Opcje konfiguracji protokołu TCP Multiline Syslog

Protokół TCP Multiline Syslog jest pasywnym protokołem przychodzącym, który korzysta z wyrażeń regularnych w celu identyfikowania wzorca początkowego i końcowego zdarzeń wielowierszowych.

Poniżej przedstawiono przykład zdarzenia wielowierszowego:

06/13/2012 08:15:15
LogName= Zabezpieczenia
SourceName= kontrola zabezpieczeń systemuMicrosoft Windows .
EventCode=5156
EventType=0
TaskCategory= Filtrowanie połączenia platformy
Słowa kluczowe = powodzenie kontroli
Message = The Windows Filtering Platform zezwolil na połączenie.
ID procesu: 4
Nazwa aplikacji: System
Kierunek: Przychodzące
Adres źródłowy: < adres_IP_adres>
Port źródłowy: 80
Adres docelowy: < adres_IP_adres>
Port docelowy Port:444

W poniższej tabeli opisano parametry specyficzne dla protokołu dla protokołu TCP Multiline Syslog:

Tabela 1. Parametry protokołu TCP/IP Multiline Syslog
Parametr	Opis
Konfiguracja protokołu	Dziennik systemowy protokołu TCP Multiline
Identyfikator źródła dziennika	Wpisz adres IP lub nazwę hosta, aby zidentyfikować źródło dziennika. Aby zamiast identyfikatora źródła dziennika użyć nazwy źródła, należy wybrać opcję Użyj niestandardowej nazwy źródła i wprowadzić wartości parametrów Nazwa źródła: Regex i Łańcuch formatowania nazwy źródła . Uwaga: Te parametry są dostępne tylko wtedy, gdy opcja Pokaż opcje zaawansowane jest ustawiona na wartość Tak.
Port nasłuchiwania	Numer portu, który akceptuje nadchodzące zdarzenia TCP Multiline Syslog. Domyślny port nasłuchiwania to 12468. Aby edytować numer portu, wykonaj następujące kroki: Wprowadź nowy numer portu dla protokołu. Kliknij przycisk Zapisz. Na karcie Administrator kliknij opcję Zaawansowane > Wdróż pełną konfigurację. Uwaga: Gdy administratorzy klikną opcję Wdróż pełną konfigurację, system zrestartuje wszystkie usługi, które mogą zostać utworzone w przerwie w gromadzeniu danych do czasu zakończenia wdrożenia.
Metoda agregacji	Metoda, która służy do agregowania danych dziennika systemowego protokołu TCP Multiline. Można wybrać jedną z następujących metod: ID-dowiązana wielowierszowa Przetwarza wielowierszowe dzienniki zdarzeń, które zawierają wspólną wartość na początku każdego wiersza. Uruchom/Zakończ dopasowywanie Przetwarza zdarzenia wielowierszowe, określając wzorce uruchamiania i zakończenia dla zdarzeń.
Wzorzec rozpoczęcia zdarzenia	Ten parametr jest dostępny po ustawieniu parametru Metoda agregacji na wartość Uruchamianie/zakończenie uzgadniania. Wyrażenie regularne (wyrażenie regularne), które jest wymagane do zidentyfikowania początku ładunku zdarzenia wielowierszowego TCP. Nagłówki syslog zazwyczaj rozpoczynają się od daty lub datownika. Protokół może utworzyć jednoliniowe zdarzenie, które jest oparte wyłącznie na wzorcu uruchamiania zdarzeń, takim jak znacznik czasu. Jeśli dostępny jest tylko wzorzec początkowy, protokół przechwytuje wszystkie informacje między każdą wartością początkową w celu utworzenia poprawnego zdarzenia.
Wzorzec zakończenia zdarzenia	Ten parametr jest dostępny po ustawieniu parametru Metoda agregacji na wartość Uruchamianie/zakończenie uzgadniania. To wyrażenie regularne (wyrażenie regularne), które jest wymagane do zidentyfikowania końca ładunku zdarzenia wielowierszowego TCP. Jeśli zdarzenie syslog kończy się tą samą wartością, należy użyć wyrażenia regularnego, aby określić koniec zdarzenia. Jeśli dostępny jest tylko wzorzec końcowy, protokół przechwytuje wszystkie informacje między każdą wartością końcową w celu utworzenia poprawnego zdarzenia.
Wzorzec identyfikatora komunikatu	Ten parametr jest dostępny po ustawieniu parametru Metoda agregacji na wartość ID-dowiązane. To wyrażenie regularne (regex) jest wymagane do filtrowania komunikatów ładunku zdarzenia. Komunikaty zdarzeń wielowierszowych TCP muszą zawierać wspólną wartość identyfikującą, która jest powtarzana w każdym wierszu komunikatu zdarzenia.
Formatter zdarzenia	Użyj opcji Multiline Windows dla zdarzeń wielowierszowych, które są sformatowane specjalnie dla systemu Windows.
Pokaż opcje zaawansowane	Wartość domyślna to Nie. Wybierz opcję Tak , jeśli chcesz dostosować dane zdarzenia.
Użyj niestandardowej nazwy źródła	Ten parametr jest dostępny po ustawieniu opcji Pokaż opcje zaawansowane na wartość Tak. Zaznacz to pole wyboru, jeśli chcesz dostosować nazwę źródła z regex.
Nazwa źródłowa Regex	Ten parametr jest dostępny po zaznaczeniu opcji Użyj niestandardowej nazwy źródła. Wyrażenie regularne, które przechwytuje jedną lub więcej wartości z ładowań zdarzeń, które są obsługiwane przez ten protokół. Wartości te są używane z parametrem Łańcuch formatowania nazwy źródła w celu ustawienia wartości źródłowej lub źródłowej dla każdego zdarzenia. Ta wartość źródłowa jest używana do kierowania zdarzenia do źródła dziennika ze zgodną wartością Identyfikator źródła dziennika .
Łańcuch formatowania nazwy źródła	Ten parametr jest dostępny po włączeniu opcji Użyj niestandardowej nazwy źródła. Aby utworzyć wartość źródłową dla ładunków zdarzeń przetwarzanych przez ten protokół, można użyć kombinacji jednego lub większej liczby następujących danych wejściowych: Jedna lub większa liczba grup przechwytywania z Regex nazwy źródła. Aby odwołać się do grupy przechwytywania, należy użyć notacji `\x` , gdzie `x` jest indeksem grupy przechwytywania z Regex nazwy źródła. Adres IP, z którego pochodzą dane zdarzenia. Aby odwołać się do pakietu IP, należy użyć znacznika $PIP$ . Literałowe znaki tekstowe. Cały łańcuch Łańcuch formatowania nazwy źródła może być tekstem udostępnionym przez użytkownika. Na przykład, jeśli Regex nazwy źródła ma wartość `'hostname=(.*?)'` , a użytkownik chce dopisać `hostname.com` do wartości grupy przechwytywania 1, należy ustawić właściwość Łańcuch formatowania nazwy źródła na wartość`\1.hostname.com`. Jeśli zdarzenie jest przetwarzane, które zawiera produkt `hostname=ibm`, wartość źródłowa ładunku zdarzenia jest ustawiona na wartość `ibm.hostname.com`, a produkt QRadar® kieruje zdarzenie do źródła dziennika z tym identyfikatorem źródła dziennika.
Użyj jako źródła dziennika bramy	Ten parametr jest dostępny po ustawieniu opcji Pokaż opcje zaawansowane na wartość Tak. Po wybraniu tej opcji zdarzenia, które przepłyną przez źródło dziennika, są kierowane do innych źródeł dziennika w oparciu o nazwę źródła oznaczoną na podstawie zdarzeń. Jeśli ta opcja nie jest zaznaczona, a opcja Użyj niestandardowej nazwy źródła nie jest włączona, zdarzenia przychodzące są oznaczane nazwą źródła, która odpowiada parametrowi identyfikatora źródła dziennika.
Flatten Multiline Events w jeden wiersz	Ten parametr jest dostępny po ustawieniu opcji Pokaż opcje zaawansowane na wartość Tak. Wyświetla zdarzenie w jednym wierszu lub wielu wierszach.
Zachowaj całe wiersze podczas agregowania zdarzeń	Ten parametr jest dostępny po ustawieniu opcji Pokaż opcje zaawansowane na wartość Tak. Jeśli dla parametru Metoda agregacji zostanie ustawiona metoda ID-dowiązana wielowierszowa , to ten parametr może modyfikować dane wyjściowe zagregowanych danych zdarzeń. Jeśli opcja Zachowaj całe wiersze podczas agregowania zdarzeńzostanie włączona, wszystkie części zdarzeń będą zachowane podczas agregowania zdarzeń o tym samym wzorcu identyfikatora. Jeśli ten parametr nie zostanie włączony, część zdarzeń przed wzorcem identyfikatora komunikatu jest odrzucana po zagregowaniu zdarzeń.
Limit czasu	Liczba sekund oczekiwania na dodatkowe pasujące ładunki, zanim zdarzenie zostanie wepchnięte do potoku zdarzeń. Wartość domyślna to 10 sekund.
Początkowa liczba wątków	Początkowa liczba wątków, które mają być używane do formatowania i publikowania zdarzeń.
Maksymalna liczba wątków	Maksymalna liczba wątków, które mają być używane do formatowania i publikowania zdarzeń. Gdy kolejka zadań jest pełna, do wartości ustawionej przez parametr Maksymalna liczba wątków tworzona jest większa liczba wątków.
Włączone	Zaznacz to pole wyboru, aby włączyć źródło dziennika.
wiarygodność	Wybierz wiarygodność źródła dziennika. Zakres: od 0 do 10. Wiarygodność wskazuje na integralność zdarzenia lub wykroczenia określonego przez ocenę wiarygodności z urządzeń źródłowych. Wiarygodność zwiększa się, jeśli wiele źródeł zgłasza to samo zdarzenie. Wartością domyślną jest 5.
Docelowy kolektor zdarzeń	Wybierz kolektor zdarzeń we wdrożeniu, aby udostępniać program nasłuchujący Syslog protokołu TCP Multiline.
Zdarzenia Coalescing	Zaznacz to pole wyboru, aby włączyć dla źródła dziennika zdarzenia coalesce (pakunku). Domyślnie automatycznie wykryte źródła dzienników dziedziczą wartość listy Zdarzenia Coalescing z Ustawień Systemowych w QRadar. Podczas tworzenia źródła dziennika lub edycji istniejącej konfiguracji można przesłonić wartość domyślną, konfigurując tę opcję dla każdego źródła dziennika.
Ładunek zdarzenia sklepu	Zaznacz to pole wyboru, aby włączyć źródło dziennika do przechowywania informacji o ładunku zdarzenia. Domyślnie automatycznie wykryte źródła dzienników dziedziczą wartość listy Store Event Payload (Ładunek zdarzeń sklepu) na podstawie ustawień systemowych w produkcie QRadar. Podczas tworzenia źródła dziennika lub edycji istniejącej konfiguracji można przesłonić wartość domyślną, konfigurując tę opcję dla każdego źródła dziennika.

Przypadki użycia konfiguracji protokołu TCP Multiline Syslog

Aby ustawić źródło dziennika programu nasłuchującego dziennika systemowego TCP Multiline w celu gromadzenia wszystkich zdarzeń wysyłanych z tego samego systemu, należy wykonać następujące czynności:

Pozostaw zaznaczenie opcji Użyj jako źródła dziennika bramy i Użyj niestandardowej nazwy źródła .
Wprowadź adres IP systemu, który wysyła zdarzenia w parametrze Identyfikator źródła dziennika .

Przypadek użycia protokołu TCP Multiline Syslog 1 — Rysunek 1. Źródło dziennika produktu QRadar gromadzi zdarzenia wysłane z jednego systemu do programu nasłuchującego dziennika systemowego TCP Multiline.

Jeśli wiele systemów wysyła zdarzenia do programu nasłuchującego dziennika systemowego TCP Multiline lub jeśli jeden system pośredni przekazuje zdarzenia z wielu systemów i chcesz, aby zdarzenia były kierowane do oddzielnych źródeł dzienników w oparciu o ich nagłówek syslog lub adres IP, zaznacz pole wyboru Użyj jako źródła dziennika bramy .

Uwaga: QRadar sprawdza każde zdarzenie dla nagłówka syslog RFC3164 lub RFC5424-compliant , a jeśli jest obecny, używa adresu IP lub nazwy hosta z tego nagłówka jako wartości źródłowej dla zdarzenia. Zdarzenie jest kierowane do źródła dziennika o tym samym adresie IP lub nazwie hosta, co jego identyfikator źródła dziennika. Jeśli taki nagłówek nie jest obecny, program QRadar użyje źródłowej wartości IP z pakietu sieciowego, na który zdarzenie przybyło jako wartość źródłowa dla zdarzenia.

Przypadek użycia protokołu TCP Multiline Syslog 2A — Rysunek 2. Osobne źródła dzienników produktu QRadar gromadzą zdarzenia wysyłane z wielu systemów do programu nasłuchującego TCP Multiline Listener, używając nagłówka syslog.

Przypadek użycia protokołu TCP Multiline Syslog 2B — Rysunek 3. Osobne źródła dzienników produktu QRadar gromadzą zdarzenia wysyłane z wielu systemów i przekazywane za pośrednictwem systemu pośredniego do programu nasłuchującego TCP Multiline Listener, korzystając z nagłówka syslog.

Aby kierować zdarzenia do osobnych źródeł dzienników na podstawie wartości innej niż adres IP lub nazwa hosta w ich nagłówku syslog, należy wykonać następujące czynności:

Zaznacz pole wyboru Użyj niestandardowej nazwy źródła .
Skonfiguruj opcje Nazwa źródła Regex i Łańcuch formatowania nazwy źródła , aby dostosować sposób ustawiania przez produkt QRadar wartości nazwy źródła dla kierowania odebranych zdarzeń do źródeł dzienników.

Przypadek użycia protokołu TCP Multiline Syslog 3 — Rysunek 4. Osobne źródła dzienników produktu QRadar gromadzą zdarzenia wysłane z wielu systemów i przekazywane za pośrednictwem systemu pośredniego do programu nasłuchującego TCP Multiline Listener, używając nazwy źródła Regex i łańcucha formatowania nazwy źródła.