IBM® i 事件消息示例
使用此样本事件消息来验证与 IBM QRadar的集成是否成功。
重要信息: 由于格式化问题,请将消息格式粘贴到文本编辑器中,然后除去任何回车符或换行符。
使用 Syslog 协议时的 IBM i 样本消息
以下样本事件消息显示允许 DRDA 分布式关系数据库访问。
重要信息: 发送到 QRadar 的日志必须以制表符分隔。 如果从此样本剪切并粘贴代码,请确保按 <tab> 变量指示的制表符键,然后除去这些变量。
<176>Apr 24 15:31:58 ibm.i.test LEEF:1.0|Raz-Lee iSecurity|Firewall|1.0|GRE7860|usrName=USERNAME<tab>devTime=2019-04-24-15.31.58.000<tab>devTimeFormat=yyyy-MM-dd-HH.mm.ss.SSS<tab>source=172.16.1.1<tab>sev=10<tab>jobName=948290/QUSER/QRWTSRVR<tab>pgmName=*NONE<tab>pgmLib=*NONE<tab>entryType=36/A<tab>entryDesc=DRDA Distributed Relational DB access<tab>Action_allowed=1<tab>Src_user_before_Pre-chk=USERNAME<tab>Source_system=SYSTEM1<tab>Decision_level=USSRV<tab>Authority_set_to_user=USERNAME<tab>Server_Id=36| QRadar 字段名称 | 事件有效内容中突出显示的值 |
|---|---|
| 事件标识 | GRE7860 |
| 用户名 | USERNAME |
| 严重性 | 10 |