Panoramica LEEF

Log Event Extended Format (LEEF) è un formato evento personalizzato per IBM® Security QRadar®.

Qualsiasi fornitore può utilizzare questa documentazione per generare eventi LEEF.

QRadar può integrare, identificare ed elaborare eventi LEEF. Gli eventi LEEF devono utilizzare la codifica caratteri UTF-8 .

È possibile inviare gli eventi in output LEEF a QRadar utilizzando i seguenti protocolli:

  • Syslog
  • Importazione di file con il protocollo del file di log
Importante: prima che QRadar possa utilizzare eventi LEEF, è necessario completare le attività di configurazione di Universal LEEF. Per ulteriori informazioni sulla configurazione del protocollo del file di log per raccogliere gli eventi LEEF universali, consultare DSM Configuration Guide.

Il metodo selezionato per fornire gli eventi LEEF determina se gli eventi possono essere rilevati automaticamente in QRadar. Quando gli eventi vengono rilevati automaticamente, viene ridotto il livello di configurazione manuale necessario in QRadar .

Quando si ricevono gli eventi LEEF, QRadar analizza il traffico eventi nel tentativo di identificare il dispositivo o il dispositivo. Questo processo viene definito analisi del traffico. In genere, sono necessari almeno 25 eventi LEEF per identificare e creare una nuova origine log in QRadar. Finché l'analisi del traffico non identifica l'origine evento, i 25 eventi iniziali vengono categorizzati come eventi DSM log generico SIM e il nome evento viene impostato come Evento log sconosciuto. Una volta identificato il traffico eventi, QRadar crea un'origine log per categorizzare ed etichettare correttamente gli eventi inoltrati dalla tua applicazione o dal tuo software. Gli eventi inviati dal tuo dispositivo sono visualizzabili in QRadar sulla scheda Log Activity .

Importante: quando non è possibile identificare un'origine log dopo 1.000 eventi, QRadar crea una notifica di sistema e rimuove l'origine log dalla coda di analisi del traffico. QRadar è ancora in grado di raccogliere gli eventi, ma un utente deve intervenire e creare manualmente un'origine log per identificare il tipo di evento.