Opções de configuração de protocolo SMB Tail

É possível configurar uma fonte de log para utilizar o protocolo SMB Tail. Utilize esse protocolo para ver os eventos em um compartilhamento Samba remoto e receber eventos do compartilhamento Samba quando novas linhas forem incluídas no log de eventos.

O protocolo SMB Tail é um protocolo de saída/ativo.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo SMB Tail:

Tabela 1. Parâmetros do protocolo SMB Tail
Parâmetro	Descrição
Configuração de protocolo	SMB Tail
Identificador de Fonte de Log	Digite o endereço IP, nome do host ou nome exclusivo para identificar a origem de log.
Endereço do Servidor	O endereço IP ou nome do host do servidor SMB Tail.
Domínio	Digite o domínio para o servidor SMB Tail. Esse parâmetro será opcional se o servidor não estiver em um domínio.
Nome do usuário	Digite o nome do usuário necessário para acessar seu servidor.
Senha	Digite a senha necessária para acessar o seu servidor.
Confirmar senha	Confirme a senha que é necessária para acessar o servidor.
Caminho de pasta de log	O caminho do diretório para acessar os arquivos de log. Por exemplo, os administradores podem utilizar o diretório c$/LogFiles/ para um compartilhamento administrativo, ou o diretório LogFiles/ para um caminho de pasta de compartilhamento público. No entanto, o diretório c:/LogFiles não é um caminho de pasta de log suportado. Se um caminho de pasta de log contiver um compartilhamento administrativo (C$), os usuários com acesso NetBIOS no compartilhamento administrativo (C$) terão os privilégios que são necessários para ler os arquivos de log. Privilégios de administrador do sistema local ou de domínio também são suficientes para acessar todos os arquivos de log que estão em um compartilhamento administrativo.
Padrão de arquivo	A expressão regular (regex) que identifica os logs de eventos.
Versão do SMB	Selecione a versão do Server Message Block (SMB) que você deseja usar. AUTO Detecta automaticamente para a versão mais alta que o cliente e o servidor concordam em usar. SMB1 Força o uso de SMB1. O SMB1 usa o arquivo jCIFS.jar (Java™ ARchive). Importante: O SMB1 não é mais suportado. Todos os administradores devem atualizar as configurações existentes para usar o SMB2 ou SMB3. SMB2 Força o uso de SMB2. O SMB2 usa o arquivo jNQ.jar. SMB3 Força o uso do SMB3. O SMB3 usa o arquivo jNQ.jar. Nota: Antes de criar uma origem de log com uma versão de SMB específica (por exemplo: SMBv1, SMBv2 e SMBv3), certifique-se de que a versão de SMB especificada seja suportada pelo S.O. Windows que está em execução em seu servidor. Também é necessário verificar se as versões de SMB estão ativadas no Windows Server. Para obter informações adicionais sobre qual versão do Windows suporta quais versões de SMB, acesse o website Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ). Para obter informações adicionais sobre como detectar, ativar e desativar o SMBv1, SMBv2 e SMBv3 no Windows e Windows Server, acesse o website de suporte da Microsoft (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Forçar Leitura de Arquivo	Se a caixa de seleção estiver desmarcada, o arquivo de log será lido somente quando o QRadar detectar uma mudança no horário ou tamanho do arquivo modificados.
Recursivo	Se você deseja que o padrão do arquivo procure subpastas, use essa opção. Por padrão, a caixa de seleção é marcada.
Intervalo de pesquisa (em segundos)	Digite o intervalo de pesquisa, que é o número de segundos entre as consultas para os arquivos de log verificarem dados novos. O padrão é de 10 segundos.
Eventos do regulador/s	O número máximo de eventos que o protocolo SMB Tail encaminha por segundo.
Codificação de Arquivo	A codificação de caracteres usada pelos eventos em seu arquivo de log.