Présentation de la gestion de sources de journal

Vous pouvez configurer IBM QRadar pour accepter les journaux d'événements à partir de sources de journal résidant sur votre réseau. Une source de journal est une source de données créant un journal d'événement.

Par exemple, un pare-feu ou un système IPS (intrusion protection system) consigne des événements basés sur la sécurité, et les commutateurs et routeurs consignent les événements basés sur le réseau.

Pour recevoir des événements bruts à partir de sources de journal, QRadar prend en charge de nombreux protocoles. Les protocoles passifs écoutent les événements sur des ports spécifiques. Les protocoles actifs utilisent des API ou d'autres méthodes de communication pour se connecter aux systèmes externes qui interrogent et extraient les événements.

En fonction de vos limites de licence, QRadar peut lire et interpréter des événements provenant de plus de 300 sources de journal.

Pour configurer une source de journal pour QRadar, vous devez effectuer les tâches suivantes:
  1. Téléchargez et installez un module de support de périphérique (DSM) prenant en charge la source de journal. Un DSM est une application logicielle qui contient les modèles d'événements requis pour identifier et analyser les événements à partir du format d'origine du journal des événements dans le format que QRadar peut utiliser.
  2. Si la reconnaissance automatique est prise en charge pour le DSM, attendez que QRadar ajoute automatiquement la source de journal à votre liste de sources de journal configurées.
  3. Si la reconnaissance automatique n'est pas prise en charge pour le DSM, créez manuellement la configuration de la source de journal.