Aggiunta di un'origine log per ricevere gli eventi

Utilizzare l'app QRadar® Log Source Management per aggiungere nuove origini log per ricevere eventi dai dispositivi o dalle appliance di rete.

Prima di iniziare

Scaricare e installare un DSM (device support module) che supporta l'origine log. Un DSM è un'applicazione software che contiene i pattern di eventi richiesti per identificare e analizzare gli eventi. Gli eventi vengono analizzati dal formato originale del log eventi al formato che QRadar può utilizzare. È possibile installare un DSM da IBM® Fix Central (https://www-945.ibm.com/support/fixcentral/). Per ulteriori informazioni, consultare il manuale DSM Configuration Guide.

È anche possibile creare un tipo di origine log personalizzato senza DSM.

Procedura

  1. Nell'app QRadar Log Source Management , fare clic su + Nuova origine log
  2. Fare clic su Origine log singola.
  3. Nella pagina Seleziona un tipo di origine log , selezionare un tipo di origine log e fare clic su Seleziona tipo di protocollo.
  4. Nella pagina Seleziona un tipo di protocollo , selezionare un protocollo e fare clic su Configura parametri origine log.
  5. Nella pagina Configura parametri origine log , configurare i parametri origine log e fare clic su Configura parametri protocollo.
  6. Nella pagina Configurare i parametri del protocollo , configurare i parametri specifici del protocollo.
  7. Facoltativo: se i certificati del server per il protocollo vengono caricati nell'archivio certificati centralizzato, selezionare il certificato dall'elenco Alias archivio certificati del server .

    Se l'origine log richiede un certificato server che non è stato caricato nell'archivio certificati centralizzato e si dispone dell'autorizzazione Amministratore di sistema , è possibile caricare il certificato dall'app IBM QRadar Certificate Management .

    • Se l'app QRadar Certificate Management è installata, selezionare Carica nuovo certificatonell'elenco Alias archivio certificati server . Viene aperta l'applicazione Gestione certificati.
    • Se l'app QRadar Gestione certificati non è installata, nell'elenco Alias archivio certificati server , selezionare Scarica app Gestione certificati per aprire IBM Security App Exchange e scaricare l'app.
  8. Facoltativo: se la configurazione può essere verificata, l'opzione Parametri protocollo di test viene elencata nel riquadro Passi. Quando si verifica la configurazione, è possibile identificare eventuali errori con i parametri del protocollo. Per ulteriori informazioni, consultare Verifica delle origini log. Per verificare la configurazione, attenersi alla seguente procedura:
    1. Fare clic su Parametri protocollo di test, quindi fare clic su Avvia test.
    2. Per correggere eventuali errori, fare clic su Configura parametri protocollo.
      Nella pagina Configurare i parametri del protocollo , configurare i parametri specifici del protocollo, quindi verificare nuovamente il protocollo.

      Se la configurazione può essere verificata, ma non si desidera verificarla, fare clic su Ignora test e termina.

  9. Fare clic su Fine.

Risultati

L'origine log è elencata nella pagina Origini log .