Opcje konfiguracji protokołu odbiornika HTTP

Aby gromadzić zdarzenia z urządzeń, które przesyłają żądania HTTP lub HTTPS, należy skonfigurować źródło dziennika w taki sposób, aby używało protokołu odbiornika HTTP.

Protokół odbiornika HTTP jest przychodzącym protokołem pasywnym. Odbiornik HTTP działa jako serwer HTTP na skonfigurowanym porcie nasłuchiwania i przekształca treść żądania w dowolne odebrane żądania POST w zdarzenia. Obsługuje zarówno żądania HTTPS, jak i HTTP.

Ważne: Jeśli używany jest protokół HTTP Receiver, należy użyć certyfikatu wydanego przez ośrodek certyfikacji (CA). Certyfikat samopodpisany nie może być certyfikatem samopodpisanym, ponieważ musi zostać sprawdzony przez ośrodek CA. Więcej informacji na temat konfigurowania certyfikatu ośrodka CA dla odbiornika HTTP znajduje się w sekcji Konfigurowanie uwierzytelniania opartego na certyficertyfiach dla odbiornika HTTP.

W poniższej tabeli opisano parametry specyficzne dla protokołu dla protokołu HTTP Receiver:

Tabela 1. Parametry protokołu odbiornika HTTP
Parametr	Opis
Konfiguracja protokołu	Z listy wybierz opcję HTTP Receiver(Odbiornik HTTP).
Identyfikator źródła dziennika	Wpisz unikalną nazwę źródła dziennika. Identyfikator źródła dziennika może być dowolną poprawną wartością i nie musi odwoływać się do konkretnego serwera. Może to być także ta sama wartość, co nazwa źródła dziennika. Upewnij się, że każde źródło dziennika ma unikalną nazwę.
Port nasłuchiwania	Port używany przez produkt IBM® QRadar® do akceptowania przychodzących zdarzeń odbiornika HTTP. Domyślny numer portu to 12469. Ważne: Nie należy używać portu 514. Port 514 jest używany przez standardowy program nasłuchujący Syslog.
Typ komunikacji	Typ serwera HTTP, który jest tworzony przez protokół. HTTP Tworzy serwer HTTP Server bez szyfrowania i weryfikacji HTTPS Tworzy serwer HTTP Server z szyfrowaniem i weryfikacją. HTTPs with Mutual TLS (mTLS) Tworzy HTTP Server , który korzysta z uwierzytelniania wzajemnego TLS (mTLS)
Certyfikat serwera	Wybierz jedną z następujących opcji certyfikatu serwera. Łańcuch certyfikatów PKCS12 i hasło Jeśli zostanie wybrana ta opcja, należy skonfigurować ścieżkę do pliku PKCS12 i podać hasło. Jeśli w pliku PKCS12 znajduje się więcej niż jedna pozycja, należy podać alias, aby określić, który wpis certyfikatu ma być używany. Wybierz bazę certyfikatów QRadar Jeśli zostanie wybrana ta opcja, należy przesłać certyfikat w IBM QRadar Certificate Management app. W aplikacji ustaw certyfikat Cel certyfikatu jako `Server` lub `Server Client`, a jego Komponent jako `Log Source`. Wygenerowany samopodpisany certyfikat (nieaktualne) Jeśli zostanie wybrana ta opcja, zostanie użyty samopodpisany wygenerowany certyfikat. Jeśli certyfikat nie został jeszcze wygenerowany, zostanie wygenerowany jeden z nich. Ten certyfikat jest samopodpisany i jest taki sam, jak konfiguracje protokołu Syslog TLS, które korzystają z wygenerowanych certyfikatów na tym samym hoście.
Przyjazna nazwa certyfikatu serwera	Przyjazna nazwa certyfikatu, który jest dostępny w bazie certyfikatów produktu QRadar , która jest przesyłana w aplikacji QRadar Certificate Management . Ważne: Aplikacja QRadar Certificate Management jest obsługiwana w produkcie QRadar 7.3.3 z pakietem poprawek 6 lub nowszym.
Ścieżka certyfikatu serwera PKCS12	Ścieżka bezwzględna do pliku PKCS12 , który zawiera klucz prywatny i łańcuch certyfikatów. Jeśli jako opcja certyfikatu serwera zostanie wybrana opcja PKCS12 Certificate Chain and Password (Łańcuch i hasło certyfikatu PKCS12), ten parametr zostanie wyświetlony.
HasłoPKCS12	Hasło do pliku PKCS12 . Jeśli jako opcja certyfikatu serwera zostanie wybrana opcja PKCS12 Certificate Chain and Password (Łańcuch i hasło certyfikatu PKCS12), ten parametr zostanie wyświetlony.
Alias certyfikatu PKCS12	Alias dla pozycji certyfikatu w pliku PKCS12 , który ma być używany. Jeśli w pliku PKCS12 znajduje się więcej niż jeden wpis, należy podać alias, aby określić, który wpis certyfikatu ma być używany. Jeśli istnieje więcej niż jedna pozycja certyfikatu, pozostaw to pole puste, aby użyć pojedynczego wpisu certyfikatu. Jeśli jako opcja certyfikatu serwera zostanie wybrana opcja PKCS12 Certificate Chain and Password (Łańcuch i hasło certyfikatu PKCS12), ten parametr zostanie wyświetlony.
Magazyn zaufanych certyfikatów mechanizmu wzajemnego uwierzytelniania TLS	Jeśli zostanie wybrany typ komunikacji HTTPs with Mutual TLS (mTLS) , wybierz jeden z tych typów magazynu zaufanych certyfikatów. Magazyn zaufanych certyfikatów systemu Inicjuje magazyn zaufanych certyfikatów serwera za pomocą magazynu zaufanych certyfikatów systemu operacyjnego w docelowym kolektorze zdarzeń. Niestandardowy magazyn zaufanych certyfikatów Inicjuje magazyn zaufanych certyfikatów serwera przy użyciu magazynu kluczy i hasła Java™ udostępnionego przez użytkownika. Certyfikat klienta na dysku (nieaktualne) Sprawdza, czy certyfikat klienta jest zgodny, ale nie sprawdza poprawności wystawcy. W przypadku tej metody wszyscy klienci muszą współużytkować jeden certyfikat.
Ścieżka Pliku Niestandardowego Magazynu Zaufanych Certyfikatów	Ścieżka bezwzględna do niestandardowego magazynu zaufanych certyfikatów. Należy skopiować niestandardowy magazyn zaufanych certyfikatów do serwera QRadar Console lub Event Collector dla źródła dziennika.
Hasło niestandardowego magazynu zaufanych certyfikatów	Hasło do niestandardowego magazynu zaufanych certyfikatów.
Włącz weryfikację wystawcy	Sprawdź, czy certyfikat klienta został wystawiony przez konkretny certyfikat lub klucz publiczny. Powszechnym przypadkiem użycia jest sprawdzenie, czy do wydania certyfikatu klienta użyto konkretnego pośredniego ośrodka CA.
Certyfikat wystawcy lub klucz publiczny	Główny lub pośredni certyfikat wystawcy lub klucz publiczny w formacie PEM. Wprowadź certyfikat, w tym ten tekst: `-----BEGIN CERTIFICATE-----` `-----END CERTIFICATE-----` Lub wprowadź klucz publiczny, w tym ten tekst: `-----BEGIN PUBLIC KEY-----` `-----END PUBLIC KEY-----` Jeśli włączono parametr Włącz weryfikację wystawcy , ten parametr zostanie wyświetlony.
Użyj CN Allowlist	Określ listy lub wzorce nazw wspólnych, które muszą być zgodne z certyfikatami klienta po ustanowie zaufania. Wprowadź zwykły tekst lub wyrażenie regularne. Zdefiniuj wiele pozycji, wprowadzając każdy wpis w nowym wierszu. Poniższa lista zawiera przykłady typów wspólnych pozycji nazw, które mają być używane na liście CN Allowlist. Stała nazwa `127.0.0.1` `1.1.1.1` Nazwa wieloznacznego `1.1.1.` `.` Nazwa domeny `www.host.*.com` `localhost` Domyślnie ten parametr jest wyłączony.
Sprawdź odwołanie certyfikatu	Sprawdza status unieważnienia certyfikatu na liście odwołań certyfikatów klienta. Aby skonfigurować tę opcję, należy mieć połączenie sieciowe z adresem URL określonym przez pole Punkty dystrybucji CRL certyfikatu klienta w rozszerzeniu X509v3 , a adres URL musi obsługiwać tylko format listy odwołań certyfikatów (CRL). OSCP nie jest obsługiwane.
Ścieżka certyfikatu klienta (nieaktualne)	Ustaw pełną ścieżkę do certyfikatu klienta. Należy skopiować certyfikat klienta do bazy danych QRadar Console lub Event Collector dla źródła dziennika. Jeśli jako Typ komunikacjizostanie wybrana opcja HTTPs with Mutual TLS (mTLS) , a następnie zostanie wybrana opcja Certyfikat klienta na dysku (nieaktualne) jako Magazyn zaufanych certyfikatów wzajemnego uwierzytelniania TLS, ten parametr zostanie wyświetlony.
Wzorzec komunikatu (opcjonalnie)	Domyślnie cała metoda HTTP POST jest przetwarzana jako pojedyncze zdarzenie. Aby podzielić test POST na wiele zdarzeń jednowierszowych, należy podać wyrażenie regularne, aby oznaczyć początek każdego zdarzenia. Jeśli wzorzec jest zgodny z wyrażeniem regularnym co najmniej raz w wierszu, wówczas linia jest traktowana jako zdarzenie.
Użyj Jako Źródła Dziennika Bramy	Wybierz tę opcję, aby zebrane zdarzenia przepływają przez mechanizm QRadar Traffic Analysis, a program QRadar automatycznie wykrywa jedno lub więcej źródeł dzienników.
używaj analizy predykcyjnej	Jeśli ten parametr zostanie włączony, algorytm wyodrębnia wzorce identyfikatora źródła dziennika ze zdarzeń bez uruchamiania regexu dla każdego zdarzenia, co zwiększa szybkość analizowania. Jednak w rzadkich przypadkach algorytm może wprowadzać niepoprawne predykcje. Włącz analizę predykcyjną tylko dla typów źródeł dziennika, które mają otrzymywać wysokie współczynniki zdarzeń, i wymagają szybszego analizowania. Jeśli zostanie włączony parametr Użyj jako źródła dziennika bramy , można włączyć analizę predykcyjną.
Wzorzec identyfikatora źródła dziennika	Jeśli wybrana jest opcja Użyj jako źródła dziennika bramy , użyj tej opcji, aby zdefiniować niestandardowy identyfikator źródła dziennika dla przetwarzanych zdarzeń. Jeśli wzorzec identyfikatora źródła dziennika nie jest skonfigurowany, program QRadar odbiera zdarzenia jako nieznane ogólne źródła dzienników. W polu Wzorzec identyfikatora źródła dziennika akceptowane są pary klucz-wartość, takie jak klucz= wartość, definiujące niestandardowy identyfikator źródła dziennika dla przetwarzanych zdarzeń oraz dla źródeł dzienników, które mają być automatycznie wykrywane (jeśli mają zastosowanie). Klucz jest łańcuchem formatu identyfikatora, który jest wynikiem wartości źródłowej lub źródłowej. Wartością jest powiązany wzorzec wyrażenia regularnego, który jest używany do oceny bieżącego ładunku. Wartość (wzorzec wyrażenia regularnego) obsługuje także grupy przechwytywania, które mogą być używane do dalszego dostosowywania klucza (łańcuch formatu identyfikatora). Wiele par klucz-wartość można zdefiniować, wpisując każdy wzorzec w nowej linii. Jeśli używanych jest wiele wzorców, są one wartościowane w kolejności do momentu znalezienia dopasowania. Po znalezieniu zgodności wyświetlany jest niestandardowy identyfikator źródła dziennika. W poniższych przykładach przedstawiono wiele funkcji par klucz-wartość: Wzorce `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Wydarzenia `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Wynikowy identyfikator źródła dziennika niestandardowego `VPC-ACCEPT-OK`
Ograniczenie EPS	Maksymalna liczba zdarzeń na sekundę (EPS), które nie mają być przekroczyły tego protokołu. Wartością domyślną jest 5000.
Włącz zaawansowane opcje konfiguracji serwera	Włącz ten parametr, aby skonfigurować więcej opcji serwera. Jeśli ten parametr nie zostanie włączony, zostaną użyte wartości domyślne.
Maksymalna Długość Ładunku (Byte)	Maksymalna wielkość ładunku pojedynczego zdarzenia w bajtach. Zdarzenie jest dzielone, gdy jego wielkość ładunku przekracza tę wartość. Wartością domyślną jest 8192 i nie może ona być większa niż 32767. Po włączeniu parametru Włącz zaawansowane opcje konfiguracji serwera ten parametr jest wyświetlany.
Wersja TLS	Wersje protokołu TLS, które mogą być używane z tym protokołem. Aby użyć najbardziej bezpiecznej wersji, należy wybrać opcję TLSv1.2 . Po wybraniu opcji z wieloma dostępnymi wersjami, połączenie HTTPS negocjuje najwyższą wersję dostępną zarówno przez klienta, jak i serwer. Ważne: TLSv1.0 i TLSv1.1 nie są już obsługiwane od wersji QRadar 7.4.3 z pakietem poprawek 3, a 7.5.0 CR. Po włączeniu parametru Włącz zaawansowane opcje konfiguracji serwera ten parametr jest wyświetlany.
Maksymalna długość żądania metody POST (MB)	Maksymalna wielkość treści żądania metody POST (w MB). Jeśli wielkość treści żądania POST przekroczy tę wartość, zwracany jest kod statusu HTTP 413. Wartością domyślną jest 5 i nie może ona być większa niż 10. Po włączeniu parametru Włącz zaawansowane opcje konfiguracji serwera ten parametr jest wyświetlany.