IBM Cloud Object Storage 协议配置选项
IBM Cloud Object Storage的IBM QRadar协议是一种出站或活动协议,用于从IBM Cloud Object Storage桶收集对象中包含的日志。
您必须具有 "读取者" , "写入者" 或 "管理者" 角色才能访问存储区。 有关用户访问角色和许可权的更多信息,请参阅 存储区许可权 (https://cloud.ibm.com/docs/cloud-object-storage?topic=cloud-object-storage-iam-bucket-permissions)。
必须创建包含基于散列的消息认证代码 (HMAC) 凭证的服务凭证。 有关服务凭证的更多信息,请参阅 使用 HMAC 凭证 (https://cloud.ibm.com/docs/cloud-object-storage?topic=cloud-object-storage-uhc-hmac-credentials-main)。
| 参数 | 描述 |
|---|---|
| 协议配置 | IBM Cloud Object Storage |
| 日志源标识 | 输入日志源的唯一名称。 日志源标识不需要引用特定服务器,它可以是与 日志源名称相同的值。 |
| HMAC 访问密钥标识 | 配置服务凭证时生成的访问密钥标识。 |
| HMAC 私钥访问密钥 | 配置服务凭证时生成的私钥访问密钥。 |
| 端点 | 存储区配置页面中声明的公共端点。 |
| 存储区名称 | 存储日志的存储区的名称。 |
| 前缀 | 用于限制以前缀开头的收集对象或文件键的前缀过滤器值。 要从存储区中拉取所有文件,请使用正斜杠 (/)。 重要信息: 更改 前缀 值将清除持久文件标记。 将在下一个拉取中下载所有与新前缀匹配的文件。 如果使用 Prefix 文件路径来指定文件夹,那么不能以正斜杠作为文件路径的开头。 例如,请改为使用 folder1/folder2 。
|
| 事件格式 | 支持以下事件格式:
|
| 用作网关日志源 | 如果您不想为事件定义定制日志源标识,请取消选中该复选框。 如果未选择 用作网关日志源 ,并且未配置 日志源标识模式,那么 QRadar 会将事件作为未知通用日志源接收。 |
| 日志源标识模式 | 如果选择 用作网关日志源,那么可以定义定制日志源标识。 将此选项用于正在处理的事件以及自动发现的日志源。 如果未配置 日志源标识模式,那么 QRadar 会将事件作为未知的通用日志源接收。 使用 "键/值" 对来定义定制日志源标识。 键是标识格式字符串,这是生成的源或源值。 该值是用于评估当前有效内容的关联正则表达式模式。 此值还支持可用于进一步定制密钥的捕获组。 通过在新行上输入每个模式来定义多个键/值对。 将按多个模式的列示顺序对其进行求值。 找到匹配项时,将显示定制日志源标识。 以下示例显示了多个键/值对函数: |
| 显示高级选项 | 要配置事件收集的高级选项,请将此选项设置为 开启。 |
| 文件模式 | 输入与要拉取的文件匹配的文件模式的正则表达式; 例如, .*?\.json\.gz。 当您将 显示高级选项 设置为 开启时,此选项可用。 |
| 本地目录 | 目标 Event Collector 上的本地目录。 在协议尝试检索事件之前,该目录必须存在。 当您将 显示高级选项 设置为开启时,此选项可用。 |
| 使用代理 | 如果 QRadar 使用代理访问 IBM Cloud Object Storage ,请启用 使用代理。 如果代理需要认证,请配置 代理服务器, 代理端口, 代理用户名和 代理密码 参数。 如果代理不需要认证,请将 代理用户名 和 代理密码 字段留空。 |
| 重复 | 输入时间间隔以确定协议轮询新数据的频率。 时间间隔可以包含以小时 (H) ,分钟 (M) 或天 (D) 为单位的值。 例如, 2H = 2 小时, 15M = 15 分钟, 30 = 秒。 最小值为 60 (秒) 或 1M。 |
| EPS 调速 | 每秒 QRadar 摄入的最大事件数。 如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。 缺省值 5000。 |