PCAP 系统日志组合协议配置选项
要从 Juniper SRX Series Services Gateway 或 Juniper Junos OS Platform 收集转发包捕获 (PCAP) 数据的事件,请配置日志源以使用 PCAP Syslog 组合协议。
PCAP 系统日志组合协议是入站/被动协议。
对于每个事件收集器, QRadar 仅支持从 Juniper SRX Series Services Gateway 或 Juniper Junos OS Platform 接收 PCAP 数据。
| 参数 | 描述 |
|---|---|
| 日志源名称 | 输入日志源的唯一名称。 |
| 日志源描述 | 可选。 输入日志源的描述。 |
| 日志源类型 | 从列表中,可以选择 Juniper SRX Series Services Gateway 或 Juniper Junos OS Platform。 |
| 协议配置 | 从列表中选择 PCAP Syslog 组合。 |
| 日志源标识 | 输入 IP 地址,主机名或名称以标识 Juniper SRX Series Services Gateway 或 Juniper Junos OS Platform 设备。 日志源标识对于日志源类型必须唯一。 |
| 入局 PCAP 端口 | 如果在 Juniper SRX Series Services Gateway 或 Juniper Junos OS Platform 设备上编辑出局 PCAP 端口,那么必须编辑日志源以更新入局 PCAP 端口。 要编辑传入 PCAP 端口号,请完成以下步骤:
端口更新已完成,并且将在新端口号上启动事件收集。 |
| 已启用 | 选中此复选框以启用日志源。 如果清除此复选框,那么日志源不会收集事件,并且日志源不会计入许可证限制中。 |
| 可信性 | 选择日志源的可信性。 范围为 0 (最低)-10 (最高)。 缺省可信性为 5。 可信性是日志源创建的事件的完整性或有效性的表示。 对日志源指定的可信性值可以根据传入事件增大或减小,或者进行调整以便对用户创建的事件规则作出响应。 来自日志源的事件的可信性将影响攻击量级的计算,并可以增大或减小攻击量级值。 |
| 目标事件收集器 | 选择日志源的目标。 当日志源主动从远程源收集事件时,此字段定义哪个设备轮询事件。 此选项使管理员能够轮询和处理目标事件收集器 (而不是控制台设备) 上的事件。 这可以提高分布式部署中的性能。 |
| 结合事件 | 选中此复选框以允许日志源合并 (捆绑) 事件。 如果同一事件在短时间间隔内多次发生,那么合并事件会增加事件计数。 结合的事件使管理员能够在日志活动选项卡上查看并确定单一事件类型的发生频率。 清除此复选框时,将单独显示事件,并且不会捆绑信息。 新的和自动发现的日志源将从 管理 选项卡上的 系统设置 配置继承此复选框的值。 管理员可以使用此复选框来覆盖单个日志源的系统设置的缺省行为。 |
| 存储事件有效内容 | 选中此复选框以允许日志源存储来自事件的有效内容信息。 新的和自动发现的日志源将从 管理 选项卡上的 系统设置 配置继承此复选框的值。 管理员可以使用此复选框来覆盖单个日志源的系统设置的缺省行为。 |
| 日志源扩展 | 可选。 选择要应用于日志源的扩展的名称。 此参数在上载日志源扩展后可用。 日志源扩展是包含正则表达式的 XML 文件,这些正则表达式可以覆盖或修复由设备支持模块 (DSM) 定义的事件解析模式。 |
| 扩展使用条件 | 从列表框中,选择日志源扩展的使用条件。 选项包含:
|
| 组 | 为日志源选择一个或多个组。 |