Parametro di origine log file di log

Se QRadar non rileva automaticamente l'origine log, aggiungere un'origine log IBM z/OS, IBM CICS, IBM RACF, IBM DB2, Broadcom CA Top Secreto Broadcom CA ACF2 su QRadar Console utilizzando il protocollo Log File Protocol.

Quando si utilizza il protocollo Log File, ci sono parametri specifici che è necessario utilizzare.

La seguente tabella descrive i parametri che richiedono valori specifici per raccogliere gli eventi del file di log da IBM z/OS, IBM CICS, IBM RACF, IBM DB2, CA Top Secreto CA ACF2:
Tabella 1. Parametri di origine log file di log
Parametro Valore
Log Source name Digitare un nome per la tua origine log.
Log Source description Digitare una descrizione per l'origine log.
Log Source type Selezionare il proprio nome DSM.
Protocol Configuration File di log
Log Source Identifier

Digitare un indirizzo IP, nome host o nome per identificare l'origine eventi. Gli indirizzi IP o i nomi host sono suggeriti in quanto consentono a QRadar di identificare un file di log in un'origine eventi univoca.

Ad esempio, se la tua rete contiene più dispositivi, come più immagini z/OS® o un repository di file che contiene tutti i log degli eventi, è necessario specificare un nome, un indirizzo IP o un nome host per l'immagine o la posizione che identifica univocamente gli eventi per la sorgente log DSM. Questa specifica consente di identificare gli eventi a livello di immagine o di posizione nella tua rete che i tuoi utenti possono identificare.
Service Type

Dall'elenco Tipo di servizio , selezionare il protocollo che si desidera utilizzare quando si richiamano i file di log da un server remoto. Il default è SFTP.

  • Protocollo di trasferimento file SSH - SSH
  • FTP - File Transfer Protocol
  • SCP - Copia sicura

Il protocollo sottostante che viene utilizzato per richiamare i file di log per il tipo di servizio SCP e SFTP richiede che il server specificato nel campo IP remoto o Hostname abbia il sottosistema SFTP abilitato.
Remote IP or Hostname

Digitare l'indirizzo IP o il nome host del dispositivo che memorizza i file di log degli eventi.
Remote Port

Digitare la porta TCP sull'host remoto che sta eseguendo il Tipo di servizioselezionato. La gamma valida è di 1 - 65535.

Le opzioni includono porte:

  • FTP - Porta TCP 21
  • SFTP - Porta TCP 22
  • SCP - Porta TCP 22

Se l'host per i file dell'evento sta utilizzando un numero di porta non standard per FTP, SFTP o SCP, è necessario regolare il valore della porta.
Remote User

Digitare il nome utente o l'ID utente necessario per accedere al sistema che contiene i tuoi file di eventi.

  • Se i file di log si trovano sull'immagine IBM z/OS , immettere l'ID utente necessario per accedere a IBM z/OS. L'ID utente può essere fino a 8 caratteri di lunghezza.
  • Se i file di log si trovano su un repository di file, digitare il nome utente necessario per accedere al repository di file. Il nome utente può arrivare fino a 255 caratteri di lunghezza.
Remote Password

Digitare la password necessaria per accedere all'host.
Confirm Password

Confermare la password necessaria per accedere all'host.
SSH Key File

Se si seleziona SCP o FTP come Tipo di servizio, questo parametro ti dà l'opzione per definire un file di chiavi private SSH. Quando si fornisce un SSH Key File, il campo Password remota viene ignorato.
Remote Directory

Digitare la posizione della directory sull'host remoto da cui vengono richiamati i file, relativi all'account utente che si sta utilizzando per accedere.
Recursive

Se si desidera che lo schema di file ricerca le sottocartelle nella directory remota, selezionare questa casella di controllo. Per impostazione predefinita, la casella di spunta è deselezionata.

Se si configura SCP come Tipo di servizio, l'opzione Ricursiva viene ignorata.
FTP File Pattern

Se si seleziona FTP o FTP come Tipo di servizio, è possibile configurare l'espressione regolare (regex) necessaria per filtrare l'elenco dei file specificati nel Directory remota. Tutti i file corrispondenti sono inclusi nell'elaborazione.

Il mainframe di IBM z/OS che utilizza IBM® Security zSecure Audit scrive i file di eventi utilizzando il pattern: <product_name>.<timestamp>.gz

Lo schema di file FTP che si specifica deve corrispondere al nome assegnato ai file dell'evento. Ad esempio, per raccogliere i file che iniziano con zOS e terminano con .gz, immettere il codice seguente:

zOS.*\.gz

L'utilizzo di questo parametro richiede la conoscenza di espressioni regolari (regex). Per ulteriori informazioni su regex, consultare Lezione: espressioni regolari (https://docs.oracle.com/javase/tutorial/essential/regex/).
FTP Transfer Mode

Questa opzione visualizza solo se si seleziona FTP come Tipo di servizio. Dall'elenco, selezionare Binario.

La modalità di trasferimento binario è necessaria per i file di eventi memorizzati in un formato binario o compresso, ad esempio i file di archivio zip, gzip, taro tar+gzip .
SCP Remote File

Se si seleziona SCP come Tipo di servizio è necessario digitare il nome del file remoto.
Start Time

Digitare l'ora del giorno in cui si desidera che la lavorazione inizi. Ad esempio, immettere 00:00 per pianificare il protocollo File di log per raccogliere i file di evento a mezzanotte.

Questo parametro funziona con il valore Recurrence per stabilire quando e come spesso viene scansato il Remote Directory per i file. Digitare l'orario di inizio, basato su un clock di 24 ore, nel seguente formato: HH: MM.
Recurrence

Digitare la frequenza, a partire dall'Ora di inizio, che si desidera che la directory remota venga scansata. Digitare questo valore in ore (H), minuti (M) o giorni (D).

Ad esempio, immettere 2H se si desidera che la directory remota venga sottoposta a scansione ogni 2 ore dall'ora di inizio. Il valore predefinito è 1H.
Run On Save

Se si desidera che il protocollo Log File venga eseguito immediatamente dopo aver fatto clic su Salva, selezionare questa casella di controllo.

Dopo che il Esegui su Salva si completa, il protocollo Log File segue la tua pianificazione di inizio e di ricorrenza configurata.

Selezionando Esegui su Salva cancella l'elenco dei file precedentemente elaborati per il parametro Ignorare Precedentemente Elaborati File.
EPS Throttle

Il numero massimo di eventi al secondo che QRadar ingerisce.

Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS.

L'intervallo valido è compreso tra 100 e 5000.
Processor

Dall'elenco, selezionare gzip.

I processori consentono ad archivi di file di eventi di essere espansi e i contenuti vengono elaborati per gli eventi. I file vengono elaborati dopo il download in QRadar. QRadar può elaborare i file in formato di archivio zip, gzip, taro tar+gzip .
Ignore Previously Processed File(s)

Selezionare questa casella di controllo per tenere traccia e ignorare i file già elaborati dal protocollo Log File.

QRadar esamina i file di log nella directory remota per stabilire se un file è stato precedentemente elaborato dal protocollo del file di log. Se viene rilevato un file precedentemente elaborato, il protocollo Log File non scarica il file per l'elaborazione. Tutti i file non elaborati in precedenza vengono scaricati.

Questa opzione si applica solo ai tipi di servizio FTP e SFTP.
Change Local Directory?

Selezionare questa casella di spunta per definire una directory locale su QRadar per la memorizzazione dei file scaricati durante l'elaborazione.

Si suggerisce di lasciare questa casella di spunta chiara. Quando questa casella di controllo viene selezionata, viene visualizzato il campo Directory locale , che ti dà l'opzione di configurare la directory locale da utilizzare per la memorizzazione dei file.
Event Generator

Dall'elenco Generatore di eventi, selezionare LineByLine.

Il Generatore Eventi applica una maggiore elaborazione ai file di eventi richiamati. Ogni riga è un evento unico. Ad esempio, se un file ha 10 righe di testo, vengono creati 10 eventi separati.