TCP 多行 Syslog 通訊協定配置選項

TCP 多行 Syslog 通訊協定是被動入埠通訊協定,使用正規表示式來識別多行事件的開始及結束型樣。

下列範例是多行事件:
06/13/2012 08:15:15 PM
LogName= 安全
SourceName=Microsoft Windows 安全審核。
EventCode=5156
EventType=0
TaskCategory= 過濾平台連線
關鍵字 = 審核成功
訊息 =「Windows 過濾平台」允許連線。
處理程序 ID: 4
應用程式名稱: 系統
方向: 入埠
Source Address: <IP_address>
來源埠: 80
目的地位址:<IP_address>
目的地 Port:444
下表說明 TCP 多行 Syslog 通訊協定的特定通訊協定專用參數:
表 1. TCP 多行 Syslog 通訊協定參數
參數 說明
通訊協定配置 TCP 多行系統日誌
日誌來源 ID 鍵入 IP 位址或主機名稱以識別日誌來源。 若要使用來源名稱而非日誌來源 ID ,請選取 使用自訂來源名稱 ,然後輸入 來源名稱正規表示式來源名稱格式化字串 參數的值。
附註: 僅當 顯示進階選項 設為 時,這些參數才可用。
接收埠 接受送入 TCP 多行 Syslog 事件的埠號。 預設接聽埠為 12468。
若要編輯埠號,請完成下列步驟:
  1. 輸入通訊協定的新埠號。
  2. 按一下 儲存
  3. 管理 標籤上,按一下 進階 > 部署完整配置
    注意: 當管理者按一下 部署完整配置時,系統會重新啟動所有服務,這可能會在資料收集中產生間隙,直到部署完成為止。
聚集方法 您用來聚集 TCP 多行 Syslog 資料的方法。 您可以選擇下列其中一種方法:
ID-鏈結多行
處理每行開頭包含共同值的多行事件日誌。
開始/結束比對
透過指定事件的開始及結束型樣來處理多行事件。
事件開頭型樣

當您將 聚集方法 參數設為 開始/結束比對時,可以使用此參數。

識別 TCP 多行事件有效負載開始所需的正規表示式 (regex)。 Syslog 標頭通常以日期或時間戳記開頭。 通訊協定可以建立僅根據事件開始型樣 (例如時間戳記) 的單行事件。 只有開始型樣可用時,通訊協定會擷取每一個開始值之間的所有資訊,以建立有效事件。
事件結尾型樣

當您將 聚集方法 參數設為 開始/結束比對時,可以使用此參數。

識別 TCP 多行事件有效負載結尾所需的正規表示式 (regex)。 如果 syslog 事件以相同的值結束,請使用正規表示式來判定事件的結束。 只有結束型樣可用時,通訊協定會擷取每一個結束值之間的所有資訊,以建立有效的事件。
訊息 ID 型樣

當您將 聚集方法 參數設為 ID-已鏈結時,可以使用此參數。

需要此正規表示式 (regex) 才能過濾事件有效負載訊息。 TCP 多行事件訊息必須包含在事件訊息每一行上重複的一般識別值。
事件格式製作程式 對於特別針對 Windows 格式化的多行事件,請使用 Windows 多行 選項。
顯示進階選項

預設值為 No。 如果您要自訂事件資料,請選取

使用自訂來源名稱

當您將 顯示進階選項 設為 時,可以使用此參數。

如果您要使用正規表示式自訂來源名稱,請選取此勾選框。
來源名稱正規表示式

當您勾選 使用自訂來源名稱時,可以使用此參數。

從這個通訊協定所處理的事件有效負載中擷取一或多個值的正規表示式 (regex)。 這些值與 來源名稱格式化字串 參數搭配使用,以設定每一個事件的來源或原始值。 此來源值用來將事件遞送至具有相符 日誌來源 ID 值的日誌來源。
來源名稱格式化字串

當您啟用 使用自訂來源名稱時,可以使用此參數。

您可以使用下列一或多個輸入的組合,來形成此通訊協定所處理之事件有效負載的來源值:
  • 來自 來源名稱正規表示式的一個以上擷取群組。 若要參照擷取群組,請使用 \x 表示法,其中 x 是來自 來源名稱正規表示式的擷取群組索引。
  • 事件資料來源的 IP 位址。 若要參照封包 IP ,請使用記號 $PIP$
  • 文字文字字元。 整個 來源名稱格式化字串 可以是使用者提供的文字。 例如,如果 來源名稱正規表示式'hostname=(.*?)' ,且您想要將 hostname.com 附加至擷取群組 1 值,請將 來源名稱格式化字串 設為 \1.hostname.com。 如果處理的事件包含 hostname=ibm,則事件有效負載的來源值會設為 ibm.hostname.com,且 QRadar® 會將事件遞送至具有該 日誌來源 ID的日誌來源。
用作閘道日誌來源

當您將 顯示進階選項 設為 時,可以使用此參數。

選取時,會根據事件上所標記的來源名稱,將流經日誌來源的事件遞送至其他日誌來源。

未選取此選項且未啟用 使用自訂來源名稱 時,會以對應於「日誌來源 ID」參數的來源名稱來標記送入事件。
將多行事件壓縮成單行

當您將 顯示進階選項 設為 時,可以使用此參數。

在單行或多行中顯示事件。
在事件聚集期間保留整行

當您將 顯示進階選項 設為 時,可以使用此參數。

如果您設定 聚集方法 參數的 ID-鏈結多行 方法,則此參數可以修改聚集事件資料輸出。

如果您啟用 在事件聚集期間保留整行,則在聚集具有相同 ID 型樣的事件時,會保留事件的所有部分。 如果您未啟用此參數,則在聚集事件時,會捨棄 訊息 ID 型樣 之前的事件部分。
時間限制 將事件推送至事件管線之前等待其他相符有效負載的秒數。 預設值為 10 秒。
執行緒起始數目 用於格式化及公佈事件的起始執行緒數。
執行緒數的上限 用於格式化及公佈事件的執行緒數目上限。 當作業佇列已滿時,會建立更多執行緒,最多達到 執行緒數目上限 參數所設定的值。
已啟用

選取此勾選框以啟用日誌來源。
可靠性

選取日誌來源的可靠性。 範圍是 0 - 10。

可靠性指出事件或攻擊的完整性,由來源裝置的可靠性等級判定。 如果多個來源報告相同的事件,則可靠性會增加。 預設值是 5。
目標事件收集器

在部署中選取 Event Collector ,以管理 TCP 多行 Syslog 接聽器。
聯合事件

選取此勾選框可讓日誌來源聯合 (組合) 事件。

依預設,自動探索到的日誌來源會從 QRadar中的「系統設定」繼承 聯合事件 清單的值。 當您建立日誌來源或編輯現有配置時,您可以針對每一個日誌來源配置此選項來置換預設值。
儲存事件有效負載

選取此勾選框可讓日誌來源儲存事件有效負載資訊。

依預設,自動探索到的日誌來源會從 QRadar中的「系統設定」繼承 儲存事件有效負載 清單的值。 當您建立日誌來源或編輯現有配置時,您可以針對每一個日誌來源配置此選項來置換預設值。

TCP 多行 Syslog 通訊協定配置使用案例

若要設定 TCP 多行 Syslog 接聽器日誌來源,以收集從相同系統傳送的所有事件,請遵循下列步驟:
  1. 維持清除 使用作為閘道日誌來源使用自訂來源名稱
  2. 日誌來源 ID 參數中輸入傳送事件之系統的 IP 位址。
圖 1. QRadar 日誌來源會收集從單一系統傳送至「TCP 多行系統日誌接聽器」的事件
TCP 多行 Syslog 通訊協定使用案例 1
如果多個系統將事件傳送至 TCP Multiline Syslog 接聽器,或者如果一個中間系統正在轉遞來自多個系統的事件,並且您想要根據事件的 syslog 標頭或 IP 位址將事件遞送至個別日誌來源,請選取 作為閘道日誌來源 勾選框。
附註: QRadar 會檢查每一個事件是否有 RFC3164 或 RFC5424-compliant syslog 標頭,如果存在,則會使用該標頭中的 IP 或主機名稱作為事件的來源值。 事件會遞送至其「日誌來源 ID」具有相同 IP 或主機名稱的日誌來源。 如果不存在此類標頭,則 QRadar 會使用事件到達的網路封包中的來源 IP 值作為事件的來源值。
圖 2。 個別 QRadar 日誌來源會使用 syslog 標頭來收集從多個系統傳送至「TCP 多行接聽器」的事件。
TCP 多行 Syslog 通訊協定使用案例 2A
圖 3. 個別 QRadar 日誌來源會收集從多個系統傳送的事件,並使用 syslog 標頭透過中間系統轉遞至「TCP 多行接聽器」。
TCP 多行 Syslog 通訊協定使用案例 2B

若要根據其 syslog 標頭中的 IP 或主機名稱以外的值,將事件遞送至個別日誌來源,請遵循下列步驟:

  1. 選取 使用自訂來源名稱 勾選框。
  2. 配置 來源名稱正規表示式來源名稱格式化字串 ,以自訂 QRadar 如何設定來源名稱值,以將收到的事件遞送至日誌來源。
圖 4. 個別 QRadar 日誌來源會使用「來源名稱正規表示式」及「來源名稱格式化字串」,來收集從多個系統傳送並透過中間系統轉遞至「TCP 多行接聽器」的事件。
TCP 多行 Syslog 通訊協定使用案例 3