Présentation de Log Event Extended Format (LEEF)

Le format LEEF (Log Event Extended Format) est un format d'événement personnalisé pour IBM® Security QRadar®.

Tout fournisseur peut utiliser cette documentation pour générer des événements LEEF.

QRadar peut intégrer, identifier et traiter des événements LEEF. Les événements LEEF doivent utiliser le codage de caractères UTF-8.

Vous pouvez envoyer des événements dans la sortie LEEF à QRadar en utilisant les protocoles suivants:

  • Syslog
  • Importation de fichiers avec le protocole de fichier journal
Important: avant que QRadar puisse utiliser des événements LEEF, vous devez effectuer des tâches de configuration Universal LEEF. Pour plus d'informations sur la configuration du protocole de fichier journal pour la collecte d'événements Universal LEEF, voir DSM Configuration Guide.

La méthode que vous sélectionnez pour fournir des événements LEEF détermine si les événements peuvent être automatiquement reconnus dans QRadar. Lorsque des événements sont détectés automatiquement, le niveau de configuration manuelle requis dans QRadar est réduit.

Au fur et à mesure que les événements LEEF sont reçus, QRadar analyse le trafic d'événements afin d'identifier le périphérique ou le dispositif. Ce processus est dénommé analyse du trafic. Il faut généralement au moins 25 événements LEEF pour identifier et créer une nouvelle source de journal dans QRadar. Jusqu'à ce que l'analyse du trafic identifie la source des événements, les 25 premiers événements sont classés comme des événements SIM Generic Log DSM et le nom de l'événement est défini sur Evénement de journal inconnu. Une fois le trafic des événements identifié, QRadar crée une source de journal pour classer et étiqueter correctement les événements qui sont transférés depuis votre dispositif ou votre logiciel. Les événements envoyés à partir de votre périphérique sont visibles dans QRadar dans l'onglet Activité du journal .

Important: Lorsqu'une source de journal ne peut pas être identifiée après 1 000 événements, QRadar crée une notification système et supprime la source de journal de la file d'attente d'analyse du trafic. QRadar est toujours capable de collecter les événements, mais un utilisateur doit intervenir et créer manuellement une source de journal pour identifier le type d'événement.