このステップでは、QRadar が 2 つの新しいログソース(検証用と Kaspersky CyberTrace サービスから受信したイベント用)を自動的に追加できるよう、2 セットのイベントを QRadar に送信する必要があります。
新しいログソースを追加するには:
以下の「イベント一式の送信」サブセクションの説明に従って、ファイル verification/kl_verification_test_leef.txt
を QRadar に送信します。
検証テストファイルを送信すると、QRadar に KL_Verification_Tool
ログソースが含まれます。
QRadar との連携のテストと最終調整のために、以下の「イベント一式の送信」サブセクションの説明に従って、サンプルログファイル integration/qradar/sample_initiallog.txt
を QRadar に送信します。
サンプルログファイルを送信すると、QRadar に KL_Feed_Service_v2
ログソースが含まれます。
QRadar のドキュメントによると、新しいログソースが追加された後は、最大で 25 イベントが未着になる可能性があります。そのため、sample_initiallog.txt を複数回送信することが必要な場合があります。そうすることで、複数のイベントが QRadar によって表示され、Kaspersky CyberTrace サービスによって処理されます。
イベント一式の送信
イベントを QRadar に送信するには:
Connection
]要素で、QRadar サーバーの IPv4 アドレスとポート(通常は 514
)を指定します。Linux の場合:
./log_scanner -p <ログファイル> [-p <ログファイル 2> ...]
Windows の場合:
log_scanner.exe -p <ログファイル> [-p <ログファイル 2> ...]
<ログファイル>
と <ログファイル 2>
は、送信するログファイルです。代わりに、送信するログファイルを含むディレクトリを指定することもできます。
新しい Kaspersky CyberTrace
ログソースタイプがログソースリストに表示されます。
ログソースの編集