Protokół przekierowania syslog-przegląd
Protokół Syslog Redirect jest pasywnym protokołem przychodzącym, który jest używany jako alternatywa dla protokołu Syslog. Tego protokołu należy użyć, jeśli produkt QRadar® ma identyfikować konkretną nazwę urządzenia, która wysłała zdarzenia. Program QRadar może pasywnie nasłuchiwać zdarzeń dziennika systemowego za pomocą protokołu TCP lub UDP w dowolnym nieużywanym porcie.
| Parametr | Opis |
|---|---|
| Protocol Configuration | Przekieruj dziennik Syslog |
| Log Source Identifier | Wprowadź Identyfikator źródła dziennika , który ma być używany jako domyślny. Jeśli parametr Regex identyfikatora źródła dziennika nie może przeanalizować identyfikatora źródła dziennika z konkretnego ładunku za pomocą udostępnionego wyrażenia regularnego, zostanie użyta wartość domyślna. |
| Log Source Identifier Regex | Wprowadź wyrażenie regularne w celu przeanalizowania wartości Identyfikator źródła dziennika z ładunku. |
| Log Source Identifier Regex Format String | Formatuj łańcuch, aby połączyć grupy przechwytywania z wyrażenia regularnego identyfikatora źródła dziennika. Na przykład: "$1" będzie używać pierwszej grupy przechwytywania. "$1$2" skonkatenuje grupy przechwytywania 1 i 2. "$1 TEXT $2" skonkatenuje grupę przechwytywania 1, literał "TEXT" i grupę przechwytywania 2. Łańcuch wynikowy jest używany jako nowy identyfikator źródła dziennika. |
| Listen Port | Wprowadź dowolny nieużywany port i ustaw źródło dziennika, aby wysyłać zdarzenia do produktu QRadar na tym porcie. |
| Protocol | Z listy wybierz opcję TCP lub UDP. Protokół Syslog Redirect obsługuje dowolną liczbę połączeń protokołu UDP syslog, ale ogranicza połączenia TCP do 2500. Jeśli strumień dziennika syslog ma więcej niż 2500 źródeł dzienników, należy wprowadzić drugi numer portu źródła i numer portu nasłuchiwania. |
| Perform DNS Lookup On Regex Match | Zaznacz pole wyboru Wykonaj wyszukiwanie DNS w przypadku dopasowania wyrażenia regularnego , aby włączyć funkcję DNS, która jest oparta na wartości parametru Identyfikator źródła dziennika . Domyślnie pole wyboru nie jest zaznaczone. |
| Use Predictive Parsing | Jeśli ten parametr zostanie włączony, algorytm wyodrębnia wzorce identyfikatora źródła dziennika ze zdarzeń bez uruchamiania regexu dla każdego zdarzenia, co zwiększa szybkość analizowania. Wskazówka: W rzadkich przypadkach algorytm może wprowadzać niepoprawne predykcje. Włącz analizę predykcyjną tylko dla typów źródeł dziennika, które mają otrzymywać wysokie współczynniki zdarzeń, i wymagają szybszego analizowania.
|
| Enabled | Zaznacz to pole wyboru, aby włączyć źródło dziennika. Domyślnie pole wyboru jest zaznaczone. |
| Credibility | Z listy wybierz opcję Zdolność kredytowa źródła dziennika. Zakres: od 0 do 10. Wiarygodność wskazuje na integralność zdarzenia lub wykroczenia określonego przez ocenę wiarygodności z urządzeń źródłowych. Wiarygodność zwiększa się, jeśli wiele źródeł zgłasza to samo zdarzenie. Wartością domyślną jest 5. |