Cisco IronPort -und Cisco ESA-Protokollquelle mithilfe des Protokolldateiprotokolls konfigurieren
Sie können eine Protokollquelle in QRadar Console konfigurieren, sodass Cisco IronPort und Cisco Email Security Appliance (ESA) über das Protokolldateiprotokoll mit QRadar kommunizieren können.
Vorgehensweise
| Parameter | Wert |
|---|---|
| Protokollquellentyp | Cisco IronPort |
| Protokollkonfiguration | Log File Protocol |
| Protokollquellenkennung | Die Protokollquellen-ID kann ein beliebiger gültiger Wert sein, einschließlich desselben Werts wie der Parameter Protokollquellenname , und muss keinen bestimmten Server referenzieren. |
| Servicetyp | Wählen Sie in der Liste das Protokoll aus, das Sie verwenden möchten, um Protokolldateien von einem fernen Server abzurufen. Der Standardwert ist SFTP. Das zugrunde liegende Protokoll, das zum Abrufen von Protokolldateien für den SCP-und SFTP-Servicetyp verwendet wird, erfordert, dass für den im Feld Ferne IP oder Hostname angegebenen Server das SFTP-Subsystem aktiviert ist. |
| Ferne IP oder Hostname | Geben Sie die IP-Adresse oder den Hostnamen der Einheit ein, die die Ereignisprotokolldateien enthält. |
| Ferner Port | Geben Sie den Port ein, der für die Kommunikation mit dem fernen Host verwendet wird. Der gültige Bereich liegt zwischen 1 und 65535. Folgende Optionen sind verfügbar:
|
| Ferner Benutzer | Geben Sie den Benutzernamen ein, der für die Anmeldung an dem Host erforderlich ist, der die Ereignisdateien enthält. |
| Fernes Kennwort | Geben Sie das für die Anmeldung am Host erforderliche Kennwort ein. |
| Bestätigungskennwort | Bestätigen Sie das Kennwort, das für die Anmeldung am Host erforderlich ist. |
| SSH-Schlüsseldatei | Wenn das System für die Schlüsselauthentifizierung konfiguriert ist, geben Sie den Pfad zum SSH-Schlüssel ein. Wenn eine SSH-Schlüsseldatei verwendet wird, wird das Feld Fernes Kennwort ignoriert. |
| Fernes Verzeichnis | Geben Sie die Verzeichnisposition auf dem fernen Host ein, von der die Dateien abgerufen werden sollen. Der Verzeichnispfad ist relativ zu dem Benutzerkonto, das für die Anmeldung verwendet wird. Hinweis:
Nur für FTP. Wenn sich die Protokolldateien im Ausgangsverzeichnis des fernen Benutzers befinden, können Sie das ferne Verzeichnis leer lassen. Ein leeres fernes Verzeichnisfeld unterstützt Systeme, auf denen eine Änderung des Arbeitsverzeichnisbefehls (CWD) eingeschränkt ist. |
| Rekursiv | Wählen Sie dieses Kontrollkästchen aus, damit das Dateimuster Unterordner durchsuchen kann. Standardmäßig ist das Kontrollkästchen nicht ausgewählt. Diese Option wird bei SCP-Dateiübertragungen ignoriert. |
| FTP-Dateimuster | Sie müssen einen regulären Ausdruck verwenden, der mit den generierten Protokolldateien übereinstimmt. Das von Ihnen angegebene FTP-Dateimuster muss mit dem Namen übereinstimmen, den Sie Ihren Ereignisdateien zugewiesen haben. Geben Sie beispielsweise den folgenden Befehl ein, um Dateien zu erfassen, die mit .log enden: Weitere Informationen finden Sie in der Oracle Java-Dokumentation (http://docs.oracle.com/javase/tutorial/essential/regex/). |
| Start Time | Geben Sie die Uhrzeit ein, zu der die Protokollquelle den Dateiimport starten soll. Dieser Parameter wird zusammen mit dem Wiederholungswert verwendet, um festzulegen, wann und wie oft das ferne Verzeichnis nach Dateien durchsucht wird. |
| Wiederholung | Geben Sie ein Zeitintervall ein, um festzulegen, wie häufig das ferne Verzeichnis nach neuen Ereignisprotokolldateien durchsucht wird. Der Mindestwert beträgt 15 Minuten. Das Zeitintervall kann Werte in Stunden (H), Minuten (M) oder Tagen (D) enthalten. Beispiel: Bei einer Wiederholung von 2H wird das ferne Verzeichnis alle 2 Stunden durchsucht. |
| Beim Speichern ausführen | Aktivieren Sie dieses Kontrollkästchen, um den Import der Protokolldatei unmittelbar nach dem Speichern der Protokollquelle durch den Administrator zu starten. Nach dem ersten Dateiimport folgt das Protokolldateiprotokoll dem vom Administrator definierten Zeitplan für die Startzeit und Wiederholung. Wenn dieses Kontrollkästchen ausgewählt ist, wird die Liste der zuvor heruntergeladenen und verarbeiteten Dateien gelöscht. |
| EPS-Regulierung | Die maximale Anzahl von Ereignissen pro Sekunde, die QRadar einpflegt. Wenn Ihre Datenquelle die EPS-Regulierung überschreitet, wird die Datenerfassung verzögert. Die Daten werden weiterhin erfasst und dann aufgenommen, wenn die Datenquelle die EPS-Regulierung nicht mehr überschreitet. Der gültige Bereich liegt zwischen 100 und 5000. |
| Prozessor | Wählen Sie in der Liste gzipaus. |
| Zuvor verarbeitete Datei (en) ignorieren | Wählen Sie dieses Kontrollkästchen aus, um Dateien zu verfolgen, die vom Protokolldateiprotokoll verarbeitet wurden. QRadar untersucht die Protokolldateien im fernen Verzeichnis, um festzustellen, ob eine Datei zuvor vom Protokolldateiprotokoll verarbeitet wurde. Wenn eine zuvor verarbeitete Datei erkannt wird, lädt das Protokolldateiprotokoll die Datei nicht zur Verarbeitung herunter. Alle Dateien, die noch nicht verarbeitet wurden, werden heruntergeladen. Diese Option gilt nur für FTP-und SFTP-Servicetypen. |
| Lokales Verzeichnis ändern? | Wählen Sie dieses Kontrollkästchen aus, um das lokale Verzeichnis auf dem QRadar Console zum Speichern heruntergeladener Dateien während der Verarbeitung zu definieren. Administratoren können dieses Kontrollkästchen abwählen, um weitere Konfigurationen anzuzeigen. Wenn dieses Markierungsfeld ausgewählt ist, wird das Feld Lokales Verzeichnis angezeigt, damit Sie das lokale Verzeichnis für die Speicherung von Dateien konfigurieren können. |
| Ereignisgenerator | W3C. Der Ereignisgenerator verwendet W3C zur Verarbeitung der Protokolldateien für Webinhaltsfilter. |
| Dateiverschlüsselung | Wählen Sie im Listenfeld die Zeichencodierung aus, die von den Ereignissen in Ihrer Protokolldatei verwendet wird. |
| Ordnertrennzeichen | Geben Sie das Zeichen ein, das zum Trennen von Ordnern für Ihr Betriebssystem verwendet wird. Der Standardwert ist/. Die meisten Konfigurationen können den Standardwert im Feld Ordnertrennzeichen verwenden. Dieses Feld ist für Betriebssysteme vorgesehen, die ein anderes Zeichen verwenden, um separate Ordner zu definieren. Beispiel: Zeiträume, in denen Ordner auf Mainframesystemen getrennt werden. |