Visão geral do protocolo Syslog Redirect
O protocolo Syslog Redirect é um protocolo de entrada passivo que é usado como uma alternativa ao protocolo Syslog. Use esse protocolo quando desejar QRadar para identificar o nome do dispositivo específico que enviou os eventos. QRadar pode escutar passivamente os eventos do Syslog usando TCP ou UDP em qualquer porta não utilizada que você especificar.
| Parâmetro | Descrição |
|---|---|
| Protocol Configuration | Syslog Redirect |
| Log Source Identifier | Insira um Identificador de origem de log para usar como padrão. Se o Regex do Identificador de origem de log não puder analisar o Identificador de origem de log de uma determinada carga útil usando o regex que é fornecido, o padrão será usado. |
| Log Source Identifier Regex | Insira uma expressão regular para analisar o Identificador de origem de log a partir da carga útil |
| Log Source Identifier Regex Format String | Sequência de formatação para combinar grupos de captura da expressão regular do Identificador de origem de log. Por exemplo: "$1" usaria o primeiro grupo de captura. "$1$2" concatenaria os grupos de captura 1 e 2. "$1 TEXT $2" concatenaria o grupo de captura 1, o literal "TEXT" e o grupo de captura 2. A sequência resultante é usada como o novo identificador de origem de log. |
| Listen Port | Insira qualquer porta não usada e configure sua origem de log para enviar eventos para o QRadar nessa porta |
| Protocol | A partir da lista, selecione TCP ou UDP. O protocolo de Redirecionamento do syslog suporta qualquer número de conexões de syslog UDP, mas restringe as conexões TCP para 2.500. Se o fluxo de syslog tiver mais de 2.500 origens de log, uma segunda origem de log e o número da porta de recebimento deverão ser inseridos. |
| Perform DNS Lookup On Regex Match | Marque a caixa de seleção Executar consulta de DNS na correspondência de regex para ativar a funcionalidade do DNS, que é baseada no valor de parâmetro Identificador de origem de log . Por padrão, a caixa de seleção não é marcada |
| Use Predictive Parsing | Se esse parâmetro for ativado, um algoritmo extrairá padrões de identificador de origem do log dos eventos sem executar o regex para cada evento, o que aumenta a velocidade de análise. Dica: Em circunstâncias raras, o algoritmo pode fazer predições incorretas Ative a análise sintática preditiva apenas para os tipos de origem do log para os quais espera receber altas taxas de eventos e que exigem análise sintática mais rápida.
|
| Payload Size | O tamanho da carga útil é o comprimento dos dados enviados pelo terminal de comunicação. O padrão é 2048.. O tamanho da carga útil deve ser um número inteiro entre 2048 e 32000. |
| Enabled | Selecione esta caixa de seleção para ativar a origem de log. Por padrão, a caixa de seleção é marcada. |
| Credibility | Na lista, selecione a Credibilidade da origem de log. O intervalo é de 0 – 10. A credibilidade indica a integridade de um evento ou ofensa conforme determinado pela classificação de credibilidade a partir dos dispositivos de origem. Credibilidade aumenta se várias fontes relatam o mesmo evento. O padrão é 5. |