Konfigurationsoptionen für JDBC -Protokolle
QRadar verwendet das JDBC -Protokoll zum Erfassen von Informationen aus Tabellen oder Ansichten, die Ereignisdaten aus verschiedenen Datenbanktypen enthalten.
Das JDBC -Protokoll ist ein abgehendes/aktives Protokoll. QRadar enthält keinen MySQL -Treiber für JDBC. Wenn Sie ein DSM oder ein Protokoll verwenden, für das ein MySQL JDBC -Treiber erforderlich ist, müssen Sie den plattformunabhängigen MySQL Connector/J von http://dev.mysql.com/downloads/connector/j/herunterladen und installieren.
- Kopieren Sie die JAR-Datei (Java™ Archive) in /opt/qradar/jars und /opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/.
- Starten Sie den Tomcat-Service mit dem folgenden Befehl erneut:
systemctl restart tomcat - Starten Sie die Ereigniserfassungsservices mit dem folgenden Befehl erneut:
systemctl restart ecs-ec-ingress
| Parameter | Beschreibung |
|---|---|
| Protokollquellenname | Geben Sie einen eindeutigen Namen für die Protokollquelle ein. |
| Protokollquellenbeschreibung (optional) | Geben Sie eine Beschreibung für die Protokollquelle ein. |
| Protokollquellentyp | Wählen Sie in der Liste Protokollquellentyp Ihr Einheitenunterstützungsmodul (DSM) aus, das das JDBC -Protokoll verwendet. |
| Protokollkonfiguration | JDBC |
| Log Source Identifier (Protokollquellenkennung) | Geben Sie einen Namen für die Protokollquelle ein. Der Name darf keine Leerzeichen enthalten und muss unter allen Protokollquellen des Protokollquellentyps, der für die Verwendung des JDBC -Protokolls konfiguriert ist, eindeutig sein. Wenn die Protokollquelle Ereignisse von einer einzelnen Appliance erfasst, die eine statische IP-Adresse oder einen Hostnamen hat, verwenden Sie die IP-Adresse oder den Hostnamen der Appliance als Teil oder als Teil des Werts für Protokollquellen-ID , z. B. 192.168.1.1 oder JDBC192.168.1.1. Wenn die Protokollquelle keine Ereignisse von einer einzelnen Appliance erfasst, die eine statische IP-Adresse oder einen Hostnamen hat, können Sie einen beliebigen eindeutigen Namen als Wert für Protokollquellenkennung verwenden, z. B. JDBC1, JDBC2. |
| Datenbanktyp | Wählen Sie den Typ der Datenbank aus, die die Ereignisse enthält. |
| Datenbankname | Der Name der Datenbank, zu der Sie eine Verbindung herstellen möchten |
| Schema ( nur Snowflake ) | Dieser Parameter gibt entweder das Standardschema an, das für die angegebene Datenbanknachverbindung verwendet werden soll, oder eine leere Zeichenfolge. Das angegebene Schema muss ein vorhandenes Schema sein, für das die angegebene Standardrolle über Berechtigungen verfügt. |
| IP-Managementadresse oder Hostname | Die IP-Adresse oder der Hostname des Datenbankservers. |
| Lager (nur Snowflake ) | Dieser Parameter gibt das virtuelle Warehouse an, das nach der Verbindung verwendet werden soll, oder eine leere Zeichenfolge. Das angegebene Warehouse muss ein vorhandenes Warehouse sein, für das die angegebene Standardrolle über Berechtigungen verfügt. |
| Rolle (nur Snowflake ) | Dieser Parameter gibt die Standard-Zugriffskontrollrolle an, die in der vom Treiber initiierten Snowflake Sitzung verwendet werden soll. Die angegebene Rolle muss eine vorhandene Rolle sein, die dem angegebenen Benutzer für den Treiber bereits zugewiesen ist. Wenn die angegebene Rolle dem Benutzer nicht zugeordnet ist, wird sie während der Sitzungsinitialisierung vom Treiber nicht verwendet. |
| Port | Geben Sie den JDBC -Port ein. Der JDBC -Port muss mit dem Listener-Port übereinstimmen, der in der fernen Datenbank konfiguriert ist. Die Datenbank muss eingehende TCP-Verbindungen zulassen. Der gültige Bereich liegt zwischen 1 und 65535. Die Standardwerte sind:
Wenn Sie den Parameter Datenbankinstanz konfigurieren und über einen MSDE-Datenbanktyp verfügen, lassen Sie den Parameter Port leer. |
| Username | Ein Benutzerkonto für QRadar in der Datenbank. |
| Schlüsselpaar-Authentifizierung (nur Snowflake ) | Verwenden Sie die Schlüsselpaar-Authentifizierung für eine erweiterte Authentifizierung als Alternative zur Basisauthentifizierung, z. B. Benutzername und Kennwort. Wenn Sie diese Option aktivieren, wird das Passwortfeld ausgeblendet. Hinweis: Snowflake Server verwenden eine hochpräzise, mit Atomuhren synchronisierte Zeit, um sicherzustellen, dass sowohl QRadar als auch der Snowflake Server mit der gleichen Zeitzone und eng synchronisierten Zeitstempeln (~30) konfiguriert sind.
|
| Name der privaten Schlüsseldatei (nur Snowflake ) | Der Name der privaten Schlüsseldatei im Verzeichnis /opt/qradar/conf/trusted_certificates/jdbc/ unter QRadar. Um eine private Schlüsseldatei zu erzeugen, siehe JDBC für die Kommunikation mit QRadar konfigurieren. |
| Password | Das Kennwort, das für die Verbindung zur Datenbank erforderlich ist. |
| Bestätigungskennwort | Das Kennwort, das für die Verbindung zur Datenbank erforderlich ist. |
| Authentifizierungsdomäne (nur MSDE) | Wenn Sie Microsoft JDBCinaktivieren, wird der Parameter Authentifizierungsdomäne angezeigt. Die Domäne für MSDE, die eine Windows-Domäne ist. Wenn Ihr Netz keine Domäne verwendet, lassen Sie dieses Feld leer. |
| Datenbankinstanz (nur MSDE oder Informix ) | Die Datenbankinstanz, falls erforderlich MSDE-Datenbanken können mehrere SQL Server-Instanzen auf einem Server enthalten. Wenn Sie eine andere Portnummer als die Standardportnummer für die SQL-Datenbankauflösung verwenden, lassen Sie diesen Parameter leer. |
| Vordefinierte Abfrage (Optional) | Wählen Sie eine vordefinierte Datenbankabfrage für die Protokollquelle aus. Wenn für den Protokollquellentyp keine vordefinierte Abfrage verfügbar ist, können Sie die Option Keine auswählen. Wenn das Konfigurationshandbuch für einen bestimmten Integrationsstatus eine vordefinierte Abfrage verwenden soll, wählen Sie es in der Liste aus. Wählen Sie andernfalls Keine aus und füllen Sie die übrigen erforderlichen Werte aus. |
| Tabellenname | Der Name der Tabelle oder Ansicht, die die Ereignisdatensätze enthält. Der Tabellenname kann die folgenden Sonderzeichen enthalten: Dollarzeichen ($), Nummernzeichen (#), Unterstreichungszeichen (_), Gedankenstrich (-) und Punkt (.). |
| Auswahlliste | Die Liste der einzuschließenden Felder, wenn die Tabelle nach Ereignissen abgefragt wird. Sie können eine durch Kommas getrennte Liste verwenden oder einen Stern (*) eingeben, um alle Felder aus der Tabelle oder Sicht auszuwählen. Wenn Sie eine durch Kommas getrennte Liste definiert haben, muss die Liste das Feld enthalten, das im Parameter Vergleichsfeld definiert ist. |
| Feld vergleichen | Ein numerisches Wert-oder Zeitmarkenfeld aus der Tabelle oder Sicht, das neue Ereignisse angibt, die der Tabelle zwischen Abfragen hinzugefügt werden. Wenn Sie diesen Parameterwert festlegen, ermittelt das Protokoll Ereignisse, die zuvor vom Protokoll extrahiert wurden, um sicherzustellen, dass keine doppelten Ereignisse erstellt werden. |
| Verwenden Sie vorbereitete Anweisungen | Vorbereitete Anweisungen ermöglichen es der JDBC -Protokollquelle, die SQL-Anweisung einzurichten und anschließend die SQL-Anweisung mehrmals mit unterschiedlichen Parametern auszuführen. Aus Sicherheits-und Leistungsgründen können die meisten JDBC -Protokollkonfigurationen vorbereitete Anweisungen verwenden. |
| Startdatum und -zeit (optional) | Wählen Sie das Startdatum und die Startzeit für die Datenbankabfrage aus oder geben Sie diese ein. Das Format ist jjjj-mm-tt HH:mm, wobei HH im 24-Stunden-Format angegeben wird. Wenn dieser Parameter leer ist, beginnt die Abfrage sofort und wird im angegebenen Abfrageintervall wiederholt. Dieser Parameter wird verwendet, um den Zeitpunkt (Datum und Uhrzeit) festzulegen, zu dem das Protokoll eine Verbindung zur Zieldatenbank herstellt, um die Ereigniserfassung zu initialisieren. Sie kann zusammen mit dem Parameter Abfrageintervall verwendet werden, um bestimmte Zeitpläne für die Datenbankabfragen zu konfigurieren. Verwenden Sie diese Parameter beispielsweise, um sicherzustellen, dass die Abfrage fünf Minuten nach der vollen Stunde oder jede Stunde erfolgt, oder um sicherzustellen, dass die Abfrage jeden Tag genau um 1:00 Uhr erfolgt. Dieser Parameter kann zum Abrufen älterer Tabellenzeilen aus der Zieldatenbank nicht verwendet werden. Wenn Sie den Parameter beispielsweise auf Letzte Wochesetzen, ruft das Protokoll nicht alle Tabellenzeilen aus der vorherigen Woche ab. Das Protokoll ruft Zeilen ab, die neuer als der Maximalwert des Vergleichsfelds bei der einleitenden Verbindung sind. |
| Sendeaufrufintervall | Geben Sie die Zeit zwischen Abfragen für die Ereignistabelle ein. Um ein längeres Abfrageintervall zu definieren, hängen Sie H für Stunden oder M für Minuten an den numerischen Wert an. Das maximale Abfrageintervall beträgt eine Woche. |
| EPS-Regulierung | Die maximale Anzahl von Ereignissen pro Sekunde, die QRadar einpflegt. Wenn Ihre Datenquelle die EPS-Regulierung überschreitet, wird die Datenerfassung verzögert. Die Daten werden weiterhin erfasst und dann aufgenommen, wenn die Datenquelle die EPS-Regulierung nicht mehr überschreitet. Der gültige Bereich liegt zwischen 100 und 20.000. |
| Sicherheitsmechanismus (nurDb2 ) | Wählen Sie in der Liste den Sicherheitsmechanismus aus, der von Ihrem Db2 Server unterstützt wird. Wenn Sie keinen Sicherheitsmechanismus auswählen wollen, wählen Sie Keineaus. Der Standardwert ist None. Weitere Informationen über Sicherheitsmechanismen, die von Db2 Umgebungen unterstützt werden, finden Sie auf der Support-Website IBM® ( https://www.ibm.com/support/knowledgecenter/en/SSEPGG_11.1.0/com.ibm.db2.luw.apdv.java.doc/src/tpc/imjcc_cjvjcsec.html ) |
| Kommunikation über benannte Pipe verwenden (nur MSDE) | Wenn Sie Microsoft JDBCinaktivieren, wird der Parameter Kommunikation über benannte Pipes verwenden angezeigt. Für MSDE-Datenbanken ist das Feld für den Benutzernamen und das Kennwort erforderlich, um einen Benutzernamen und ein Kennwort für die Windows-Authentifizierung und nicht den Datenbankbenutzernamen und das Kennwort zu verwenden. Die Protokollquellenkonfiguration muss die benannte Standardpipe in der MSDE-Datenbank verwenden. |
| Datenbankclustername | Wenn Sie SQL Server in einer Clusterumgebung ausführen, definieren Sie den Clusternamen, um sicherzustellen, dass die Kommunikation über benannte Pipes ordnungsgemäß funktioniert. Dieser Parameter ist erforderlich, wenn Sie Kommunikation über benannte Pipes verwenden aktivieren und die Option für den MSDE-Datenbanktyp auswählen. |
| NTLMv2verwenden (nur MSDE) | Wenn Sie Microsoft JDBCinaktivieren, wird der Parameter NTLMv2 angezeigt. Wählen Sie diese Option aus, wenn MSDE-Verbindungen bei der Kommunikation mit SQL-Servern, die eine NTLMv2 -Authentifizierung erfordern, das Protokoll NTLMv2 verwenden sollen. Diese Option unterbricht nicht die Kommunikation für MSDE-Verbindungen, für die keine NTLMv2 -Authentifizierung erforderlich ist. Die Kommunikation für MSDE-Verbindungen, die keine NTLMv2 -Authentifizierung erfordern, wird nicht unterbrochen. |
| Microsoft JDBC (nur MSDE) | Wenn Sie den Microsoft JDBC -Treiber verwenden wollen, müssen Sie Microsoft JDBCaktivieren. Dieser Parameter ist standardmäßig aktiviert. |
| SSL verwenden (nur MSDE) | Aktivieren Sie diese Option, wenn Ihre MSDE-Verbindung SSL unterstützt. |
| Hostname des SSL-Zertifikats | Dieses Feld ist erforderlich, wenn sowohl Microsoft JDBC als auch SSL verwenden aktiviert sind. Dieser Wert muss der vollständig qualifizierte Domänenname (FQDN) für den Host sein. Die IP-Adresse ist nicht zulässig. Weitere Informationen zu SSL-Zertifikaten und JDBCfinden Sie in den Prozeduren unter den folgenden Links:
|
| Nicht vertrauenswürdige Zertifikate zulassen (nur MSDE) | Aktivieren Sie diese Option, wenn der Endpunkt ein Zertifikat verwendet, das nicht mit Hilfe der Zertifikatskette überprüft werden kann. Dazu gehört ein selbstsigniertes Zertifikat oder eines von einer privaten Zertifizierungsstelle, das Sie nicht in Ihre vertrauenswürdige Zertifizierungsstelle importieren möchten. Verwenden Sie diese Option nicht für Endpunkte mit einem Zertifikat, das von einer öffentlichen Zertifizierungsstelle ( SaaS Products, Public Cloud Infrastructure usw.) ausgestellt wurde, bei der das Zertifikat aus dem Standardspeicher oder dem vertrauenswürdigen Systemspeicher validiert wird. Wenn Sie diese Option verwenden, muss das Zertifikat als PEM- oder DER-kodierte Binärdatei heruntergeladen und unter /opt/qradar/conf/trusted_certificates/ mit der Erweiterung .cert oder .crt abgelegt werden. Hinweis: Um diesen Parameter verfügbar zu machen, wählen Sie Datenbanktyp als MSDE > Microsoft JDBC verwenden (umschalten) > SSL verwenden (umschalten).
Diese Option ist für NTLMv2 nicht verfügbar, da sie diejtdstreiber, der keine benutzerdefinierte TrustManager Implementierung unterstützt. |
| Oracle -Verschlüsselung verwenden(nurOracle ) | Einstellungen fürOracle Encryption and Data Integrity werden auch als Oracle Advanced Securitybezeichnet. Wenn diese Option ausgewählt ist, muss der Server für Oracle JDBC -Verbindungen ähnliche Oracle -Datenverschlüsselungseinstellungen wie der Client unterstützen. |
| Ländereinstellung der Datenbank (nurInformix ) | Geben Sie bei mehrsprachigen Installationen die Sprache an, die für den Installationsprozess verwendet werden soll (oder Software?). Nachdem Sie eine Sprache ausgewählt haben, können Sie den Zeichensatz auswählen, der in der Installation im Parameter Codesatz verwendet wird. |
| Code-Set (nurInformix ) | Der Parameter Code-Set wird angezeigt, wenn Sie eine Sprache für mehrsprachige Installationen auswählen. In diesem Feld können Sie den zu verwendenden Zeichensatz angeben. |
| Aktiviert | Wählen Sie dieses Kontrollkästchen aus, um die Protokollquelle zu aktivieren. Das Kontrollkästchen ist standardmäßig nicht ausgewählt. |
| Zuverlässigkeit | Wählen Sie in der Liste die Zuverlässigkeit der Protokollquelle aus. Der Bereich ist 0 - 10. Die Zuverlässigkeit gibt die Integrität eines Ereignisses oder Angriffs an, so wie durch die Zuverlässigkeitsbewertung von den Quelleneinheiten bestimmt. Die Zuverlässigkeit erhöht sich, wenn mehrere Quellen dasselbe Ereignis melden. Der Standardwert ist 5. |
| Target Event Collector (Zielereigniskollektor) | Wählen Sie den Zielereigniskollektor aus, der als Ziel für die Protokollquelle verwendet werden soll. |
| Verbindungsereignisse | Wählen Sie das Kontrollkästchen Verbindungsereignisse aus, um die Protokollquelle für Verbindungsereignisse (Bundle) zu aktivieren. Standardmäßig übernehmen automatisch erkannte Protokollquellen den Wert der Liste Verbindungsereignisse aus den Systemeinstellungen in QRadar. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren. |
| Ereignisnutzlast speichern | Wählen Sie das Kontrollkästchen Ereignisnutzdaten speichern aus, damit die Protokollquelle Ereignisnutzdaten speichern kann. Standardmäßig übernehmen automatisch erkannte Protokollquellen den Wert der Liste Ereignisnutzdaten speichern aus den Systemeinstellungen in QRadar. Wenn Sie eine Protokollquelle erstellen oder eine vorhandene Konfiguration bearbeiten, können Sie den Standardwert überschreiben, indem Sie diese Option für jede Protokollquelle konfigurieren. |
| Erweiterte Optionen aktivieren | Wählen Sie dieses Kontrollkästchen aus, um erweiterte Optionen zu aktivieren. Ist diese Option inaktiviert, wird der Standardwert verwendet. |
| Verwenden mit (keine Sperre) in SQL-Anweisungen | Aktivieren Sie diese Option, um die Tabellen in allen SQL-Anweisungen mit "WITH (NOLOCK)" anzuhängen. |
| Datenbankinstanz (nur MSDE oder Informix ) | Ein Datenbankinstanzparameter, falls erforderlich, für QRadar. MSDE-Datenbanken können mehrere SQL Server-Instanzen auf einem Server enthalten. Wenn Sie eine andere Portnummer als die Standardportnummer für die SQL-Datenbankauflösung verwenden, lassen Sie diesen Parameter leer. Hinweis: Der Parameter Datenbankinstanz ist für MSDE-Datenbanken obligatorisch, wenn eine IPv6 -Adresse verwendet wird.
|