技術サポートなしでQRadarの解析問題を解決する方法

すべてのQRadar製品は、バージョン7.2.8以前と最新バージョンの2つのグループに分かれます。
7.2.8以降のQRadarバージョンでは、すべての解析変更はWEBコンソールから行われます。
解析の問題を修正するには、次の手順を行います。

• 解析の問題があるイベントを取得できるように、QRadarのログアクティビティページで検索を作成します。

• CTRLもしくはSHIFTを使用して、解析の変更が必要なイベントを選択します。メニューのアクション – DSMエディタへ進みます。

• 解析変更を希望するプロパティを見つけるか選択します。プロパティ構成でシステム動作のオーバーライドを選択します。Regexフィールドには、必要なフィールドを記述する正規表現を書く必要があります。すべて正しく行うと、ログ内で黄色でハイライトされたテキストが表示されます。以下の例をご覧ください。

• 保存をクリックします。解析エラーのためログをチェックします。エラーがある場合は、再度手続きを繰り返します。

QRadarの以前のバージョンでは、この手順は少し異なります。

• *.LSXファイルを作成する必要があります。
  ファイルには構造があります。フィールドプロパティを正規表現とマップする必要があります。
  完全なファイル構造は以下の通りです。

• 『パターンID』フィールドには、ログのフィールドを説明する正規表現を『DATA』の位置に追加する必要があります。
• 作成が完了したら、QRadarコンソールにパーサーを追加する必要があります。管理タブ – ログソース拡張機能に進みます。

• 以下のスクリーンショットのようにパーサーを追加します。

• 管理 – ログソースページに進みます。パーサーを追加する必要があるログソースを編集します。

• 保存をクリックします。解析エラーのためログをチェックします。エラーがある場合は、再度手続きを繰り返します。

プラットフォームへ移動 脅威報奨金に参加