OpenStack

Program IBM® QRadar® DSM for OpenStack gromadzi dzienniki zdarzeń z urządzenia OpenStack .

W poniższej tabeli przedstawiono specyfikacje dla produktu OpenStack DSM:
Tabela 1. Specyfikacja OpenStack DSM
Specyfikacja Wartość
Producent OpenStack
Nazwa DSM OpenStack
Nazwa pliku RPM DSM-OpenStackCeilometer-QRadar_version-build_number.noarch.rpm
obsługiwane wersje V2015.1
Protokół Odbiornik HTTP
Zarejestrowane typy zdarzeń Zdarzenie kontrolne
Czy został automatycznie wykryty? Nie
Czy zawiera tożsamość? Nie
Zawiera właściwości niestandardowe? Nie
Więcej informacji Serwis WWW OpenStack (http://www.openstack.org/)
Aby wysłać zdarzenia z programu OpenStack do programu QRadar, wykonaj następujące kroki:
  1. Jeśli aktualizacje automatyczne nie są włączone, należy pobrać i zainstalować najnowszą wersję następujących pakietów RPM z serwisu WWW działu wsparciaIBM na QRadar Console:
    • PROTOCOL-HTTPReceiver RPM
    • OpenStack DSM RPM
  2. Dodaj źródło dziennika OpenStack w konsoli produktu QRadar . W poniższej tabeli opisano parametry, które są wymagane do gromadzenia zdarzeń OpenStack :
    Tabela 2. Parametry źródła dziennika OpenStack
    Parametr Wartość
    Typ źródła dziennika OpenStack
    Identyfikator źródła dziennika Adres IP serwera OpenStack , a nie nazwa hosta.
    Konfiguracja protokołu HTTPReceiver
    Typ komunikacji HTTP
    Port nasłuchiwania Numer portu używany przez program OpenStack do komunikowania się z produktem QRadar.
    Ważne: Nie należy używać portu 514. Port 514 jest używany przez standardowy program nasłuchujący Syslog.
    Wzorzec komunikatu ^\{"typeURI
  3. Skonfiguruj urządzenie OpenStack tak, aby komunikował się z produktem QRadar.
W poniższej tabeli przedstawiono przykładowy komunikat zdarzenia dla programu OpenStack DSM:
Ważne: W związku z formatowaniem należy wkleić format komunikatu do edytora tekstu, a następnie usunąć znaki powrotu karetki lub znaki nowego wiersza.
Tabela 3. Przykładowy komunikat OpenStack obsługiwany przez urządzenie OpenStack
Nazwa zdarzenia Kategoria niskiego poziomu Przykładowy komunikat dziennika
Wyświetla listę szczegółów dla wszystkich serwerów Próba wykonania działania odczytu 
 {"typeURI": "http://schemas.dmtf.org/cloud/audit/1.0/event", "eventTime": "2014-12-09T00:18:52.063878+0000", "target": {"typeURI": "service/compute/servers/detail", "id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "nova", "addresses": [{"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "admin"}, {"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "private"}, {"url": "http://<IP_address>:8774/v2/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "name": "public"}]}, "observer": {"id": "target"}, "tags": ["correlation_id?value=openstack:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"], "eventType": "activity", "initiator": {"typeURI": "service/security/account/user", "name": "admin", "credential": {"token": "xxxx xxxxxxxx xxxx", "identity_status": "Confirmed"}, "host": {"agent": "python-novaclient", "address": "<IP_address>"}, "project_id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "id": "openstack:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"}, "action": "read/list", "outcome": "pending", "id": "openstack:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",