Syslog 重定向协议概述
Syslog 重定向协议是被动入站协议,用作 Syslog 协议的替代协议。 当您希望 QRadar 识别发送事件的特定设备名时,请使用此协议。 QRadar 可在您指定的任何未使用端口上使用 TCP 或 UDP 被动监听 Syslog 事件。
下表描述了 Syslog 重定向协议的特定于协议的参数:
| 参数 | 描述 |
|---|---|
| Protocol Configuration | 系统日志重定向 |
| Log Source Identifier | 输入要用作缺省值的 日志源标识 。 如果 日志源标识正则表达式 无法使用提供的正则表达式解析特定有效内容中的 日志源标识 ,那么将使用缺省值。 |
| Log Source Identifier Regex | 输入正则表达式以解析有效内容中的 日志源标识 。 |
| Log Source Identifier Regex Format String | 格式化字符串以组合来自 "日志源标识正则表达式" 的捕获组。 例如: "$1" 将使用第一个捕获组。 "$1$2" 将合并捕获组 1 和 2。 "$1 TEXT $2" 将并置捕获组 1 ,文字 "TEXT" 和捕获组 2。 生成的字符串将用作新的日志源标识。 |
| Listen Port | 输入任何未使用的端口,并设置日志源以将事件发送到该端口上的 QRadar 。 |
| Protocol | 从列表中选择 TCP 或 UDP。 Syslog 重定向协议支持任意数量的 UDP syslog 连接,但将 TCP 连接限制为 2500。 如果 syslog 流具有超过 2500 个日志源,那么必须输入第二个日志源和侦听端口号。 |
| Perform DNS Lookup On Regex Match | 选中 在正则表达式匹配时执行 DNS 查找 复选框以启用基于 日志源标识 参数值的 DNS 功能。 缺省情况下,未选中该复选框。 |
| Use Predictive Parsing | 如果启用此参数,那么算法将从事件中抽取日志源标识模式,而不针对每个事件运行正则表达式,这将提高解析速度。 提示: 在极少数情况下,算法可能会进行不正确的预测。 仅对期望接收高事件率且需要更快解析的日志源类型启用预测解析。
|
| Payload Size | 有效内容大小是通信端点发送的数据的长度。 缺省值为 2048。 有效内容大小必须是 2048 到 32000 之间的整数。 |
| Enabled | 选中此复选框以启用日志源。 缺省情况下,此复选框处于选中状态。 |
| Credibility | 从列表中,选择日志源的 可信性 。 范围介于 0 到 10 之间。 可信性指示事件或攻击的完整性,由源设备的可信性评级确定。 如果多个源报告同一事件,那么可信性会增加。 缺省值为 5。 |