Protokollquellen-ID-Muster

Verwenden Sie das Muster für die Protokollquellen-ID, um die ID anzupassen, die mit Nutzdaten gesendet wird, wenn ein Ereignis übergeben wird. Sie können Kennungen für Ihre Ereignisformate und Ereignistypen auswählen.

Wichtig:

Um die vollständige Funktionalität des Protokollquellen-ID-Musters nutzen zu können, benötigen Sie grundlegende Kenntnisse über reguläre Ausdrücke (reguläre Ausdrücke) und deren Verwendung.

Das Protokollquellen-ID-Muster akzeptiert eine Liste von Schlüssel/Wert-Paaren. Ein Schlüssel ist eine Kennung, die als regulärer Ausdruck dargestellt wird. Der Wert ist ein regulärer Ausdruck, der mit Ereignisdaten übereinstimmt. Wenn der reguläre Ausdruck mit den Daten im Ereignis übereinstimmt, wird das Ereignis mit der Kennung veröffentlicht, die diesem Wert zugeordnet ist.

Grundlegendes Beispiel

Key1 = value1

Key2 = value2

Key3 = value3

Wenn in diesem Beispiel ein Ereignis den Wert “value1”enthält, lautet die ID dieses Ereignisses key1. Wenn ein Ereignis den Wert “value2”enthält, ist die ID Key2. Wenn ein Ereignis sowohl “value1” als auch “value2”enthält, wird die erste Kennung, Key1, abgeglichen.

In diesem Beispiel müssen Sie manuell drei Syslog-Protokollquellen erstellen, eine für jede der ID-Optionen.

Beispiel für einen regulären Ausdruck

Key1 = value1

Key2 = \d\d\d (wobei \d\d\d ein regulärer Ausdruck ist, der mit drei aufeinanderfolgenden Ziffern übereinstimmt.)

\1 = \d(\d) (wobei \d(\d) ein regulärer Ausdruck ist, der zwei aufeinanderfolgenden Ziffern entspricht und die zweite Ziffer erfasst. \1 verweist auf den ersten erfassten Wert im Wertfeld.

In diesem Beispiel gelten die folgenden Aussagen:
  • \d steht für eine "Ziffer".
  • Wenn ein Ereignis den Wert “value1”enthält, lautet die ID dieses Ereignisses Key1.
  • Wenn ein Ereignis "111" oder "652" oder drei aufeinanderfolgende Ziffern enthält, lautet die Kennung Key2.
  • Wenn ein Ereignis zwei aufeinanderfolgende Ziffern wie "11 '," 73 "und" 24 " enthält, ist die Kennung \1. Der reguläre Ausdruck speichert den zweiten Wert (in den Beispielen "1", "3" und "4") zur späteren Verwendung mit den Klammern. Der vom regulären Ausdruck gespeicherte Wert wird später als Kennung verwendet. Wenn Sie den Schlüssel auf "\1" setzen, entspricht der Schlüssel dem ersten gespeicherten Wert im regulären Ausdruck. In diesem Fall ist die ID kein fest codierter Wert, sondern kann zehn Werte (0-9) sein. Die Beispielereignisse enthalten drei Kennungen ("1", "3" und "4").

Sie müssen eine Protokollquelle mit den IDs Key1 und Key2sowie eine Protokollquelle für jeden möglichen Key1 -Wert erstellen. In diesem Beispiel müssen Sie drei Syslog-Protokollquellen erstellen, um die Ereignisse an die richtige Protokollquelle zu senden. Für die Protokollquellen ist die Kennung auf "1", die Kennung auf "3" und die Kennung auf "4" gesetzt. Um alle möglichen IDs zu erfassen, benötigen Sie zehn Syslog-Protokollquellen. Jede Protokollquelle entspricht einer einzelnen Ziffer.

Tipps für die Verwendung des Protokollquellen-ID-Musters

Es ist wichtig zu wissen, welche Art von Daten Sie empfangen und wie differenziert Sie Ihre Protokollquellen benötigen. Jede QRadar -Umgebung ist eindeutig. Die folgenden Tipps können Ihnen bei der Konfiguration des Protokollquellen-ID-Musters helfen.

Trennen Sie die Daten an der Quelle

Die meisten Gateway-unterstützten Services wie Microsoft Azure Event Hubs und Google Pub Sub bieten Möglichkeiten, die Daten an der Quelle zu trennen. Halten Sie Ihre Daten in separaten Quellen, um die Komplexität auf der QRadar -Seite zu reduzieren. Wenn Sie beispielsweise Windows-Protokolle, Linux® -Protokolle und Prüfprotokolle erfassen möchten, verwenden Sie drei separate Gateway-Protokollquellen, um die Konfiguration zu vereinfachen. Wenn Sie alle diese Protokolle in einer Quelle erfassen, muss QRadar die Ereignisse identifizieren und der richtigen Protokollquelle zuordnen.

Codieren Sie den regulären Ausdruck fest, wenn möglich

Wenn Sie den Schlüssel fest codieren, werden alle Ereignisse, die dem regulären Ausdruck des Werts entsprechen, von einer einzigen Protokollquelle erfasst. Diese Aktion erfordert weniger Aufwand zum Erstellen und Verwalten von Protokollquellen und sie sind einfacher zu überwachen.

Online-Regex-Tester verwenden

Bevor Sie Ihre Protokollquelle speichern und aktivieren, verwenden Sie Online-Tools, um den regulären Ausdruck zu testen.

Verwenden Sie den Event Retriever, um die ID zu bestimmen

Verwenden Sie Event Retriever, um die zugeordnete Protokollquellen-ID in QRadaranzuzeigen. Sie können es auch verwenden, um zu testen, ob Ihr regulärer Ausdruck und Ihre ID ordnungsgemäß übereinstimmen.