Universal LEEF

Universal LEEF DSM for IBM QRadar 从生成使用日志事件扩展格式 (LEEF) 的事件的设备收集事件。

LEEF 事件格式是一种专有的事件格式，它允许硬件制造商和软件产品制造商读取和映射专为 QRadar 集成设计的设备事件。

在伙伴关系程序外部发送到 QRadar 的 LEEF 格式化事件要求您安装通用 LEEF DSM ，并通过映射未知事件来手动标识转发到 QRadar 的每个事件。 通用 LEEF DSM 可以使用 "日志文件" 协议解析从系统日志转发的事件或包含从设备或目录轮询的 LEEF 格式的事件的文件。

要使用通用 LEEF 在 QRadar 中配置事件，必须执行以下操作:

1. 在 QRadar中配置通用 LEEF 日志源。
2. 将 LEEF 格式的事件从设备发送到 QRadar。 有关转发事件的更多信息，请参阅供应商文档。
3. 将未知事件映射到 QRadar 标识 (QID)。