Parámetros de origen de registro de la API REST de Amazon AWS S3 para Amazon AWS Route 53 cuando se utiliza una cola SQS
Parámetro | Valor |
---|---|
Log Source type | Amazon AWS Ruta 53 |
Protocol Configuration | API REST de Amazon AWS S3 |
Log Source Identifier | Escriba un nombre exclusivo para el origen de registro. El Identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. El Identificador de origen de registro puede ser el mismo valor que el Nombre de origen de registro. Si tiene más de un origen de registro de Amazon AWS Route 53 configurado, es posible que desee identificar el primer origen de registro como awsroute53-1, el segundo origen de registro como awsroute53-2y el tercer origen de registro como awsroute53-3. |
Authentication Method |
|
Access Key ID | Si ha seleccionado ID de clave de acceso/clave secreta para el Método de autenticación, se visualiza el parámetro ID de clave de acceso . El ID de clave de acceso que se ha generado al configurar las credenciales de seguridad para la cuenta de usuario de AWS . Este valor también es el ID de clave de acceso que se utiliza para acceder al grupo AWS S3 . |
Secret Key ID | Si ha seleccionado ID de clave de acceso/clave secreta para el Método de autenticación, se muestra el parámetro ID de clave secreta . La clave secreta que se ha generado al configurar las credenciales de seguridad para la cuenta de usuario de AWS . Este valor también es el ID de clave de Decret que se utiliza para acceder al grupo AWS S3 . |
Event Format | Seleccione LINEBYLINE. El origen de registro recopila sucesos con formato JSON. |
S3 Collection Method | Seleccione SQS Event Notifications. |
SQS Queue URL | Introduzca la URL completa, empezando por https://, de la cola SQS configurada para recibir notificaciones de eventos ObjectCreate de S3. |
Region Name | La región en la que se encuentra la cola SQS o el grupo S3 . Ejemplo: us-east-1, eu-west-1, ap-northeast-3 |
Use as a Gateway Log Source | Seleccione esta opción para que los sucesos recopilados fluyan a través del motor de análisis de tráfico de QRadar y para que QRadar detecte automáticamente uno o varios orígenes de registro. |
Log Source Identifier Pattern | Esta opción está disponible cuando Utilizar como origen de registro de pasarela está establecido en sí. Utilice esta opción si desea definir un identificador de origen de registro personalizado para los sucesos que se están procesando. Este campo acepta pares de clave-valor para definir el identificador de origen de registro personalizado, donde la clave es la serie de formato de identificador y el valor es el patrón de expresión regular asociado. Puede definir varios pares de clave-valor especificando un patrón en una línea nueva. Cuando se utilizan varios patrones, se evalúan en orden hasta que se encuentra una coincidencia y se puede devolver un identificador de origen de registro personalizado. |
Show Advanced Options | Seleccione esta opción si desea personalizar los datos de suceso. |
File Pattern | Esta opción está disponible cuando se establece Mostrar opciones avanzadas en Sí. Escriba una expresión regular para el patrón de archivo que coincida con los archivos que desea extraer; por ejemplo, .*?\.json\.gz |
Local Directory | Esta opción está disponible cuando se establece Mostrar opciones avanzadas en Sí. El directorio local en el recopilador de sucesos de destino. El directorio debe existir antes de que la API REST PROTOCOL de AWS S3 intente recuperar sucesos. |
S3 Endpoint URL | Esta opción está disponible cuando se establece Mostrar opciones avanzadas en Sí. La URL del punto de enlace que se utiliza para consultar la API REST AWS. Si la URL de su punto final es diferente de la predeterminada, escriba la URL su punto final. El valor predeterminado es http:/s3.amazonaws.com |
Use S3 Path-Style Access | Fuerza a las solicitudes S3 a utilizar el acceso de estilo de vía de acceso. Este método está en desuso por AWS. Sin embargo, es posible que sea necesario cuando utilice otras API compatibles con S3 . Por ejemplo, https://s3.region.amazonaws.com/bucket-name/key- name path-style se utiliza automáticamente cuando un nombre de grupo contiene un punto (.). Por lo tanto, esta opción no es necesaria, pero se puede utilizar. |
Use Proxy | Si QRadar accede al servicio web de Amazon utilizando un proxy, habilite Utilizar proxy. Si el proxy requiere autenticación, configure los campos Servidor proxy, Puerto proxy, Nombre de usuario proxyy Contraseña de proxy . Si el proxy no requiere autenticación, configure el campo IP de proxy o nombre de host . |
Recurrence | Frecuencia con la que se realiza un sondeo para buscar nuevos datos. Cuando se utiliza el método de recopilación de sucesos SQS, Notificaciones de sucesos SQS puede tener un valor mínimo de 10 (segundos). Debido a que el sondeo de cola SQS puede producirse con más frecuencia, se puede utilizar un valor inferior. Escriba un intervalo de tiempo para determinar la frecuencia con la que se realiza el sondeo para los datos nuevos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H = 2 horas, 15M = 15 minutos, 30 = segundos. |
EPS Throttle | El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El valor predeterminado es de 5000. |
Para obtener más información sobre el protocolo de la API REST AWS S3 de Amazon, consulte Amazon AWS S3 Opciones de configuración del protocolo de la API REST.