Postfix
Utilice el IBM Security QRadar Custom Properties for Postfix para supervisar de cerca su implementación de Custom Properties for Postfix. Las propiedades de suceso personalizado de Postfix expanden las búsquedas e informes de QRadar normalizando datos de suceso específicos de un origen de registro.
Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. Los DSM se actualizan como parte de las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).
IBM Security QRadar Propiedades personalizadas para Postfix
IBM Security QRadar Propiedades personalizadas para Postfix V1.0.2
En la tabla siguiente se muestra la propiedad personalizada actualizada en IBM Security QRadar Custom Properties for Postfix V1.0.2.
| Nombre | Optimizada | Grupo de capturas | Expresión regular |
|---|---|---|---|
| Asunto | Sí | 1 | Subject:\s(.*?)\sfrom\s* |
IBM Security QRadar Propiedades personalizadas para Postfix V1.0.1
En la tabla siguiente se muestran las propiedades personalizadas nuevas y actualizadas en IBM Security QRadar Custom Properties for Postfix V1.0.1.
| Nombre | Optimizada | Grupo de capturas | Expresión regular |
|---|---|---|---|
| Número de destinatarios | Sí | 1 | nrcpt=(\d+) |
| Host de origen | Sí | 1 | from=[^>@\s]*@([^>\s]*) from=<[^>@\s]*@([^>\s]*)> |
| Originating_User | Sí | 1 | from=<([^>\s]*)> from=<(\S+)> |
IBM Security QRadar Propiedades personalizadas para Postfix V1.0.0
En la tabla siguiente se muestran las propiedades personalizadas en IBM Security QRadar Custom Properties for Postfix V1.0.0.
| Nombre | Optimizada | Grupo de capturas | Expresión regular |
|---|---|---|---|
| Extensión de archivo | Sí | 1 | filename="[^"]*\.([^"]*) |
| Nombre de archivo | Sí | 1 | filename="([^"]*) |
| Tamaño del mensaje | Sí | 1 | size=(\d*) |
| MessageID | Sí | 1 | \[\d*]:\s([^:\s]*) |
| Host de origen | Sí | 1 | from=<[^>@\s]*@([^>\s]*)> |
| Originating_User | Sí | 1 | from=<([^>\s]*)> |
| Host destinatario | Sí | 1 | to=<[^>@\s]*@([^>\s]*)> |
| Recipient_User | Sí | 1 | to=<([^>\s]*)> |
| Asunto | Sí | 1 | Subject:\s(.*)\sfrom\s |