Google Cloud Pub/Sub 协议配置选项

Google Cloud Pub/Sub 协议是 IBM QRadar 的出站/活动协议,用于收集 Google Cloud Platform (GCP) 日志。

如果未启用自动更新,请从 IBM® 支持网站下载 GoogleCloudPubSub 协议 RPM。
要点: Google Cloud Pub/Sub 协议在构建号为 20191022133252 或更高版本的 QRadar 7.3.2.6上受支持。
下表描述了用于使用 Google Cloud Pub/Sub 协议收集 Google Cloud Pub/Sub 日志的特定于协议的参数:
表 1. Google Cloud Pub/Sub Google Cloud Pub/Sub的日志源参数
参数 描述
Service Account Credential Type

指定所需服务帐户凭证的来源。

确保关联的服务帐户对 GCP 中的已配置 预订名称 具有 发布/预订订户 角色或更具体的 pubsub.subscriptions.consume 许可权。

用户管理的密钥
通过从下载的服务帐户密钥输入完整的 JSON 文本,在 服务帐户密钥 字段中提供。
GCP 受管密钥
确保 QRadar 受管主机正在 GCP Compute 实例中运行,并且 Cloud API 访问作用域包括 Cloud 发布/预订。
Service Account Key

在 Google Cloud Platform (GCP) 的 IAM 和管理员 > 服务帐户 部分中为服务帐户创建 用户管理的密钥 时下载的 JSON 文件的全文。

示例: 

{
  "type": "service_account",
  "project_id": "qradar-test-123456",
  "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b",
  "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n",
  "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com",
  "client_id": "526344196064252652671",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com"
}
Subscription Name 云发布/预订的全名。 例如,projects/my-project/subscriptions/my-subscription
Use As A Gateway Log Source

为收集的事件选择此选项以流经 QRadar 流量分析引擎,并为 QRadar 自动检测一个或多个日志源。

选择此选项时,可以选择使用 日志源标识模式 为正在处理的事件定义定制 日志源标识
Log Source Identifier Pattern

选择 用作网关日志源 选项时,请使用此选项为已处理的事件定义定制日志源标识。 如果未配置 日志源标识模式 ,那么 QRadar 会将事件作为未知通用日志源接收。

日志源标识模式 字段接受键/值对 (例如 key= value) ,以定义正在处理的事件的定制日志源标识以及在适用时自动发现的日志源的定制日志源标识。 Key 是标识格式字符串,它是生成的源或源值。 值是用于评估当前有效内容的关联正则表达式模式。 值 (正则表达式模式) 还支持捕获组,这些组可用于进一步定制键 (标识格式字符串)。

可以通过在新行上输入每个模式来定义多个键/值对。 使用多个模式时,将按顺序对其进行求值,直到找到匹配项为止。 找到匹配项时,将显示定制日志源标识。

以下示例显示了多键/值对功能:
模式
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
事件
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
生成的定制日志源标识
VPC-接受-正常
Use Predictive Parsing

如果启用此参数,那么算法将从事件中抽取日志源标识模式,而不针对每个事件运行正则表达式,这将提高解析速度。

提示: 在极少数情况下,算法可能会进行不正确的预测。 仅对期望接收高事件率且需要更快解析的日志源类型启用预测解析。
Use Proxy

QRadar 选择此选项以使用代理连接到 GCP。

如果代理需要认证,请配置 代理服务器代理端口代理用户名代理密码 字段。

如果代理不需要认证,请配置 代理服务器代理端口 字段。
Proxy IP or Hostname 代理服务器的 IP 或主机名。
Proxy Port 用于与代理服务器通信的端口号。

缺省值为 8080。
Proxy Username 仅当代理需要认证时才需要。
Proxy Password 仅当代理需要认证时才需要。
EPS Throttle

每秒 QRadar 摄入的最大事件数。

如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。

缺省值 5000。
Convert Google VPC Flow Logs to IPFIX 此选项将 Google VPC 流日志转换为 IPFIX ,然后将 IPFIX 发送到流处理器。
Flow Destination Hostname

发送 Google VPC 流日志的流处理器主机名。

注: 启用 Convert Google VPC Flow Logs to IPFIX 以配置此参数。
Flow Destination Port

发送 Google VPC 流日志的流处理器端口。

注: 启用 Convert Google VPC Flow Logs to IPFIX 以配置此参数。