建立日誌來源延伸文件以將資料放入 QRadar

何時建立日誌來源延伸

對於沒有正式 DSM 的日誌來源，請使用自訂日誌來源類型來整合日誌來源。 然後，日誌來源延伸 (也稱為裝置延伸) 會套用至自訂日誌來源類型，以提供用於剖析日誌的邏輯。 LSX 是以 Java™ 正規表示式為基礎，可用於任何通訊協定類型，例如 syslog、 JDBC及日誌檔。 可以從日誌中擷取值，並對映至 IBM® QRadar®內的所有一般欄位。

當您使用日誌來源延伸來修復遺漏或不正確的內容時，日誌來源延伸所產生的任何新事件都會與無法剖析原始有效負載的日誌來源相關聯。 建立延伸可防止不明或未分類事件在 QRadar中儲存為不明。

使用 DSM 編輯器快速建立日誌來源延伸

對於 IBM QRadar V7.2.8 以及更新版本，您可以使用 DSM 編輯器來建立日誌來源延伸。 「DSM 編輯器」提供即時意見，讓您知道您正在建立的日誌來源延伸是否有問題。 使用「DSM 編輯器」來擷取欄位、定義自訂內容、分類事件、定義新的 QID 定義，以及定義您自己的日誌來源類型。 如需 DSM 編輯器的相關資訊，請參閱 IBM QRadar Administration Guide。

手動建立日誌來源延伸的處理程序

或者，若要手動建立日誌來源延伸，請完成下列步驟:

1. 請確定已在 QRadar中建立日誌來源。

   當日誌來源類型未列為 QRadar 支援的 DSM 時，請使用自訂日誌來源類型從來源收集事件。

   使用 DSM 編輯器來建立新的日誌來源類型，然後手動建立日誌來源。 您可以將 LSX 附加至支援的日誌來源類型，例如 Windows、Bluecoat、Cisco 及其他列為 QRadar 支援的 DSM。

2. 若要判定可用的欄位，請使用 日誌活動 標籤來匯出日誌以進行評估。
3. 使用延伸文件範例範本來決定您可以使用的欄位。

   不需要使用範本中的所有欄位。 決定日誌來源中可對映至延伸文件範本中欄位的值。

4. 從日誌來源延伸文件中移除任何未用的欄位及其對應的型樣 ID。
5. 上傳延伸文件，並將延伸套用至日誌來源。
6. 將事件對映至 QIDmap 中的對等項目。

   日誌活動 標籤上的這個手動動作是用來將不明日誌來源事件對映至已知 QRadar 事件，以便可以分類及處理它們。