Übersicht über LEEF

Log Event Extended Format (LEEF) ist ein angepasstes Ereignisformat für IBM® Security QRadar®.

Diese Dokumentation kann von jedem Anbieter für die Generierung von LEEF-Ereignissen verwendet werden.

QRadar kann LEEF-Ereignisse integrieren, identifizieren und verarbeiten. Für LEEF-Ereignisse muss die Zeichencodierung UTF-8 verwendet werden.

Sie können Ereignisse in der LEEF-Ausgabe mithilfe der folgenden Protokolle an QRadar senden:

  • Syslog
  • Dateiimport mit dem Protokolldateiprotokoll
Wichtig: Bevor QRadar LEEF-Ereignisse verwenden kann, müssen Sie allgemeine LEEF-Konfigurationstasks ausführen. Weitere Informationen zum Konfigurieren des Protokolldateiprotokolls für die Erfassung von Universal LEEF-Ereignissen finden Sie im DSM Configuration Guide.

Die Methode, die Sie auswählen, um LEEF-Ereignisse bereitzustellen, bestimmt, ob die Ereignisse in QRadarautomatisch erkannt werden können. Wenn Ereignisse automatisch erkannt werden, verringert sich die Stufe der manuellen Konfiguration, die in QRadar erforderlich ist.

Wenn LEEF-Ereignisse empfangen werden, analysiert QRadar den Ereignisdatenverkehr, um die Einheit oder Appliance zu identifizieren. Dieser Prozess wird als Datenverkehrsanalyse bezeichnet. In der Regel werden mindestens 25 LEEF-Ereignisse benötigt, um eine neue Protokollquelle in QRadarzu ermitteln und erstellen. Bis zur Ermittlung der Ereignisquelle durch die Datenverkehrsanalyse werden die ersten 25 Ereignisse als Ereignisse des Typs SIM Generic Log DSM (Generisches SIM-Protokoll (DSM)) kategorisiert und erhalten den Ereignisnamen Unknown Log Event (Unbekanntes Protokollereignis). Nach der Identifizierung des Ereignisdatenverkehrs erstellt QRadar eine Protokollquelle, um alle Ereignisse, die von Ihrer Appliance oder Software weitergeleitet werden, ordnungsgemäß zu kategorisieren und zu kennzeichnen. Die von Ihrem Gerät gesendeten Ereignisse können in QRadar auf der Registerkarte Protokollaktivität angezeigt werden.

Wichtig: Wenn eine Protokollquelle nach 1.000 Ereignissen nicht identifiziert werden kann, erstellt QRadar eine Systembenachrichtigung und entfernt die Protokollquelle aus der Warteschlange für die Datenverkehrsanalyse. QRadar ist weiterhin in der Lage, die Ereignisse zu erfassen, aber ein Benutzer muss eingreifen und eine Protokollquelle manuell erstellen, um den Ereignistyp zu identifizieren.