Protocoles non documentés

Lorsque vous configurez une source de journal, l'ensemble des options de type de protocole disponibles est limité par le type de source de journal sélectionné. Tous les types de source de journal ne prennent pas en charge tous les types de protocole.

Le DSM Configuration Guide décrit comment configurer des sources de journal d'un type particulier, avec chacun des types de protocole pris en charge par IBM® pour ce type de source de journal. Tout type de protocole ayant une documentation de configuration pour un type de source de journal spécifique est considéré comme un protocole "documenté" pour ce type de source de journal. Par défaut, seuls ces protocoles documentés sont affichés dans la liste Configuration du protocole de la fenêtre Sources de journal.

En tant que plateforme ouverte, QRadar collecte et traite les données d'événement via d'autres méthodes d'intégration (types de protocole). Certains types de protocole peuvent être configurés pour un type de source de journal particulier, mais sont marqués comme non documentés. Toutefois, DSM Configuration Guide ne contient pas d'instructions sur la configuration de la collecte d'événements pour les protocoles non documentés. IBM ne prend pas en charge la configuration des sources de journal qui utilisent des protocoles non documentés car ils ne sont pas testés et documentés en interne. Il incombe aux utilisateurs de déterminer comment introduire les données de l'événement dans QRadar.

Par exemple, le protocole JDBC est la configuration documentée pour obtenir des événements d'un système qui stocke ses données d'événement dans une base de données. Toutefois, il est possible de collecter les mêmes données d'événement via un produit tiers, puis de les transmettre à QRadar via Syslog. Configurez la source de journal pour utiliser le type de protocole non documenté "Syslog". QRadar accepte les événements et les achemine vers la source de journal appropriée.

Vous devez configurer le produit tiers pour extraire les données d'événement de la base de données et les envoyer à QRadar via Syslog car cette configuration n'est pas la méthode de collecte documentée.

Important: La collecte et le traitement des données d'événement via des protocoles non documentés peuvent générer des données formatées différemment de celles attendues par un type de source de journal DSM documenté. Par conséquent, l'analyse syntaxique peut ne pas fonctionner pour la DSM si elle reçoit des événements d'un protocole non documenté. Par exemple, un protocole JDBC crée des charges de travail d'événement composées d'un ensemble de paires clés/valeurs séparées par un espace. Dans la table de base de données cible, la clé est un nom de colonne et la valeur est la colonne de la ligne de table que l'événement représente. Le module de support de périphérique (DSM) d'un type de source de journal pris en charge qui utilise le protocole JDBC attend ce format d'événement. Si les données d'événement transmises à partir d'un produit tiers via le protocole syslog utilisent un autre format, le module de support de périphérique (DSM) ne peut pas les analyser. Il peut s'avérer nécessaire d'utiliser l'éditeur DSM pour ajuster l'analyse syntaxique d'un DSM afin qu'il puisse gérer ces événements.