この記事ではBroker VMのFiles and Folders Collectorを使用して、

JSON形式のログをCortex XDRに送信する方法を紹介します。

Rawデータとして取り込む方法はこちらの記事で紹介しております。

JSON形式ログを取り込む

以下のようなJSON形式のデータを例として考えてみます。

ログ1行が{}で括られており、list, time, date, textというキーがあります。ログは1行ずつ改行され記録されています。

{"list": "9E677341-C475-9169-517B-3DD6158DE2C0","time": "3:16:22","date": "Jul 13, 2023","text": "habitant morbi tristique senectus et netus"}

{"list": "FDC8FC54-70B9-D6BA-ABDD-BE25900BBEEE","time": "19:38:43","date": "Apr 1, 2024","text": "nec mauris blandit mattis. Cras"}

{"list": "149DC47E-713D-88B2-B265-5B346DD29D2C","time": "20:43:02","date": "Jan 27, 2024","text": "dictum."}

{"list": "5D1856E5-719D-B0E8-2DE4-996276B459A5","time": "22:35:43","date": "Apr 6, 2024","text": "Donec feugiat metus sit amet ante."}

{"list": "5A62C312-033C-D883-7DCD-1A68C3240CA8","time": "19:36:08","date": "Oct 29, 2023","text": "nibh. Donec est mauris, rhoncus id,"}

{"list": "FC871676-EAC9-62F5-753E-FBD89D8C26DE","time": "15:57:18","date": "Apr 21, 2023","text": "hendrerit neque. In ornare sagittis felis. Donec tempor,"}

{"list": "94DB9CDA-5445-33D9-FD7A-7B19E9718846","time": "21:55:35","date": "Apr 15, 2024","text": "sodales purus, in molestie tortor"}

{"list": "32A8FF9D-5765-0816-4A72-D6D622ED11E0","time": "11:49:30","date": "May 2, 2023","text": "lacus. Cras interdum. Nunc sollicitudin commodo ipsum. Suspendisse"}

{"list": "1B1CD5AF-90BD-EA76-B138-47DA5F9CCC8C","time": "0:24:46","date": "May 6, 2023","text": "at lacus."}

対象とするファイルは.jsonで終わるファイル名を対象とし、Vendor, Productを以下のように設定しておきます。

これによりDataset「PANWCTXJP_JSONSAMPLE_raw」にデータが格納されます。

Previewで確認すると、以下のように1行ずつ取り込まれる可能性があることがわかります。

Datasetとログを確認する

dataset managementにpanwctxjp_jsonsample_rawというデータセットが作成されたことがわかります。

XQLで検索すると、ログの中のキーが自動的にパースされていることがわかります。

Tech Doc

共有ディレクトリからのデータ取り込みについての説明はこちら

broker VMのfiles and folders collectorの設定はこちら