TLS Syslog 协议配置选项

配置 TLS Syslog 协议日志源,以从支持每个侦听器端口的 TLS Syslog 事件转发的网络设备接收加密的系统日志事件。

TLS Syslog 协议是被动入站协议。 日志源将为入局 TLS Syslog 事件创建侦听端口。 缺省情况下, TLS Syslog 日志源使用 IBM QRadar生成的证书和密钥。 TLS 日志源协议支持以下功能。

  • Event Collector 最多支持 1000 个 TLS 连接。
  • 每个 TLS 日志源 ( AutoDiscovered除外) 都必须使用该 Event Collector上的唯一端口。
  • 您还可以在 Event Collector上最多创建 1000 个 TLS 日志源。
  • 对于 PemKeyKey 必须采用 PKCS8/DER 格式。
  • 如果您正在使用 Cert Management 应用程序,那么 密钥 必须为 PKCS8 格式。

下表描述了 TLS Syslog 协议的特定于协议的参数:

表 1. TLS Syslog 协议参数
参数 描述
协议配置 TLS Syslog
日志源标识 用于标识日志源的 IP 地址或主机名。
TLS 侦听端口 缺省 TLS 侦听端口为 6514。
重要信息: 只能将一个 TLS Syslog 日志源分配给每个 TLS 侦听端口。
认证方式 TLS 连接用于认证的方式。 如果选择 TLS 和客户机认证 选项,那么必须配置证书参数。
客户机证书认证
从列表中选择下列其中一个选项:
  • CN 允许列表和签发者验证
  • 磁盘上的客户机证书
使用 CN 允许列表 启用此参数以使用 CN 允许列表。
CN 允许列表 可信客户机证书公共名称的允许列表。 您可以输入纯文本或正则表达式 (regex)。 要定义多个条目,请在单独的行上输入每个条目。
使用签发者验证 启用此参数以使用签发者验证。
根/中间签发者的证书或公用密钥 以 PEM 格式输入根/中间签发者的证书或公用密钥。

  • 输入证书,从以下内容开始:

    -----BEGIN CERTIFICATE-----

    并以以下内容结尾:

    -----END CERTIFICATE-----

  • 输入以以下开头的公用密钥:

    -----BEGIN PUBLIC KEY-----

    并以以下内容结尾:

    -----END PUBLIC KEY-----
检查证书撤销 针对客户机证书检查证书撤销状态。 此选项需要网络连接到 X509v3客户端证书的CRL分发点字段指定的 URL。

检查证书使用情况 密钥使用情况扩展密钥使用情况 扩展字段中检查证书 X509v3 扩展的内容。 对于入局客户机证书, X509v3 密钥使用情况的允许值为 digitalSignaturekeyAgreement。 X509v3 扩展密钥使用情况的允许值为 TLS Web Client Authentication

缺省情况下,此属性处于禁用状态。
客户机证书路径

磁盘上客户机证书的绝对路径。 该证书必须存储在此日志源的 QRadar ConsoleEvent Collector 上。

要点:

确保输入的证书文件以以下内容开头:

-----BEGIN CERTIFICATE-----

并以以下内容结尾:

-----END CERTIFICATE-----
服务器证书类型 要用于服务器证书和服务器密钥认证的证书类型。
服务器证书类型 列表中选择下列其中一个选项:
  • 生成的证书
  • PEM 证书和专用密钥
  • PKCS12 证书链和密码
  • 从 QRadar 证书库中选择
生成的证书

配置 证书类型时,此选项可用。

如果要将 QRadar 生成的缺省证书和密钥用于服务器证书和服务器密钥,请选择此选项。

生成的证书在日志源分配到的目标 Event Collector 上的 /opt/qradar/conf/trusted_certificates/ 目录中名为 syslog-tls.cert
单个证书和专用密钥

配置 证书类型时,此选项可用。

如果要将单个 PEM 证书用于服务器证书,请选择此选项,然后配置以下参数:
  • 提供的服务器证书路径 -服务器证书的绝对路径。
  • 提供的专用密钥路径 -专用密钥的绝对路径。
    重要信息: 对应的专用密钥必须是 DER 编码的 PKCS8 密钥。 配置失败,出现任何其他密钥格式。
PKCS12 证书和密码

配置 证书类型时,此选项可用。

如果要使用包含服务器证书和服务器密钥的 PKCS12 文件,请选择此选项,然后配置以下参数:
  • PKCS12 证书路径 -输入包含服务器证书和服务器密钥的 PKCS12 文件的文件路径。
  • PKCS12 密码 -输入用于访问 PKCS12 文件的密码。
  • 证书别名 -如果 PKCS12 文件中有多个条目,那么必须提供别名以指定要使用的条目。 如果 PKCS12 文件中只有一个别名,请将此字段留空。
从 QRadar 证书库中选择

配置 证书类型时,此选项可用。

您可以使用 "证书管理" 应用程序从 QRadar 证书库上载证书。
最大有效内容长度 针对 TLS Syslog 消息显示的最大有效内容长度 (字符)。
最大连接数

最大连接数 参数控制 TLS Syslog 协议可以为每个 Event Collector接受的同时连接数。

对于每个 Event Collector,在每个 Event Collector 的 TLS Syslog 日志源配置中限制为 1000 个连接,包括已启用和已禁用的日志源。

每个设备连接的缺省值为 50 ,但不为每个端口的限制。

提示: 自动发现的日志源与其他日志源共享侦听器。 例如,如果在同一事件收集器上使用同一端口,那么仅对限制进行一次计数。
TLS 协议 要由日志源使用的 TLS 协议。

选择 "TLS 1.2 或更高版本" 选项。
用作网关日志源

通过 QRadar Traffic Analysis Engine 发送收集的事件,以自动检测相应的日志源。

如果您不想为事件定义定制日志源标识,请取消选中该复选框。

如果未选择此选项,并且未配置 日志源标识模式 ,那么 QRadar 会将事件作为未知的通用日志源接收。
使用预测解析 如果启用此参数,那么算法将从事件中抽取日志源标识模式,而不针对每个事件运行正则表达式,这将提高解析速度。
提示: 在极少数情况下,算法可能会进行不正确的预测。 仅对期望接收高事件率且需要更快解析的日志源类型启用预测解析。
日志源标识模式

使用 用作网关日志源 选项为正在处理的事件定义定制日志源标识,并在适用时自动发现日志源。 如果未配置 日志源标识模式,那么 QRadar 会将事件作为未知的通用日志源接收。

使用 "键/值" 对来定义定制日志源标识。 键是 "标识格式字符串" ,它是生成的源或源值。 该值是用于评估当前有效内容的关联正则表达式模式。 此值还支持可用于进一步定制密钥的捕获组。

通过在新行上输入每个模式来定义多个键/值对。 将按多个模式的列示顺序对其进行求值。 找到匹配项时,将显示定制日志源标识。

以下示例显示了多个键/值对函数。
模式
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
事件
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
生成的定制日志源标识
VPC-接受-正常
启用多行 根据 "开始/结束匹配" 或 "标识链接" 正则表达式,将多条消息聚集到单个事件中。
聚集方法

开启 启用多行 时,此参数可用。

  • ID-链接 -处理在每行开头包含公共值的事件日志。
  • 开始/结束匹配 -基于开始或结束正则表达式 (正则表达式) 聚集事件。
事件启动模式

开启 Enable Multiline 并且 Aggregation Method 设置为 Start/End Matching时,此参数可用。

需要正则表达式 (regex) 来标识 TCP 多行事件有效内容的开始。 Syslog 头通常以日期或时间戳记开头。 协议可以创建仅基于事件开始模式 (例如时间戳记) 的单行事件。 当只有启动模式可用时,协议将捕获每个启动值之间的所有信息以创建有效事件。
事件结束模式

开启 Enable Multiline 并且 Aggregation Method 设置为 Start/End Matching时,此参数可用。

需要此正则表达式 (regex) 来标识 TCP 多行事件有效内容的结束。 如果 syslog 事件以相同值结束,那么可以使用正则表达式来确定事件的结束。 该协议可捕获仅基于事件结束模式的事件。 当只有结束模式可用时,协议将捕获每个结束值之间的所有信息以创建有效事件。
消息标识模式

开启 启用多行 并且 聚集方法 设置为 ID-链接时,此参数可用。

过滤事件有效内容消息所需的此正则表达式 (regex)。 TCP 多行事件消息必须包含在事件消息的每行上重复的公共标识值。
时间限制

开启 启用多行 并且 聚集方法 设置为 ID-链接时,此参数可用。

将事件推送到事件管道之前等待更多匹配有效内容的秒数。 缺省值为 10 秒。
在事件聚集期间保留整行

开启 启用多行 并且 聚集方法 设置为 ID-链接时,此参数可用。

如果将 Aggregation Method 参数设置为 ID-Linked,那么可以启用 在事件聚集期间保留整行 以废弃或保留 消息标识模式之前的事件部分。 仅当将具有相同标识模式的事件并置在一起时,才能启用此功能。
将多行事件平铺成单行

开启 启用多行 时,此参数可用。

在一行或多行中显示事件。
事件格式化程序

开启 启用多行 时,此参数可用。

对于专门针对 Windows 格式化的多行事件,请使用 Windows Multiline 选项。

保存日志源后,将为日志源创建 syslog-tls 证书。 必须将证书复制到网络上配置为转发加密系统日志的任何设备。 具有 syslog-tls 证书文件和 TLS 侦听端口号的其他网络设备可作为 TLS Syslog 日志源自动发现。

TLS 系统日志用例

以下用例表示可以创建的可能配置:
磁盘上的客户机证书
您可以提供使协议能够参与客户机认证的客户机证书。 如果选择此选项并提供证书,那么将针对客户机证书验证入局连接。
CN 允许列表和签发者验证

如果选择了此选项,那么必须将签发者证书 (具有 .crt.cert.der 文件扩展名) 复制到以下目录:

/opt/qradar/conf/trusted_certificates

此目录位于将日志源分配到的目标事件收集器上。

任何入局客户机证书都将通过以下方法进行验证,以检查证书是否已由可信签发者签名以及其他检查。 您可以选择一种或两种方法进行客户机证书认证:

CN 允许列表

提供可信客户机证书公共名称的允许列表。 可以输入纯文本或正则表达式。 通过在新行上输入每个条目来定义多个条目。

签发者验证

提供可信客户机证书的根证书或中间签发者证书,或 PEM 格式的公用密钥。

检查证书撤销

针对客户机证书检查证书撤销状态。 此选项需要网络连接到 URL 由 X509v3客户端证书中的 CRL分发点字段指定。


检查证书使用情况

密钥使用情况扩展密钥使用情况 扩展字段中检查证书 X509v3 扩展的内容。 对于入局客户机证书, X509v3 密钥使用情况的允许值为 digitalSignaturekeyAgreement。 X509v3 扩展密钥使用情况的允许值为 TLS Web Client Authentication

用户提供的服务器证书
您可以配置自己的服务器证书和相应的专用密钥。 配置的 TLS 系统日志提供程序使用证书和密钥。 将向入局连接提供用户提供的证书,而不是自动生成的 TLS Syslog 证书。
缺省认证
要使用缺省认证方法,请使用 认证方式证书类型 参数的缺省值。 保存日志源后,将为日志源设备创建 syslog-tls 证书。 必须将证书复制到网络上转发加密系统日志数据的任何设备。