日志文件日志源参数

如果 QRadar 系统无法自动检测日志源, QRadar Console 请通过日志文件协议在系统上添加以下日志源: IBM z/OS、 IBM、 CICS、 IBM、 RACF、 IBM、 DB2、Broadcom CA Top Secret 或 Broadcom CA ACF2。

使用 "日志文件" 协议时,必须使用特定参数。

下表描述了从以下站点收集日志文件事件所需的特定参数值: IBM z/OS、 IBM、 CICS、 IBM、 RACF、 IBM、 DB2、 CA Top Secret 或 CA ACF2 :
表 1. 日志文件日志源参数
参数
Log Source name 输入日志源的名称。
Log Source description 输入日志源的描述。
Log Source type 选择 DSM 名称。
Protocol Configuration 日志文件
Log Source Identifier

输入 IP 地址,主机名或名称以标识事件源。 建议使用 IP 地址或主机名,因为它们允许 QRadar 向唯一事件源标识日志文件。

例如,如果网络包含多个设备 (例如,多个 z/OS® 映像或包含所有事件日志的文件存储库) ,那么必须为映像或位置指定唯一标识 DSM 日志源事件的名称, IP 地址或主机名。 此规范支持在用户可以识别的网络中的图像或位置级别识别事件。
Service Type

服务类型 列表中,选择从远程服务器检索日志文件时要使用的协议。 缺省值为 SFTP。

  • SFTP-SSH 文件传输协议
  • FTP - 文件传输协议
  • SCP-安全复制

用于检索 SCP 和 SFTP 服务类型的日志文件的底层协议要求在 远程 IP 或主机名 字段中指定的服务器已启用 SFTP 子系统。
Remote IP or Hostname

输入存储事件日志文件的设备的 IP 地址或主机名。
Remote Port

在运行所选 服务类型的远程主机上输入 TCP 端口。 有效范围为 1-65535。

选项包括端口:

  • FTP-TCP 端口 21
  • SFTP-TCP 端口 22
  • SCP-TCP 端口 22

如果事件文件的主机正在将非标准端口号用于 FTP , SFTP 或 SCP ,那么必须调整端口值。
Remote User

输入登录到包含事件文件的系统所需的用户名或用户标识。

  • 如果您的日志文件位于 IBM z/OS 映像中,请输入登录 IBM z/OS 所需的用户ID。 用户标识的长度最多可以为 8 个字符。
  • 如果日志文件位于文件存储库中,请输入登录到文件存储库所需的用户名。 用户名的长度最多可以为 255 个字符。
Remote Password

输入登录到主机所需的密码。
Confirm Password

确认登录主机所需的密码。
SSH Key File

如果选择 SCPSFTP 作为 服务类型,那么此参数将为您提供用于定义 SSH 专用密钥文件的选项。 提供 SSH 密钥文件时,将忽略 远程密码 字段。
Remote Directory

相对于用于登录的用户帐户,输入从中检索文件的远程主机上的目录位置。
Recursive

如果希望文件模式在远程目录中搜索子文件夹,请选中此复选框。 缺省情况下,此复选框处于未选中状态。

如果将 SCP 配置为服务类型,那么将忽略递归选项。
FTP File Pattern

如果选择 SFTPFTP 作为 服务类型,那么可以配置过滤 远程目录中指定的文件列表所需的正则表达式 (正则表达式)。 所有匹配文件都包含在处理中。

使用 IBM® 的 IBM z/OS 大型机 Security zSecure 审计功能会按以下模式写入事件文件: <product_name>.<timestamp>.gz

指定的 FTP 文件模式必须与分配给事件文件的名称相匹配。 例如,要收集以 zOS 开头并以 .gz结尾的文件,请输入以下代码:

zOS.*\.gz

使用此参数需要了解正则表达式 (regex)。 有关正则表达式的更多信息,请参阅 课程: 正则表达式 (https://docs.oracle.com/javase/tutorial/essential/regex/)。
FTP Transfer Mode

仅当选择 FTP 作为 服务类型时,才会显示此选项。 从列表中,选择 二进制

以二进制或压缩格式存储的事件文件 (例如 zipgziptartar+gzip 归档文件) 需要二进制传输方式。
SCP Remote File

如果选择 SCP 作为 服务类型 ,那么必须输入远程文件的文件名。
Start Time

输入您希望处理开始的时间。 例如,输入 00:00 以调度日志文件协议在午夜收集事件文件。

此参数与 "重复" 值配合使用,以确定 "远程目录" 扫描文件的时间和频率。 按以下格式输入开始时间 (基于 24 小时制) :HH: MM。
Recurrence

输入要扫描远程目录的频率 (从开始时间开始)。 输入此值 (以小时 (H) ,分钟 (M) 或天 (D) 为单位)。

例如,如果希望从开始时间开始每 2 小时扫描一次远程目录,请输入 2H 。 缺省值为 1H。
Run On Save

如果希望在单击 保存后立即运行 "日志文件" 协议,请选中此复选框。

保存时运行 完成后,日志文件协议将遵循配置的开始时间和重复调度。

选择 保存时运行 将清除 "忽略先前处理的文件" 参数的先前处理的文件列表。
EPS Throttle

每秒 QRadar 摄入的最大事件数。

如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。

有效范围为 100 到 5000。
Processor

从列表中,选择 Gzip

处理器支持扩展事件文件归档,并针对事件处理内容。 文件在下载到 QRadar后进行处理。 QRadar 可以处理 zipgziptartar+gzip 归档格式的文件。
Ignore Previously Processed File(s)

选中此复选框以跟踪和忽略已由 "日志文件" 协议处理的文件。

QRadar 会检查远程目录中的日志文件,以确定文件先前是否由 "日志文件" 协议处理。 如果检测到先前处理的文件,那么日志文件协议不会下载要处理的文件。 将下载先前未处理的所有文件。

此选项仅适用于 FTP 和 SFTP 服务类型。
Change Local Directory?

选中此复选框以在 QRadar 上定义本地目录,用于在处理期间存储下载的文件。

建议您取消选中此复选框。 选中此复选框时,将显示 本地目录 字段,这使您可以选择配置要用于存储文件的本地目录。
Event Generator

Event Generator 列表中,选择 LineByLine

事件生成器会将更多处理应用于检索到的事件文件。 每行都是单个事件。 例如,如果文件包含 10 行文本,那么将创建 10 个单独的事件。