IBM Support

WinCollect: MS Windows セキュリティー・イベント・ログ・ソースを手動で作成すると、2 番目のログ・ソースが自動検出されることがある

Troubleshooting


Problem

この問題は、ログ・ソースを作成せずに新しい WinCollect エージェントをインストールした場合に発生する場合があります。Microsoft ® Windows ® セキュリティー・イベント・ログ・ソースが手動で作成されてデプロイされた場合、Windows サーバーからのイベントが、新しく手動で作成されたログ・ソースに関連付けられていない可能性があります。

Symptom

MS Windows セキュリティー・イベント・ログ・ソースを手動で作成し、そのログ・ソースをデプロイした場合、このログ・ソースに関連付けられているイベントが表示されないことがあります。
調査すると、イベントは自動検出されたログ・ソースに送信され、同じログ・ソース ID を持つ 2 つの MS Windows セキュリティー・イベント・ログ・ソースが存在することが分かります。

Cause

QRadar デプロイメントのデプロイメント・シーケンスが WinCollect エージェントにおける新しい構成の適用よりも時間がかかる場合、手動で作成されたログ・ソースがイベントを受信する準備ができる前に、エージェントがイベントの送信を開始する可能性があります。この「競合状態」により、2 番目のログ・ソースが自動検出されることがあります。

Diagnosing The Problem

  1. QRadar GUI にログインします。
  2. 構文解析順序の表示を調べます:「管理」>「ログ・ソースの構文解析順序」
  3. ログ・ソース・ホストから、手動で作成した MS Security Event Log ログ・ソースのログ・ソース ID ( LSI ) を選択します。同じ LSI を持つ 2 つのログ・ソースが表示されます。

Resolving The Problem

問題を解決するには少なくとも 2 つの方法があり、今後の要件に応じて最初の方法または両方を実行できます。
A. 自動検出されたログ・ソースの無効化または削除
  1. 「管理」>「ログ・ソース」から LSM アプリケーションを開きます。
  2. オプション: 左側のパネルで、フィルター「Microsoft Windows Security Event Log」を有効にします。
  3. オプション: WinCollect エージェント ( 管理対象の場合 ) またはターゲット・イベント・コレクターのフィルターを有効にして、ログ・ソースを見つけやすくします。
  4. 手動で作成した MS セキュリティー・イベント・ログ・ソースを検索します。同じ LSI を持つ 2 つのログ・ソースが再び表示されます。
  5. 自動検出されたログ・ソースを無効にすると、そのログ・ソースにイベントが関連付けられなくなります。ログ・ソースを削除しても同じですが、既に重要なイベントをログ・ソースに受信している場合は、削除すると、それらのイベントの検索がより困難になります。ログ・ソースを無効にして、イベントの保存期間が切れた後に削除することを検討してください。
B. MS Windows セキュリティー・イベント・ログ DSM 用に DSM エディターで自動検出しきい値を調整
  1. QRadar GUI にログインします。
  2. DSM エディターを開きます。
  3. Microsoft Windows Security Event Log DSM を選択します。
  4. 「構成」タブをクリックします。
  5. 「ログ・ソースの自動検出構成」の下の「詳細オプションの表示」をクリックします。
  6. 「自動検出の最小成功イベント数」を適切な値に増やします。 この変更は、今後統合するすべての新規 Windows ホストに影響することに注意してください。

結果: Windows イベントは、手動で作成されたログ・ソースに関連付けられます。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtwAAA","label":"WinCollect"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
29 January 2024

UID

ibm17107261

Page Feedback