Opzioni di configurazione del protocollo di log

Per ricevere gli eventi da host remoti, configurare un'origine log per utilizzare il protocollo Log File.

Il protocollo del file di log è un protocollo in uscita attivo destinato ai sistemi che scrivono log eventi giornalieri. Non è opportuno utilizzare il protocollo Log File per i dispositivi che accoda le informazioni ai propri file di eventi.

I file di log vengono richiamati uno alla volta utilizzando SFTP, FTP, SCP o FTPS. Il protocollo Log File può gestire testo semplice, file compressi o archivi di file. Gli archivi devono contenere file di testo in chiaro che possono essere elaborati una riga alla volta. Quando il protocollo Log File scarica un file di eventi, le informazioni ricevute nel file aggiorna la scheda Attività di registrazione . Se più informazioni vengono scritte al file dopo il completamento del download, le informazioni allegate non vengono elaborate.

La seguente tabella descrive i parametri specifici del protocollo per il protocollo Log File:
Tabella 1. Parametri protocollo di registrazione file
Parametro Descrizione
Configurazione protocollo File di log
Identificativo origine log

Digitare un nome univoco per l'origine log.

L' identificatore di origine log può essere qualsiasi valore valido e non ha bisogno di fare riferimento a un server specifico. Può essere anche lo stesso valore del Nome origine log. Se si dispone di più di un'origine log del file di log configurata, assicurarsi di assegnare a ciascuno un nome univoco.
Tipo di servizio

Selezionare il protocollo da utilizzare quando si richiamano i file di log da un server remoto.

  • SFTP - protocollo Secure File Transfer (predefinito)
  • FTP - File Transfer Protocol
  • FTPS - Protocollo di trasferimento file sicuro
  • SCP - Protocollo di copia sicuro

Il server specificato nel campo Remote IP o Hostname deve consentire al sottosistema SFTP di richiamare i file di log con SCP o SFTP.
IP o nome host remoto Immettere l'indirizzo IP o il nome host della periferica che contiene i file di log eventi.
Porta remota Se l'host remoto utilizza un numero di porta non standard, è necessario regolare il valore della porta per richiamare gli eventi.
Utente remoto Immettere il nome utente che si utilizza per accedere all'host che contiene i file di evento.
Password remota Immettere la parola d'ordine utilizzata per accedere all'host.
Abilita controllo chiave host rigoroso Abilitare questa opzione per definire un elenco di chiavi pubbliche consentite per l'host di destinazione nel parametro Elenco chiavi host .
Nota: questa opzione è disponibile solo quando si seleziona SFTP (protocolloSecure File Transfer ) o SCP (Secure Copy Protocol) nel campo Tipo di servizio .
Elenco chiavi host

Fornire un elenco di chiavi host codificate Base64 da utilizzare durante la connessione all'host di destinazione. Separare più chiavi utilizzando una nuova riga e utilizzare righe vuote per la formattazione. I tipi di chiave host supportati sono: ssh-dss, ssh-rsa, ecdsa-sha2-nistp256, ecdsa-sha2-nistp384e ecdsa-sha2-nistp521.

È possibile ottenere queste chiavi eseguendo il comando OpenSSH ssh-keyscan su Linuxo ssh-keyscan.exe su Windows, oppure ottenendo la chiave pubblica dal sistema di destinazione direttamente da un'ubicazione simile a /root/.ssh/id_rsa.pub. Utilizzare solo l'hash Base64 e non il nome host o l'algoritmo.

Nota: questa opzione è disponibile solo quando si seleziona SFTP (protocolloSecure File Transfer ) o SCP (Secure Copy Protocol) nel campo Tipo di servizio .
File di chiavi SSH

Se il sistema è configurato per utilizzare l'autenticazione delle chiavi, digitare la chiave SSH. Quando viene utilizzato un file di chiavi SSH, il campo Password remota viene ignorato.

La chiave SSH deve essere ubicata nella directory /opt/qradar/conf/keys .

Importante: Il campo File di chiavi SSH non accetta più un percorso file. Non può contenere "/" o "~". Immettere il nome file per la chiave SSH. Le chiavi per le configurazioni esistenti vengono copiate nella directory /opt/qradar/conf/keys . Per garantire l'unicità, le chiavi devono avere "_< Timestamp>" accodato al nome file.
Directory remota Per FTP, se i file di log si trovano nella directory home dell'utente remoto, è possibile lasciare vuota la directory remota. Un campo della directory remota vuota supporta i sistemi in cui è limitata una modifica del comando CWD (working directory).
Ricorsivo Abilitare questa casella di controllo per consentire connessioni FTP o SFTP a sottocartelle di ricerca ricorsivamente della directory remota per i dati dell'evento. I dati raccolti dalle sottocartelle dipendono dalle corrispondenze all'espressione regolare nell'FTP File Pattern. L'opzione Recensione non è disponibile per le connessioni SCP.
Modello file FTP L'espressione regolare (regex) necessaria per identificare i file da scaricare dall'host remoto.
Modalità di trasferimento FTP Per trasferimenti ASCII su FTP, è necessario selezionare NONE nel campo Processore e LINEBYLINE nel campo Generatore eventi .
Versione FTPS TLS
Le versioni TLS compatibili con le connessioni FTPS. Selezionare TLS 1.3 per il livello più alto di sicurezza TLS. Quando si seleziona un'opzione che supporta più versioni, la connessione FTPS negozia la versione più recente supportata dal client e dal server. TLS 1.3 è compatibile con QRadar 7.5.0 Update Package 5 e versioni successive.
Importante: TLS 1.0 e TLS 1.1 non sono più supportate da QRadar 7.4.3 Fix Pack 3 e 7.5.0 Candidate Release e le successive release cesseranno di supportarle.
Limitazione: QRadar supporta solo FTPS esplicito

Se il server FTP supporta il riutilizzo della sessione, assicurarsi di disabilitarlo nel file di configurazione del server FTP. Questa opzione di configurazione è applicabile quando FTPS è selezionato nel parametro Tipo di servizio .
File remoto SCP Per i trasferimenti file SCP, immettere il nome del file sull'host remoto. È possibile scegliere un solo file. Questo parametro non supporta l'aggiunta di più file, inclusi metodi come globbing di file o espressioni regolari.
Ora di inizio Selezionare l'ora del giorno in cui l'origine log deve iniziare l'importazione del file. Questo parametro funziona con il parametro Ricorrenza per stabilire quando e con quale frequenza la directory remota viene sottoposta a scansione per i file.
Ricorrenza

L'intervallo di tempo per determinare la frequenza di scansione della directory remota per i nuovi file di log degli eventi. L'intervallo di tempo può includere valori in ore (H), minuti (M) o giorni (D). Ad esempio, una ricorrenza di 2H scandisce la directory remota ogni 2 ore.
Esegui al salvataggio Avvia l'importazione del file di log immediatamente dopo aver salvato la configurazione dell'origine log. Quando selezionata, questa casella di controllo cancella l'elenco dei file precedentemente scaricati ed elaborati. Dopo la prima importazione del file, il protocollo del file di log segue l'ora di inizio e la pianificazione di ricorrenza definita dall'amministratore.
Limitazione EPS

Il numero massimo di eventi al secondo che QRadar ingerisce.

Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS.
Processore Se i file sull'host remoto sono memorizzati in formato archivio, selezionare il processore utilizzato per decomprimere il log eventi. Se i file non sono memorizzati in un formato di archivio, selezionare Nessuno. Il valore predefinito è Nessuno.
Ignora file elaborati precedentemente Selezionare questa casella di spunta per tenere traccia dei file elaborati dall'origine log. Questa opzione impedisce eventi duplicati dai file che vengono elaborati una seconda volta. Questa casella di spunta si applica ai trasferimenti file FTP e SFTP.
Modifica directory locale Cambia la directory locale sul Raccolta Eventi di destinazione per memorizzare i log degli eventi prima di essere elaborati.
Directory locale La directory locale sul Collector evento di destinazione. La directory deve esistere prima che il protocollo Log File tenta di richiamare gli eventi.
Generatore eventi Scegliere uno dei seguenti tipi di file da utilizzare come generatore di eventi per il protocollo.
LineByLine
Ogni linea viene elaborata come un singolo evento. Un file di 10 righe crea 10 eventi separati.
HPTandem
Il file viene elaborato come log di controllo binario HPTandem NonStop . Ogni record nel file di log (primario o secondario) viene convertito in testo ed elaborato come un singolo evento. I log di controllo HPTandem utilizzano il seguente pattern di nome file: [aA]\d{7}.
WebSphere Application Server
Elabora i log eventi per WebSphere Application Server. La directory remota deve definire il percorso file configurato in DSM.
W3C
Elabora i file di log da origini che utilizzano il formato W3C . L'intestazione del file di log identifica l'ordine e i dati contenuti in ciascuna riga del file.
Avvertenza sufficiente
Elabora i file di log dai dispositivi Fair Warning che proteggono l'identità del paziente e le informazioni mediche. La directory remota deve definire il percorso file per i log eventi generati dalla periferica Avvertenza sufficiente.
Dati sottoscrittore DPI
Il file viene elaborato come un log di statistica DPI prodotto da un router Juniper Networks MX. L'intestazione del file identifica l'ordine e i dati contenuti in ciascuna riga del file. Ogni riga nel file dopo l'intestazione è formattata come delimitata da tabulazionename=valueevento di coppia.
Log di controllo SAP
Elaborare i file per i log di controllo SAP per conservare un registro degli eventi relativi alla sicurezza nei sistemi SAP .
Oracle Oracle WebLogic
Elabora file per i file di log dell'applicazione Oracle BEA WebLogic .
SBR Juniper
Elabora i file di log eventi da Juniper Steel - Belted RADIUS.
ID - multilinea collegata
Elabora i log eventi a più righe che contengono un valore comune all'inizio di ogni riga in un messaggio evento a più righe. Questa opzione utilizza le espressioni regolari per identificare e riassemblare l'evento a più righe in un singolo payload eventi.
Corrispondenza linea
Esegue l'iterazione attraverso le righe finché non viene trovata una riga che corrisponde al modello ed elimina tutte le righe che non corrispondono al modello.
Controllo XML SO Oracle
Elabora il log di controllo prodotto da Oracle Database.
Oracle OS Multiline Audit
Elabora log di controllo Oracle a più righe che contengono informazioni di controllo quali azione, utente, stato e così via.
Multilinea basata su RegEx
Esegue l'iterazione attraverso le righe in base al modello iniziale, finale e ignora il modello delle espressioni regolari fornite e scarta tutte le righe nel flusso che non corrispondono ai modelli.
Codifica dei file La codifica dei caratteri utilizzata dagli eventi nel tuo file di log.
Modello ID messaggio Immettere un'espressione regolare (regex) che identifica un valore comune all'inizio di ogni riga in un messaggio evento a più righe.
Separatore cartella Il carattere che viene utilizzato per separare le cartelle per il proprio sistema operativo. La maggior parte delle configurazioni può utilizzare il valore predefinito nel campo Separatore cartella . Questo campo è destinato ai sistemi operativi che utilizzano un carattere diverso per definire cartelle separate. Ad esempio, periodi che separano cartelle sui sistemi mainframe.
Modello iniziale RegEx Immettere un'espressione regolare (regex) che identifica il pattern iniziale di ciascuna riga.
Modello di fine RegEx Immettere un'espressione regolare (regex) che identifica il modello di fine di ogni riga.
Ignora modello RegEx Immettere un'espressione regolare (regex) per escludere un modello specifico in ogni riga.
Data ora RegEx Immettere un'espressione regolare (regex) che identifichi il formato di data e ora di ciascuna riga.
Formato data/ora Immettere un formato data e ora per identificare l'avvio di un evento da ciascuna riga.

Configurare QRadar per utilizzare FTPS per il protocollo del file di log

Per configurare FTPS per il protocollo del file di log, è necessario inserire i certificati SSL del server su tutti i QRadar Event Collectors che si collegano al server FTP. Se il tuo certificato SSL non è RSA 2048, creare un nuovo certificato SSL.

Il seguente comando fornisce un esempio di creazione di un certificato su un sistema LINUX utilizzando Open SSL:
openssl req -newkey rsa:2048 -nodes -keyout ftpserver.key -x509 -days 365 -out ftpserver.crt

I file sul server FTP con estensione .crt devono essere copiati nella directory /opt/qradar/conf/trusted_certificates su ciascun Event Collectors.