PSOE#2(data-management)
SecOps で取り込んだログのタイムスタンプが UTC ではなくローカル時刻で記録されており、event timestamp と log timestamp に大きなズレが生じています。最適な恒久対策はどれですか。
正解:A
正解の根拠
ログソース側の変更が困難な場合、Custom parser 内で時刻フィールドに対し timezone を明示してパースすることが推奨される運用です。SecOps のパーサー DSL では convert.timestamp に timezone 指定が可能です。
| 対策 | 適用範囲 | 恒久性 |
|---|---|---|
| Custom parser 補正 | SecOps側で完結 | 高 |
| ログソース変更 | 全システム影響 | 困難な場合あり |
| Reference list | 静的リスト用途 | 不適 |
不正解の理由
- B: 理想ですがソース側の変更は組織横断の調整が必要で、即応性に欠けます。
- C: Reference list は文字列やCIDRの照合に使い、時刻補正の用途ではありません。
- D: Data table はキー/値のルックアップ用で、パーサーの時刻処理は担いません。
コメント