Opzioni di configurazione del protocollo IBM Cloud Object Storage

Il protocollo IBM Cloud Object Storage per IBM QRadar è un protocollo in uscita o attivo che raccoglie i registri contenuti negli oggetti di IBM Cloud Object Storage.

Importante: prima di configurare il protocollo IBM Cloud Object Storage , configurare i ruoli di accesso utente e le credenziali del servizio per accedere ai bucket IBM Cloud Object Storage .

Devi avere il ruolo Reader, Writer o Manager per accedere ai bucket. Per ulteriori informazioni sui ruoli e le autorizzazioni di accesso utente, vedi Autorizzazioni bucket (https://cloud.ibm.com/docs/cloud-object-storage?topic=cloud-object-storage-iam-bucket-permissions).

È necessario creare credenziali di servizio che includono le credenziali HMAC (hash - based message authentication code). Per ulteriori informazioni relative alle credenziali del servizio, consultare Utilizzo delle credenziali HMAC (https://cloud.ibm.com/docs/cloud-object-storage?topic=cloud-object-storage-uhc-hmac-credentials-main).

Tabella 1. IBM Parametri di origine log comuni del protocollo Cloud Object Storage
Parametro	Descrizione
Configurazione protocollo	IBM Cloud Object Storage
Identificativo origine log	Digitare un nome univoco per l'origine log. L'identificatore di origine log non ha bisogno di fare riferimento a un server specifico, e può essere lo stesso valore del Nome origine log.
ID chiave di accesso HMAC	L'ID chiave di accesso che è stato generato quando si sono configurati le credenziali di servizio.
Chiave di accesso segreto HMAC	La chiave di accesso segreta che è stata generata quando si sono configurate le credenziali di servizio.
Endpoint	L'endpoint pubblico indicato nella pagina di configurazione del bucket.
Nome bucket	Il nome del secchio che i log vengono memorizzati in.
Prefisso	Il valore del filtro prefisso per limitare la raccolta di oggetti o chiavi di file che iniziano con il prefisso. Per tirare tutti i file dal secchio, utilizzare una barra (/). Importante: Modifica del valore Prefisso cancella il marker del file persistente. Tutti i file che corrispondono al nuovo prefisso vengono scaricati nella successiva tiratura. Se il percorso file Prefix viene utilizzato per specificare le cartelle, non è necessario iniziare il percorso file con una barra. Ad esempio, utilizzare folder1/folder2 .
Formato evento	Sono supportati i seguenti formati di eventi: LINEBYLINE File di log raw che contengono un solo record per riga. È possibile utilizzare i file .gz, .gzipo .zip per la compressione. W3C I file che contengono dati di formattazione W3C generici per l'output di eventi di coppia nome - valore (solo file.gz ).
Utilizza come fonte di registrazione gateway	Se non si desidera definire un identificativo di origine log personalizzato per gli eventi, deselezionare la casella di controllo. Se non si seleziona Utilizza come origine log gateway e non si configura il Modello identificativo origine log, QRadar riceve gli eventi come origini log generiche sconosciute.
Pattern Identificativo di origine log	Se si seleziona Use As A Gateway Log Source, è possibile definire un identificativo di origine log personalizzato. Utilizzare questa opzione per gli eventi che vengono elaborati e per le origini log che vengono rilevate automaticamente. Se non si configura il Modello identificativo origine log, QRadar riceve gli eventi come origini log generiche sconosciute. Utilizzare coppie di valore - valore per definire l'identificatore di origine log personalizzato. La chiave è la stringa di formato identificativo, ovvero il valore di origine o di origine risultante. Il valore è il modello regex associato che viene utilizzato per valutare il payload corrente. Questo valore supporta anche i gruppi di acquisizione che possono essere utilizzati per personalizzare ulteriormente la chiave. Definire più coppie di valore - chiave digitando ogni modello su una nuova linea. Più pattern vengono valutati nell'ordine che vengono elencati. Quando si trova una corrispondenza, viene visualizzato un identificativo di origine log personalizzato. I seguenti esempi mostrano più funzioni di coppia chiave - valore: `Patterns VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK) Events {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0} Resulting custom log source identifier VPC-ACCEPT-OK`
Mostra opzioni avanzate	Per configurare le opzioni avanzate per la raccolta degli eventi, impostare questa opzione su On.
Pattern file	Immettere un regex per il modello di file che corrisponde ai file che si desidera estrarre; ad esempio `.*?\.json\.gz`. Questa opzione è disponibile quando si imposta Mostra opzioni avanzate a Su.
Directory locale	La directory locale sul raccoglitore eventi di destinazione. La directory deve esistere prima che il protocollo tenta di richiamare gli eventi. Questa opzione è disponibile quando si imposta Mostra opzioni avanzate su on.
Utilizza proxy	Se QRadar accede a IBM Cloud Object Storage utilizzando un proxy, abilitare Utilizza proxy. Se il proxy richiede l'autenticazione, configurare i parametri Proxy Server, Proxy Port, Proxy Usernamee Proxy Password . Se il proxy non richiede autenticazione, lasciare vuoti i campi Proxy Username e Proxy Password .
Ricorrenza	Digitare un intervallo di tempo per determinare con quale frequenza i sondaggi di protocollo per i nuovi dati. L'intervallo di tempo può includere valori in ore (H), minuti (M) o giorni (D). Ad esempio, 2H = 2 ore, 15M = 15 minutes, 30 = secondi. Il valore minimo è di 60 (secondi) o 1M.
EPS Throttle	Il numero massimo di eventi al secondo che QRadar ingerisce. Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS. Il valore predefinito è 5000.