添加日志源

如果未自动发现日志源,请使用 QRadar Log Source Management 应用程序手动添加日志源,以便您可以从网络设备或设备接收事件。

如果使用 QRadar 7.3.1 到 7.5.0 更新包 3 ,那么还可以使用 "日志源" 图标来添加日志源。 在 QRadar 7.5.0 更新包 4 和更高版本中,单击 日志源 图标时,将打开 QRadar Log Source Management 应用程序。

在开始之前

确保 QRadar Log Source Management 应用程序安装在 QRadar Console上。 有关安装应用程序的更多信息,请参阅 安装 QRadar® 日志源管理应用程序

过程

  1. 登录到 QRadar
  2. 单击 管理 选项卡。
  3. 要打开应用程序,请单击 QRadar 日志源管理 应用程序图标。
  4. 单击 新建日志源 > 单一日志源
  5. 在 " 选择日志源类型 " 页面上,选择日志源类型,然后单击 选择协议类型
  6. 在 " 选择协议类型 " 页面上,选择协议,然后单击 配置日志源参数
  7. 在 " 配置日志源参数 " 页面上,配置日志源参数,然后单击 配置协议参数
    下表描述了所有日志源类型的公共日志源参数:
    表 1. 公共日志源参数
    参数 描述
    Enabled 如果未启用此选项,那么日志源不会收集事件。
    Credibility 可信性表示日志源创建的事件的完整性或有效性。 分配给日志源的可信性值可以根据传入事件增加或减少,并可作为对用户创建的事件规则的响应进行调整。 来自日志源的事件的可信性将影响攻击量级的计算,并可以增大或减小攻击量级值。
    Target Event Collector 指定运行日志源协议的 QRadar 主机。 出站协议从此主机启动与远程系统的连接,入站协议在此主机上初始化其端口侦听器以接收远程系统发送的事件数据。
    此参数未专门用于将日志源分配给 Event Collector 设备。 由于 Event Collector 组件存在于以下主机上,因此可以将协议分配给其中任何主机:
    • Event Collectors
    • Event Processors
    • 数据网关 (仅限QRadar on Cloud )
    • QRadar Console
    提示: 所有可以收集事件的 QRadar 主机都在端口 514 上具有活动的系统日志侦听器,无论它们是否具有分配的任何系统日志源。 Target Event Collector 参数不用于具有 Syslog 协议的日志源。
    Coalescing Events

    当在短时间间隔 (10 秒) 内发生多个具有相同 QID用户名源 IP目标 IP目标端口 日志源 的事件时,会将这些事件合并 (捆绑) 在一起。

    由于将事件捆绑在一起,因此将减少存储的事件数,这将降低事件的存储成本。 合并事件可能会导致信息丢失,包括原始有效内容或事件属性。 缺省情况下是启用的。 有关更多信息,请参阅 如何在 QRadar中结合工作?
  8. 在 " 配置协议参数 " 页面上,配置特定于协议的参数。
    • 如果可以测试您的配置,请单击测试协议参数
    • 如果无法测试您的配置,请单击完成
  9. 在 " 测试协议参数 " 窗口中,单击 启动测试
  10. 要修正任何错误,请单击 配置协议参数。 配置参数并单击测试协议参数
  11. 单击 完成

使用 日志源 图标添加日志源

如果未自动发现日志源,请手动为 QRadar 添加日志源以从网络设备或设备接收事件。

如果您正在使用 QRadar 7.3.0 或更低版本,那么只能使用 日志源 图标在 QRadar 中添加日志源。

如果您正在使用 QRadar 7.3.1 和更高版本,那么可以使用 QRadar Log Source Management 应用程序来添加日志源。

过程

  1. 登录到 QRadar
  2. 单击 管理 选项卡。
  3. 单击 日志源 图标。
  4. 单击 添加
  5. 配置公共的日志源参数。
  6. 配置特定于协议的日志源参数。
    下表描述了所有日志源类型的公共日志源参数:
    表 2. 公共日志源参数
    参数 描述
    Enabled 如果未启用此选项,那么日志源不会收集事件。
    Credibility 可信性表示日志源创建的事件的完整性或有效性。 分配给日志源的可信性值可以根据传入事件增加或减少,并可作为对用户创建的事件规则的响应进行调整。 来自日志源的事件的可信性将影响攻击量级的计算,并可以增大或减小攻击量级值。
    Target Event Collector 指定运行日志源协议的 QRadar 主机。 出站协议从此主机启动与远程系统的连接,入站协议在此主机上初始化其端口侦听器以接收远程系统发送的事件数据。
    此参数未专门用于将日志源分配给 Event Collector 设备。 由于 Event Collector 组件存在于以下主机上,因此可以将协议分配给其中任何主机:
    • Event Collectors
    • Event Processors
    • 数据网关 (仅限QRadar on Cloud )
    • QRadar Console
    提示: 所有可以收集事件的 QRadar 主机都在端口 514 上具有活动的系统日志侦听器,无论它们是否具有分配的任何系统日志源。 Target Event Collector 参数不用于具有 Syslog 协议的日志源。
    Coalescing Events

    当在短时间间隔 (10 秒) 内发生多个具有相同 QID用户名源 IP目标 IP目标端口 日志源 的事件时,会将这些事件合并 (捆绑) 在一起。

    由于将事件捆绑在一起,因此将减少存储的事件数,这将降低事件的存储成本。 合并事件可能会导致信息丢失,包括原始有效内容或事件属性。 缺省情况下是启用的。 有关更多信息,请参阅 如何在 QRadar中结合工作?
  7. 单击 保存
  8. 在 " 管理 " 选项卡上,单击 部署更改