TLS Syslog 通訊協定配置選項

配置 TLS Syslog 通訊協定日誌來源,以從最多 50 個網路裝置接收已加密 syslog 事件,這些裝置支援每個接聽器埠的 TLS Syslog 事件轉遞。

TLS Syslog 通訊協定是被動入埠通訊協定。 日誌來源會為送入的 TLS Syslog 事件建立接聽埠。 依預設, TLS Syslog 日誌來源會使用 IBM® QRadar®所產生的憑證及金鑰。 最多 50 個網路應用裝置可以將事件轉遞至日誌來源的接聽埠。 如果您使用唯一接聽埠建立更多日誌來源,則最多可以配置 1000 個網路應用裝置。

下表說明 TLS Syslog 通訊協定的特定通訊協定專用參數:

表 1. TLS Syslog 通訊協定參數
參數 說明
通訊協定配置 TLS Syslog
日誌來源 ID 用來識別日誌來源的 IP 位址或主機名稱。
TLS 接聽埠 預設 TLS 接聽埠為 6514。
重要事項: 您只能將一個 TLS Syslog 日誌來源指派給每一個 TLS 接聽埠。
鑑別模式 TLS 連線用來鑑別的模式。 如果您選取 TLS 及用戶端鑑別 選項,則必須配置憑證參數。
用戶端憑證鑑別
從清單中選取下列其中一個選項:
  • CN 允許清單及發證者驗證
  • 磁碟上的用戶端憑證
使用 CN 允許清單 啟用此參數以使用 CN 允許清單。
CN 允許清單 授信用戶端憑證通用名稱的允許清單。 您可以輸入純文字或正規表示式 (regex)。 若要定義多個項目,請在個別行上輸入每一個項目。
使用發證者驗證 啟用此參數以使用發證者驗證。
主要/中間發證者的憑證或公開金鑰 以 PEM 格式輸入主要/中間發證者的憑證或公開金鑰。

  • 輸入憑證,開頭為:

    -----BEGIN CERTIFICATE-----

    且結尾為:

    -----END CERTIFICATE-----

  • 輸入以下列開頭的公開金鑰:

    -----BEGIN PUBLIC KEY-----

    且結尾為:

    -----END PUBLIC KEY-----
檢查憑證撤銷 根據用戶端憑證檢查憑證撤銷狀態。 此選項需要透過網路連接至 X509v3 延伸中用戶端憑證的 CRL 配送點 欄位所指定的 URL。

檢查憑證使用情形 檢查 金鑰用法延伸金鑰用法 延伸欄位中憑證 X509v3 延伸規格的內容。 對於送入的用戶端憑證, X509v3 金鑰用法的容許值為 digitalSignaturekeyAgreement。 X509v3 延伸金鑰用法的容許值為 TLS Web Client Authentication

依預設會停用此內容。
用戶端憑證路徑

磁碟上用戶端憑證的絕對路徑。 憑證必須儲存在此日誌來源的 QRadar ConsoleEvent Collector 上。

重要:

請確定您輸入的憑證檔開頭為:

-----BEGIN CERTIFICATE-----

且結尾為:

-----END CERTIFICATE-----
伺服器憑證類型 用於鑑別伺服器憑證及伺服器金鑰的憑證類型。
伺服器憑證類型 清單中選取下列其中一個選項:
  • 產生的憑證
  • PEM 憑證和私密金鑰
  • PKCS12 憑證鏈和密碼
  • 從 QRadar Certificate Store 中選擇
產生的憑證

當您配置 憑證類型時,可以使用此選項。

如果您要針對伺服器憑證及伺服器金鑰使用 QRadar 所產生的預設憑證及金鑰,請選取此選項。

產生的憑證在指派日誌來源之目標 Event Collector 上的 /opt/qradar/conf/trusted_certificates/ 目錄中命名為 syslog-tls.cert
單一憑證及私密金鑰

當您配置 憑證類型時,可以使用此選項。

如果您想要對伺服器憑證使用單一 PEM 憑證,請選取此選項,然後配置下列參數:
  • 提供的伺服器憑證路徑 -伺服器憑證的絕對路徑。
  • 提供的私密金鑰路徑 -私密金鑰的絕對路徑。
    重要事項: 對應的私密金鑰必須是 DER 編碼的 PKCS8 金鑰。 配置失敗,具有任何其他金鑰格式。
PKCS12 憑證和密碼

當您配置 憑證類型時,可以使用此選項。

如果您想要使用包含伺服器憑證及伺服器金鑰的 PKCS12 檔案,請選取此選項,然後配置下列參數:
  • PKCS12 憑證路徑 -鍵入包含伺服器憑證和伺服器金鑰之 PKCS12 檔的檔案路徑。
  • PKCS12 密碼 -輸入用來存取 PKCS12 檔案的密碼。
  • 憑證別名 -如果 PKCS12 檔案中有多個項目,則必須提供別名以指定要使用的項目。 如果 PKCS12 檔案中只有一個別名,請將此欄位留空。
從 QRadar Certificate Store 中選擇

當您配置 憑證類型時,可以使用此選項。

您可以使用「憑證管理」應用程式,從 QRadar Certificate Store 上傳憑證。
有效負載長度上限 針對 TLS Syslog 訊息顯示的有效負載長度上限 (字元)。
最大連線數

連線數上限 參數控制 TLS Syslog 通訊協定可以針對每一個 Event Collector接受的同時連線數。

對於每一個 Event Collector, TLS Syslog 日誌來源配置中的連線數限制為 1000 個連線 (包括已啟用及已停用的日誌來源)。

提示: 自動探索到的日誌來源與另一個日誌來源共用接聽器。 例如,如果您在相同的事件收集器上使用相同的埠,則它只會對限制計數一次。
TLS 通訊協定 日誌來源要使用的 TLS 通訊協定。

選取「TLS 1.2 或更新版本」選項。
作為閘道日誌來源

透過 QRadar Traffic Analysis Engine 傳送收集的事件,以自動偵測適當的日誌來源。

如果您不想定義事件的自訂日誌來源 ID ,請清除勾選框。

未選取此選項且未配置 日誌來源 ID 型樣 時, QRadar 會接收事件作為不明一般日誌來源。
使用預測性剖析 如果您啟用此參數,則演算法會從事件中擷取日誌來源 ID 型樣,而不執行每一個事件的正規表示式,這會增加剖析速度。
提示: 在極少數情況下,演算法可能會做出不正確的預測。 僅針對您預期收到高事件率且需要更快速剖析的日誌來源類型啟用預測剖析。
日誌來源 ID 型樣

使用 用作閘道日誌來源 選項來定義正在處理之事件的自訂日誌來源 ID ,以及在適用時自動探索日誌來源的自訂日誌來源 ID。 如果您未配置 日誌來源 ID 型樣QRadar 會接收事件作為不明一般日誌來源。

使用鍵值組來定義自訂日誌來源 ID。 金鑰是「ID 格式字串」,這是產生的來源或原始值。 此值是用來評估現行有效負載的相關聯正規表示式型樣。 此值也支援可用來進一步自訂金鑰的擷取群組。

在新行上鍵入每一個型樣,以定義多個鍵值組。 會依照多個型樣的列出順序來評估它們。 找到相符項時,會顯示自訂「日誌來源 ID」。

下列範例顯示多個鍵值組函數。
型樣
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
事件
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
產生的自訂日誌來源 ID
VPC-ACCEPT-正常
啟用多行 根據「開始/結束比對」或 ID 鏈結正規表示式,將多個訊息聚集成單一事件。
聚集方法

當開啟 啟用多行 時,可以使用此參數。

  • ID-Linked -處理在每行開頭包含共同值的事件日誌。
  • 開始/結束比對 -根據開始或結束正規表示式 (regex) 來聚集事件。
事件開頭型樣

當開啟 啟用多行聚集方法 設為 開始/結束比對時,可以使用此參數。

需要正規表示式 (regex) 才能識別 TCP 多行事件有效負載的開始。 Syslog 標頭通常以日期或時間戳記開頭。 通訊協定可以建立僅根據事件開始型樣 (例如時間戳記) 的單行事件。 只有開始型樣可用時,通訊協定會擷取每一個開始值之間的所有資訊,以建立有效事件。
事件結尾型樣

當開啟 啟用多行聚集方法 設為 開始/結束比對時,可以使用此參數。

需要此正規表示式 (regex) 才能識別 TCP 多行事件有效負載的結尾。 如果 syslog 事件以相同的值結束,您可以使用正規表示式來判定事件的結束。 通訊協定可以擷取僅根據事件結束型樣的事件。 只有結束型樣可用時,通訊協定會擷取每一個結束值之間的所有資訊,以建立有效的事件。
訊息 ID 型樣

啟用多行 已開啟且 聚集方法 設為 ID-鏈結時,可以使用此參數。

過濾事件有效負載訊息所需的正規表示式 (regex)。 TCP 多行事件訊息必須包含在事件訊息每一行上重複的一般識別值。
時間限制

啟用多行 已開啟且 聚集方法 設為 ID-鏈結時,可以使用此參數。

將事件推送至事件管線之前等待更多相符有效負載的秒數。 預設值為 10 秒。
在事件聚集期間保留整行

啟用多行 已開啟且 聚集方法 設為 ID-鏈結時,可以使用此參數。

如果您將 聚集方法 參數設為 ID-已鏈結,則可以啟用 在事件聚集期間保留整行 ,以捨棄或保留 訊息 ID 型樣之前的事件部分。 只有在將具有相同 ID 型樣的事件連結在一起時,才能啟用此功能。
將多行事件壓縮成單行

當開啟 啟用多行 時,可以使用此參數。

在單行或多行中顯示事件。
事件格式製作程式

當開啟 啟用多行 時,可以使用此參數。

對於特別針對 Windows 格式化的多行事件,請使用 Windows 多行 選項。

儲存日誌來源之後,會為日誌來源建立 syslog-tls 憑證。 憑證必須複製到網路上配置為轉遞已加密 syslog 的任何裝置。 可以自動探索具有 syslog-tls 憑證檔案及 TLS 接聽埠號的其他網路裝置,以作為 TLS Syslog 日誌來源。

TLS Syslog 使用案例

下列使用案例代表您可以建立的可能配置:
磁碟上的用戶端憑證
您可以提供用戶端憑證,讓通訊協定能夠進行用戶端鑑別。 如果您選取此選項並提供憑證,則會根據用戶端憑證來驗證送入的連線。
CN 允許清單及發證者驗證

如果您選取此選項,則必須將發證者憑證 (具有 .crt.cert.der 副檔名) 複製到下列目錄:

/opt/qradar/conf/trusted_certificates

此目錄位於日誌來源指派至其中的「目標事件收集器」上。

下列方法會驗證任何送入的用戶端憑證,以檢查憑證是否由授信發證者簽署及其他檢查。 您可以選擇一種或兩種方法來進行用戶端憑證鑑別:

CN 允許清單

提供授信用戶端憑證通用名稱的允許清單。 您可以輸入純文字或正規表示式。 透過在新行上輸入每個項目來定義多個項目。

發證者驗證

提供授信用戶端憑證的主要或中繼發證者憑證,或 PEM 格式的公開金鑰。

檢查憑證撤銷

根據用戶端憑證檢查憑證撤銷狀態。 此選項需要透過網路連接至 X509v3 延伸規格用戶端憑證中 CRL 配送點 欄位所指定的 URL。


檢查憑證使用情形

檢查 金鑰用法延伸金鑰用法 延伸欄位中憑證 X509v3 延伸規格的內容。 對於送入的用戶端憑證, X509v3 金鑰用法的容許值為 digitalSignaturekeyAgreement。 X509v3 延伸金鑰用法的容許值為 TLS Web Client Authentication

使用者提供的伺服器憑證
您可以配置自己的伺服器憑證及對應的私密金鑰。 配置的 TLS Syslog 提供者會使用憑證和金鑰。 送入連線會呈現使用者提供的憑證,而不是自動產生的 TLS Syslog 憑證。
預設鑑別
若要使用預設鑑別方法,請使用 鑑別模式憑證類型 參數的預設值。 儲存日誌來源之後,會為日誌來源裝置建立 syslog-tls 憑證。 憑證必須複製到網路上轉遞已加密 syslog 資料的任何裝置。