Cas d'utilisation 3: Envoi de TCP au lieu de UDP
Vous souhaitez envoyer des données Syslog à QRadar via TCP plutôt qu'UDP. Vous devez spécifier cette option dans le gestionnaire de destination.
Procédure
- Recherchez le modèle tmplt_DestinationManager.xml dans le répertoire \IBM \WinCollect\templates .
- Créez une copie du modèle et nommez-la service_DestinationManager.xml.
- Dans
<Module order="4" service_name="UDPSendStage">, remplacez le paramètreservice_nameparTCPSendStage.Service version="7.2.8" classification="Service" type="Service" module="WinCollectPlugin" name="DestinationManager"> <Environment/> <InstanceData> <Instance name="QRadar"> <Environment/> <Module order="1" service_name="StoreAndForwardStage"> <Environment> <Parameter name="DataChunkPeriod" value="10"/> <Parameter name="DataProcessingPeriod" value="500000"/> <Parameter name="QueueLowWaterMark" value="750000"/> <Parameter name="QueueHighWaterMark" value="1000000"/> <Parameter name="Schedule.Enable" value="true"/> <Parameter name="Schedule.Invert" value="false"/> <Parameter name="Socket.KeepAlive.Enabled" value="true"/> <Parameter name="Socket.KeepAlive.Time" value="30000"/> <Parameter name="Socket.KeepAlive.Interval" value="4000"/> </Environment> </Module> <Module order="2" service_name="SimpleEventThrottle"> <Environment> <Parameter name="EventThrottleInEPS" value="5000"/> </Environment> </Module> <Module order="3" service_name="SyslogHeaderStage"> <Environment/> </Module> <Module order="4" service_name="TCPSendStage"> <Environment> <Parameter name="TargetAddress" value="172.18.X.X"/> <Parameter name="TargetPort" value="514"/> </Environment> </Module> </Instance> </InstanceData> </Service> - Déplacez le fichier dans le répertoire \IBM\WinCollect\patch .Au bout de quelques secondes, le fichier disparaît et l'agent redémarre. L'ancien fichier agentconfig.xml est déplacé dans le répertoire de sauvegarde (patch_checkpoint_xxxx).