Opciones de configuración del protocolo Alibaba Cloud Object Storage
El protocolo Alibaba Cloud Object Storage para IBM QRadar es un protocolo de salida activo que recopila registros que están contenidos en objetos de grupos de Alibaba Cloud Object Storage .
- Otorgue permisos a otra cuenta de Alibaba Cloud o a usuarios específicos, para que puedan acceder o gestionar recursos en un grupo. Para obtener más información sobre los roles y permisos de acceso de usuario, consulte Visión general de la política de grupo (https://www.alibabacloud.com/help/en/oss/user-guide/overview).
- Cree credenciales de servicio. Para obtener más información, consulte Obtener un par AccessKey (https://www.alibabacloud.com/help/en/beginner-guide/latest/obtain-an-accesskey-pair).
| Parámetro | Descripción |
|---|---|
| Configuración de protocolo | Servicio Alibaba Cloud Object Storage |
| Identificador de origen de registro | Escriba un nombre exclusivo para el origen de registro. El Identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. También puede ser el mismo valor que el Nombre de origen de registro. Si tiene más de un origen de registro Alibaba Cloud Object Storage configurado, asegúrese de que asigna a cada uno un nombre exclusivo. |
| ID de clave de acceso | El ID de clave de acceso se genera al configurar las credenciales de servicio. |
| Clave de acceso secreta | La clave de acceso secreta se genera al configurar las credenciales de servicio. |
| Punto final | El punto final público en la página de configuración del grupo. Para obtener más información, consulte Regiones y puntos finales (https://www.alibabacloud.com/help/en/oss/user-guide/regions-and-endpoints). |
| Nombre de grupo | El nombre del grupo en el que se almacenan los registros. |
| Prefijo | El valor de filtro de prefijo para limitar la recopilación de objetos o claves de archivo que empiezan por el prefijo. Para extraer todos los archivos del grupo, utilice una barra inclinada (/). Importante: al cambiar el valor de Prefijo se borra el marcador de archivo persistente. Todos los archivos que coinciden con el nuevo prefijo se descargan en la siguiente extracción. Si se utiliza la vía de acceso de archivo Prefijo para especificar carpetas, no debe empezar la vía de acceso de archivo con una barra inclinada. Por ejemplo, utilice folder1/folder2 en su lugar.
|
| Formato de suceso | Se da soporte a los siguientes formatos de suceso:
|
| Utilizar como origen de registro de pasarela | Seleccione esta opción para que los eventos recopilados fluyan a través del motor de análisis de tráfico QRadar y para que QRadar detecte automáticamente una o varias fuentes de registro. Al seleccionar esta opción, puede utilizar opcionalmente el Patrón de identificador de origen de registro para definir un Identificador de origen de registro personalizado para los eventos que se están procesando. |
| Patrón de identificador de origen de registro | Si selecciona Utilizar como origen de registro de pasarela, puede definir un identificador de origen de registro personalizado. Utilice esta opción para los sucesos que se están procesando y para los orígenes de registro que se descubren automáticamente. Si no configura el Patrón identificador de fuente de registro, QRadar recibe eventos como fuentes de registro genéricas desconocidas. Utilice pares de clave-valor para definir el identificador de origen de registro personalizado. La clave es la serie de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón de expresión regular asociado que se utiliza para evaluar la carga útil actual. Este valor también da soporte a grupos de captura que se pueden utilizar para personalizar más la clave. Defina varios pares de clave-valor escribiendo cada patrón en una línea nueva. Se evalúan varios patrones en el orden en que se listan. Cuando se encuentra una coincidencia, se visualiza un identificador de origen de registro personalizado. Los ejemplos siguientes muestran varias funciones de par de clave-valor: Patrones VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT )\s(OK)
Sucesos
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
Identificador de origen de registro personalizado resultante VPC-ACCEPT-OK
|
| Mostrar opciones avanzadas | Para configurar las opciones avanzadas para la recopilación de sucesos, establezca esta opción en Activado. |
| File Pattern | Escriba una expresión regular para el patrón de archivo que coincida con los archivos que desea extraer, como por ejemplo .*?\.json\.gz. Esta opción está disponible cuando se establece Mostrar opciones avanzadas en Activado. |
| Directorio local | El directorio local en el recopilador de sucesos de destino. El directorio debe existir antes de que el protocolo intente recuperar sucesos. Esta opción está disponible cuando se establece Mostrar opciones avanzadas en Activado. |
| Utilizar proxy | Si QRadar accede a Alibaba Cloud Object Storage utilizando un proxy, habilite Utilizar proxy. Si el proxy requiere autenticación, configure los parámetros Servidor proxy, Puerto proxy, Nombre de usuario proxyy Contraseña de proxy . Si el proxy no requiere autenticación, deje en blanco los campos Nombre de usuario de proxy y Contraseña de proxy . |
| Recurrencia | Escriba un intervalo de tiempo para determinar la frecuencia con la que el protocolo sondea los datos nuevos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H = 2 horas, 15M = 15 minutos, 30 = segundos. El valor mínimo es 1M. |
| Regulador de EPS | El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El valor predeterminado es de 5000. |