LEEF 概觀

「日誌事件延伸格式 (LEEF)」是 IBM® Security QRadar ®的自訂事件格式。

任何供應商都可以使用此文件來產生 LEEF 事件。

QRadar 可以整合、識別及處理 LEEF 事件。 LEEF 事件必須使用 UTF-8 字元編碼。

您可以使用下列通訊協定,將 LEEF 輸出中的事件傳送至 QRadar :

  • Syslog
  • 使用日誌檔通訊協定匯入檔案
重要事項:QRadar 可以使用 LEEF 事件之前,您必須先完成 Universal LEEF 配置作業。 如需配置日誌檔通訊協定以收集 Universal LEEF 事件的相關資訊,請參閱 DSM Configuration Guide

您選取以提供 LEEF 事件的方法會決定是否可以在 QRadar中自動探索事件。 當自動探索事件時,會減少 QRadar 中所需的手動配置層次。

接收 LEEF 事件時, QRadar 會分析事件資料流量,以嘗試識別裝置或應用裝置。 此處理程序稱為 資料流量分析。 通常需要至少 25 個 LEEF 事件,才能在 QRadar中識別並建立新的日誌來源。 在資料流量分析識別事件來源之前,會將起始 25 個事件分類為 SIM Generic Log DSM 事件,並將事件名稱設為 不明日誌事件。 識別事件資料流量之後, QRadar 會建立日誌來源,以適當地分類並標示從軟體驅動裝置或軟體轉遞的任何事件。 從裝置傳送的事件可在 QRadar 中的 日誌活動 標籤上檢視。

重要事項: 在 1,000 個事件之後無法識別日誌來源時, QRadar 會建立系統通知,並從資料流量分析佇列中移除日誌來源。 QRadar 仍然能夠收集事件,但使用者必須介入並手動建立日誌來源,以識別事件類型。