すべてのQRadar製品は、バージョン7.2.8以前と最新バージョンの2つのグループに分かれます。
7.2.8以降のQRadarバージョンでは、すべての解析変更はWEBコンソールから行われます。
解析の問題を修正するには、次の手順を行います。
- 解析の問題があるイベントを取得できるように、QRadarのログアクティビティページで検索を作成します。
- CTRLもしくはSHIFTを使用して、解析の変更が必要なイベントを選択します。メニューのアクション – DSMエディタへ進みます。
- 解析変更を希望するプロパティを見つけるか選択します。プロパティ構成でシステム動作のオーバーライドを選択します。Regexフィールドには、必要なフィールドを記述する正規表現を書く必要があります。すべて正しく行うと、ログ内で黄色でハイライトされたテキストが表示されます。以下の例をご覧ください。
- 保存をクリックします。解析エラーのためログをチェックします。エラーがある場合は、再度手続きを繰り返します。
QRadarの以前のバージョンでは、この手順は少し異なります。
- *.LSXファイルを作成する必要があります。
ファイルには構造があります。フィールドプロパティを正規表現とマップする必要があります。
完全なファイル構造は以下の通りです。
- 『パターンID』フィールドには、ログのフィールドを説明する正規表現を『DATA』の位置に追加する必要があります。
- 作成が完了したら、QRadarコンソールにパーサーを追加する必要があります。管理タブ – ログソース拡張機能に進みます。
- 以下のスクリーンショットのようにパーサーを追加します。
- 管理 – ログソースページに進みます。パーサーを追加する必要があるログソースを編集します。
- 保存をクリックします。解析エラーのためログをチェックします。エラーがある場合は、再度手続きを繰り返します。
