Konfigurationsoptionen für SMB-Tail-Protokoll

Sie können eine Protokollquelle für die Verwendung des SMB-Tail-Protokolls konfigurieren. Verwenden Sie dieses Protokoll, um Ereignisse auf einer fernen Samba -Freigabe zu überwachen und Ereignisse von der Samba -Freigabe zu empfangen, wenn dem Ereignisprotokoll neue Zeilen hinzugefügt werden.

Das SMB Tail-Protokoll ist ein aktives abgehendes Protokoll.
Hinweis: Weitere Informationen zur Installation von SMB Trail und abhängigen Protokollen finden Sie unter Installation von SMB Tail und abhängigen Protokollen.
In der folgenden Tabelle werden die protokollspezifischen Parameter für das Protokoll SMB Tail beschrieben:
Tabelle 1. SMB Tail-Protokollparameter
Parameter Beschreibung
Protokollkonfiguration SMB-Nachsatz
Log Source Identifier (Protokollquellenkennung) Geben Sie die IP-Adresse, den Hostnamen oder einen eindeutigen Namen für Ihre Protokollquelle ein.
Serveradresse Die IP-Adresse oder der Hostname Ihres SMB-Tail-Servers.
Domäne

Geben Sie die Domäne für Ihren SMB-Tail-Server ein.

Dieser Parameter ist optional, wenn sich Ihr Server nicht in einer Domäne befindet.
Username Geben Sie den Benutzernamen ein, der für den Zugriff auf Ihren Server erforderlich ist.
Password Geben Sie das Kennwort ein, das für den Zugriff auf Ihren Server erforderlich ist.
Bestätigungskennwort Bestätigen Sie das Kennwort, das für den Zugriff auf den Server erforderlich ist.
Protokollordnerpfad Der Verzeichnispfad für den Zugriff auf die Protokolldateien. Administratoren können beispielsweise das Verzeichnis c$/LogFiles/ für eine administrative Freigabe oder das Verzeichnis LogFiles/ für einen öffentlichen Freigabeordnerpfad verwenden. Das Verzeichnis c:/LogFiles ist jedoch kein unterstützter Protokollordnerpfad.

Wenn ein Protokollordnerpfad eine administrative Freigabe (C$) enthält, haben Benutzer mit NetBIOS -Zugriff auf die administrative Freigabe (C$) die erforderlichen Berechtigungen zum Lesen der Protokolldateien.

Die Berechtigungen des lokalen System-oder Domänenadministrators sind auch ausreichend, um auf alle Protokolldateien zugreifen zu können, die sich in einer administrativen Freigabe befinden.
Dateimuster Der reguläre Ausdruck (regex), der die Ereignisprotokolle angibt.
SMB-Version

Wählen Sie die Version von Server Message Block (SMB) aus, die Sie verwenden wollen.

AUTO
Erkennt automatisch die höchste Version, die der Client und der Server verwenden.
SMB1
Erzwingt die Verwendung von SMB1. SMB1 verwendet die Datei jCIFS.jar (Java™ ARchive).
Wichtig: SMB1 wird nicht mehr unterstützt. Alle Administratoren müssen vorhandene Konfigurationen aktualisieren, um SMB2 oder SMB3verwenden zu können.
SMB2
Erzwingt die Verwendung von SMB2. SMB2 verwendet die Datei jNQ.jar .
SMB3
Erzwingt die Verwendung von SMB3. SMB3 verwendet die Datei jNQ.jar .
Hinweis: Bevor Sie eine Protokollquelle mit einer bestimmten SMB-Version erstellen (z. B. SMBv1, SMBv2und SMBv3), stellen Sie sicher, dass die angegebene SMB-Version von dem Windows-Betriebssystem unterstützt wird, das auf Ihrem Server ausgeführt wird. Außerdem müssen Sie überprüfen, ob SMB-Versionen auf dem angegebenen Windows-Server aktiviert sind.

Weitere Informationen darüber, welche Windows-Version welche SMB-Versionen unterstützt, finden Sie auf der Microsoft-Website TechNet ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Weitere Informationen über das Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows und Windows Server finden Sie auf der Microsoft-Support-Website ( https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server ).
Lesen der Datei erzwingen Wenn das Kontrollkästchen abgewählt ist, wird die Protokolldatei nur gelesen, wenn QRadar eine Änderung der geänderten Zeit oder Dateigröße feststellt.
Rekursiv Verwenden Sie diese Option, wenn das Dateimuster Unterordner durchsuchen soll. Das Kontrollkästchen ist standardmäßig nicht ausgewählt.
Abfrageintervall (in Sekunden) Geben Sie das Abfrageintervall ein, d. h. die Anzahl Sekunden zwischen Abfragen der Protokolldateien, die auf neue Daten geprüft werden sollen. Der Standardwert beträgt 10 Sekunden.
Regulierungsereignisse/Sek. Die maximale Anzahl der Ereignisse, die vom SMB-Tail-Protokoll pro Sekunde weitergeleitet werden.
Dateiverschlüsselung Die Zeichencodierung, die von den Ereignissen in Ihrer Protokolldatei verwendet wird
Dateiausschlussliste Eine Liste mit regulären Ausdrücken, die das Öffnen bestimmter Dateiverzeichnisse verhindern. Die Liste enthält einen regulären Ausdruck pro Zeile.

Wenn eine Datei oder ein Verzeichnis mit einem der regulären Ausdrücke übereinstimmt, wird diese Datei bzw. dieses Verzeichnis nicht geöffnet. Wenn eine Datei im Gebrauch ist, können andere Anwendungen sie möglicherweise nicht verwenden. Mit diesem Parameter können Sie verhindern, dass diese Dateien gesperrt werden oder dass das Protokoll auf bestimmte Dateien zugreift.

Das Muster gilt nicht für den vollständigen Protokollordnerpfad. Sie gilt nur für das endgültige Verzeichnis, das im Pfad aufgelistet ist. Das Muster gilt für alle Dateien oder Verzeichnisse, die sich im Verzeichnis des Protokollordnerpfads befinden.

Die folgende Liste ist ein Beispiel für die Eingabe in diesem Feld.

/j50.*\.log

dhcp\.mdb

dhcp\.tmp