名称值对
"名称/值对" DSM 为您提供了用于将 IBM QRadar 与通常不会发送系统日志的设备集成的选项。
"名称值对" DSM 提供了一种日志格式,使您可以选择将日志发送到 QRadar。 例如,对于不使用 syslog 本机导出日志的设备,您可以创建脚本以从 QRadar 不支持的设备导出日志,以名称值对日志格式格式化日志,并使用 syslog 将日志发送到 QRadar 。
然后,在 QRadar 中配置的 "名称值对 DSM" 日志源会接收日志,并且能够解析数据,因为将以 "名称值对" 日志格式接收日志。
名称值对 DSM 通过使用系统日志来接受事件。 QRadar 记录所有相关事件。 名称值对 DSM 的日志格式必须是 Name=Parameter的制表符分隔单行列表。 名称值对 DSM 不需要有效的 syslog 头。
名称值对 DSM 能够解析以下标记:
标记 |
描述 |
|---|---|
| DeviceType | 输入 NVP 作为 DeviceType。 这会将日志格式标识为 "名称值对" 日志消息。 这是必需参数, |
| EventName | 在使用 "事件映射" 函数时,输入要用于在 "事件" 界面中标识事件的事件名称。 有关映射事件的更多信息,请参阅 IBM QRadar User Guide。 这是必需参数。 |
| EventCategory | 输入要用于在 "事件" 界面中标识事件的事件类别。 如果此值未包含在日志消息中,那么将使用值 |
| SourceIp | 输入消息的源 IP 地址。 |
| SourcePort | 输入消息的源端口。 |
| SourceIpPreNAT | 在发生网络地址转换 (NAT) 之前输入消息的源 IP 地址。 |
| SourceIpPostNAT | 在发生 NAT 后输入消息的源 IP 地址。 |
| SourceMAC | 输入消息的源 MAC 地址。 |
| SourcePortPreNAT | 在发生 NAT 之前输入消息的源端口。 |
| SourcePortPostNAT | 在发生 NAT 后输入消息的源端口。 |
| DestinationIp | 输入消息的目标 IP 地址。 |
| DestinationPort | 输入消息的目标端口。 |
| DestinationIpPreNAT | 在发生 NAT 之前输入消息的目标 IP 地址。 |
| DestinationIpPostNAT | 在发生 NAT 后输入消息的 IP 地址。 |
| DestinationPortPreNAT | 在发生 NAT 之前输入消息的目标端口。 |
| DestinationPortPostNAT | 在发生 NAT 后输入消息的目标端口。 |
| DestinationMAC | 输入消息的目标 MAC 地址。 |
| DeviceTime | 根据设备输入发送事件的时间。 格式为 :YY/MM/DD hh:mm:ss。 如果未提供特定时间,那么将应用 syslog 头或 DeviceType 参数。 |
| UserName | 输入与事件关联的用户名。 |
| HostName | 输入与事件关联的主机名。 通常,此参数仅与身份事件相关联。 |
| GroupName | 输入与事件关联的组名。 通常,此参数仅与身份事件相关联。 |
| NetBIOSName | 输入与事件关联的 NetBIOS 名称。 通常,此参数仅与身份事件相关联。 |
| 标识 | 输入 TRUE 或 FALSE 以指示是否希望此事件生成身份事件。 如果日志信息中包含 SourceIp (如果 IdentityUseSrcIp 参数被设置为 TRUE参数设置为 TRUE)或 DestinationIp (如果 IdentityUseSrcIp 参数设置为 FALSE)以及下列参数之一:UserName, SourceMAC, HostName, NetBIOSName, 或 GroupName. |
| IdentityUseSrcIp | 输入 TRUE 或 FALSE (缺省值)。 TRUE 指示要将源 IP 地址用于身份。 FALSE 指示要将目标 IP 地址用于身份。 仅当 Identity 参数设置为 TRUE 时,才会使用此参数。 |
使用这些样本事件消息来验证是否成功与 QRadar集成。
示例 1
以下示例解析所有字段:
DeviceType=NVP EventName=Test DestinationIpPostNAT=<IP_address> DeviceTime=2007/12/14 09:53:49 SourcePort=1111 Identity=FALSE SourcePortPostNAT=3333 DestinationPortPostNAT=6666 HostName=testhost DestinationIpPreNAT=<IP_address> SourcePortPreNAT=2222 DestinationPortPreNAT=5555 SourceMAC=<MAC_address> SourceIp=<IP_address> SourceIpPostNAT=<IP_address> NetBIOSName=<BIOS_name> DestinationMAC=<MAC_address> EventCategory=Accept DestinationPort=4444 GroupName=testgroup SourceIpPreNAT=<IP_address> UserName=<Username> DestinationIp=<IP_address>示例 2
以下示例提供了使用目标 IP 地址的身份:
<133>Apr 16 12:41:00 192.0.2.1 namevaluepair: DeviceType=NVP EventName=Test EventCategory=Accept Identity=TRUE SourceMAC=<MAC_address> SourceIp=<Source_IP_address> DestinationIp=<Destination_IP_address> UserName=<Username> 示例 3
以下示例提供了使用源 IP 地址的身份:
DeviceType=NVP EventName=Test EventCategory=Accept DeviceTime=2007/12/14 09:53:49 SourcePort=5014 Identity=TRUE IdentityUseSrcIp=TRUE SourceMAC=<MAC_address> SourceIp=<Source_IP_address> DestinationIp=<Destination_IP_address> DestinationMAC=<MAC_address> UserName=<Username> 示例 4
以下示例提供了无身份的条目:
DeviceType=NVP EventName=Test
EventCategory=Accept DeviceTime=2007/12/14 09:53:49
SourcePort=5014 Identity=FALSE
SourceMAC=<MAC_address>
SourceIp=<Source_IP_address>
DestinationIp=<Destination_IP_address>
DestinationMAC=<MAC_address>
UserName=<Username>