QRadar がファイル sample_initiallog.txt のイベントを受信すると、[Log Activity]ページでこれらのイベントは標準の「KL_*」値ではなく、「unknown」、「Unknown Kaspersky Threat Feed Service Event」、またはその他の説明的な名前で表示されることがあります(例:「KL_Threat_Feed_Service」または「CyberCrime_Tracker_Block_Url」)。これにより、無関係のイベントが重複することがあります、
「unknown」イベントのログ
様々なデバイスから受信した多すぎる数のイベントが[Log Activity]ページに表示されている場合は、イベントフィルターを追加できます。このイベントフィルタで、KL_Threat_Feed_Service_v2
と KL_Verification_Tool
をログソースとして設定します(フィルタで使用する演算子は Equals any of
にする必要があります)。
イベントを正しく識別するために、QID とイベントの間にマッピングを設定します:
KL_Threat_Feed_Service_v2
」があるいずれかのイベントをダブルクリックします。イベントのフローを停止
イベントの情報が表示されます。イベント名は[Payload information]にあります。
イベントの情報の閲覧
1 つの結果が[Matching QIDs]表に表示されます。
QID とイベント名の間への対応付けの追加
「unknown」イベントのないログ