ステップ 2:イベント一式の QRadar への送信
2024年4月11日
ID 167590
このステップでは、QRadar が 2 つの新しいログソース(検証用と Kaspersky CyberTrace サービスから受信したイベント用)を自動的に追加できるよう、2 セットのイベントを QRadar に送信する必要があります。
新しいログソースを追加するには:
- 検証テストのログファイルを送信します。
以下の「イベント一式の送信」サブセクションの説明に従って、ファイル
verification/kl_verification_test_leef.txt
を QRadar に送信します。検証テストファイルを送信すると、QRadar に
KL_Verification_Tool
ログソースが含まれます。 - サンプルログファイルを送信します。
QRadar との連携のテストと最終調整のために、以下の「イベント一式の送信」サブセクションの説明に従って、サンプルログファイル
integration/qradar/sample_initiallog.txt
を QRadar に送信します。サンプルログファイルを送信すると、QRadar に
KL_Feed_Service_v2
ログソースが含まれます。QRadar のドキュメントによると、新しいログソースが追加された後は、最大で 25 イベントが未着になる可能性があります。そのため、sample_initiallog.txt を複数回送信することが必要な場合があります。そうすることで、複数のイベントが QRadar によって表示され、Kaspersky CyberTrace サービスによって処理されます。
イベント一式の送信
イベントを QRadar に送信するには:
- ログスキャナー設定情報ファイルの [
Connection
]要素で、QRadar サーバーの IPv4 アドレスとポート(通常は514
)を指定します。 - ログスキャナーディレクトリから以下のコマンドを呼び出します。
Linux の場合:
./log_scanner -p <ログファイル> [-p <ログファイル 2> ...]
Windows の場合:
log_scanner.exe -p <ログファイル> [-p <ログファイル 2> ...]
<ログファイル>
と<ログファイル 2>
は、送信するログファイルです。代わりに、送信するログファイルを含むディレクトリを指定することもできます。 - QRadar Console(QRadar の Web インターフェイス)で、[Admin]→[Log Sources]の順に選択します。
新しい
Kaspersky CyberTrace
ログソースタイプがログソースリストに表示されます。 - 新しいログソースの設定フォームで、[Coalescing Events]をオフにして[Save]をクリックします。
ログソースの編集
- 必要に応じて、QRadar Console で[Admin]→[Deploy Changes]メニューを選択して変更をデプロイします。