Varios orígenes de registro a través de TLS Syslog
Puede configurar varios dispositivos en la red para enviar sucesos de Syslog cifrados a un único puerto de escucha de Syslog TLS. El escucha TLS Syslog actúa como una pasarela, descifra los datos de suceso y los alimenta dentro de QRadar a orígenes de registro adicionales configurados con el protocolo Syslog.
Cuando se utiliza el protocolo TLS Syslog, hay parámetros específicos que debe utilizar.
Varios dispositivos de la red que dan soporte a Syslog cifrado TLS pueden enviar sucesos cifrados a través de una conexión TCP al puerto de escucha de Syslog TLS. Estos sucesos cifrados se descifran mediante TLS Syslog (pasarela) y se inyectan en la interconexión de sucesos. Los sucesos descifrados se direccionan a los orígenes de registro de receptor adecuados o al motor de análisis de tráfico para el descubrimiento automático.
Los sucesos se direccionan dentro de QRadar a orígenes de registro con un valor Log Source Identifier que coincide con el valor de origen de un suceso. Para eventos Syslog con una cabecera Syslog RFC3164-, o RFC5425-, o RFC5424-compliant , el valor de origen es la dirección IP o el nombre de host de la cabecera. Para los sucesos que no tienen una cabecera compatible, el valor de origen es la dirección IP del dispositivo que ha enviado el suceso de Syslog.
En QRadar, puede configurar varios orígenes de registro con el protocolo Syslog para recibir sucesos cifrados que se envían a un único puerto de escucha de Syslog TLS desde varios dispositivos.
Para añadir un origen de registro a través de TLS Syslog, vaya a Añadir un origen de registro.