ステップ 2. イベント一式の QRadar への送信
このステップでは、QRadar に 2 つのイベントセットを送信する必要があります。これにより、QRadarが自動的に 2 つの新しいログソース(検証用と Kaspersky CyberTrace Service からのイベント用)を追加します。
新しいログソースを追加するには:
- 検証テストのログファイルを送信します。
以下の「イベント一式の送信」サブセクションの説明に従って、ファイル
verification/kl_verification_test_leef.txtを QRadar に送信します。検証テストファイルを送信すると、QRadar に
KL_Verification_Toolログソースが含まれます。 - サンプルログファイルを送信します。
QRadar との連携のテストと最終調整のために、以下の「イベント一式の送信」サブセクションの説明に従って、サンプルログファイル
integration/qradar/sample_initiallog.txtを QRadar に送信します。サンプルログファイルを送信すると、QRadar に
KL_Feed_Service_v2ログソースが含まれます。QRadar のドキュメントによると、新しいログソースが追加された後は、最大で 25 イベントが未着になる可能性があります。そのため、ファイル sample_initiallog.txt を複数回送信することが必要な場合があります。そうすることで、複数のイベントが QRadar によって表示され、Kaspersky CyberTrace サービスによって処理されます。
イベント一式の送信
イベントを QRadar に送信するには:
- ログスキャナー設定情報ファイルの [
Connection]要素で、QRadar サーバーの IPv4 アドレスとポート(通常は514)を指定します。 - ログスキャナーディレクトリから次のコマンドを呼び出します:
Linux の場合:
./log_scanner -p <ログファイル> [-p <ログファイル 2> ...]Windows の場合:
log_scanner.exe -p <ログファイル> [-p <ログファイル 2> ...]<ログファイル>と<ログファイル 2>は、送信するログファイルです。代わりに、送信するログファイルを含むディレクトリを指定することもできます。 - QRadar Console(QRadar の Web インターフェイス)で、[Admin]→[Log Sources]の順に選択します。
新しい
Kaspersky CyberTraceログソースタイプがログソースリストに表示されます。 - 新しいログソースの設定フォームで、[Coalescing Events]をオフにして[Save]をクリックします。
![QRadar の[Edit a log source]ウィンドウ。](qradar_editing_log_source.png)
ログソースの編集
- 必要に応じて、QRadar Console で[Admin]→[Deploy Changes]メニューを選択して変更をデプロイします。
QRadar サーバーの 514 ポートでイベントを受信しない場合は、QRadar がインストールされているホストから次のコマンドを実行します。
QRadar コンソールのコマンドを実行し、5 分間待機します:
/opt/qradar/support/all_servers.sh -Ck 'if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi'
QRadar Community Edition のコマンドを実行し、5 分間待機します:
if [ -f /opt/qradar/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/ecs/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec-ingress/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ep/current/eventgnosis/license.txt ; fi ; if [ -f /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/ibm/si/services/ecs-ec/current/eventgnosis/license.txt ; fi ; if [ -f /usr/eventgnosis/ecs/license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /usr/eventgnosis/ecs/license.txt ; fi ; if [ -f /opt/qradar/conf/templates/ecs_license.txt ] ; then echo -n "QRadar:Q1 Labs Inc.:0007634bda1e2:WnT9X7BDFOgB1WaXwokODc:12/31/20" > /opt/qradar/conf/templates/ecs_license.txt ; fi