日志文件协议配置选项
要从远程主机接收事件,请配置日志源以使用日志文件协议。
日志文件协议是一种活动出站协议,旨在用于编写每日事件日志的系统。 对于将信息附加到其事件文件的设备,使用 "日志文件" 协议是不适当的。
使用 SFTP , FTP , SCP 或 FTPS 一次检索一个日志文件。 日志文件协议可以管理纯文本,压缩文件或文件归档。 归档必须包含可一次处理一行的纯文本文件。 当 "日志文件" 协议下载事件文件时,该文件中接收到的信息会更新 日志活动 选项卡。 如果下载完成后将更多信息写入文件,那么不会处理附加信息。
| 参数 | 描述 |
|---|---|
| 协议配置 | 日志文件 |
| 日志源标识 | 输入日志源的唯一名称。 日志源标识 可以是任何有效值,并且不需要引用特定服务器。 它也可以是与 日志源名称相同的值。 如果您有多个已配置的 "日志文件" 日志源,请确保为每个日志文件提供唯一名称。 |
| 服务类型 | 选择从远程服务器检索日志文件时要使用的协议。
在 远程 IP 或主机名 字段中指定的服务器必须使 SFTP 子系统能够使用 SCP 或 SFTP 检索日志文件。 |
| 远程 IP 或主机名 | 输入包含事件日志文件的设备的 IP 地址或主机名。 |
| 远程端口 | 如果远程主机使用非标准端口号,那么必须调整端口值以检索事件。 |
| 远程用户 | 输入用于登录到包含事件文件的主机的用户名。 |
| 远程密码 | 输入用于登录到主机的密码。 |
| 启用严格主机密钥检查 | 启用此选项以在 Host Key List 参数中定义目标主机的允许公用密钥列表。 注: 仅当您在 服务类型 字段中选择 SFTP (Secure File Transfer 协议) 或 SCP (安全复制协议) 时,此选项才可用。
|
| 主机密钥列表 | 提供要在连接到目标主机时使用的 Base64 编码主机密钥的列表。 使用换行符分隔多个键,并使用空白行进行格式化。 受支持的主机密钥类型为: 您可以通过在 Linux上运行 OpenSSH 命令 注: 仅当您在 服务类型 字段中选择 SFTP (Secure File Transfer 协议) 或 SCP (安全复制协议) 时,此选项才可用。
|
| SSH 密钥文件 | 如果系统配置为使用密钥认证,请输入 SSH 密钥。 使用 SSH 密钥文件时,将忽略 远程密码 字段。 SSH 密钥必须位于 /opt/qradar/conf/keys 目录中。 要点: SSH 密钥文件 字段不再接受文件路径。 它不能包含 "/" 或 "~"。 输入 SSH 密钥的文件名。 现有配置的密钥将复制到 /opt/qradar/conf/keys 目录。 为了确保唯一性,密钥必须在文件名后追加 "_<Timestamp>"。
|
| 远程目录 | 对于 FTP ,如果日志文件位于远程用户的主目录中,那么可以将远程目录留空。 空白远程目录字段支持限制工作目录 (CWD) 命令更改的系统。 |
| 递归 | 启用此复选框以允许 FTP 或 SFTP 连接以递归方式在远程目录的子文件夹中搜索事件数据。 从子文件夹收集的数据取决于与 FTP 文件模式中的正则表达式的匹配。 递归 选项不可用于 SCP 连接。 |
| FTP 文件模式 | 标识要从远程主机下载的文件所需的正则表达式 (regex)。 |
| FTP 传输方式 | 对于通过 FTP 进行的 ASCII 传输,必须在 处理器 字段中选择 NONE ,在 事件生成器 字段中选择 LINEBYLINE 。 |
| FTPS TLS 版本 | 与 FTPS 连接兼容的 TLS 版本。 选择 TLS 1.3 以获取最高级别的 TLS 安全性。 选择支持多个版本的选项时, FTPS 连接会协商客户机和服务器都支持的最新版本。 TLS 1.3 与 QRadar 7.5.0 Update Package 5 和更高版本兼容。
重要信息: QRadar 7.4.3 修订包 3 和 7.5.0 Candidate Release 版本不再支持 TLS 1.0 和 TLS 1.1 ,后续发行版将停止支持这些版本。
限制: QRadar 仅支持显式 FTPS
如果 FTP 服务器支持会话复用,请确保在 FTP 服务器配置文件中将其禁用。 在 服务类型 参数中选择 FTPS 时,此配置选项适用。 |
| SCP 远程文件 | 对于 SCP 文件传输,输入远程主机上文件的名称。 只能选择单个文件。 此参数不支持添加多个文件,包括诸如文件全局或正则表达式之类的方法。 |
| 开始时间 | 选择日志源开始文件导入的时间。 此参数与 重复 参数配合使用,以确定扫描远程目录以查找文件的时间和频率。 |
| 重复 | 用于确定扫描远程目录以获取新事件日志文件的频率的时间间隔。 时间间隔可以包含以小时 (H) ,分钟 (M) 或天 (D) 为单位的值。 例如, 2H 的重复每 2 小时扫描一次远程目录。 |
| 保存时运行 | 保存日志源配置后,立即启动日志文件导入。 选中时,此复选框将清除先前下载和处理的文件的列表。 在第一次文件导入之后,日志文件协议遵循管理员定义的开始时间和重复调度。 |
| EPS 调速 | 每秒 QRadar 摄入的最大事件数。 如果数据源超过 EPS 调速,那么数据收集将延迟。 仍会收集数据,然后在数据源停止超过 EPS 调速时采集数据。 |
| 处理器 | 如果远程主机上的文件以归档格式存储,请选择用于解压缩事件日志的处理器。 如果文件未以归档格式存储,请选择 无。 缺省值为 None。 |
| 忽略先前处理的文件 | 选中此复选框以跟踪日志源处理的文件。 此选项可防止来自第二次处理的文件的重复事件。 此复选框适用于 FTP 和 SFTP 文件传输。 |
| 更改本地目录 | 在处理事件日志之前,更改 目标事件收集器 上的本地目录以存储事件日志。 |
| 本地目录 | 目标事件收集器上的本地目录。 在日志文件协议尝试检索事件之前,该目录必须存在。 |
| 事件生成器 | 选择下列其中一种文件类型以用作协议的事件生成器。
|
| 文件编码 | 日志文件中的事件所使用的字符编码。 |
| 消息标识模式 | 输入一个正则表达式 (regex) ,用于在多行事件消息中的每行开头标识公共值。 |
| 文件夹分隔符 | 用于为操作系统分隔文件夹的字符。 大多数配置可以使用 文件夹分隔符 字段中的缺省值。 此字段适用于使用不同字符来定义单独文件夹的操作系统。 例如,用于分隔大型机系统上的文件夹的时间段。 |
| 启动模式 RegEx | 输入用于标识每行的开始模式的正则表达式 (regex)。 |
| 结束模式 RegEx | 输入用于标识每行的结束模式的正则表达式 (regex)。 |
| 忽略模式 RegEx | 输入正则表达式 (regex) 以排除每行中的特定模式。 |
| 日期时间 RegEx | 输入用于标识每行的日期和时间格式的正则表达式 (regex)。 |
| 日期时间格式 | 输入日期和时间格式以标识每行事件的开始。 |
配置 QRadar 以将 FTPS 用于日志文件协议
要为 "日志文件" 协议配置 FTPS ,必须将服务器 SSL 证书放在连接到 FTP 服务器的所有 QRadar Event Collectors 上。 如果 SSL 证书不是 RSA 2048 ,请创建新的 SSL 证书。
openssl req -newkey rsa:2048 -nodes -keyout ftpserver.key -x509 -days 365 -out ftpserver.crt必须将 FTP 服务器上具有 .crt 文件扩展名的文件复制到每个 Event Collectors上的 /opt/qradar/conf/trusted_certificates 目录。