JDBC 协议配置选项
QRadar 使用 JDBC 协议从包含来自多种数据库类型的事件数据的表或视图收集信息。
JDBC 协议是出站/活动协议。 QRadar 不包含用于 JDBC的 MySQL 驱动程序。 如果您正在使用需要 MySQL JDBC 驱动程序的 DSM 或协议,那么必须从 http://dev.mysql.com/downloads/connector/j/下载并安装独立于平台的 MySQL Connector/J 。
- 将 Java™ 归档 (JAR) 文件复制到 /opt/qradar/jars 和 /opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/。
- 通过输入以下命令来重新启动 Tomcat 服务:
systemctl restart tomcat - 通过输入以下命令来重新启动事件收集服务:
systemctl restart ecs-ec-ingress
| 参数 | 描述 |
|---|---|
| 日志源名称 | 输入日志源的唯一名称。 |
| 日志源描述 (可选) | 输入日志源的描述。 |
| 日志源类型 | 从 日志源类型 列表中选择使用 JDBC 协议的设备支持模块 (DSM)。 |
| 协议配置 | JDBC |
| 日志源标识 | 输入日志源的名称。 该名称不能包含空格,并且必须在配置为使用 JDBC 协议的日志源类型的所有日志源中唯一。 如果日志源从具有静态 IP 地址或主机名的单个设备收集事件,请使用该设备的 IP 地址或主机名作为 日志源标识 值的全部或部分; 例如, 192.168.1.1 或 JDBC192.168.1.1。 如果日志源未从具有静态 IP 地址或主机名的单个设备收集事件,那么可以将任何唯一名称用于 日志源标识 值; 例如, JDBC1和 JDBC2。 |
| 数据库类型 | 选择包含事件的数据库类型。 |
| 数据库名称 | 要连接到的数据库的名称。 |
| 模式 ( Snowflake ) | 此参数指定要用于指定数据库后连接的缺省模式或空字符串。 指定的模式必须是指定的缺省角色具有特权的现有模式。 |
| IP 桌主机名 | 数据库服务器的 IP 地址或主机名。 |
| 仓库 ( Snowflake ) | 此参数指定要使用 POST 连接的虚拟仓库或空字符串。 指定的仓库必须是具有指定缺省角色特权的现有仓库。 |
| 角色 ( Snowflake ) | 该参数指定了在由驱动程序启动的 Snowflake 会话中使用的默认访问控制角色。 指定的角色必须是已分配给驱动程序的指定用户的现有角色。 如果未将指定的角色分配给用户,那么驱动程序在会话启动期间不会使用该角色。 |
| 端口 | 输入 JDBC 端口。 JDBC 端口必须与远程数据库上配置的侦听器端口匹配。 数据库必须允许入局 TCP 连接。 有效范围为 1-65535。 缺省值为:
如果配置 数据库实例 参数并具有 MSDE 数据库类型,请将 端口 参数留空。 |
| 用户名 | 数据库中 QRadar 的用户帐户。 |
| 密钥对验证(仅限 Snowflake ) | 使用 "密钥对身份验证 "进行增强身份验证,以替代用户名和密码等基本身份验证。 启用该选项可隐藏密码字段。 注: Snowflake 服务器使用高度精确的原子钟同步时间,以确保 QRadar 和 Snowflake 服务器配置相同的时区和紧密同步的时间戳(~30)。
|
| 私人密钥文件名 ( Snowflake ) | QRadar /opt/qradar/conf/trusted_certificates/jdbc/ 目录中的私钥文件名。 要生成私钥文件,请参阅配置 JDBC 以与 QRadar 通信。 |
| Password | 连接到数据库所需的密码。 |
| 确认密码 | 连接到数据库所需的密码。 |
| 认证域 (仅限 MSDE) | 如果禁用 使用 Microsoft JDBC,那么将显示 认证域 参数。 作为 Windows 域的 MSDE 的域。 如果您的网络不使用域,请将此字段留空。 |
| 数据库实例 (仅限 MSDE 或 Informix ) | 数据库实例 (如果需要)。 MSDE 数据库可以在一个服务器上包含多个 SQL Server 实例。 当您使用与缺省端口号不同的端口号进行 SQL 数据库解析时,请将此参数留空。 |
| 预定义查询 (可选) | 选择日志源的预定义数据库查询。 如果预定义查询不可用于日志源类型,那么可以选择 无 选项。 如果特定集成的配置指南指示使用预定义查询,请从列表中选择该查询。 否则,请选择 无 并填充其余必需值。 |
| 表名 | 包含事件记录的表或视图的名称。 表名可以包含以下特殊字符: 美元符号 ($) ,数字符号 (#) ,下划线 (_) ,连字符 (-) 和句点 (.)。 |
| 选择列表 | 轮询表以获取事件时要包含的字段的列表。 可以使用逗号分隔列表或输入星号 (*) 从表或视图中选择所有字段。 如果定义了以逗号分隔的列表,那么该列表必须包含在 比较字段 参数中定义的字段。 |
| 比较字段 | 来自表或视图的数字值或时间戳记字段,用于标识在查询之间添加到表中的新事件。 设置此参数值时,协议将识别先前由协议拉取的事件,以确保不会创建重复事件。 |
| 请使用准备的语句 | 预编译语句使 JDBC 协议源能够设置 SQL 语句,然后使用不同的参数多次运行 SQL 语句。 出于安全性和性能原因,大多数 JDBC 协议配置都可以使用预编译语句。 |
| 开始日期和时间 (可选) | 选择或输入数据库轮询的开始日期和时间。 格式为 yyyy-mm-dd HH:mm ,其中 HH 是使用 24 小时时钟指定的。 如果此参数为空,那么轮询将立即开始并在指定的轮询时间间隔重复。 此参数用于设置协议连接到目标数据库以初始化事件收集的时间和日期。 它可以与 轮询时间间隔 参数一起用于配置数据库轮询的特定调度。 例如,使用这些参数来确保轮询在每小时的 5 分钟后进行,或者确保轮询正好在每天凌晨 1:00 进行。 此参数不能用于从目标数据库检索较旧的表行。 例如,如果将该参数设置为 上周,那么协议不会检索上周的所有表行。 协议在初始连接上检索比 比较字段 的最大值更新的行。 |
| 轮询时间间隔 | 输入对事件表的查询之间的时间间隔。 要定义较长的轮询时间间隔,请将 H (表示小时) 或 M (表示分钟) 附加到数字值。 最大轮询时间间隔为一周。 |
| EPS 调速 | 每秒 QRadar 摄入的最大事件数。 如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。 有效范围为 100 到 20,000。 |
| 安全机制 (仅限Db2 ) | 从该列表中,选择 Db2 服务器支持的安全机制。 如果不想选择安全机制,请选择 无。 缺省值为 None。 有关 Db2 环境支持的安全机制的更多信息,请参见 IBM® 支持网站 ( https://www.ibm.com/support/knowledgecenter/en/SSEPGG_11.1.0/com.ibm.db2.luw.apdv.java.doc/src/tpc/imjcc_cjvjcsec.html ) |
| 使用命名管道通信 (仅限 MSDE) | 如果禁用 使用 Microsoft JDBC,那么将显示 使用命名管道通信 参数。 MSDE 数据库要求用户名和密码字段使用 Windows 认证用户名和密码,而不是数据库用户名和密码。 日志源配置必须使用 MSDE 数据库上的缺省命名管道。 |
| 数据库集群名称 | 如果要在集群环境中运行 SQL Server ,请定义集群名称以确保命名管道通信正常运行。 如果启用 使用命名管道通信 并选择 MSDE 数据库类型选项,那么此参数是必需的。 |
| 使用 NTLMv2 (仅限 MSDE) | 如果禁用 使用 Microsoft JDBC,那么将显示 使用 NTLMv2 参数。 如果希望 MSDE 连接在与需要 NTLMv2 认证的 SQL 服务器进行通信时使用 NTLMv2 协议,请选择此选项。 此选项不会中断不需要 NTLMv2 认证的 MSDE 连接的通信。 不中断不需要 NTLMv2 认证的 MSDE 连接的通信。 |
| 使用 Microsoft JDBC (仅限 MSDE) | 如果要使用 Microsoft JDBC 驱动程序,必须启用 使用 Microsoft JDBC。 缺省情况下启用此参数。 |
| 使用 SSL (仅限 MSDE) | 如果 MSDE 连接支持 SSL ,请启用此选项。 |
| SSL 证书主机名 | 当同时启用了 使用 Microsoft JDBC 和 使用 SSL 时,此字段是必需的。 此值必须是主机的标准域名 (FQDN)。 不允许该 IP 地址。 有关 SSL 证书和 JDBC的更多信息,请参阅以下链接中的过程:
|
| 允许不可信任的证书(仅限 MSDE) | 当端点使用的证书无法通过证书链验证时,启用此选项。 这包括自签的证书,或不想导入 CA 信任的私有 CA 的证书。 如果端点的证书是由公共 CA( SaaS 产品、公共云基础设施等)签发的,而证书是从默认或系统可信存储区验证的,则不要使用此选项。 使用该选项时,证书必须以 PEM 或 DER 编码的二进制文件下载,并放入 /opt/qradar/conf/trusted_certificates/ 位置,扩展名为 .cert 或 .crt 。 注意: 要使该参数可用,请选择数据库类型为 MSDE > 使用 Microsoft JDBC (切换) > 使用 SSL (切换)。
该选项不适用于 NTLMv2 ,因为它使用jtds不支持自定义 TrustManager 实现的驱动程序。 |
| 使用 Oracle 加密(仅限Oracle ) | Oracle 加密和数据完整性设置 也称为 Oracle Advanced Security。 如果选择此选项,那么 Oracle JDBC 连接需要服务器支持与客户机类似的 Oracle 数据加密设置。 |
| 数据库语言环境 (仅限Informix ) | 对于多语言安装,请指定要用于安装过程 (或软件?) 的语言。 选择语言之后,可以在 Code-Set 参数中选择安装中使用的字符集。 |
| 代码集 (仅限Informix ) | 选择用于多语言安装的语言后,将显示 Code-Set 参数。 使用此字段来指定要使用的字符集。 |
| 已启用 | 选中此复选框以启用日志源。 缺省情况下,此复选框处于选中状态。 |
| 可信性 | 从列表中,选择日志源的 可信性 。 范围介于 0 到 10 之间。 可信性指示事件或攻击的完整性,由源设备的可信性评级确定。 如果多个源报告同一事件,那么可信性会增加。 缺省值为 5。 |
| 目标事件收集器 | 选择要用作日志源的目标的 目标事件收集器 。 |
| 结合事件 | 选中 合并事件 复选框以启用日志源来合并 (捆绑) 事件。 缺省情况下,自动发现的日志源会从 QRadar中的 "系统设置" 继承 Coalescing Events 列表的值。 创建日志源或编辑现有配置时,可以通过为每个日志源配置此选项来覆盖缺省值。 |
| 存储事件有效内容 | 选中 存储事件有效内容 复选框以允许日志源存储事件有效内容信息。 缺省情况下,自动发现的日志源从 QRadar中的 "系统设置" 继承 存储事件有效内容 列表的值。 创建日志源或编辑现有配置时,可以通过为每个日志源配置此选项来覆盖缺省值。 |
| 启用高级选项 | 选中此复选框以启用高级选项。 禁用时,将使用缺省值。 |
| 在 SQL 语句中与 (无锁定) 配合使用 | 启用此选项以使用 "WITH (NOLOCK)" 附加所有 SQL 语句中的表。 |
| 数据库实例 (仅限 MSDE 或 Informix ) | 数据库实例参数(如需要),用于 QRadar。 MSDE 数据库可以在一个服务器上包含多个 SQL Server 实例。 当您使用与缺省端口号不同的端口号进行 SQL 数据库解析时,请将此参数留空。 注意: 使用 IPv6 地址时,MSDE 数据库必须使用数据库实例参数。
|