Konfigurationsoptionen für das Alibaba-Protokoll Cloud Object Storage
Das Alibaba Cloud Object Storage -Protokoll für IBM QRadar ist ein aktives abgehendes Protokoll, das Protokolle erfasst, die in Objekten aus Alibaba Cloud Object Storage -Buckets enthalten sind.
- Erteilen Sie anderen Alibaba Cloud-Konten oder bestimmten Benutzern Berechtigungen, damit sie auf Ressourcen in einem Bucket zugreifen oder diese verwalten können. Weitere Informationen zu Benutzerzugriffsrollen und Berechtigungen finden Sie unter Bucket policy overview (https://www.alibabacloud.com/help/en/oss/user-guide/overview).
- Erstellen Sie Serviceberechtigungsnachweise. Weitere Informationen finden Sie unter Paar AccessKey anfordern (https://www.alibabacloud.com/help/en/beginner-guide/latest/obtain-an-accesskey-pair).
| Parameter | Beschreibung |
|---|---|
| Protokollkonfiguration | Alibaba Cloud Object Storage -Service |
| Log Source Identifier (Protokollquellenkennung) | Geben Sie einen eindeutigen Namen für die Protokollquelle ein. Die Protokollquellenkennung kann ein beliebiger gültiger Wert sein und muss nicht auf einen bestimmten Server verweisen. Es kann auch denselben Wert wie der Protokollquellennamehaben. Wenn Sie mehr als eine konfigurierte Alibaba Cloud Object Storage -Protokollquelle haben, stellen Sie sicher, dass Sie jedem einen eindeutigen Namen geben. |
| Zugriffsschlüssel-ID | Die Zugriffsschlüssel-ID wird generiert, wenn Sie die Serviceberechtigungsnachweise konfigurieren. |
| Geheimer Zugriffsschlüssel | Der geheime Zugriffsschlüssel wird generiert, wenn Sie die Serviceberechtigungsnachweise konfigurieren. |
| Endpunkt | Der öffentliche Endpunkt auf der Bucketkonfigurationsseite. Weitere Informationen finden Sie unter Regionen und Endpunkte (https://www.alibabacloud.com/help/en/oss/user-guide/regions-and-endpoints). |
| Bucketname | Der Name des Buckets, in dem Protokolle gespeichert werden. |
| Präfix | Der Präfixfilterwert zum Begrenzen der Erfassung von Objekten oder Dateischlüsseln, die mit dem Präfix beginnen. Um alle Dateien aus dem Bucket zu extrahieren, verwenden Sie einen Schrägstrich (/). Wichtig: Wenn Sie den Wert für Präfix ändern, wird die als persistent definierte Dateimarkierung gelöscht. Alle Dateien, die mit dem neuen Präfix übereinstimmen, werden bei der nächsten Pull-Operation heruntergeladen. Wenn der Dateipfad Präfix zur Angabe von Ordnern verwendet wird, darf der Dateipfad nicht mit einem Schrägstrich beginnen. Verwenden Sie beispielsweise stattdessen folder1/folder2 .
|
| Ereignisformat | Die folgenden Ereignisformate werden unterstützt:
|
| Als Gateway-protokollquelle Verwenden | Wählen Sie diese Option, damit die gesammelten Ereignisse durch die QRadar Verkehrsanalyse-Engine fließen und die QRadar automatisch eine oder mehrere Protokollquellen erkennt. Wenn Sie diese Option wählen, können Sie optional das Log Source Identifier Pattern verwenden, um einen benutzerdefinierten Log Source Identifier für die zu verarbeitenden Ereignisse zu definieren. |
| Protokollquellen-ID-Muster | Wenn Sie Als Gateway-Protokollquelle verwendenauswählen, können Sie eine angepasste Protokollquellen-ID definieren. Verwenden Sie diese Option für Ereignisse, die verarbeitet werden, und für Protokollquellen, die automatisch erkannt werden. Wenn Sie das Log Source Identifier Pattern nicht konfigurieren, empfängt QRadar Ereignisse als unbekannte generische Protokollquellen. Verwenden Sie Schlüssel/Wert-Paare zum Definieren der angepassten Protokollquellen-ID. Der Schlüssel ist die ID-Formatzeichenfolge, bei der es sich um den resultierenden Quellen-oder Ursprungswert handelt. Der Wert ist das zugehörige Muster für reguläre Ausdrücke, das zum Auswerten der aktuellen Nutzdaten verwendet wird. Dieser Wert unterstützt auch Erfassungsgruppen, die zur weiteren Anpassung des Schlüssels verwendet werden können. Definieren Sie mehrere Schlüssel/Wert-Paare, indem Sie jedes Muster in einer neuen Zeile eingeben. Mehrere Muster werden in der Reihenfolge ausgewertet, in der sie aufgelistet sind. Wenn eine Übereinstimmung gefunden wird, wird eine benutzerdefinierte Protokollquellen-ID angezeigt. Die folgenden Beispiele zeigen mehrere Schlüssel/Wert-Paarfunktionen: Muster VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT )\s(OK)
Ereignisse
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
Resultierende angepasste Protokollquellen-ID VPC-ACCEPT-OK
|
| Erweiterte Optionen einblenden | Um die erweiterten Optionen für die Ereigniserfassung zu konfigurieren, setzen Sie diese Option auf Ein. |
| Dateimuster | Geben Sie einen regulären Ausdruck für das Dateimuster ein, das den Dateien entspricht, die Sie extrahieren möchten, z. B. .*?\.json\.gz. Diese Option ist verfügbar, wenn Sie Erweiterte Optionen anzeigen auf Einsetzen. |
| Lokales Verzeichnis | Das lokale Verzeichnis auf dem Zielereigniskollektor. Das Verzeichnis muss vorhanden sein, bevor das Protokoll versucht, Ereignisse abzurufen. Diese Option ist verfügbar, wenn Sie Erweiterte Optionen anzeigen auf Einsetzen. |
| Proxy verwenden | Wenn QRadar über einen Proxy auf Alibaba Cloud Object Storage zugreift, aktivieren Sie Proxy verwenden. Wenn der Proxy eine Authentifizierung erfordert, konfigurieren Sie die Parameter Proxy-Server, Proxy-Port, Proxy-Benutzernameund Proxy-Kennwort . Wenn der Proxy keine Authentifizierung erfordert, lassen Sie die Felder Proxy-Benutzername und Proxy-Kennwort leer. |
| Wiederholung | Geben Sie ein Zeitintervall ein, um festzulegen, wie häufig das Protokoll neue Daten abfragt. Das Zeitintervall kann Werte in Stunden (H), Minuten (M) oder Tagen (D) enthalten. Beispiel: 2H = 2 Stunden, 15M = 15 Minuten, 30 = Sekunden. Der Mindestwert ist 1M. |
| EPS-Regulierung | Die maximale Anzahl von Ereignissen pro Sekunde, die QRadar einpflegt. Wenn Ihre Datenquelle die EPS-Regulierung überschreitet, wird die Datenerfassung verzögert. Die Daten werden weiterhin erfasst und dann aufgenommen, wenn die Datenquelle die EPS-Regulierung nicht mehr überschreitet. Der Standardwert ist 5000. |