IBM Support

QRadar: API を使用してログ・ソース・タイプを一括変更する方法

How To


Summary

Log Source Management アプリでは、ユーザーがログ・ソースの種類を一括で変更することはできません。 この技術書では、QRadar API を使用してログ・ソースのログ・ソース・タイプを一括変更する方法について案内します。

Steps

以下の 3 つのステップで、ログ・ソースの種類を一括で変更します。

type_id の取得

type_id は、新しいログ・ソース・タイプの ログ・ソース・タイプ ID になります。

  1. QRadar コンソールに SSH で接続します。
  2. 次の PSQL コマンドを実行します。ただし、<log_source_type> は、変更するログ・ソース・タイプ名に置き換えます。: 
    psql -U qradar -c "select id,devicetypename from sensordevicetype;" | grep -i <log_source_type>
    この例では、Aruba ログ・ソース・タイプを使用します。: 
    psql -U qradar -c "select id,devicetypename from sensordevicetype;" | grep -i Aruba
  391 | ArubaClearPass
    id は 391 になります。

    結果
    このコマンドでは、管理者が編集したいログ・ソースのログ・ソース・タイプ ID( type_id )を返します。

ログ・ソース ID の取得

ログ・ソース ID は、編集対象のログ・ソースを識別するために使用されます。

  1. QRadar ユーザー・インターフェースに管理ユーザーとしてログインします。
  2. 「管理」セクションに移動します。
  3. 「 Log Source Management 」アプリを開くには、[データ・ソース]セクションまでスクロールし、[ログ・ソース]を選択します。
    image-20230428215250-1
  4. 編集するログ・ソースを検索し、ID をメモします。 ID は、ログ・ソース管理アプリの左側に表示される番号です。:
    image-20230428220023-1
    この例では、前のキャプチャに表示された 6 つのログ・ソースを使用します。これらは、EMC VMWare ログ・ソース・タイプを使用して作成されており、管理者は Aruba に変更する必要があります。

    結果
    管理者は、編集するログ・ソースのログ・ソース ID に注意を払い書き留めることになります。

type_id とログ・ソース ID を使用した変更の適用

管理者は、type_id とログ・ソース ID を使用して、Interactive API for Developers ( 開発者向けの対話式 API ) でログ・ソースの種類を変更することができます。

  1. QRadar ユーザー・インターフェースにログインします。
  2.  Interactive API for Developers (開発者向けの対話式 API) を開きます。
    image-20230428221034-1
  3. 左側のメニューから、[config][event_sources][log_source_management][log_sources] の順に選択します。:
    image-20230428223014-1
  4. [Parameters] セクションまで下にスクロールし、log_source_data パラメーターに、新しいログ・ソース・タイプのログ・ソース ID とログ・ソース・タイプ ID を JSON 形式で入力します。:
    image-20230428223724-1
    この例で使用される log_source_data のサンプルです。: 
    [
  {
     "type_id": 391,
    "id": 2590
}
,
{
        "type_id": 391,
    "id":2588}
,
{
        "type_id": 391,
    "id":2582}
,
{
        "type_id": 391,
    "id":2584}
,
{
        "type_id": 391,
    "id":2585}
,
{
        "type_id": 391,
    "id":2586}	
]
  5. Try It Out! をクリックし、レスポンスが 202 であることを確認します。もし 202 でない場合は、JSON 形式に問題があります。
    image-20230502092201-1
  6. Log Source Management アプリで、 ログ・ソースに新しいログ・ソース・タイプがあることを確認します。:
    image-20230428224936-1

    結果
    管理者は、QRadar API を使用して、複数のログ・ソースのログ・ソース・タイプを変更できます。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSV4BL","label":"IBM QRadar"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
24 May 2023

UID

ibm16991505

Page Feedback