HTTP协议配置选项

要从转发 HTTP 或 HTTPS 请求的设备收集事件,请将日志源配置为使用 HTTP。

HTTP是一种入站被动协议。 HTTP在配置的监听端口上充当 HTTP ,并将任何收到的POST请求的请求正文转换为事件。 它支持 HTTPS 和 HTTP 请求。

重要提示 :当您使用 HTTP时,必须使用由证书颁发机构(CA)颁发的证书。 它不能是自签名证书,因为它必须由 CA 验证。 有关HTTP 设置CA证书的更多信息,请参阅 HTTP 设置基于证书的身份验证
重要信息: 如果您是 QRadar on Cloud (QRoC) 用户,请联系 IBM 支持人员,并打开支持案例以配置此基于证书的认证 (如果目标收集器是控制台或事件处理器)。
下表描述HTTP特定协议参数:
表 1. HTTP协议参数
参数 描述
协议配置

从列表中选择 HTTP
日志源标识

输入日志源的唯一名称。

日志源标识 可以是任何有效值,并且不需要引用特定服务器。 它也可以是与 日志源名称相同的值。 请确保为每个日志源提供唯一的名称。
侦听端口

IBM QRadar 用于接收 HTTP 接收器事件的端口。 缺省端口为 12469。

重要信息: 请勿使用端口 514。 端口 514 由标准 Syslog 侦听器使用。
通信类型

协议创建HTTP类型。

HTTP
创建没有加密和验证的 HTTP Server
要点: QRadar on Cloud (QRoC) 不支持。
HTTPS
创建具有加密和验证的 HTTP Server
具有相互 TLS 的 HTTP (mTLS)
创建使用相互 TLS 认证 (mTLS) 的 HTTP Server
服务器证书 选择下列其中一个服务器证书选项。
PKCS12 证书链和密码
如果选择此选项,那么必须配置 PKCS12 文件的路径并提供密码。 如果 PKCS12 文件中有多个条目,那么必须提供别名以指定要使用的证书条目。
QRadar 证书库中选择
如果选择此选项,那么必须在 IBM QRadar Certificate Management app中上载证书。 在应用程序中,将证书的 用途 设置为 ServerServer Client,并将其 组件 设置为 Log Source
自签名生成的证书 (不推荐)
如果选择此选项,那么将使用自签名生成的证书。 如果尚未生成证书,那么将生成一个要使用的证书。 此证书是自签名证书,与在同一主机上使用生成的证书的 TLS Syslog 配置相同。
服务器证书友好名称 QRadar 证书库中提供的证书的友好名称,在 QRadar Certificate Management 应用程序中上载。
重要信息: QRadar Certificate Management 应用程序在 QRadar 7.3.3 修订包 6 或更高版本上受支持。
PKCS12 服务器证书路径 包含专用密钥和证书链的 PKCS12 文件的绝对路径。

如果选择 PKCS12 证书链和密码 作为服务器证书选项,那么将显示此参数。
PKCS12 密码 PKCS12 文件的密码。

如果选择 PKCS12 证书链和密码 作为服务器证书选项,那么将显示此参数。
PKCS12 证书别名

要使用的 PKCS12 文件中证书条目的别名。

如果 PKCS12 文件中有多个条目,那么必须提供别名以指定要使用的证书条目。

当存在多个证书条目时,请将此字段留空以使用单个证书条目。

如果选择 PKCS12 证书链和密码 作为服务器证书选项,那么将显示此参数。
使用 HTTP 认证令牌报头

这样就可以启用 HTTP 标头认证。 启用后,尝试HTTP Server通信的客户必须通过请求头提供有效的访问令牌。
认证令牌头名称

HTTP被添加到 HTTP中,包含有关正在使用的认证头和关联凭证的信息。 认证头: 指示正在使用的认证类型。 公共认证头包括 Basic , Digest 和 Bearer。
认证令牌值

头中包含的令牌值取决于正在使用的认证方案。 例如,对于基本认证, "令牌值" 由以 Base64 格式编码的用户名和密码组成。
相互 TLS 认证信任库

如果选择 具有相互 TLS 的 HTTPS (mTLS) 通信类型,请选择其中一种信任库类型。

系统信任库
使用目标事件收集器上的操作系统信任库来初始化服务器信任库。
定制信任库
使用用户提供的 Java™ 密钥库和密码来初始化服务器信任库。
磁盘上的客户机证书 (不推荐)
确保客户机证书匹配但不验证签发者。 使用此方法时,所有客户机都必须共享一个证书。
定制信任库文件路径 定制信任库的绝对路径。 必须将定制信任库复制到日志源的 QRadar ConsoleEvent Collector
定制信任库密码 定制信任库的密码。
启用签发者验证 验证客户机证书是否由特定证书或公用密钥发放。 常见用例是验证是否使用了特定的中间 CA 来发放客户机证书。
颁发者证书或公用密钥 PEM 格式的根或中间签发者证书或公用密钥。

输入证书,包括以下文本:

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

或者输入公用密钥,包括以下文本:

-----BEGIN PUBLIC KEY-----

-----END PUBLIC KEY-----

如果已启用 启用签发者验证 参数,那么将显示此参数。
使用 CN 允许列表

指定建立信任后客户机证书必须匹配的公共名称的列表或模式。 输入纯文本或正则表达式。 通过在新行上输入每个条目来定义多个条目。

以下列表显示了要在 CN Allowlist中使用的公共名称条目类型的示例。

固定名称
127.0.0.1
1.1.1.1
通配符名称
1.1.1.*
.*
域名
www.host.*.com
localhost

缺省情况下,此参数处于禁用状态。
检查证书撤销

针对客户机证书撤销列表检查证书撤销状态。

要配置此选项,您必须能够通过网络连接到 X509v3客户端证书的CRL分发点字段指定URL ,且URL 必须仅支持证书吊销列表(CRL)格式。

不支持 OSCP。
客户机证书路径 (不推荐)

设置客户机证书的绝对路径。 必须将客户机证书复制到日志源的 QRadar ConsoleEvent Collector

如果选择 具有相互 TLS 的 HTTP (mTLS) 作为 通信类型,并选择 磁盘上的客户机证书 (不推荐) 作为 相互 TLS 认证信任库,那么将显示此参数。
事件解析方法
每个 HTTP 职位的活动
将整个 HTTP 职位视为一个没有任何特定模式的单一事件。
每行事件
使用正则表达式标记每个事件的起始行,将帖子分割成多个单行事件。 如果选择 " 每行事件 ",则可以看到以下两个字段:
  • 匹配特定行 :默认情况下,每行处理一个事件。 启用它以根据信息模式匹配特定行。
  • 信息模式 :输入正则表达式,将帖子分割为多个单行事件
每个 JSON 数组的事件
指定一个 JSON 路径 (JPath),用于标识 JSON 数组的根,每个数组条目都是一个单独的事件。 如果选择 " 每个 JSON 阵列的事件 ",则可看到以下字段:
  • JSON 路径表达式 :输入一个 JSON 路径来标识 JSON 数组的根,每个数组条目作为一个单独的事件。 JSON 路径必须以正向斜线('/')开头,表示 JSON 对象的根,其后必须是一个或多个双引号内的 JSON 字段名。 例如:
    JSON: {"topic":"device-events","events":[{"device_name":"device 1"},
  {"device_name":"device 2"}]}
  JSON Path expression: /"events"
  • 保留外部 JSON 结构 :如果启用,它将在输出中包含 JSON 路径表达式之外的 JSON 结构。 默认情况下,只包含 JSON 路径表达式中的数组元素。 例如:
     {"topic": "device","events": [{"audit_id": "audit 1","ap_name": "ap 1",
"device_type": "device type 1"},{"audit_id": "audit 2","ap_name": "ap 2",
"device_type": "device type 2"}]}
    这将转化为如下多个事件:
     {"topic": "device","events": [{"audit_id": "audit 1","ap_name": "ap 1",
"device_type": "device type 1"}]}
     {"topic": "device","events": [{"audit_id": "audit 2","ap_name": "ap 2",
"device_type": "device type 2"}]}
用作网关日志源

选择此选项可使收集的事件流经 QRadar® 流量分析引擎,并使 QRadar 自动检测一个或多个日志源。
使用预测解析

如果启用此参数,那么算法将从事件中抽取日志源标识模式,而不针对每个事件运行正则表达式,这将提高解析速度。

但是,在极少数情况下,算法可以进行不正确的预测。 仅对您期望接收高事件速率且需要更快解析的日志源类型启用预测解析。

启用 用作网关日志源 参数时,可以启用预测解析。
日志源标识模式

选择 用作网关日志源 选项时,请使用此选项为已处理的事件定义定制日志源标识。 如果未配置 日志源标识模式 ,那么 QRadar 会将事件作为未知通用日志源接收。

日志源标识模式 字段接受键/值对 (例如 key= value) ,以定义要处理的事件的定制日志源标识以及要自动发现的日志源 (如果适用)。 是标识格式字符串,它是生成的源或源值。 值是用于评估当前有效内容的关联正则表达式模式。 值 (正则表达式模式) 还支持捕获组,这些组可用于进一步定制键 (Identifier Format String)。

可以通过在新行上输入每个模式来定义多个键/值对。 使用多个模式时,将按顺序对其进行求值,直到找到匹配项为止。 找到匹配项时,将显示定制日志源标识。

以下示例显示了多键/值对函数:
模式
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
事件
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
生成的定制日志源标识
VPC-ACCEPT-OK
EPS 调速

每秒 QRadar 摄入的最大事件数。

如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。

缺省值 5000。
启用 Advanced Server 配置选项 启用此参数以配置更多服务器选项。 如果未启用此参数,那么将使用缺省值。
最大有效内容长度 (字节) 单个事件的最大有效内容大小 (以字节为单位)。 当事件的有效内容大小超过此值时,将拆分该事件。

缺省值为 8192 ,并且不得大于 32767。

当您启用 启用高级服务器配置选项 参数时,将显示此参数。
TLS 协议

此协议中可接受的 TLS 版本。 使用为服务器选择的版本发送请求。

QRadar 7.5.0 UP5 开始,支持 TLSv1.3

QRadar 7.3.3 FP10, 7.4.3 FP3和 7.5.0 CR 起,不再支持 重要信息: TLSv1.0 和 TLSv1.1 。 未来发行版可能不支持 TLSv1.0 和 TLSv1.1。
最大 POST 方法请求长度 (MB) POST 方法请求主体的最大大小 (MB)。 如果 POST 请求正文大小超过此值,则返回 HTTP 状态代码。

缺省值为 5 ,并且不得大于 10。

当您启用 启用高级服务器配置选项 参数时,将显示此参数。
发布请求处理程序线程 分配用于处理接收到的发布请求的处理线程数。

如果处理线程跟不上传入的帖子数据,就会返回 HTTP 429。

当您启用 启用高级服务器配置选项 参数时,将显示此参数。