观察 IT JDBC
IBM QRadar DSM for ObserveIT JDBC 从 ObserveIT收集 JDBC 事件。
下表标识了 ObserveIT JDBC DSM 的规范:
规范 | 值 |
---|---|
制造商 | ObserveIT |
产品 | ObserveIT JDBC |
DSM RPM 名称 | DSM-ObserveIT-QRadar_Version-Build_Number.noarch.rpm |
受支持的版本 | V5.7 |
协议 | ObserveIT JDBC 日志文件协议 |
QRadar 个记录的事件 | ObserveIT JDBC支持以下事件类型:
日志文件协议支持 LEEF 日志中的用户活动。 |
自动发现? | 否 |
包含身份? | 是 |
是否包含定制属性? | 否 |
更多信息 | ObserveIT Web 站点 (http://www.observeit-sys.com) |
要收集 ObserveIT JDBC 事件,请完成以下步骤:
- 如果未启用自动更新,请从 IBM® 支持网站下载下列 RPM 的最新版本并安装到 QRadar
Console 上:
- ObserveIT JDBC DSM RPM
- DSMCommon DSM RPM
- ObserveIT JDBC PROTOCOL RPM
- JDBC PROTOCOL RPM
- 确保已安装 ObserveIT 系统,并且可以通过网络访问 SQL Server 数据库。
- 对于要集成的每个 ObserveIT 服务器,请在 QRadar
Console上创建日志源。 配置所有必需参数。 使用这些表来配置特定于 ObserveIT 的参数:
表 2. ObserveIT JDBC 日志源参数 参数 描述 日志源类型 ObserveIT 协议配置 ObserveIT JDBC 日志源标识 输入日志源的名称。 该名称不能包含空格,并且必须在配置为使用 JDBC 协议的日志源类型的所有日志源中唯一。
如果日志源从具有静态 IP 地址或主机名的单个设备收集事件,请使用该设备的 IP 地址或主机名作为 日志源标识 值的全部或部分; 例如, 192.168.1.1 或 JDBC192.168.1.1。 如果日志源未从具有静态 IP 地址或主机名的单个设备收集事件,那么可以将任何唯一名称用于 日志源标识 值; 例如, JDBC1, JDBC2。
数据库名称 ObserveIT IP 桌主机名 ObserveIT 系统的 IP 地址或主机名。 端口 ObserveIT 主机上的端口。 缺省值为 1433。 用户名 连接到 ObserveIT MS SQL 数据库所需的用户名 密码 连接到 ObserveIT MS SQL 数据库所需的密码。 开始日期和时间 使用 yyyy-MM-dd HH: mm 格式。 轮询时间间隔 轮询数据库的频率。 EPS 调速 每秒 QRadar 摄入的最大事件数。
如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。
表 3. 日志文件协议参数 参数 描述 协议配置 日志文件 日志源标识 日志源的 IP 地址。 此值必须与 远程 IP 或主机名 参数中配置的值匹配。 对于日志源类型, 日志源标识 值必须唯一。 服务类型 从列表中,选择从远程服务器检索日志文件时要使用的协议。 缺省值为 SFTP。
SFTP-SSH 文件传输协议
FTP - 文件传输协议
SCP-安全复制
检索 SCP 和 SFTP 服务类型的日志文件的底层协议要求 远程 IP 或主机名 字段中指定的服务器已启用 SFTP 子系统。
远程 IP 或主机名 用于存储事件日志文件的设备的 IP 地址或主机名。 远程端口 如果远程主机使用非标准端口号,那么必须调整端口值以检索事件。 远程用户 登录到包含事件文件的主机所需的用户名。 用户名的长度最多可以为 255 个字符。 远程密码 登录到主机所需的密码。 确认密码 确认登录到主机所需的密码。 SSH 密钥文件 SSH 密钥的路径 (如果系统配置为使用密钥认证)。 使用 SSH 密钥文件时,将忽略 远程密码 字段。 远程目录 对于 FTP ,如果日志文件位于远程用户的主目录中,那么可以将远程目录留空。 空白 远程目录 字段支持工作目录 (CWD) 命令中的更改受限的系统。 SCP 远程文件 如果选择 SCP 作为 服务类型,那么必须输入远程文件的文件名。 递归 对于 SCP 文件传输,将忽略此选项。 FTP 文件模式 标识要从远程主机下载的文件所需的正则表达式 (regex)。 FTP 传输方式 对于基于 FTP 的 ASCII 传输,必须在 处理器 字段中选择 NONE ,在 事件生成器 字段中选择 LINEBYLINE 。 开始时间 希望处理开始的时间。 例如,输入 12:00 AM 以调度日志文件协议在午夜收集事件文件。 此参数与 重复值 配合使用,以确定扫描 远程目录 以查找文件的时间和频率。 按以下格式输入 开始时间(基于 12 小时的时钟): HH:MM <AM/PM>。 重复 用于确定扫描远程目录以获取新事件日志文件的频率的时间间隔。 时间间隔可以包含以小时 (H) ,分钟 (M) 或天 (D) 为单位的值。 例如, 2H 的重复每 2 小时扫描一次远程目录。 保存时运行 保存日志源配置后,立即启动日志文件导入。 选中时,此复选框将清除先前下载和处理的文件的列表。 在第一次文件导入之后,日志文件协议遵循管理员定义的开始时间和重复调度。 EPS 调速 每秒 QRadar 摄入的最大事件数。
如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。
处理器 处理器允许 QRadar 展开事件文件归档,并处理事件的内容。 QRadar 仅在下载文件后处理这些文件。 QRadar 可以处理 zip, gzip, tar或 tar+gzip 归档格式的文件。 忽略先前处理的文件 跟踪并忽略由日志文件协议处理的文件。 QRadar 检查远程目录中的日志文件以确定先前是否由日志文件协议处理了文件。 如果检测到先前处理的文件,那么日志文件协议不会下载要处理的文件。 将下载先前未处理的所有文件。 此选项仅适用于 FTP 和 SFTP 服务类型。 更改本地目录? 在处理事件日志之前,更改目标事件收集器上的本地目录以存储事件日志。 本地目录 目标 Event Collector 上的本地目录。 在日志文件协议尝试检索事件之前,该目录必须存在。 文件编码 日志文件中的事件所使用的字符编码。 文件夹分隔符 用于为操作系统分隔文件夹的字符。 大多数配置可以使用 文件夹分隔符 字段中的缺省值。 此字段适用于使用不同字符来定义单独文件夹的操作系统。 例如,用于分隔大型机系统上的文件夹的时间段。