Opzioni di configurazione del protocollo SMB Tail

È possibile configurare un'origine log per utilizzare il protocollo SMB Tail. Utilizzare questo protocollo per guardare gli eventi su una condivisione remota Samba e ricevere eventi dalla condivisione Samba quando vengono aggiunte nuove righe al log degli eventi.

Il protocollo SMB Tail è un protocollo in uscita attivo.
Nota: Per ulteriori informazioni sull'installazione di SMB Trail e dei protocolli dipendenti, vedere Installazione di SMB Tail e del protocollo dipendente.
La seguente tabella descrive i parametri specifici del protocollo per il protocollo SMB Tail:
Tabella 1. Parametri protocollo di Coda SMB
Parametro Descrizione
Configurazione protocollo Coda SMB
Identificativo origine log Digitare l'indirizzo IP, hostname o un nome univoco per identificare la tua origine log.
Indirizzo server L'indirizzo IP o il nome host del tuo server Tail SMB.
Dominio

Digitare il dominio per il tuo server Tail SMB.

Questo parametro è facoltativo se il tuo server non è in un dominio.
Nome utente Digitare l'username necessario per accedere al proprio server.
Password Digitare la password necessaria per accedere al tuo server.
Conferma password Confermare la password necessaria per accedere al server.
Percorso cartella di log Il percorso di directory per accedere ai file di log. Ad esempio, gli amministratori possono utilizzare la directory c$/LogFiles/ per una condivisione di gestione o la directory LogFiles/ per un percorso di cartella di condivisione pubblica. Tuttavia, la directory c:/LogFiles non è un percorso della cartella di log supportato.

Se il percorso di una cartella di log contiene una condivisione amministrativa (C$), gli utenti con accesso NetBIOS sulla condivisione amministrativa (C$) dispongono dei privilegi richiesti per leggere i file di log.

I privilegi di amministratore di sistema locale o di dominio sono inoltre sufficienti per accedere a tutti i file di log che si trovano su una condivisione amministrativa.
Pattern file L'espressione regolare (regex) che identifica i log degli eventi.
Versione SMB

Selezionare la versione di Server Message Block (SMB) che si desidera utilizzare.

AUTO
Auto - rileva la versione più alta che il client e il server accettano di utilizzare.
SMB1
Costringe l'uso di SMB1. SMB1 utilizza il file jCIFS.jar (Java™ ARchive).
Importante: SMB1 non è più supportato. Tutti gli amministratori devono aggiornare le configurazioni esistenti per utilizzare SMB2 o SMB3.
SMB2
Costringe l'uso di SMB2. SMB2 usa il file jNQ.jar .
SMB3
Costringe l'uso di SMB3. SMB3 utilizza il file jNQ.jar .
Nota: Prima di creare un'origine log con una versione SMB specifica (ad esempio: SMBv1, SMBv2e SMBv3), assicurarsi che la versione SMB specificata sia supportata dall'OS di Windows in esecuzione sul proprio server. È inoltre necessario verificare che le versioni SMB siano abilitate sul Windows Server specificato.

Per ulteriori informazioni sulle versioni di Windows che supportano le versioni SMB, visitare il sito Web di Microsoft TechNet ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Per ulteriori informazioni su come rilevare, attivare e disattivare SMBv1, SMBv2 e SMBv3 in Windows e Windows Server, consultare il sito Web del supporto Microsoft ( https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server ).
Leggi file di forza Se la casella di spunta è deselezionata, il file di log è di sola lettura quando QRadar rileva una modifica nell'ora di modifica o nella dimensione del file.
Ricorsivo Se si desidera che lo schema di file ricerca le sottocartelle, utilizzare questa opzione. Per impostazione predefinita, la casella di controllo viene selezionata.
Intervallo di polling (in secondi) Digitare l'intervallo di polling, ovvero il numero di secondi tra le query ai file di log per verificare nuovi dati. Il default è 10 seconds.
Eventi di rottura / Sec Il numero massimo di eventi il protocollo SMB Tail avanti al secondo.
Codifica dei file La codifica dei caratteri utilizzata dagli eventi nel tuo file di log.
Elenco di esclusione file Un elenco di espressioni regolari che impediscono l'apertura di determinate directory di file. L'elenco include un'espressione regolare per riga.

Quando un file o una directory corrisponde a una delle espressioni regolari, tale file o directory non viene aperto. Quando un file è in uso, altre applicazioni potrebbero non essere in grado di utilizzarlo. Utilizzare questo parametro per impedire il blocco di tali file o per impedire al protocollo di accedere a file specifici.

Il modello non si applica al percorso completo della cartella di log. Si applica solo alla directory finale elencata nel percorso. Il modello si applica a tutti i file o directory che si trovano all'interno della directory del percorso della cartella di log.

Il seguente elenco è un esempio di cosa è possibile immettere in questo campo.

/j50.*\.log

dhcp\.mdb

dhcp\.tmp