Creación de un formato de suceso personalizado para Blue Coat SG

Para recopilar sucesos de Blue Coat SG, cree un formato de suceso personalizado.

1. Inicie sesión en la Consola de gestión de Blue Coat.
2. Seleccione Configuración > Registro de acceso > Formatos.
3. Seleccione Nuevo.
4. Escriba un nombre de formato para el formato personalizado.
5. Seleccione Serie de formato personalizado.
6. Escriba el siguiente formato personalizado:
   Atención: los saltos de línea de estos ejemplos harán que esta configuración falle. Copie los bloques de código en un editor de texto, elimine los saltos de línea y péguelos como una sola línea en la columna Formato personalizado .

   Bluecoat|src=$(c-ip)|srcport=$(c-port)|dst=$(cs-uri-address)|dstport=$(cs-uri-port)|username=$(cs-username)|devicetime=$(gmttime)|s-action=$(s-action)|sc-status=$(sc-status)|cs-method=$(cs-method)|time-taken=$(time-taken)|sc-bytes=$(sc-bytes)|cs-bytes=$(cs-bytes)|cs-uri-scheme=$(cs-uri-scheme)|cs-host=$(cs-host)|cs-uri-path=$(cs-uri-path)|cs-uri-query=$(cs-uri-query)|cs-uri-extension=$(cs-uri-extension)|cs-auth-group=$(cs-auth-group)|rs(Content-Type)=$(rs(Content-Type))|cs(User-Agent)=$(cs(User-Agent))|cs(Referer)=$(cs(Referer))|sc-filter-result=$(sc-filter-result)|filter-category=$(sc-filter-category)|cs-uri=$(cs-uri)

7. Seleccione Registrar última cabecera en la lista.
8. Pulse Aceptar.
9. Pulse Aplicar.
   Nota: El formato personalizado para QRadar da soporte a más pares de clave-valor utilizando el formato ELFF de Blue Coat. Para obtener más información, consulte Creación de pares de clave-valor de formato personalizado adicionales.