Opciones de configuración del protocolo PCAP Syslog Combination
Para recopilar sucesos de Juniper SRX Series Services Gateway o Juniper Junos OS Platform que reenvían datos de captura de paquetes (PCAP), configure un origen de registro para utilizar el protocolo PCAP Syslog Combine.
El protocolo PCAP Syslog Combinación es un protocolo de entrada/pasivo.
QRadar da soporte a la recepción de datos PCAP solo desde Juniper SRX Series Services Gateway o Juniper Junos OS Platform para cada recopilador de sucesos.
| Parámetro | Descripción |
|---|---|
| Nombre de origen de registro | Escriba un nombre exclusivo del origen de registro. |
| Descripción del origen de registro | Opcional. Escriba una descripción para el origen de registro. |
| Tipo de origen de registro | En la lista, puede seleccionar Juniper SRX Series Services Gateway o Juniper Junos OS Platform. |
| Configuración de protocolo | En la lista, seleccione Combinación de syslog de PCAP. |
| Identificador de origen de registro | Escriba una dirección IP, nombre de host o nombre para identificar el dispositivo Juniper SRX Series Services Gateway o Juniper Junos OS Platform . El identificador de origen de registro debe ser exclusivo para el tipo de origen de registro. |
| Puerto de PCAP entrante | Si el puerto PCAP saliente se edita en el dispositivo Juniper SRX Series Services Gateway o Juniper Junos OS Platform , debe editar el origen de registro para actualizar el puerto PCAP entrante. Para editar el número de puerto PCAP entrante, realice los pasos siguientes:
La actualización del puerto se ha completado y la recopilación de sucesos se inicia en el nuevo número de puerto. |
| Habilitada | Marque este recuadro de selección para habilitar el origen de registro. Cuando este recuadro de selección no está marcado, el origen de registro no recopila sucesos y el origen de registro no se cuenta en el límite de licencia. |
| Credibilidad | Seleccione la credibilidad del origen de registro. El rango es 0 (más bajo)-10 (más alto). La credibilidad predeterminada es 5. La credibilidad es una representación de la integridad o validez de los sucesos creados por un origen de registro. El valor de credibilidad asignado a un origen de registro puede aumentarse o disminuirse en función de los sucesos entrantes o ajustarse en respuesta a reglas de suceso creadas por el usuario. La credibilidad de los sucesos procedentes de los orígenes de registro contribuye al cálculo de la magnitud del delito y puede aumentar o disminuir el valor de magnitud de un delito. |
| Recopilador de sucesos de destino | Seleccione el destino para el origen de registro. Cuando un origen de registro recopila activamente sucesos de un origen remoto, este campo define qué dispositivo sondea los sucesos. Esta opción permite a los administradores sondear y procesar sucesos en el recopilador de sucesos de destino, en lugar del dispositivo de consola. Esto puede mejorar el rendimiento en despliegues distribuidos. |
| Fusionar sucesos | Marque este recuadro de selección para habilitar el origen de registro para fusionar (empaquetar) sucesos. La fusión de sucesos aumenta el recuento de sucesos cuando el mismo suceso se produce varias veces en un intervalo de tiempo corto. Los sucesos fusionados proporcionan a los administradores una forma de ver y determinar la frecuencia con la que se produce un único tipo de suceso en la pestaña Actividad de registro. Cuando este recuadro de selección no está marcado, los sucesos se visualizan individualmente y la información no se empaqueta. Los orígenes de registro nuevos y descubiertos automáticamente heredan el valor de esta opción tal como está definida en la configuración de Valores del sistema en el panel Administración. Los administradores pueden utilizar este recuadro de selección para alterar temporalmente el comportamiento predeterminado de los valores del sistema para un origen de registro individual. |
| Almacenar carga útil de suceso | Marque este recuadro de selección para habilitar el origen de registro para almacenar la información de carga útil de un suceso. Los orígenes de registro nuevos y descubiertos automáticamente heredan el valor de esta opción tal como está definida en la configuración de Valores del sistema en el panel Administración. Los administradores pueden utilizar este recuadro de selección para alterar temporalmente el comportamiento predeterminado de los valores del sistema para un origen de registro individual. |
| Extensión de origen de registro | Opcional. Seleccione el nombre de la extensión que desea aplicar al origen de registro. Este parámetro está disponible después de que se cargue una extensión de origen de registro. Las extensiones de origen de registro son archivos XML que contienen expresiones regulares, que pueden alterar temporalmente o reparar los patrones de análisis de sucesos definidos por un módulo de soporte de dispositivo (DSM). |
| Condición de uso de extensión | En el recuadro de lista, seleccione la condición de uso para la extensión de origen de registro. Las opciones son:
|
| Grupos | Seleccione uno o más grupos para el origen de registro. |