Postfix
使用IBM安全QRadar Postfix 的自定义属性密切监控 Postfix 部署的自定义属性。 Postfix 定制事件属性通过规范化日志源中的特定事件数据来展开 QRadar 搜索和报告。
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。
IBM Security QRadar Postfix 的定制属性
IBM Security QRadar Postfix 的定制属性 V1.0.2
下表显示了 IBM Security QRadar Postfix 的定制属性 V1.0.2中更新的定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| 主体 | 是 | 1 | 主题: \s (. *?) \sfrom\s * |
IBM Security QRadar Postfix 的定制属性 V1.0.1
下表显示了 IBM Security QRadar Custom Properties for Postfix V1.0.1中的新增和更新的定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| 收件人数 | 是 | 1 | nrcpt = (\d +) |
| 始发主机 | 是 | 1 | from = [^> @ \s] * @ ([^> \s] *) from=<[^>@\s]*@([^>\s]*)> |
| 始发用户 | 是 | 1 | from=<([^>\s]*)> from=<(\S+)> |
IBM Security QRadar Postfix 的定制属性 V1.0.0
下表显示了 IBM Security QRadar Postfix 的定制属性 V1.0.0中的定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| 文件扩展名 | 是 | 1 | filename=" [^ "] * \. ([^"] *) |
| 文件名 | 是 | 1 | filename=" ([^ "] *) |
| 消息大小 | 是 | 1 | 大小 = (\d *) |
| MessageID | 是 | 1 | \ [\d *]: \s ([^: \s] *) |
| 始发主机 | 是 | 1 | from=<[^>@\s]*@([^>\s]*)> |
| 始发用户 | 是 | 1 | from=<([^>\s]*)> |
| 收件人主机 | 是 | 1 | to=<[^>@\s]*@([^>\s]*)> |
| 收件人用户 | 是 | 1 | to=<([^>\s]*)> |
| 主体 | 是 | 1 | 主题: \s (. *) \sfrom\s |