Alibaba Cloud Object Storage 协议配置选项

输入日志源的唯一名称。

日志源标识 可以是任何有效值，并且不需要引用特定服务器。 它也可以是与 日志源名称相同的值。 如果您有多个已配置的 Alibaba Cloud Object Storage 日志源，请确保为每个日志源提供唯一的名称。

支持以下事件格式:

ActionTrail

包含记录数组的原始日志文件。 您可以使用 .gz 文件进行压缩。

行 (LINEBYLINE)

每行包含一条记录的原始日志文件。 可以使用 .gz， .gzip或 .zip 文件进行压缩。

选择此选项可使收集的事件流经 QRadar 流量分析引擎，并使 QRadar 自动检测一个或多个日志源。

选择此选项后，您可以选择使用 Log Source Identifier Pattern 为正在处理的事件定义自定义 Log Source Identifier 。

如果选择 用作网关日志源，那么可以定义定制日志源标识。 将此选项用于正在处理的事件以及自动发现的日志源。

如果您未配置 日志源标识符模式，QRadar 将以未知通用日志源接收事件。

使用 "键/值" 对来定义定制日志源标识。 键是标识格式字符串，这是生成的源或源值。 该值是用于评估当前有效内容的关联正则表达式模式。 此值还支持可用于进一步定制密钥的捕获组。

通过在新行上输入每个模式来定义多个键/值对。 将按多个模式的列示顺序对其进行求值。 找到匹配项时，将显示定制日志源标识。

以下示例显示了多个键/值对函数:

模式 VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT）/s(OK)
事件
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
生成的定制日志源标识 VPC-ACCEPT-OK

输入与要拉取的文件匹配的文件模式的正则表达式，例如 .*?\.json\.gz。

当您将 显示高级选项 设置为 开启时，此选项可用。

目标 Event Collector 上的本地目录。 在协议尝试检索事件之前，该目录必须存在。

当您将 显示高级选项 设置为 开启时，此选项可用。

如果 QRadar 使用代理访问 Alibaba Cloud Object Storage ，请启用 使用代理。

如果代理需要认证，请配置 代理服务器， 代理端口， 代理用户名和 代理密码 参数。 如果代理不需要认证，请将 代理用户名 和 代理密码 字段留空。

输入时间间隔以确定协议轮询新数据的频率。 时间间隔可以包含以小时 (H) ，分钟 (M) 或天 (D) 为单位的值。 例如， 2H = 2 小时， 15M = 15 分钟， 30 = 秒。

最小值为 1M。

每秒 QRadar 摄入的最大事件数。

如果数据源超过 EPS 调速，那么数据收集将延迟。 仍会收集数据，然后在数据源停止超过 EPS 调速时采集数据。

缺省值 5000。