LEEF 概述
日志事件扩展格式 (LEEF) 是 IBM® Security QRadar®的定制事件格式。
任何供应商都可以使用此文档来生成 LEEF 事件。
QRadar 可以集成,识别和处理 LEEF 事件。 LEEF 事件必须使用 UTF-8 字符编码。
您可以使用以下协议将 LEEF 输出中的事件发送到 QRadar :
- Syslog
- 使用日志文件协议导入文件
重要信息: 在 QRadar 可以使用 LEEF 事件之前,必须完成通用 LEEF 配置任务。 有关配置日志文件协议以收集通用 LEEF 事件的更多信息,请参阅 DSM Configuration Guide。
您选择提供 LEEF 事件的方法确定是否可以在 QRadar中自动发现事件。 当自动发现事件时,会降低 QRadar 中所需的手动配置级别。
接收到 LEEF 事件时, QRadar 会分析事件流量,以尝试识别设备或设备。 此过程称为 流量分析。 通常至少需要 25 个 LEEF 事件才能在 QRadar中识别和创建新的日志源。 在流量分析确定事件源之前,初始 25 个事件将分类为 SIM 通用日志 DSM 事件,并且事件名称将设置为 未知日志事件。 识别事件流量后, QRadar 会创建日志源,以正确分类并标记从设备或软件转发的任何事件。 可以在 QRadar 中的 日志活动 选项卡上查看从设备发送的事件。
重要信息: 在 1,000 个事件之后无法识别日志源时, QRadar 会创建系统通知并从流量分析队列中除去日志源。 QRadar 仍能够收集事件,但用户必须进行干预并手动创建日志源以标识事件类型。