Visión general del protocolo Syslog Redirect
El protocolo de redirección de Syslog es un protocolo de entrada pasivo que se utiliza como alternativa al protocolo Syslog. Utilice este protocolo cuando desee que QRadar identifique el nombre de dispositivo específico que ha enviado los sucesos. QRadar puede escuchar pasivamente eventos Syslog utilizando TCP o UDP en cualquier puerto no utilizado que especifique.
| Parámetro | Descripción |
|---|---|
| Protocol Configuration | Syslog Redirect |
| Log Source Identifier | Especifique un Identificador de origen de registro para utilizarlo como valor predeterminado. Si la Regex de identificador de origen de registro no puede analizar el Identificador de origen de registro de una carga útil determinada utilizando la regex que se proporciona, se utiliza el valor predeterminado. |
| Log Source Identifier Regex | Especifique una expresión regular para analizar el Identificador de origen de registro de la carga útil. |
| Log Source Identifier Regex Format String | Serie de formato para combinar grupos de captura de la expresión regular de identificador de origen de registro. Por ejemplo: "$1" utilizaría el primer grupo de captura. "$1$2" concatenaría los grupos de captura 1 y 2. "$1 TEXT $2" concatenaría el grupo de captura 1, el literal "TEXT" y el grupo de captura 2. La serie resultante se utiliza como nuevo identificador de origen de registro. |
| Listen Port | Especifique cualquier puerto no utilizado y establezca el origen de registro para enviar sucesos a QRadar en ese puerto. |
| Protocol | En la lista, seleccione TCP o UDP. El protocolo Syslog Redirect da soporte a cualquier número de conexiones UDP syslog, pero restringe las conexiones TCP a 2500. Si la secuencia de syslog tiene más de 2500 orígenes de registro, debe especificar un segundo origen de registro y un número de puerto de escucha. |
| Perform DNS Lookup On Regex Match | Seleccione el recuadro de selección Realizar búsqueda DNS en coincidencia de expresión regular para habilitar la funcionalidad DNS, que se basa en el valor del parámetro Identificador de origen de registro . De forma predeterminada, el recuadro de selección no está seleccionado. |
| Use Predictive Parsing | Si habilita este parámetro, un algoritmo extrae patrones de identificador de origen de registro de sucesos sin ejecutar la expresión regular para cada suceso, lo que aumenta la velocidad de análisis. Sugerencia: En circunstancias excepcionales, el algoritmo puede realizar predicciones incorrectas. Habilite el análisis predictivo sólo para los tipos de origen de registro que espera que reciban tasas de sucesos altas y que requieran un análisis más rápido.
|
| Payload Size | El tamaño de carga útil es la longitud de los datos enviados por el punto final de comunicación. El valor predeterminado es 2048. El tamaño de carga útil debe ser un entero entre 2048 y 32000. |
| Enabled | Seleccione este recuadro de selección para habilitar el origen de registro. De forma predeterminada, el recuadro de selección está seleccionado. |
| Credibility | En la lista, seleccione la Credibilidad del origen de registro. El rango de valores es de 0 a 10. La credibilidad indica la integridad de un suceso o un delito según viene determinada por la valoración de credibilidad de los dispositivos de origen. La credibilidad aumenta si varios orígenes informan del mismo suceso. El valor predeterminado es 5. |