Parametri di origine log JDBC per Symantec System Center
Se QRadar non rileva automaticamente l'origine log, aggiungere un'origine log Symantec System Center su QRadar Console utilizzando il protocollo JDBC .
Quando si utilizza il protocollo JDBC ci sono parametri specifici che è necessario utilizzare.
| Parametro | Valore |
|---|---|
| Log Source Name | Digitare un nome univoco per l'origine log. |
| Log Source Description (facoltativo) | Digitare una descrizione per l'origine log. |
| Log Source Type | Centro Sistema Symantec |
| Protocol Configuration | JDBC |
| Log Source Identifier | Digitare un nome per l'origine log. Il nome non può contenere spazi e deve essere univoco tra tutte le origini log del tipo di origine log configurato per utilizzare il protocollo JDBC . Se l'origine log raccoglie gli eventi da un singolo dispositivo che ha un indirizzo IP statico o un nome host, utilizzare l'indirizzo IP o il nome host del dispositivo come valore completo o parte del valore Identificativo origine log ; ad esempio, 192.168.1.1 o JDBC192.168.1.1. Se l'origine log non raccoglie gli eventi da un singolo dispositivo che ha un indirizzo IP statico o un nome host, è possibile utilizzare qualsiasi nome univoco per il valore Identificativo origine log ; ad esempio, JDBC1, JDBC2. |
| Database Type | MSDE. |
| Database Name | Immettere Reporting come nome del database Symantec System Center. |
| IP or Hostname | Digitare l'indirizzo IP o il nome host del Symantec System Center SQL Server. |
| Port | Digitare il numero di porta utilizzato dal server di database. La porta predefinita per MSDE è 1433. La porta di configurazione JDBC deve corrispondere alla porta listener del database Symantec System Center. Il database Symantec System Center deve avere connessioni TCP in entrata abilitate per comunicare con QRadar. Se si definisce una Istanza Database quando si utilizza MSDE come tipo di database, è necessario lasciare il campo Porta vuoto nella configurazione. |
| Username | Digitare il nome utente necessario per accedere al database. |
| Password | Digitare la password necessaria per accedere al database. La password può essere lunga fino a 255 caratteri. |
| Confirm Password | Confermare la password necessaria per accedere al database. La password di conferma deve essere identica alla password inserita nel campo Password . |
| Authentication Domain | Se non è stato selezionato Utilizza Microsoft JDBC, viene visualizzato Dominio di autenticazione . Il dominio per MSDE che è un dominio Windows. Se la rete non utilizza un dominio, lasciare vuoto questo campo. |
| Database Instance | L'istanza del database, se richiesto. I database di MSDE possono includere più istanze server SQL su un solo server. Quando una porta non standard viene utilizzata per il database o l'accesso è bloccato alla porta 1434 per la risoluzione del database SQL, il parametro Database istanza deve essere vuoto nella configurazione dell'origine log. |
| Table Name | Immettere vw_qradar come nome della tabella o della vista che include i record evento. |
| Select List | Immettere * per tutti i campi della tabella o della vista. È possibile utilizzare un elenco separato da virgole per definire tabelle o viste specifiche, se ne è necessaria la configurazione. L'elenco separato da virgole può arrivare fino a 255 caratteri alfanumerici di lunghezza. L'elenco può contenere i seguenti caratteri speciali: simbolo del dollaro ($), simbolo del numero (#), carattere di sottolineatura (_), trattino (-) e punto (.). |
| Compare Field | Immettere idx come campo di confronto. Il campo di confronto viene utilizzato per identificare nuovi eventi che vengono aggiunti tra le query alla tabella. |
| Use Prepared Statements | Le istruzioni preparate consentono all'origine del protocollo JDBC di impostare l'istruzione SQL, quindi eseguire l'istruzione SQL numerose volte con diversi parametri. Per motivi di sicurezza e prestazioni, la maggior parte delle configurazioni di protocollo JDBC possono utilizzare istruzioni preparate. |
| Start Date and Time(facoltativo) | Digitare la data e l'ora di inizio per la polling del database nel seguente formato: yyyy - MM - dd HH :mm con HH specificato utilizzando un orologio di 24 ore. Se la data o l'ora di inizio è chiara, il polling inizia immediatamente e si ripete all'intervallo di polling specificato. |
| Polling Interval | Digitare l'intervallo di polling, ovvero la quantità di tempo tra le query alla tabella degli eventi. L'intervallo di polling predefinito è 10 seconds. È possibile definire un intervallo di polling più lungo appendendo H per ore o M per minuti al valore numerico. L'intervallo di polling massimo è di 1 settimana in qualsiasi formato orario. Valori numerici immessi senza un sondaggio H o M in secondi. |
| EPS Throttle | Il numero massimo di eventi al secondo che QRadar ingerisce. Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS. Il valore predefinito è 20.000 EPS. |
| Use Named Pipe Communication | Se non è stato selezionato Utilizza Microsoft JDBC, viene visualizzata Utilizza Named Pipe Communication . Deselezionare la casella di controllo Utilizza Named Pipe Communication . I database di MSDE richiedono il campo nome utente e password per utilizzare un nome utente e una password di autenticazione di Windows e non il nome utente e la password del database. La configurazione di origine log deve utilizzare il default che viene denominato pipe sul database di MSDE |
| Database Cluster Name | Se è stata selezionata la casella di controllo Utilizza Named Pipe Communication , viene visualizzato il parametro Nome cluster database . Se si esegue il server SQL in un ambiente cluster, definire correttamente il nome del cluster per garantire funzioni di comunicazione Named Pipe. |
| Use NTLMv2 | Se non è stato selezionato Utilizza Microsoft JDBC, viene visualizzato Utilizza NTLMv2 . Selezionare questa opzione se si desidera connessioni MSDE per utilizzare il protocollo NTLMv2 quando comunicano con server SQL che richiedono l'autenticazione NTLMv2 . Questa opzione non interroga le comunicazioni per connessioni MSDE che non richiedono l'autenticazione NTLMv2 . Non interroga le comunicazioni per connessioni MSDE che non richiedono l'autenticazione NTLMv2 . |
| Use Microsoft JDBC | Se si desidera utilizzare il driver Microsoft JDBC , è necessario abilitare Utilizza Microsoft JDBC. |
| Use SSL | Selezionare questa opzione se la connessione supporta SSL. |
| Microsoft SQL Server Hostname | Se si seleziona Utilizza Microsoft JDBC e Utilizza SSL, viene visualizzato il parametro Microsoft SQL Server Hostname . È necessario digitare il nome host per il server Microsoft SQL. |
Per un elenco completo dei parametri del protocollo di JDBC e dei relativi valori, consultare c_logsource_JDBCprotocol.html.