Troubleshooting
Problem
「ログ・アクティビティー」タブのイベントは、カスタム DSM で正常に構文解析を行いますが、「 イベント名 」列に「 Event 0 」そして「 下位カテゴリー 」列に「 Category 0 」を表示します。この事象の原因は何でしょうか ?
Symptom
「ログ・アクティビティー」タブのイベントは、カスタム DSM で正常に構文解析を行いますが、ユーザー・インターフェースで複数の列に「 Event 0 」と「 Category 0 」を表示します。
Cause
カスタム DSM を作成する管理者は DSM エディターで構成エラーがある場合、ユーザー・インターフェース内に生成した Event 0 や Low Level Category 0 をフィールドに表示する場合があります。カスタム DSM は、イベント・ペイロード内のテキストと一致する正規表現をプロパティーに関連付ける必要があります。正規表現 ( regex ) がフィールド・タイプと一致しない場合、DSM はイベントを {フィールド名} 0 として構文解析します。この事象の一般的な例として、管理者が IPv6 アドレスを IPv4 フィールドに構文解析しようとする場合が挙げられます。
管理者は、次の DSM エディターのフィールドで IPv6 の正規表現を使用する必要があります:
管理者は、次の DSM エディターのフィールドで IPv6 の正規表現を使用する必要があります:
- アイデンティティー IPv6
- IPv6 宛先
- IPv6 送信元
図 1: プロパティー内の各フィールドには、テキスト、数値、ポート、日付、IP アドレスなどの値が割り当てられます。
ログ・ソース・タイプでこの動作を再現するには:
- 「IPv6 宛先」などの IPv6 フィールドを構成します。
- 「 システム動作のオーバーライド 」のチェック・ボックスにチェックを入れます。
- 「 式 」フィールドに、ペイロードをキャプチャーできる一般的な正規表現を追加します。宛先 IP と次の文字(今回の場合はコンマ)の間の値をキャプチャーする表現が明らかに IPv6 アドレスとマッチングしない場合は、構文解析の事象が発生する可能性があります。
図 2: DSM エディターの IPv6 固有のプロパティーに IPv4 アドレスを抽出できる表現は、構文解析の事象が発生する可能性があります。 - 変更内容を保存します。
- イベントがカスタム・ログ・ソース・タイプで構文解析されるのを待ちます。
結果ユーザー・インターフェースは Event 0 および Low Level Category 0 を表示します。ユーザーがログを確認するとパーサーが例外を生成し、構文解析プロセスが回避することを示します。パーサーはデータの形式を理解できず、正しいイベント名、重大度、重み、および下位カテゴリーを取得するためのイベントを QRadar ID ( QID ) にマップできません。DSM エディターでの構成事象により、ユーザー・インターフェースが Event 0 または Category 0 に置換する原因となります。
Resolving The Problem
- 管理者として QRadar® にログインします。
- 「 管理 」タブをクリックします。
- DSM エディターを開き、カスタム・ログ・ソース・タイプを編集します。
- 以下の IPv6 フィールドの正規表現を確認してください:
- アイデンティティー IPv6
- IPv6 宛先
- IPv6 送信元
- 正規表現がジェネリックまたは IPv4 アドレスをキャプチャーできる場合は、以下いずれかのオプションを選択します:
- 「 システム動作のオーバーライド 」チェック・ボックスのチェックを外します。オーバーライドをクリアにすると、フィールドでの構文解析はデフォルト構成に戻り、イベントを許可して正常に構文解析する可能性があります。
- IPv6 アドレス形式に一致させるため、「 式 」フィールドを編集します。
結果
フィールド抽出を無効にする、または正規表現に修正後、「 ログ・アクティビティー」タブにイベントが正しくマップされます。
- 「 システム動作のオーバーライド 」チェック・ボックスのチェックを外します。オーバーライドをクリアにすると、フィールドでの構文解析はデフォルト構成に戻り、イベントを許可して正常に構文解析する可能性があります。
Related Information
Document Location
Worldwide
[{"Type":"SW","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
09 August 2021
UID
ibm16462243