不成文协议

配置日志源时，可用协议类型选项集受所选日志源类型的限制。并非所有日志源类型都支持所有协议类型。

DSM Configuration Guide 描述了如何配置特定类型的日志源，以及 IBM® 完全支持该日志源类型的每种协议类型。任何具有针对特定日志源类型的配置文档的协议类型都被视作该日志源类型的“成文”协议。缺省情况下， " 日志源 " 窗口的协议配置列表中仅显示这些记录的协议。

作为开放式平台， QRadar 通过其他集成方法 (协议类型) 收集和处理事件数据。可以为特定日志源类型配置某些协议类型，但会将其标记为未记录。但是， DSM Configuration Guide 不包含有关如何为未记录的协议设置事件集合的指示信息。 IBM 不支持配置使用未记录的协议的日志源，因为这些协议未经过内部测试和记录。用户负责确定如何将事件数据输入 QRadar。

例如， JDBC 协议是记录的配置，用于从将其事件数据存储在数据库中的系统获取事件。但是，可以通过第三方产品收集相同的事件数据，然后通过 Syslog 将其转发到 QRadar 。配置日志源以使用未记录的协议类型 "Syslog"。 QRadar 接受事件并将其路由到相应的日志源。

您必须配置第三方产品以从数据库中检索事件数据，并通过 Syslog 将此数据发送到 QRadar ，因为此配置不是记录的收集方法。

重要信息: 通过未记录的协议收集和处理事件数据可能会导致格式与记录的 DSM 日志源类型期望的格式不同的数据。因此，如果 DSM 从未记录的协议接收事件，那么解析可能不起作用。例如，JDBC 协议将创建由一系列空格分隔的键值对组成的事件有效内容。在目标数据库表中，键是列名，值是事件所表示的表行对应的列。使用 JDBC 协议的受支持日志源类型的 DSM 期待接收此事件格式。如果通过系统日志协议从第三方产品转发的事件数据具有不同的格式，那么 DSM 无法对其进行解析。可能需要使用 DSM 编辑器来调整 DSM 的解析，以便它可以处理这些事件。