OpenStack

El IBM QRadar DSM para OpenStack recopila registros de sucesos del dispositivo OpenStack .

La tabla siguiente identifica las especificaciones para el DSM OpenStack :

Tabla 1. OpenStack OpenStack
Especificación	Valor
Fabricante	OpenStack
Nombre de DSM	OpenStack
Nombre de archivo RPM	DSM-OpenStackCeilometer-`QRadar_version-build_number`.noarch.rpm
Versiones soportadas	V2015.1
Protocolo	Receptor de HTTP
Tipos de sucesos registrados	Suceso de auditoría
¿Descubierto automáticamente?	Nee
¿Incluye identidad?	Nee
¿Incluye propiedades personalizadas?	Nee
Más información	Sitio web deOpenStack (http://www.openstack.org/)

Para enviar sucesos desde OpenStack a QRadar, realice los pasos siguientes:

Si las actualizaciones automáticas no están activadas, descargue e instale la versión más reciente de los siguientes RPM desde el IBM® en su QRadar Console:
- PROTOCOLO-RPM HTTPReceiver
- OpenStack RPM de DSM

Añada un origen de registro OpenStack en la consola de QRadar . La tabla siguiente describe los parámetros necesarios para recopilar sucesos de OpenStack :

Tabla 2. OpenStack
Parámetro	Valor
Tipo de origen de registro	OpenStack
Identificador de origen de registro	La dirección IP del servidor OpenStack y no el nombre de host.
Configuración de protocolo	Receptor HTTP
Tipo de comunicación	HTTP
Puerto de escucha	El número de puerto que OpenStack utiliza para comunicarse con QRadar. Importante: No utilice el puerto 514. El puerto 514 lo utiliza el escucha de Syslog estándar.
Patrón de mensaje	`^\{"typeURI`

Configure el dispositivo OpenStack para comunicarse con QRadar.

La tabla siguiente proporciona un mensaje de suceso de ejemplo para el DSM OpenStack :

Importante: Debido a problemas de formato, pegue el formato de mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o salto de línea.

Nombre de suceso Categoría de bajo nivel Mensaje de registro de ejemplo

Lista los detalles de todos los servidores

Actividad de lectura intentada

Tabla 3. Mensaje de ejemplo OpenStack soportado por el dispositivo OpenStack
Nombre de suceso	Categoría de bajo nivel	Mensaje de registro de ejemplo
Lista los detalles de todos los servidores	Actividad de lectura intentada	{"typeURI": "http://schemas.dmtf.org/cloud/audit/1.0/event", "eventTime": "2014-12-09T00:18:52.063878+0000", "target": {"typeURI": "service/compute/servers/detail", "id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "nova", "addresses": [{"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "admin"}, {"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "private"}, {"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "public"}]}, "observer": {"id": "target"}, "tags": ["correlation_id?value=openstack:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"], "eventType": "activity", "initiator": {"typeURI": "service/security/account/user", "name": "admin", "credential": {"token": "xxxx xxxxxxxx xxxx", "identity_status": "Confirmed"}, "host": {"agent": "python-novaclient", "address": "<IP_address>"}, "project_id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"}, "action": "read/list", "outcome": "pending", "id": "openstack:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",

 {"typeURI": "http://schemas.dmtf.org/cloud/audit/1.0/event", "eventTime": "2014-12-09T00:18:52.063878+0000", "target": {"typeURI": "service/compute/servers/detail", "id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "nova", "addresses": [{"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "admin"}, {"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "private"}, {"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "public"}]}, "observer": {"id": "target"}, "tags": ["correlation_id?value=openstack:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"], "eventType": "activity", "initiator": {"typeURI": "service/security/account/user", "name": "admin", "credential": {"token": "xxxx xxxxxxxx xxxx", "identity_status": "Confirmed"}, "host": {"agent": "python-novaclient", "address": "<IP_address>"}, "project_id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"}, "action": "read/list", "outcome": "pending", "id": "openstack:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",