文件转发器日志源配置选项
使用参考信息为 File Forwarder 日志源配置 WinCollect 插件。
您还必须配置不特定于此插件的参数。 "文件转发器" 插件可与通用 DSM 配合使用,以从 Windows 主机轮询多种类型的日志。
| 参数 | 描述 |
|---|---|
| 日志源类型 | Universal DSM |
| 协议配置 | 选择 WinCollect File Forwarder。 |
| 本地系统 | 禁用日志源的远程事件收集。 日志源使用本地系统凭证来收集事件并将其转发到 QRadar®。 |
| 根目录 | 要转发到 QRadar的日志文件的位置。 如果 WinCollect 代理程序远程轮询该文件,那么根日志目录必须同时指定服务器和日志文件的文件夹位置。
示例: \\server\sharedfolder\remotelogs\
|
| 文件名模式 | 过滤文件名所需的正则表达式 (regex)。 与该模式匹配的所有文件都包含在处理中。 缺省文件模式为 .* 并匹配根目录中的所有文件。 |
| 监视算法 | 持续监视 选项适用于将数据附加到日志文件的文件系统。 文件删除 选项用于读一次的根日志目录中的日志文件,然后在将来忽略这些文件。 |
| 仅监视今天创建的文件 | 缺省情况下启用。 清除此选项以监视当前日期之前的文件。 |
| 文件监视器类型 | 基于通知 (本地) 选项使用 Windows 文件系统通知来检测对事件日志的更改。 基于轮询 (远程) 选项监视对远程文件和目录的更改。 代理程序轮询远程事件日志并将该文件与上次轮询时间间隔进行比较。 如果事件日志包含新事件,那么将检索事件日志。 |
| 文件阅读器类型 | 如果选择 文本 (文件保持打开状态) 选项,那么生成事件日志的系统会不断使文件保持打开状态,以将事件追加到文件末尾。 如果选择 文本 (读取时打开文件) 选项,那么生成事件日志的系统将从最后一个已知位置打开事件日志,然后写入事件并关闭事件日志。 仅当 IBM 专业服务人员建议时,才选择 内存映射文本 (仅限本地) 选项。 当生成事件日志的系统轮询事件日志末尾以获取更改时,将使用此选项。 此选项要求您还选中 本地系统 复选框。 |
| 文件阅读器编码 | 对于没有 BOM 的文件,如果要将文件转换为 UTF8,请选择 ANSI 。 否则,如果文件已在 UTF8 中并且不需要转换,请选择 UTF8 。 |
| 文件解析器类型 | 可以通过两种方式解析文件: 单行或多行。
|
| 多行 "以" 正则表达式标记开头 | 多行文件解析器类型需要 "Starts With" 标记。 "Starts With" 标记应该是识别您要用于启动多行事件的行开头的每个字符所需的正则表达式。 请务必使您的正则表达式尽可能准确,以避免由于字符之前的类似空格而组合事件,并避免由于找不到 "Starts With" 标记而根本不解析文件。 |
多行解析器类型 XML 文件的示例
要确保解析 XML 文件以生成每个 <event> 节点的事件,请使用多行 "Starts With token"\s*<event>"。
<EventList>
<event>
<timeStamp=10101010101 payload=example1>
</event>
<event>
<timeStamp=10101010102 payload=example2>
</event>
<event>
<timeStamp=10101010103 payload=example3>
</event>
<event>
<timeStamp=10101010104 payload=example4>
</event>
</EventList>多行文件解析器生成 4 个单独事件,而不是生成 14 个单独的单行事件。 创建的第一个事件的有效内容消息将类似于以下示例:
<event> <timeStamp=10101010101 payload=example1> </event>注: 多行 "Starts With" 标记 "
<event>" 也将起作用; 但是,选项卡和空格可能看起来相同,并且编码方式不同。 使用 "\s*<event>" 是更好的选项,因为它涵盖了两种类型的空格。