Opciones de configuración del protocolo TCP Multiline Syslog
El protocolo TCP Multiline Syslog es un protocolo de entrada pasivo que utiliza expresiones regulares para identificar el patrón de inicio y finalización de sucesos multilínea.
13/06/2012 08:15:15 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=5156 EventType=0 TaskCategory=Filtering Platform Connection Keywords=Audit Success Message=The Windows Filtering Platform permitted a connection. Process ID: 4 Application Name: System Direction: Inbound Dirección de origen: < dirección_IP> Source Port: 80 Dirección de destino:<IP_address> Destino Port:444
| Parámetro | Descripción |
|---|---|
| Configuración de protocolo | TCP Multiline Syslog |
| Identificador de origen de registro | Escriba una dirección IP o nombre de host para identificar el origen de registro. Para utilizar un nombre de origen en lugar de un identificador de origen de registro, seleccione Utilizar nombre de origen personalizado y especifique valores para los parámetros Regex de nombre de origen y Serie de formato de nombre de origen . Nota: Estos parámetros sólo están disponibles si Mostrar opciones avanzadas está establecido en Sí.
|
| Puerto de escucha | Número del puerto que acepta sucesos de Syslog de varias líneas TCP entrantes. El puerto de escucha predeterminado es 12468. Para editar el número de puerto, realice los pasos siguientes:
|
| Método de agregación | El método que utiliza para agregar los datos de Syslog multilínea TCP. Puede elegir uno de los métodos siguientes:
|
| Patrón de inicio de suceso | Este parámetro está disponible cuando establece el parámetro Método de agregación en Iniciar/finalizar coincidencia. Expresión regular (regex) que es necesaria para identificar el inicio de una carga útil de TCP Multiline a suceso. Las cabeceras de Syslog suelen empezar con una fecha o una indicación de fecha y hora. El protocolo puede crear un suceso de una sola línea que se basa únicamente en un patrón de inicio de suceso, como una indicación de fecha y hora. Cuando sólo existe un patrón de inicio, el protocolo captura toda la información entre cada valor de inicio para crear un suceso válido. |
| Patrón de final de suceso | Este parámetro está disponible cuando establece el parámetro Método de agregación en Iniciar/finalizar coincidencia. Esta expresión regular (regex) que es necesaria para identificar el final de una carga útil de suceso de varias líneas TCP. Si el suceso syslog finaliza con el mismo valor, utilice una expresión regular para determinar el final de un suceso. Cuando solo se utiliza un Patrón de inicio de suceso y el dispositivo emisor envía unos pocos sucesos (EPS bajo) en un intervalo, el último suceso enviado no se procesa hasta que la interconexión detecta un nuevo Patrón de inicio de suceso. Por ejemplo, cuando se envía un único "suceso de prueba", puede ser invisible en la actividad de registro de QRadar sin añadir un Patrón de finalización de suceso. Para eludir este escenario, envíe de 2 a 3 sucesos de prueba a la vez. Sin un Patrón de finalización de suceso, el último suceso no se captura hasta que se detecta un nuevo Patrón de inicio de suceso . |
| Patrón de ID de mensaje | Este parámetro está disponible cuando se establece el parámetro Método de agregación en ID-Linked. Esta expresión regular (regex) es necesaria para filtrar los mensajes de carga útil de suceso. Los mensajes de suceso de varias líneas TCP deben contener un valor de identificación común que se repita en cada línea del mensaje de suceso. |
| Formateador de sucesos | Utilice la opción Windows Multiline para sucesos de varias líneas formateados específicamente para Windows. |
| Mostrar opciones avanzadas | El valor predeterminado es No. Seleccione Sí si desea personalizar los datos de suceso. |
| Utilizar nombre de origen personalizado | Este parámetro está disponible cuando se establece Mostrar opciones avanzadas en Sí. Seleccione el recuadro de selección si desea personalizar el nombre de origen con regex. |
| Regex de nombre de origen | Este parámetro está disponible cuando selecciona Utilizar nombre de origen personalizado. Expresión regular (regex) que captura uno o más valores de las cargas útiles de sucesos que maneja este protocolo. Estos valores se utilizan con el parámetro Serie de formato de nombre de origen para establecer un valor de origen o de origen para cada suceso. Este valor de origen se utiliza para direccionar el suceso a un origen de registro con un valor de Identificador de origen de registro coincidente. |
| Serie de formato de nombre de origen | Este parámetro está disponible cuando habilita Utilizar nombre de origen personalizado. Puede utilizar una combinación de una o más de las entradas siguientes para formar un valor de origen para las cargas útiles de sucesos procesadas por este protocolo:
|
| Utilizar como origen de registro de pasarela | Este parámetro está disponible cuando se establece Mostrar opciones avanzadas en Sí. Cuando se selecciona, los sucesos que fluyen a través del origen de registro se direccionan a otros orígenes de registro, basándose en el nombre de origen etiquetado en los sucesos. Cuando esta opción no está seleccionada y Utilizar nombre de origen personalizado no está habilitado, los sucesos de entrada se etiquetan con un nombre de origen que corresponde al parámetro Identificador de origen de registro. |
| Aplanar sucesos multilínea en una sola línea | Este parámetro está disponible cuando se establece Mostrar opciones avanzadas en Sí. Muestra un suceso en una sola línea o en varias líneas. |
| Retener líneas enteras durante la agregación de sucesos | Este parámetro está disponible cuando se establece Mostrar opciones avanzadas en Sí. Si establece el método ID-Linked Multiline para el parámetro Método de agregación , este parámetro puede modificar las salidas de datos de sucesos agregados. Si habilita Retener líneas completas durante la agregación de sucesos, se conservan todas las partes de los sucesos al agregar sucesos con el mismo patrón de ID. Si no habilita este parámetro, la parte de los sucesos antes del Patrón de ID de mensaje se descartan cuando se agregan los sucesos. |
| límite de tiempo | El número de segundos que se debe esperar a que haya cargas útiles coincidentes adicionales antes de que el suceso se envíe al conducto de sucesos. El valor predeterminado es 10 segundos. |
| Número inicial de hebras | El número inicial de hebras que se van a utilizar para formatear y publicar sucesos. |
| Número máximo de hebras | El número máximo de hebras que se deben utilizar para formatear y publicar sucesos. Cuando la cola de tareas está llena, se crean más hebras hasta el valor establecido por el parámetro Número máximo de hebras . |
| Habilitado | Seleccione este recuadro de selección para habilitar el origen de registro. |
| Credibilidad | Seleccione la credibilidad del origen de registro. El rango de valores es de 0 a 10. La credibilidad indica la integridad de un suceso o un delito según viene determinada por la valoración de credibilidad de los dispositivos de origen. La credibilidad aumenta si varios orígenes informan del mismo suceso. El valor predeterminado es 5. |
| Recopilador de sucesos de destino | Seleccione el recopilador de sucesos en el despliegue para alojar el escucha TCP Multiline Syslog. |
| Fusionar sucesos | Seleccione este recuadro de selección para habilitar el origen de registro para fusionar (empaquetar) sucesos. De forma predeterminada, los orígenes de registro descubiertos automáticamente heredan el valor de la lista Sucesos de fusión de los valores del sistema en QRadar. Cuando crea un origen de registro o edita una configuración existente, puede alterar temporalmente el valor predeterminado configurando esta opción para cada origen de registro. |
| Almacenar carga útil de suceso | Seleccione este recuadro de selección para habilitar el origen de registro para almacenar información de carga útil de sucesos. De forma predeterminada, los orígenes de registro descubiertos automáticamente heredan el valor de la lista Almacenar carga útil de sucesos de los valores del sistema en QRadar. Cuando crea un origen de registro o edita una configuración existente, puede alterar temporalmente el valor predeterminado configurando esta opción para cada origen de registro. |
Casos de uso de la configuración del protocolo TCP Multiline Syslog
- Deje sin seleccionar Utilizar como origen de registro de pasarela y Utilizar nombre de origen personalizado .
- Especifique la dirección IP del sistema que envía sucesos en el parámetro Identificador de origen de registro .
Para direccionar sucesos a orígenes de registro separados en función de un valor distinto de la IP o el nombre de host en su cabecera syslog, siga estos pasos:
- Seleccione el recuadro de selección Utilizar nombre de origen personalizado .
- Configure una Regex de nombre de origen y una Serie de formato de nombre de origen para personalizar cómo QRadar establece un valor de nombre de origen para direccionar los sucesos recibidos a los orígenes de registro.
