TLS 系统日志协议配置选项

配置 TLS 的Syslog协议日志源,以便从支持 TLS 的网络设备接收加密的Syslog事件,该功能适用于每个监听端口。

TLS Syslog协议是一种被动入站协议。 日志源为传入的 TLS Syslog事件创建一个监听端口。 默认情况下, TLS 的Syslog日志源使用由生成的证书 IBM QRadar和密钥。 TLS 日志源协议支持以下功能。

  • 事件收集器最多支持1000个 TLS 连接。
  • 每个 TLS 日志源(除 AutoDiscovered )必须在该事件收集器上使用唯一的端口。
  • 您还可以在事件收集器上创建最多1000个 TLS 日志源。
  • 对于 PemKeyKey 必须采用 PKCS8/DER 格式。
  • 如果您正在使用 Cert Management 应用程序,那么 密钥 必须为 PKCS8 格式。
重要提示: 若需覆盖先前配置的 TLS 系统日志协议队列容量值,且已手动设置了不同数值,则必须重启服务 ecs-ec-ingress 才能使更改生效。 “部署更改 ”或 “部署完整配置 ”选项无法正常工作。 部署后需要重启服务 ecs-ec-ingress

下表描述了 TLS Syslog协议的协议特定参数:

表 1. TLS 系统日志协议参数
参数 描述
协议配置 TLS Syslog
日志源标识 用于标识日志源的 IP 地址或主机名。
TLS 监听端口 默认的 TLS 监听端口为6514。
重要提示: 每个 TLS 监听端口仅可分配一个 TLS Syslog日志源。
认证方式 您的 TLS 连接所使用的身份验证模式。 若选择 TLS 和客户端身份验证选项,则必须配置证书参数。
客户机证书认证
从列表中选择下列其中一个选项:
  • CN 允许列表和签发者验证
  • 磁盘上的客户机证书
使用 CN 允许列表 启用此参数以使用 CN 允许列表。
CN 允许列表 可信客户机证书公共名称的允许列表。 您可以输入纯文本或正则表达式 (regex)。 要定义多个条目,请在单独的行上输入每个条目。
使用签发者验证 启用此参数以使用签发者验证。
根/中间签发者的证书或公用密钥 请输入根/中间颁发者的证书或公钥,格式为 PEM。

  • 输入证书,从以下内容开始:

    -----BEGIN CERTIFICATE-----

    并以以下内容结尾:

    -----END CERTIFICATE-----

  • 输入以以下开头的公用密钥:

    -----BEGIN PUBLIC KEY-----

    并以以下内容结尾:

    -----END PUBLIC KEY-----
检查证书撤销 针对客户机证书检查证书撤销状态。 此选项需要网络连接到 X509v3客户端证书的CRL分发点字段指定的 URL。

检查证书使用情况 密钥使用情况扩展密钥使用情况 扩展字段中检查证书 X509v3 扩展的内容。 对于入局客户机证书, X509v3 密钥使用情况的允许值为 digitalSignaturekeyAgreement。 X509v3 扩展密钥使用情况的允许值为 TLS Web Client Authentication

缺省情况下,此属性处于禁用状态。
客户机证书路径

磁盘上客户机证书的绝对路径。 该证书必须存储在此日志源的 QRadar ConsoleEvent Collector 上。

要点:

确保输入的证书文件以以下内容开头:

-----BEGIN CERTIFICATE-----

并以以下内容结尾:

-----END CERTIFICATE-----
服务器证书类型 要用于服务器证书和服务器密钥认证的证书类型。
服务器证书类型 列表中选择下列其中一个选项:
  • 生成的证书
  • PEM 证书和私钥
  • PKCS12 证书链和密码
  • 从 QRadar 证书库中选择
生成的证书

配置 证书类型时,此选项可用。

如果要将 QRadar 生成的缺省证书和密钥用于服务器证书和服务器密钥,请选择此选项。

生成的证书在日志源分配到的目标 Event Collector 上的 /opt/qradar/conf/trusted_certificates/ 目录中名为 syslog-tls.cert
单个证书和专用密钥

配置 证书类型时,此选项可用。

若需使用单个 PEM 证书作为服务器证书,请选择此选项并配置以下参数:
  • 提供的服务器证书路径 -服务器证书的绝对路径。
  • 提供的专用密钥路径 -专用密钥的绝对路径。
    重要提示: 对应的私钥必须是 DER 编码的 PKCS8 密钥。 配置失败,出现任何其他密钥格式。
PKCS12 证书和密码

配置 证书类型时,此选项可用。

如果要使用包含服务器证书和服务器密钥的 PKCS12 文件,请选择此选项,然后配置以下参数:
  • PKCS12 证书路径 -输入包含服务器证书和服务器密钥的 PKCS12 文件的文件路径。
  • PKCS12 密码 -输入用于访问 PKCS12 文件的密码。
  • 证书别名 -如果 PKCS12 文件中有多个条目,那么必须提供别名以指定要使用的条目。 如果 PKCS12 文件中只有一个别名,请将此字段留空。
从 QRadar 证书库中选择

配置 证书类型时,此选项可用。

您可以使用 "证书管理" 应用程序从 QRadar 证书库上载证书。
最大有效内容长度 TLS 系统日志消息中显示的最大有效负载长度(字符)。
最大连接数

最大连接数参数控制 TLS 的Syslog协议可为每个接收器接受的并发 Event Collector连接数量。

对于每个 Event Collector事件收集器,其 TLS 系统日志源配置中启用和禁用的日志源总数上限为1000个连接。

每个设备连接的缺省值为 50 ,但不为每个端口的限制。

提示: 自动发现的日志源与其他日志源共享侦听器。 例如,如果在同一事件收集器上使用同一端口,那么仅对限制进行一次计数。
TLS 协议 日志源将使用的 TLS 协议。

选择“ TLS1.2 或更高版本”选项。
用作网关日志源

通过 QRadar Traffic Analysis Engine 发送收集的事件,以自动检测相应的日志源。

如果您不想为事件定义定制日志源标识,请取消选中该复选框。

如果未选择此选项,并且未配置 日志源标识模式 ,那么 QRadar 会将事件作为未知的通用日志源接收。
使用预测解析 如果启用此参数,那么算法将从事件中抽取日志源标识模式,而不针对每个事件运行正则表达式,这将提高解析速度。
提示: 在极少数情况下,算法可能会进行不正确的预测。 仅对期望接收高事件率且需要更快解析的日志源类型启用预测解析。
日志源标识模式

使用 用作网关日志源 选项为正在处理的事件定义定制日志源标识,并在适用时自动发现日志源。 如果未配置 日志源标识模式,那么 QRadar 会将事件作为未知的通用日志源接收。

使用 "键/值" 对来定义定制日志源标识。 键是 "标识格式字符串" ,它是生成的源或源值。 该值是用于评估当前有效内容的关联正则表达式模式。 此值还支持可用于进一步定制密钥的捕获组。

通过在新行上输入每个模式来定义多个键/值对。 将按多个模式的列示顺序对其进行求值。 找到匹配项时,将显示定制日志源标识。

以下示例显示了多个键/值对函数。
模式
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
事件
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
生成的定制日志源标识
VPC-接受-正常
启用多行 根据 "开始/结束匹配" 或 "标识链接" 正则表达式,将多条消息聚集到单个事件中。
聚集方法

开启 启用多行 时,此参数可用。

  • ID-链接 -处理在每行开头包含公共值的事件日志。
  • 开始/结束匹配 -基于开始或结束正则表达式 (正则表达式) 聚集事件。
事件启动模式

开启 Enable Multiline 并且 Aggregation Method 设置为 Start/End Matching时,此参数可用。

正则表达式(regex)用于识别 TCP 多行事件有效负载的起始位置。 Syslog 头通常以日期或时间戳记开头。 协议可以创建仅基于事件开始模式 (例如时间戳记) 的单行事件。 当只有启动模式可用时,协议将捕获每个启动值之间的所有信息以创建有效事件。
事件结束模式

开启 Enable Multiline 并且 Aggregation Method 设置为 Start/End Matching时,此参数可用。

此正则表达式(regex)用于识别 TCP 多行事件负载的结尾。 如果 syslog 事件以相同值结束,那么可以使用正则表达式来确定事件的结束。 该协议可捕获仅基于事件结束模式的事件。 当只有结束模式可用时,协议将捕获每个结束值之间的所有信息以创建有效事件。
消息标识模式

开启 启用多行 并且 聚集方法 设置为 ID-链接时,此参数可用。

过滤事件有效内容消息所需的此正则表达式 (regex)。 TCP 多行事件消息必须包含一个共同的标识值,该值在事件消息的每行中重复出现。
时间限制

开启 启用多行 并且 聚集方法 设置为 ID-链接时,此参数可用。

将事件推送到事件管道之前等待更多匹配有效内容的秒数。 缺省值为 10 秒。
在事件聚集期间保留整行

开启 启用多行 并且 聚集方法 设置为 ID-链接时,此参数可用。

如果将 Aggregation Method 参数设置为 ID-Linked,那么可以启用 在事件聚集期间保留整行 以废弃或保留 消息标识模式之前的事件部分。 仅当将具有相同标识模式的事件并置在一起时,才能启用此功能。
将多行事件平铺成单行

开启 启用多行 时,此参数可用。

在一行或多行中显示事件。
事件格式化程序

开启 启用多行 时,此参数可用。

对于专门针对 Windows 格式化的多行事件,请使用 Windows Multiline 选项。

保存日志源后,将为日志源创建 syslog-tls 证书。 必须将证书复制到网络上配置为转发加密系统日志的任何设备。 其他具备syslog-tls证书文件且监听 TLS 端口的网络设备,可自动被识别为 TLS 的Syslog日志源。

TLS Syslog 使用场景

以下用例表示可以创建的可能配置:
磁盘上的客户机证书
您可以提供使协议能够参与客户机认证的客户机证书。 如果选择此选项并提供证书,那么将针对客户机证书验证入局连接。
CN 允许列表和签发者验证

如果选择了此选项,那么必须将签发者证书 (具有 .crt.cert.der 文件扩展名) 复制到以下目录:

/opt/qradar/conf/trusted_certificates

此目录位于将日志源分配到的目标事件收集器上。

任何入局客户机证书都将通过以下方法进行验证,以检查证书是否已由可信签发者签名以及其他检查。 您可以选择一种或两种方法进行客户机证书认证:

CN 允许列表

提供可信客户机证书公共名称的允许列表。 可以输入纯文本或正则表达式。 通过在新行上输入每个条目来定义多个条目。

签发者验证

提供可信客户端证书的根证书或中间颁发者证书,或以 PEM 格式提供的公钥。

检查证书撤销

针对客户机证书检查证书撤销状态。 此选项需要网络连接到 URL 由 X509v3客户端证书中的 CRL分发点字段指定。


检查证书使用情况

密钥使用情况扩展密钥使用情况 扩展字段中检查证书 X509v3 扩展的内容。 对于入局客户机证书, X509v3 密钥使用情况的允许值为 digitalSignaturekeyAgreement。 X509v3 扩展密钥使用情况的允许值为 TLS Web Client Authentication

用户提供的服务器证书
您可以配置自己的服务器证书和相应的专用密钥。 已配置的 TLS Syslog提供程序使用该证书和密钥。 传入连接将显示用户提供的证书,而非自动生成的 TLS 系统日志证书。
缺省认证
要使用缺省认证方法,请使用 认证方式证书类型 参数的缺省值。 保存日志源后,将为日志源设备创建 syslog-tls 证书。 必须将证书复制到网络上转发加密系统日志数据的任何设备。