OpenStack

IBM QRadar DSM for OpenStack collecte les journaux d'événements à partir de votre périphérique OpenStack .

Le tableau suivant identifie les spécifications du DSM OpenStack :
Tableau 1. Spécifications du DSM OpenStack
Spécification Valeur
Fabricant OpenStack
Nom du DSM OpenStack
Nom du fichier RPM DSM-OpenStackCeilometer-QRadar_version-build_number.noarch.rpm
Versions prises en charge V2015.1
Protocole Récepteur HTTP
Types d'événements enregistrés Evénement d'audit
Reconnu automatiquement ? Non
Inclut l'identité ? Non
Inclut les propriétés personnalisées ? Non
Informations complémentaires Site Web OpenStack (http://www.openstack.org/)
Pour envoyer des événements depuis OpenStack à QRadar, procédez comme suit:
  1. Si les mises à jour automatiques ne sont pas activées, téléchargez et installez la version la plus récente des RPM suivants à partir du IBM® sur votre QRadar Console :
    • RPM PROTOCOL-HTTPReceiver
    • RPM DSM OpenStack
  2. Ajoutez une source de journal OpenStack sur la console QRadar . Le tableau suivant décrit les paramètres requis pour collecter des événements OpenStack :
    Tableau 2. Paramètres de source de journal OpenStack
    Paramètre Valeur
    Type de source de journal OpenStack
    Identificateur de la source de journal Adresse IP du serveur OpenStack, et non le nom d'hôte.
    Configuration de protocole HTTPReceiver
    Type de communication HTTP
    Port d'écoute Numéro de port utilisé par OpenStack pour communiquer avec QRadar.
    Important: N'utilisez pas le port 514. Le port 514 est utilisé par le programme d'écoute Syslog standard.
    Modèle de message ^\{"typeURI
  3. Configurez votre périphérique OpenStack pour qu'il communique avec QRadar.
Le tableau suivant fournit un exemple de message d'événement pour le DSM OpenStack :
Important: En raison de problèmes de formatage, collez le format de message dans un éditeur de texte, puis supprimez les caractères de retour chariot ou de saut de ligne.
Tableau 3. Exemple de message OpenStack pris en charge par le dispositif OpenStack
Nom de l'événement catégorie de niveau inférieur Exemple de message de journal
Répertorie les détails de tous les serveurs Tentative de lecture 
 {"typeURI": "http://schemas.dmtf.org/cloud/audit/1.0/event", "eventTime": "2014-12-09T00:18:52.063878+0000", "target": {"typeURI": "service/compute/servers/detail", "id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "nova", "addresses": [{"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "admin"}, {"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "private"}, {"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "public"}]}, "observer": {"id": "target"}, "tags": ["correlation_id?value=openstack:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"], "eventType": "activity", "initiator": {"typeURI": "service/security/account/user", "name": "admin", "credential": {"token": "xxxx xxxxxxxx xxxx", "identity_status": "Confirmed"}, "host": {"agent": "python-novaclient", "address": "<IP_address>"}, "project_id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"}, "action": "read/list", "outcome": "pending", "id": "openstack:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",