを確認します。 DSM 構成ガイドには、ログ・ソースの自動作成を許可するデバイス・サポート・モジュール ( DSM ) をリストした付録があります。 詳細については、QRadar カスタマー・フォーラムの DSM 構成ガイド: Documentation link list on the QRadar Customer Forum を参照してください。
- Syslog ヘッダーに予期しない IP アドレスが含まれているか、ログ・ソースが正しく構成されていない可能性があります。
- tcpdump の結果を確認するときは、Syslog ヘッダーのホスト名に注意してください。 Syslog ヘッダーにホスト名がない場合は、パケットの IP アドレスを記録してください。
- QRadar コンソールの 「管理」 タブから、「ログ・ ソース」 ウィンドウを開き、イベント・ペイロードからホスト名または IP アドレスを検索します。
結果
検索でデバイスの予想されるアドレスが見つからない場合は、ログ・ソースに予期しないアドレスが含まれている可能性があります。 イベント・ペイロードには、どのような値が送信元アドレスとして設定されているかが表示されます。このイベントは、イベント・ソースが複数のデバイスからのイベントを処理するとき、または予期しない値を Syslog ヘッダーに代入するときに発生する可能性があります。これはまれに特定のデバイスで発生することがあります。 例えば、デバイスが Syslog イベントを送信する前に、元のイベント IP を保持することができます。さらに詳しく知りたい方は次のドキュメントを参照してください。: How QRadar determines a hostname or IP from an event.
- 「ログ・アクティビティー」 タブで一意のペイロード値を検索します。 tcpdump からの生のペイロードを確認し、イベント・ソースに固有であると思われるキーワードを選択します。 次に、検索を実行して一意の値を探します。
- 「ログ・アクティビティー」 タブをクリックします。
- クイック・フィルター検索オプションを選択します。
注: 検索にクイック・フィルターを使用する方法の詳細については、次のドキュメントを参照してください。 Searching Your QRadar Data Efficiently: Part 1 - Quick Filters. - 検索バーに、ペイロードに表示される一意の値を入力します。
- 検索結果を確認します。
結果
検索は、イベント・ペイロードの一部であるクイック・フィルターに入力された値を特定します。 これらのイベントは別のログ・ソースとして表示される可能性があるため、管理者はこれらのイベントを確認できます。これは、自動検出での誤検知または拡張機能の問題を示しています。この場合、「管理」タブ > 「ログ・ソース」 > 「ログ・ソースの削除」で、正しく自動検出されなかったログ・ソースを削除することができます。ログ・ソースが正しく検出されない場合、コンソールが最新の DSM バージョンでインストールされていることを確認します。管理者は、 IBM Fix Central と RPM バージョンを比較し、ログ・ソースを再検出させることができます。
Related Information
Was this topic helpful?
Document Information
Modified date:
22 March 2023
UID
ibm16956493