Parámetros de origen de registro de archivo de registro para Sun ONE LDAP
Si QRadar no detecta automáticamente el origen de registro, añada un origen de registro LDAP de Sun ONE en QRadar Console utilizando el protocolo de archivo de registro.
Al utilizar el protocolo de archivo de registro, hay parámetros específicos que debe utilizar.
Parámetro | Valor |
---|---|
Log Source name | Escriba un nombre para el origen de registro. |
Log Source description | Escriba una descripción para el origen de registro. |
Log Source type | LDAP de Sun ONE |
Protocol Configuration | Archivo de registro |
Log Source Identifier | Escriba una dirección IP, un nombre de host o un nombre para identificar el origen de sucesos. Las direcciones IP o los nombres de host permiten a QRadar identificar un archivo de registro en un origen de sucesos exclusivo. Por ejemplo, si la red contiene varios dispositivos, como una consola de gestión o un repositorio de archivos, especifique la dirección IP o el nombre de host del dispositivo que ha creado el suceso. Esto permite identificar los sucesos a nivel de dispositivo en la red, en lugar de identificar el suceso para la consola de gestión o el repositorio de archivos. |
Service Type | Escriba el puerto TCP en el host remoto que ejecuta el tipo de servicio seleccionado. El rango válido es de 1 a 65535. Las opciones son:
Importante: Si el host para los archivos de sucesos utiliza un número de puerto no estándar para FTP, SFTP o SCP, debe ajustar el valor de puerto.
|
Remote User | Escriba el nombre de usuario necesario para iniciar sesión en el host que contiene los archivos de sucesos. El nombre de usuario puede tener hasta 255 caracteres de longitud. |
Confirm Password | Confirme la contraseña necesaria para iniciar sesión en el host. |
SSH Key File | Si selecciona SCP o SFTP como Tipo de servicio, este parámetro le permite definir un archivo de claves privadas SSH. Cuando se proporciona un archivo de claves SSH, el campo Contraseña remota se ignora. |
Remote Directory | Escriba la ubicación del directorio en el host remoto desde el que se recuperan los archivos, en relación con la cuenta de usuario que está utilizando para iniciar la sesión.
Importante: Sólo para FTP. Si los archivos de registro se encuentran en el directorio de inicio del usuario remoto, puede dejar el directorio remoto en blanco. Esto es para dar soporte a sistemas operativos en los que un cambio en el mandato de directorio de trabajo (CWD) está restringido.
|
Recursive | Habilite este recuadro de selección para permitir que las conexiones FTP o SFTP realicen búsquedas de datos de sucesos recursivamente en las subcarpetas del directorio remoto. Los datos recopilados de las subcarpetas dependen de las coincidencias con la expresión regular en el Patrón de archivo FTP. La opción Recursivo no está disponible para conexiones SCP. |
FTP File Pattern | Por ejemplo, si desea listar todos los archivos que empiezan por el registro de palabras, seguidos de uno o más dígitos y terminando por tar.gz, utilice la entrada siguiente: log [0-9] +\.tar\.gz. El uso de este parámetro requiere el conocimiento de expresiones regulares (regex). Para obtener más información sobre las expresiones regulares, consulte el sitio web deOracle (http://docs.oracle.com/javase/tutorial/essential/regex/) Si selecciona SFTP o FTP como tipo de servicio, esta opción le permite configurar la expresión regular (regex) necesaria para filtrar la lista de archivos especificados en el directorio remoto. Todos los archivos coincidentes se incluyen en el proceso. |
FTP Transfer Mode | En el recuadro de lista, seleccione la modalidad de transferencia que desea aplicar a este origen de registro:
Importante: Debe seleccionar NINGUNO para el parámetro Procesador y LINEBILINA el parámetro Generador de sucesos cuando utilice ASCII como modalidad de transferencia FTP.
Esta opción sólo aparece si selecciona FTP como tipo de servicio. El parámetro Modalidad de transferencia FTP le permite definir la modalidad de transferencia de archivos al recuperar archivos de registro a través de FTP. |
SCP Remote File | Si selecciona SCP como Tipo de servicio , debe escribir el nombre de archivo del archivo remoto. |
Start Time | Escriba la hora del día a la que desea que empiece el proceso. Este parámetro funciona con el valor Recurrencia para establecer cuándo y con qué frecuencia se explora el directorio remoto en busca de archivos. Escriba la hora de inicio, basada en un reloj de 24 horas, en el formato siguiente: HH: MM. |
Recurrence | Escriba la frecuencia, empezando por la hora de inicio, con la que desea que se explore el directorio remoto. Escriba este valor en horas (H), minutos (M) o días (D). Por ejemplo, 2H si desea que el directorio se explore cada 2 horas. El valor predeterminado es 1H. |
Run On Save | Marque este recuadro de selección si desea que el protocolo de archivo de registro se ejecute inmediatamente después de pulsar Guardar. Una vez completado el Ejecutar al guardar , el protocolo de archivo de registro sigue la hora de inicio y la planificación de recurrencia configuradas. Al seleccionar Ejecutar al guardar se borra la lista de archivos procesados anteriormente para el parámetro Ignorar archivo procesado anteriormente. |
EPS Throttle | El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El rango válido es de 100 a 5000. |
Processor | Si los archivos en el host remoto se almacenan en un formato de archivo zip, gzip, tar o tar + gzip, seleccione el procesador que permite expandir los archivos y procesar el contenido. |
Ignore Previously Processed File(s) | Esto sólo se aplica a los tipos de servicio FTP y SFTP. Marque este recuadro de selección para realizar un seguimiento de los archivos que se han procesado y no desea que los archivos se procesen una segunda vez. |
Change Local Directory? | Marque este recuadro de selección para definir el directorio local en el QRadar que desea utilizar para almacenar los archivos descargados durante el proceso. La mayoría de las configuraciones pueden dejar este recuadro de selección sin marcar. Cuando selecciona el recuadro de selección, se visualiza el campo Directorio local , que le permite configurar un directorio local para utilizarlo para almacenar temporalmente archivos. |
Event Generator | El formato de varias líneas enlazadas por ID procesa registros de sucesos de varias líneas que contienen un valor común al principio de cada línea en un mensaje de suceso de varias líneas. Esta opción muestra el campo Patrón de ID de mensaje que utiliza regex para identificar y volver a ensamblar el suceso de varias líneas en una sola carga útil de suceso. Seleccione ID-Multilínea enlazada para procesar el registro de sucesos recuperado como sucesos de varias líneas. |
Folder Separator | La mayoría de las configuraciones pueden utilizar el valor predeterminado en el campo Separador de carpetas . Este campo sólo lo utilizan los sistemas operativos que utilizan un carácter alternativo para definir carpetas separadas. Por ejemplo, los puntos que separan carpetas en sistemas principales. Escriba el carácter que se utiliza para separar carpetas para el sistema operativo. El valor predeterminado es/. |