QRadar LogSourceName LogSourceId bulma

QRadar’da arama/search yapacağımız zaman logKaynağı belirterek tüm sistem yerine ilgili log kaynağının logarını çekeriz. Bu sistemin, kuralların, search’lerin ve raporların faydasına olacaktır. Aynı şekilde AQL sorgu yazacağımız zamanda logKaynağını belirtmeye çalışırız. Ama AQL’de bunu yapmak, arayüzden “Add Filter” butonu ile seçerek eklemekten biraz daha zahmetli oluyor. Ariel DB’de direkt logKaynaklarının isimlerini barındıran bir kolon yok. LogKaynakları ID olarak tutuluyor, ve LOGSOURCENAME isimli fonksiyon ile bu ID’yi kullanarak ismini öğrenebiliyoruz.

Bu noktada ilgili fonksiyonu kullanarak logKanağının ismiyle(1.sorgu) veya ID-İsim eşleşmesini gösterecek bir sorgudan faydalanarak(2.sorgu) logKaynağı ID’sini öğrenerek sorgularımızı oluşturabiliriz. Örnek olarak kısaca aşağıdaki sorguları kullanabiliriz(Uzun vadede ID ile gitmek daha sağlam gibi duruyor);

  • SELECT * FROM events WHERE LOGSOURCENAME(logsourceid) ILIKE ‘%brightmail%’ LAST 2 HOURS
  • SELECT FIRST(logsourceid) AS ID, LOGSOURCENAME(logsourceid) AS LogSource_Name FROM events GROUP BY logsourceid LAST 2 HOURS

 

Bir cevap yazın