Patrón de identificador de origen de registro

Utilice el patrón de identificador de origen de registro para personalizar el identificador que se envía con cargas útiles cuando se publica un suceso. Puede elegir identificadores para los formatos de suceso y tipos de suceso.

Importante:

Para utilizar las prestaciones completas del patrón de identificador de origen de registro, debe tener una comprensión básica de las expresiones regulares (regex) y cómo utilizarlas.

El patrón de identificador de origen de registro acepta una lista de pares de clave-valor. Una clave es un identificador que se representa como una expresión regular. El valor es una expresión regular que coincide con los datos de suceso. Cuando la expresión regular coincide con los datos dentro del suceso, publica el suceso con el identificador asociado con ese valor.

Ejemplo básico

Key1 = value1

Key2 = value2

Key3 = value3

En este ejemplo, si un suceso contiene un valor de “value1”, el identificador de dicho suceso es key1. Si un suceso contiene un valor de “value2”, el identificador es Key2. Si un suceso contiene “value1” y “value2”, el primer identificador, Key1, se compara.

En este ejemplo, debe crear manualmente tres orígenes de registro Syslog, uno para cada una de las opciones de identificador.

Ejemplo de expresión regular

Key1 = value1

Key2 = \d\d\d (donde \d\d\d es una expresión regular que coincide con tres dígitos consecutivos.)

\1 = \d(\d) (donde \d(\d) es una expresión regular que coincide con dos dígitos consecutivos y captura el segundo dígito. \1 hace referencia al primer valor capturado en el campo de valor.)

En este ejemplo, las sentencias siguientes son verdaderas:
  • \d representa un "dígito".
  • Si un suceso contiene un valor de “value1”, el identificador de dicho suceso es Key1.
  • Si un suceso contiene "111" o "652" o tres dígitos consecutivos cualesquiera, el identificador sería Key2.
  • Si un suceso contiene dos dígitos consecutivos como "11 '," 73 "y" 24 ", el identificador es \1. La expresión regular guarda el segundo valor ("1", "3" y "4" en los ejemplos) para su uso futuro con los paréntesis. El valor guardado por la expresión regular se utiliza posteriormente como identificador. Si establece la clave en "\1", la clave coincide con el primer valor guardado en la expresión regular. En este caso, el identificador no es un valor codificado, sino que puede ser diez valores (0-9.) Hay tres identificadores en los sucesos de ejemplo ("1", "3" y "4".)

Debe crear un origen de registro con los identificadores Key1 y Key2, y un origen de registro para cada valor Key1 posible. En este ejemplo, para que los sucesos vayan al origen de registro correcto, debe crear tres orígenes de registro Syslog. Para los orígenes de registro, uno tiene el identificador establecido en "1", uno tiene el identificador establecido en "3" y uno tiene el identificador establecido en "4". Para capturar todos los identificadores posibles, necesita diez orígenes de registro Syslog. Cada origen de registro corresponde a un único dígito.

Sugerencias para utilizar el patrón de identificador de origen de registro

Es importante saber qué tipo de datos está recibiendo y qué tan granular necesita que sean los orígenes de registro. Cada entorno de QRadar es exclusivo. Las sugerencias siguientes pueden ayudarle a configurar el patrón de identificador de origen de registro.

Mantener los datos separados en el origen

La mayoría de los servicios soportados por pasarela, como Microsoft Azure Event Hubs y Google Pub Sub, ofrecen formas de separar los datos en el origen. Mantenga los datos en orígenes separados para reducir la complejidad en el lado de QRadar . Por ejemplo, si desea recopilar registros de Windows, registros de Linux® y registros de auditoría, utilice tres orígenes de registro de pasarela distintos para simplificar la configuración. Si recopila todos estos registros en un origen, QRadar debe identificar los sucesos y asociarlos con el origen de registro correcto.

Codificar la expresión regular si es posible

Si codifica la clave, un único origen de registro recopilará todos los sucesos que coincidan con la expresión regular del valor. Esta acción requiere menos esfuerzo para crear y mantener orígenes de registro, y son más fáciles de supervisar.

Utilizar probadores de expresiones regulares en línea

Antes de guardar y habilitar el origen de registro, utilice las herramientas en línea para probar la expresión regular.

Utilice el recuperador de sucesos para determinar el identificador

Utilice el recuperador de sucesos para visualizar el identificador de origen de registro asignado en QRadar. También puede utilizarlo para probar que la expresión regular y el identificador coinciden correctamente.