Extracción de datos utilizando el protocolo de archivo de registro

Un origen de protocolo de archivo de registro permite a IBM QRadar recuperar archivos de registro archivados de un host remoto. El DSM de McAfee Web Gateway da soporte a la carga masiva de archivos access.log utilizando el origen de protocolo de archivo de registro. El directorio predeterminado para los registros de acceso de la Pasarela web de McAfee es el directorio /opt/mwg/log/user-defined-logs/access.log/ .

1. Para configurar QRadar para recibir sucesos de un dispositivo de pasarela web McAfee , seleccione McAfee Pasarela web en la lista Tipo de origen de registro .
2. Para configurar el protocolo, debe seleccionar la opción Archivo de registro en la lista Configuración de protocolo .
3. Para configurar el parámetro Patrón de archivo , debe escribir una serie regex para el archivo access.log , como el acceso [0-9] +\.log.
   Nota: Si ha seleccionado GZIP en los archivos access.log , debe escribir access[0-9]+\.log\.gz para el campo Patrón de FIle y, en la lista Procesador , seleccione GZIP.