Windows 日志源参数
当您为 WinCollect 代理程序或 WinCollect 插件配置日志源时,将使用公共参数。 每个 WinCollect 插件还具有一组唯一的配置选项。
| 参数 | 描述 |
|---|---|
| 日志源标识 | 要从中收集基于 Windows 的事件的远程 Windows 操作系统的 IP 地址或主机名。 日志源标识对于日志源类型必须唯一。 用于轮询来自远程源的事件。 |
| 本地系统 | 禁用日志源的远程事件收集。 日志源使用本地系统凭证来收集事件并将其转发到 QRadar®。 注: 如果您正在使用标准域名 (FQDN) 日志源标识,并且代理程序安装在域控制器上,那么必须清除此框。
|
| 域 | 可选 包含基于 Windows 的日志源的域。 以下示例使用正确的语法: LAB1, server1.mydomain.com 以下语法不正确: \\mydomain.com |
| 事件速率调整概要文件 | 对于缺省轮询时间间隔 3000 毫秒,可达到的近似每秒事件数 (EPS) 速率如下所示:
对于 1000 毫秒的轮询时间间隔,大致 EPS 速率如下所示:
如需了解 WinCollect 调优的更多信息,请访问 IBM®http://www.ibm.com/support/docview.wss?uid=swg21672193 )。 |
| 轮询时间间隔 (毫秒) | WinCollect 轮询新事件的时间间隔 (以毫秒为单位)。 |
| 应用程序或服务日志类型 | 可选。 用于 XPath 查询。 为将其事件写入 Windows 应用程序日志的产品提供专门的 XPath 查询。 因此,您可以将 Windows 事件与分类为另一产品的日志源的事件分开。 |
| 事件日志轮询协议 | QRadar 用于与 Windows 设备通信的协议。 缺省值为 MSEVEN6。 |
| 日志过滤器类型 | 配置 WinCollect 代理程序以忽略 Windows 事件日志中的特定事件。 您还可以配置 WinCollect 代理程序以按标识代码或日志源全局忽略事件。 事件的 排除过滤器 可用于以下日志源类型: 安全性,系统,应用程序, DNS 服务器,文件复制服务和目录服务 全局排除使用事件有效内容中的 EventIDCode 字段。 要确定排除的值,源和标识排除使用 Windows 事件有效内容的 示例: 排除过滤器可以使用逗号和连字符来过滤单个 EventIDs 或范围,例如 4609,4616,6400-6405。
有关过滤的更多信息,请参阅 WinCollect Event Filtering (http://www.ibm.com/support/docview.wss?uid=swg21672656)。 |
| 安全性 | 选中此复选框以启用 WinCollect 将安全日志转发到 QRadar。 |
| 安全日志过滤器类型 | 要忽略从 Windows 事件日志收集的特定事件标识,请选择 排除过滤器。 要包含在 Windows 事件日志中收集的特定事件标识,请选择 包含过滤器。 NSA 过滤器 选项使用国家安全局建议的事件标识列表填充 安全日志过滤器 字段。 缺省值为 无过滤。 注: 如果从列表中选择过滤器类型,那么将显示新字段 安全日志过滤器 。 必须提供要包含或排除的事件标识。
|
| 系统 | 选中此复选框以启用 WinCollect 将系统日志转发到 QRadar。 |
| 系统日志过滤器类型 | 要忽略从 Windows 事件日志收集的特定事件标识,请选择 排除过滤器。 要包含在 Windows 事件日志中收集的特定事件标识,请选择 包含过滤器。 NSA 过滤器 选项使用国家安全局建议的事件标识列表填充 系统日志过滤器 字段。 缺省值为 无过滤。 注: 如果从列表中选择过滤器类型,那么将显示新字段 系统日志过滤器 。 必须提供要包含或排除的事件标识。
|
| 应用程序 | 选中此复选框以启用 WinCollect 将应用程序日志转发到 QRadar。 |
| 应用程序日志过滤器类型 | 要忽略从 Windows 事件日志收集的特定事件标识,请选择 排除过滤器。 要包含在 Windows 事件日志中收集的特定事件标识,请选择 包含过滤器。 NSA 过滤器 选项使用国家安全局建议的事件标识列表填充 应用程序日志过滤器 字段。 缺省值为 无过滤。 注: 如果从列表中选择过滤器类型,那么将显示新字段 应用程序日志过滤器 。 必须提供要包含或排除的事件标识。
|
| DNS 服务器 | 选中此复选框以启用 WinCollect 将 DNS 服务器日志转发到 QRadar。 |
| DNS 服务器日志过滤器类型 | 要忽略从 Windows 事件日志收集的特定事件标识,请选择 排除过滤器。 要包含在 Windows 事件日志中收集的特定事件标识,请选择 包含过滤器。 NSA 过滤器 选项使用国家安全局建议的事件标识列表填充 DNS 服务器日志过滤器 字段。 缺省值为 无过滤。 注: 如果从列表中选择过滤器类型,那么将显示新字段 DNS 服务器日志过滤器 。 必须提供要包含或排除的事件标识。
|
| 文件复制服务 | 选中此复选框以启用 WinCollect 将文件复制服务日志转发到 QRadar。 |
| 文件复制服务日志过滤器类型 | 要忽略从 Windows 事件日志收集的特定事件标识,请选择 排除过滤器。 要包含在 Windows 事件日志中收集的特定事件标识,请选择 包含过滤器。 注: 如果从列表中选择过滤器类型,那么将显示新字段 文件复制服务日志过滤器 。 必须提供要包含或排除的事件标识。
|
| 目录服务 (directory service) | 选中此复选框以启用 WinCollect 将目录服务日志转发到 QRadar。 |
| 目录服务日志过滤器类型 | 要忽略从 Windows 事件日志收集的特定事件标识,请选择 排除过滤器。 要包含在 Windows 事件日志中收集的特定事件标识,请选择 包含过滤器。 注: 如果从列表中选择过滤器类型,那么将显示新字段 目录服务日志过滤器 。 必须提供要包含或排除的事件标识。
|
| 已转发的事件数 | 使 QRadar 能够收集从使用预订的远程 Windows 事件源转发的事件。 使用事件预订的转发事件由 WinCollect 代理程序自动发现并转发,就像它们是系统日志事件源一样。 从 Windows 系统配置事件转发时,请启用事件预呈现。 重要信息: WinCollect 仅支持从 "转发事件" 通道中拉取日志。 不支持将事件从预订写入其他通道。
|
| 转发事件过滤器类型 | 要忽略从 Windows 事件日志收集的特定事件标识,请选择 排除过滤器。 要包含在 Windows 事件日志中收集的特定事件标识,请选择 包含过滤器。 根据国家安全局的建议, NSA 过滤器 选项将使用所有通道及其各自的过滤器填充 转发事件过滤器 字段。 缺省值为 无过滤。 注: 如果从列表中选择过滤器类型,那么将显示新字段 转发事件过滤器 。 必须提供要包含或排除的事件标识。
"转发事件" 过滤器要求您使用要在括号中过滤的 eventIDs 来标识源或通道。 使用分号作为定界符。 例如:
|
| 事件类型 | 必须至少选择一个事件类型。 如果需要收集特定事件类型,请遵循有关使用这些特定事件类型创建定制 XPath 的指示信息。 有关更多信息,请参阅 创建定制视图。 |
| 启用 Active Directory 查找 | 如果 WinCollect 代理程序与负责 Active Directory 查找的域控制器位于同一域中,那么可以选中此复选框。 如果执行此操作,请将覆盖域和 DNS 参数留空。 重要信息: 必须输入 域控制器名称查找 和 DNS 域名查找 参数的值。
|
| 覆盖域控制器名称 | 当负责 Active Directory 查找的域控制器在 WinCollect 代理程序的域外部时需要。 负责 Active Directory 查找的域控制器的 IP 地址或主机名。 |
| XPath 查询 | 用于从 Windows 事件日志检索定制事件的结构化 XML 表达式。 如果指定 XPath 查询以过滤事件,那么将随 XPath 查询一起收集从 标准日志类型 或 事件类型 中选择的复选框。 要使用 XPath 查询收集信息,您可能需要在 Windows 2008 上启用 远程事件日志管理 。 |
| 目标内部目的地 | 将具有事件处理器组件的任何受管主机用作内部目标。 |
| 目标外部目标 | 将事件转发到您在目标列表中配置的一个或多个外部目标。 |