Présentation du protocole Syslog Redirect
Le protocole Syslog Redirect est un protocole entrant passif qui est utilisé comme alternative au protocole Syslog. Utilisez ce protocole lorsque vous souhaitez que QRadar identifie le nom de périphérique spécifique qui a envoyé les événements. QRadar peut écouter passivement les événements Syslog en utilisant TCP ou UDP sur n'importe quel port inutilisé que vous spécifiez.
| Paramètre | Descriptif |
|---|---|
| Protocol Configuration | Redirection Syslog |
| Log Source Identifier | Entrez un identificateur de source de journal à utiliser par défaut. Si Log Source Identifier Regex ne peut pas analyser l' identificateur de source de journal à partir d'un contenu particulier à l'aide de l'expression régulière fournie, la valeur par défaut est utilisée. |
| Log Source Identifier Regex | Entrez une expression régulière pour analyser l' identificateur de source de journal à partir du contenu. |
| Log Source Identifier Regex Format String | Chaîne de format permettant de combiner des groupes de capture à partir de l'expression régulière de l'identificateur de source de journal. Par exemple : "$1" peut utiliser le premier groupe de capture. "$1$2" peut concaténer les groupes de capture 1 et 2. "$1 TEXT $ 2" peut concaténer le groupe de capture 1, le littéral "TEXT" et le groupe de capture 2. La chaîne obtenue est utilisée comme nouvel identificateur de source de journal. |
| Listen Port | Entrez tout port inutilisé et définissez votre source de journal pour envoyer des événements à QRadar sur ce port. |
| Protocol | Dans la liste, sélectionnez TCP ou UDP. Le protocole Syslog Redirect prend en charge n'importe quel nombre de connexions UDP syslog, mais limite les connexions TCP à 2500. Si le flux syslog comporte plus de 2500 sources de journal, vous devez entrer une deuxième source de journal et un numéro de port d'écoute. |
| Perform DNS Lookup On Regex Match | Cochez la case Effectuer une recherche DNS sur une correspondance d'expression régulière pour activer la fonctionnalité DNS, qui est basée sur la valeur du paramètre Identificateur de source de journal . Par défaut, la case n'est pas cochée. |
| Use Predictive Parsing | Si vous activez ce paramètre, un algorithme extrait les modèles d'identificateur de source de journal des événements sans exécuter le regex pour chaque événement, ce qui augmente la vitesse d'analyse. Astuce: Dans de rares cas, l'algorithme peut générer des prévisions incorrectes. Activez l'analyse prédictive uniquement pour les types de source de journal desquels vous prévoyez recevoir des taux d'événements élevés et nécessitant une analyse plus rapide.
|
| Payload Size | La taille du contenu correspond à la longueur des données envoyées par le noeud final de communication. La valeur par défaut est 2048. La taille du contenu doit être un entier compris entre 2048 et 32000. |
| Enabled | Cochez cette case pour activer la source de journal. Par défaut, la case est cochée. |
| Credibility | Dans la liste, sélectionnez la Crédibilité de la source de journal. La plage de valeurs possibles est comprise entre 0 et 10. La crédibilité indique l'intégrité d'un événement ou d'une infraction telle que définie par le classement de crédibilité des périphériques source. La crédibilité augmente si plusieurs sources rapportent le même événement. La valeur par défaut est 5. |