Недокументированные протоколы

В Руководство по конфигурированию DSM описано, как сконфигурировать источники журнала определенного типа с каждым из типов протоколов, которые IBM полностью поддерживает для этого типа источника журнала. Любой тип протокола, у которого есть документация по конфигурации для определенного типа источника журнала, рассматривается как "документированный" протокол для этого типа источника журнала.

В качестве открытой платформы IBM® QRadar собирает и обрабатывает данные о событиях с помощью других методов интеграции (типов протоколов). Некоторые типы протоколов могут быть сконфигурированы для определенного типа источника журнала, но помечены как "недокументированные". Руководство по конфигурированию DSM не содержит инструкций по настройке сбора событий для недокументированных протоколов. IBM не предлагает поддержку конфигурирования источников журналов, использующих недокументированные протоколы, так как они не проверены и не задокументированы. Вы несете ответственность за принятие решения о том, как получать данных о событиях в QRadar.

Например, протокол JDBC - это документированная конфигурация для получения событий из системы, где хранятся данные о событиях в базе данных. Вы также можете собирать одни и те же данные о событии через продукт третьей стороны, а затем перенаправить его на QRadar через тип протокола syslog. Поскольку тип протокола syslog не документирован, вы отвечаете за настройку продукта третьей стороны для получения данных о событиях из базы данных и их отправки в QRadar.

Прим.: Если вы собираете и обрабатываете данные о событиях, используя недокументированные протоколы, ваши данные могут быть сформатированы не так, как ожидается для задокументированного типа источника журналов DSM. Анализ может не работать для DSM, если события поступают от недокументированного протокола. Например, протокол JDBC создает полезную нагрузку событий, которая состоит из ряда пар ключ-значение, разделенных пробелами. В таблице базы данных назначения ключ - это имя столбца, а значение - столбец для строки таблицы, которую представляет событие. DSM для поддерживаемого типа источника журналов, который использует протокол JDBC, ожидает такой формат событий. Если данные о событиях, переадресованных продуктом третьей стороны через протокол syslog, находятся в другом формате, DSM не сможет его проанализировать. С помощью Редактора DSM можно настроить анализ DSM таким образом, чтобы он мог обработать эти события.