Opciones de configuración del protocolo IBM Cloud Object Storage

El protocolo IBM Cloud Object Storage para IBM QRadar es un protocolo saliente o activo que recopila registros que están contenidos en objetos de IBM Cloud Object Storage buckets.

Importante: Antes de configurar el protocolo IBM Cloud Object Storage , configure los roles de acceso de usuario y las credenciales de servicio para acceder a los grupos de IBM Cloud Object Storage .

Debe tener el rol Lector, Escritor o Gestor para acceder a los grupos. Para obtener más información sobre los roles y permisos de acceso de usuario, consulte Permisos de grupo (https://cloud.ibm.com/docs/cloud-object-storage?topic=cloud-object-storage-iam-bucket-permissions).

Debe crear credenciales de servicio que incluyan credenciales de código de autenticación de mensaje basado en hash (HMAC). Para obtener más información sobre las credenciales de servicio, consulte Utilización de credenciales HMAC (https://cloud.ibm.com/docs/cloud-object-storage?topic=cloud-object-storage-uhc-hmac-credentials-main).

Tabla 1. IBM Parámetros de origen de registro común del protocolo Cloud Object Storage
Parámetro	Descripción
Configuración de protocolo	IBM Cloud Object Storage
Identificador de origen de registro	Escriba un nombre exclusivo para el origen de registro. El identificador de origen de registro no necesita hacer referencia a un servidor específico y puede ser el mismo valor que el Nombre de origen de registro.
ID de clave de acceso HMAC	El ID de clave de acceso que se ha generado al configurar las credenciales de servicio.
Clave de acceso secreta HMAC	La clave de acceso secreta que se ha generado al configurar las credenciales de servicio.
Punto final	El punto final público que se indica en la página de configuración del grupo.
Nombre de bucket	El nombre del grupo en el que se almacenan los registros.
Prefijo	El valor de filtro de prefijo para limitar la recopilación de objetos o claves de archivo que empiezan por el prefijo. Para extraer todos los archivos del grupo, utilice una barra inclinada (/). Importante: al cambiar el valor de Prefijo se borra el marcador de archivo persistente. Todos los archivos que coinciden con el nuevo prefijo se descargan en la siguiente extracción. Si se utiliza la vía de acceso de archivo Prefijo para especificar carpetas, no debe empezar la vía de acceso de archivo con una barra inclinada. Por ejemplo, utilice folder1/folder2 en su lugar.
Formato de suceso	Se da soporte a los siguientes formatos de suceso: LINEBILINA Archivos de registro sin formato que contienen un registro por línea. Puede utilizar archivos .gz, .gzipo .zip para la compresión. W3C Archivos que contienen datos de formato W3C genéricos para generar sucesos de par nombre-valor-salida (sólo archivos.gz ).
Utilizar como origen de registro de pasarela	Si no desea definir un identificador de origen de registro personalizado para sucesos, desmarque el recuadro de selección. Si no selecciona Utilizar como origen de registro de pasarela y no configura el Patrón de identificador de origen de registro, QRadar recibe sucesos como orígenes de registro genéricos desconocidos.
Patrón de identificador de origen de registro	Si selecciona Utilizar como origen de registro de pasarela, puede definir un identificador de origen de registro personalizado. Utilice esta opción para los sucesos que se están procesando y para los orígenes de registro que se descubren automáticamente. Si no configura el Patrón de identificador de origen de registro, QRadar recibe sucesos como orígenes de registro genéricos desconocidos. Utilice pares de clave-valor para definir el identificador de origen de registro personalizado. La clave es la serie de formato de identificador, que es el valor de origen o origen resultante. El valor es el patrón de expresión regular asociado que se utiliza para evaluar la carga útil actual. Este valor también da soporte a grupos de captura que se pueden utilizar para personalizar más la clave. Defina varios pares de clave-valor escribiendo cada patrón en una línea nueva. Se evalúan varios patrones en el orden en que se listan. Cuando se encuentra una coincidencia, se visualiza un identificador de origen de registro personalizado. Los ejemplos siguientes muestran varias funciones de par de clave-valor: `Patterns VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK) Events {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0} Resulting custom log source identifier VPC-ACCEPT-OK`
Mostrar opciones avanzadas	Para configurar las opciones avanzadas para la recopilación de sucesos, establezca esta opción en Activado.
File Pattern	Escriba una expresión regular para el patrón de archivo que coincida con los archivos que desea extraer; por ejemplo, `.*?\.json\.gz`. Esta opción está disponible cuando se establece Mostrar opciones avanzadas en Activado.
Directorio local	El directorio local en el recopilador de sucesos de destino. El directorio debe existir antes de que el protocolo intente recuperar sucesos. Esta opción está disponible cuando se activa Mostrar opciones avanzadas .
Utilizar proxy	Si QRadar accede a IBM Cloud Object Storage utilizando un proxy, habilite Utilizar proxy. Si el proxy requiere autenticación, configure los parámetros Servidor proxy, Puerto proxy, Nombre de usuario proxyy Contraseña de proxy . Si el proxy no requiere autenticación, deje en blanco los campos Nombre de usuario de proxy y Contraseña de proxy .
Recurrencia	Escriba un intervalo de tiempo para determinar la frecuencia con la que el protocolo sondea los datos nuevos. El intervalo de tiempo puede incluir valores en horas (H), minutos (M) o días (D). Por ejemplo, 2H = 2 horas, 15M = 15 minutos, 30 = segundos. El valor mínimo es 60 (segundos) o 1M.
Regulador de EPS	El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El valor predeterminado es de 5000.