您必須先在「 AWS 管理主控台」上建立資料串流,然後建立即時日誌配置,才能在 IBM®
QRadar®中新增使用 Amazon Web Services 通訊協定的日誌來源。
程序
- 在 AWS 管理主控台上,建立資料串流。 如需相關資訊,請參閱 透過 AWS Management Console 建立串流 (https://docs.aws.amazon.com/streams/latest/dev/how-do-i-create-a-stream.html)
- 在 AWS 管理主控台上,建立即時日誌。 如需相關資訊,請參閱 即時日誌 (https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/real-time-logs.html)
- 在 AWS 管理主控台上建立即時日誌配置 (https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/real-time-logs.html#create-real-time-log-config.html)
重要事項: 即時日誌配置需要配置所有 40 個欄位。 如需相關資訊,請參閱
瞭解即時日誌配置 (https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/real-time-logs.html#understand-real-time-log-config.html)。
下列欄位的位置/索引號碼必須如
Amazon AWS 欄位文件 中所記載 (https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/real-time-logs.html#understand-real-time-log-config-fields.html):
- timestamp
- c-ip
- sc-status
- x-edge
- x-edge-result-type
- c-port
- x-edge-detailed-result-type
例如,
c-ip 位置位於 2 個位置,
x-edge-detailed-result-type 位於 33rd 位置。
- 在 QRadar中新增 Amazon CloudFront 日誌來源。 使用 Amazon Web Services 通訊協定 Kinesis 資料串流來新增 Amazon CloudFront 日誌來源。