Opções de configuração de protocolo JDBC

O QRadar utiliza o protocolo JDBC para coletar informações de tabelas ou visualizações que contiverem dados do evento a partir de vários tipos de banco de dados.

O protocolo JDBC é um protocolo de saída/ativo. QRadar Não inclui um driver MySQL para JDBC. Se você está usando um DSM ou protocolo que requer um driver JDBC MySQL, deve-se fazer download e instalar o MySQL Connector/J independente da plataforma por meio de http://dev.mysql.com/downloads/connector/j/.

Copie o arquivo Java™ archive (JAR) para /opt/qradar/jars.
Se você está usando o QRadar V7.3.1, deve-se também copiar o arquivo JAR para /opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/.
Reinicie o serviço Tomcat digitando um dos comandos a seguir:
- Se você estiver usando o QRadar V7.2.8, digite service tomcat restart.
- Se você estiver usando o QRadar V7.3.0 ou V7.3.1, digite systemctl restart tomcat.
Reinicie os serviços de coleta de eventos digitando um dos comandos a seguir:
- Se você estiver usando o QRadar V7.2.8, digite service ecs-ec restart.
- Se você estiver usando o QRadar V7.3.0, digite systemctl restart ecs-ec.
- Se você estiver usando o QRadar V7.3.1, digite systemctl restart ecs-ec-ingress.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo JDBC:

Tabela 1. Parâmetros do protocolo JDBC
Parâmetro	Descrição
Nome de origem de log	Digite um nome exclusivo para a origem de log.
Descrição da origem de log (Opcional)	Digite uma descrição para a origem de log.
Tipo de Origem de Log	Selecione o Módulo de suporte de dispositivo (DSM) que usa o protocolo JDBC por meio da lista Tipo de origem de log.
Configuração de protocolo	JDBC
Identificador de Fonte de Log	Digite um nome para a origem de log. O nome não pode conter espaços e deve ser exclusivo entre todas as origens de log do tipo de origem de log configurado para usar o protocolo JDBC. Se a origem de log coletar eventos de um único dispositivo com um endereço IP estático ou um nome de host, use o endereço IP ou o nome de host do dispositivo como todo ou parte do valor Identificador de origem de log, por exemplo, 192.168.1.1 ou JDBC192.168.1.1. Se a origem de log não coletar eventos de um único dispositivo com um endereço IP estático ou um nome de host, será possível usar o nome exclusivo para o valor Identificador de origem de log, por exemplo, JDBC1 ou JDBC2.
Tipo do Banco de Dados	Selecione o tipo de banco de dados que contém os eventos.
Nome do Banco de Dados	O nome do banco de dados ao qual você deseja se conectar.
IP ou Nome do Host	O endereço IP ou o nome do host do servidor de banco de dados.
Port	Insira a porta JDBC. A porta JDBC deve corresponder à porta do listener que está configurada no banco de dados remoto. O banco de dados deve permitir conexões TCP recebidas. O intervalo válido é de 1 a 65535. Os padrões são: MSDE - 1433 Postgres - 5432 MySQL - 3306 Sybase - 5000 Oracle - 1521 Informix -9088 DB2 - 50000 Se uma instância de banco de dados for usada com o tipo de banco de dados MSDE, deve-se deixar o campo Porta em branco.
Nome do usuário	Uma conta do usuário para o QRadar no banco de dados.
Senha	A senha que é necessária para se conectar ao banco de dados.
Confirmar senha	A senha que é necessária para se conectar ao banco de dados.
Domínio de autenticação (somente MSDE)	Se você não selecionou Usar Microsoft JDBC, o Domínio de autenticação será exibido. O domínio para MSDE, que é um domínio Windows. Se a rede não usar um domínio, deixe este campo em branco.
Instância de banco de dados (somente MSDE ou Informix )	A instância do banco de dados, se necessário. Os bancos de dados MSDE podem incluir diversas instâncias do servidor SQL em um servidor. Quando uma porta não padrão é utilizada para o banco de dados ou o acesso é bloqueado para a porta 1434 para a resolução do banco de dados SQL, o parâmetro Instância do Banco de Dados deverá estar em branco na configuração da fonte de log.
Consulta predefinida (Opcional)	Selecione uma consulta de banco de dados predefinido para a origem do log. Se uma consulta predefinida não estiver disponível para o tipo de origem de log, os administradores poderão selecionar a opção none.
Nome da tabela	O nome da tabela ou visualização que incluem os registros de eventos. O nome da tabela pode incluir os seguintes caracteres especiais: cifrão ($), sinal de número (#), sublinhado (_), traço (–) e ponto(.).
Selecionar lista	A lista de campos a serem incluídos quando a tabela for pesquisada em busca de eventos. É possível usar uma lista separada por vírgulas ou digitar um asterisco (*) para selecionar todos os campos da tabela ou visualização. Se uma lista separada por vírgulas for definida, a lista deverá conter o campo que está definido em Comparar Campo.
Comparar Campo	Um valor numérico ou campo do registro de data e hora da tabela ou visualização que identifica novos eventos que são incluídos na tabela entre consultas. Permite que o protocolo identifique eventos que foram pesquisados anteriormente pelo protocolo para assegurar que eventos duplicados não sejam criados.
Usar Instruções Preparadas	Instruções preparadas permitem que a origem do protocolo JDBC configure a instrução SQL e, em seguida, execute a instrução SQL várias vezes com parâmetros diferentes. Por motivos de segurança e desempenho, a maioria das configurações do protocolo JDBC pode usar as instruções preparadas.
Data e hora de início (Opcional)	Selecione ou insira a data e hora de início para a pesquisa de banco de dados. O formato é aaaa-mm-dd HH:mm, no qual HH é especificado usando um relógio de 24 horas. Se esse parâmetro estiver vazio, a pesquisa começará imediatamente e se repetirá no intervalo de pesquisa especificado. Esse parâmetro é usado para configurar o horário e a data em que o protocolo se conecta ao banco de dados de destino para inicializar a coleção de eventos. Ele pode ser usado com o parâmetro Intervalo de pesquisa a fim de configurar agendamentos específicos para as pesquisas de banco de dados. Por exemplo, para garantir que a pesquisa aconteça cinco minutos após a hora, a cada hora, ou exatamente à 1h de cada dia. Esse parâmetro não pode ser usado para recuperar linhas de tabela mais antigas do banco de dados de destino. Por exemplo, se você configurar o parâmetro para Última semana, o protocolo não recuperará todas as linhas de tabela da semana anterior. O protocolo recupera linhas que são mais novas do que o valor máximo do Campo Comparar na conexão inicial.
Intervalo de Pesquisa	Insira a quantidade de tempo entre as consultas na tabela de eventos. Para definir um intervalo de pesquisa maior, anexe H para horas ou M para minutos ao valor numérico. O intervalo máximo de pesquisa é uma semana.
Regulador de EPS	O número de Eventos por Segundo (EPS) que você não deseja que esse protocolo exceda. O intervalo válido é de 100 a 20.000.
Mecanismo de segurança (somente DB2)	Na lista, selecione o mecanismo de segurança suportado por seu servidor DB2. Se você não desejar selecionar um mecanismo de segurança, selecione Nenhum. O padrão é Nenhum . Para obter mais informações sobre os mecanismos de segurança suportados por ambientes do DB2, consulte o website de suporte IBM® (https://www.ibm.com/support/knowledgecenter/en/SSEPGG_11.1.0/com.ibm.db2.luw.apdv.java.doc/src/tpc/imjcc_cjvjcsec.html)
Usar Comunicação de Canal Nomeado (somente MSDE)	Se você não selecionou Usar Microsoft JDBC, Usar comunicação de canal nomeado será exibido. Os bancos de dados MSDE requerem que o campo de nome do usuário e senha use um nome do usuário e senha de autenticação do Windows e não o nome do usuário e senha do banco de dados. A configuração da origem de log deve usar o padrão que é nomeado canal no banco de dados MSDE.
Nome do cluster de banco de dados (somente MSDE)	Se você selecionou Usar comunicação de canal nomeado, o parâmetro Nome do cluster do banco de dados será exibido. Se você estiver executando seu SQL server em um ambiente em cluster, defina o nome do cluster para assegurar que a comunicação do canal nomeado funcione corretamente.
Usar NTLMv2 (somente MSDE)	Se você não selecionou Usar Microsoft JDBC, Usar NTLMv2 será exibido. Selecione esta opção se você desejar que as conexões MSDE usem o protocolo NTLMv2 quando estiverem se comunicando com servidores SQL que requerem autenticação NTLMv2. Esta opção não interrompe as comunicações para conexões MSDE que não requerem autenticação NTLMv2. Ela não interrompe as comunicações das conexões MSDE que não requerem autenticação NTLMv2.
Usar Microsoft JDBC (somente MSDE)	Para usar o driver Microsoft JDBC, deve-se ativar Usar Microsoft JDBC.
Usar SSL (somente MSDE)	Selecione esta opção se sua conexão suportar SSL. Essa opção aparece somente para MSDE.
Nome do host do certificado SSL	Este campo é necessário quando Usar Microsoft JDBC e Usar SSL estão ativados. Esse valor deve ser o nome de domínio completo (FQDN) para o host. O endereço IP não é permitido. Para obter mais informações sobre certificados SSL e JDBC, consulte os procedimentos nos links a seguir: QRadar: configurando o JDBC sobre SSL com um certificado autoassinado (https://www.ibm.com/support/pages/node/246077) Configurando o JDBC sobre SSL com um certificado assinado externamente (https://www.ibm.com/support/pages/node/246079)
Usar criptografia do Oracle	Configurações de criptografia e integridade de dados do Oracle também é conhecido como Oracle Advanced Security. Se selecionadas, as conexões JDBC do Oracle irão requerer que o servidor suporte configurações de Criptografia de dados do Oracle semelhantes às do cliente.
Código do Idioma do Banco de Dados (somente Informix )	Para instalações multilíngues, use este campo para especificar o idioma a ser usado.
Conjunto de códigos (somente Informix )	O parâmetro Code-Set é exibido depois que você escolhe um idioma para instalações multilíngues. Use esse campo para especificar o conjunto de caracteres a ser usado.
Ativado	Selecione esta caixa de seleção para ativar a origem de log. Por padrão, a caixa de seleção é marcada.
Credibilidade	Na lista, selecione a Credibilidade da origem de log. O intervalo é de 0 – 10. A credibilidade indica a integridade de um evento ou ofensa conforme determinado pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade aumenta se várias fontes relatam o mesmo evento. O padrão é 5.
Coletor de eventos de destino	Selecione o Coletor de eventos de destino a ser usado como destino para a origem de log.
Unindo eventos	Marque a caixa de seleção Unindo eventos para ativar a origem de log para unir (empacotar) eventos. Por padrão, as origens de logs descobertas automaticamente herdam o valor da lista Eventos unidos das configurações do sistema em QRadar. Ao criar uma origem de log ou editar uma configuração existente, é possível substituir o valor padrão configurando esta opção para cada origem de log.
Armazenar carga útil do evento	Marque a caixa de seleção Armazenar carga útil do evento para ativar a origem de log a fim de armazenar as informações de carga útil do evento. Por padrão, as origens de log descobertas automaticamente herdam o valor da lista Armazenar carga útil do evento de Configurações do sistema em QRadar. Ao criar uma origem de log ou editar uma configuração existente, é possível substituir o valor padrão configurando esta opção para cada origem de log.