Opciones de configuración del protocolo SMB Tail

Puede configurar un origen de registro para utilizar el protocolo SMB Tail. Utilice este protocolo para observar sucesos en un recurso compartido Samba remoto y recibir sucesos del recurso compartido Samba cuando se añadan nuevas líneas al registro de sucesos.

El protocolo de cola SMB es un protocolo de salida activo.
Nota: Para obtener más información sobre la instalación de SMB Trail y los protocolos dependientes, consulte Instalación de SMB Tail y el protocolo dependiente.
La tabla siguiente describe los parámetros específicos del protocolo SMB Tail:
Tabla 1. Parámetros del protocolo SMB Tail
Parámetro Descripción
Configuración de protocolo SMB Tail
Identificador de origen de registro Escriba la dirección IP, el nombre de host o un nombre exclusivo para identificar el origen de registro.
Dirección del servidor La dirección IP o el nombre de host del servidor de cola SMB.
Dominio

Escriba el dominio para el servidor de cola SMB.

Este parámetro es opcional si el servidor no está en un dominio.
Nombre de usuario Escriba el nombre de usuario necesario para acceder al servidor.
Contraseña Escriba la contraseña necesaria para acceder al servidor.
Confirmar contraseña Confirme la contraseña necesaria para acceder al servidor.
Vía de acceso de carpeta de archivos de registro Vía de acceso de los archivos de registro. Por ejemplo, los administradores pueden utilizar el directorio c$/LogFiles/ para un recurso compartido administrativo, o el directorio LogFiles/ para una vía de acceso de recurso compartido público. Pero el directorio c:/LogFiles no se puede utilizar como vía de acceso de archivos de registro.

Si una vía de acceso de archivos de registro contiene un recurso compartido administrativo (C$), los usuarios con acceso NetBIOS para el recurso compartido administrativo (C$) tienen los privilegios necesarios para leer los archivos de registro.

Los privilegios de administrador de dominio o sistema local también son suficientes para acceder a todos los archivos de registro que están en una compartición administrativa.
File Pattern Expresión regular (regex) que identifica los registros de sucesos.
Versión de SMB

Seleccione la versión de Server Message Block (SMB) que desea utilizar.

AUTO
Detecta automáticamente la versión más alta que el cliente y el servidor aceptan utilizar.
SMB1
Fuerza el uso de SMB1. SMB1 utiliza el archivo jCIFS.jar (Java™ ARchive).
Importante: SMB1 ya no está soportado. Todos los administradores deben actualizar las configuraciones existentes para utilizar SMB2 o SMB3.
SMB2
Fuerza el uso de SMB2. SMB2 utiliza el archivo jNQ.jar .
SMB3
Fuerza el uso de SMB3. SMB3 utiliza el archivo jNQ.jar .
Nota: Antes de crear un origen de registro con una versión de SMB específica (por ejemplo: SMBv1, SMBv2y SMBv3), asegúrese de que la versión de SMB especificada esté soportada por el sistema operativo Windows que se ejecuta en el servidor. También debe verificar que las versiones de SMB están habilitadas en el servidor Windows especificado.

Para obtener más información sobre qué versión de Windows es compatible con qué versiones SMB, visite el sitio web de Microsoft TechNet ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Para obtener más información sobre cómo detectar, activar y desactivar SMBv1, SMBv2, y SMBv3 en Windows y Windows Server, visite el sitio web de soporte de Microsoft ( https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server ).
Forzar lectura de archivo Si el recuadro de selección no está marcado, el archivo de registro es de sólo lectura cuando QRadar detecta un cambio en la hora de modificación o en el tamaño del archivo.
Recursivo Si desea que el patrón de archivo busque subcarpetas, utilice esta opción. De forma predeterminada, el recuadro de selección está seleccionado.
Intervalo de sondeo (en segundos) Escriba el intervalo de sondeo, que es el número de segundos entre consultas a los archivos de registro para comprobar si hay nuevos datos. El valor predeterminado es 10 segundos.
Sucesos de regulador/seg. Número máximo de sucesos que el protocolo SMB Tail reenvía por segundo.
Codificación de archivo Codificación de caracteres que es utilizada por en los sucesos contenidos en el archivo de registro.
Lista de exclusión de archivos Una lista de expresiones regulares que impiden que se abran determinados directorios de archivos. La lista incluye una expresión regular por línea.

Cuando un archivo o directorio coincide con una de las expresiones regulares, ese archivo o directorio no se abre. Cuando un archivo está en uso, es posible que otras aplicaciones no puedan utilizarlo. Utilice este parámetro para impedir el bloqueo de estos archivos o para impedir que el protocolo acceda a archivos específicos.

El patrón no se aplica a la vía de acceso completa de la carpeta de registro. Sólo se aplica al directorio final que se lista en la vía de acceso. El patrón se aplica a todos los archivos o directorios que se encuentran en el directorio de la vía de acceso de carpeta de registro.

La lista siguiente es un ejemplo de lo que puede especificar en este campo.

/j50.*\.log

dhcp\.mdb

dhcp\.tmp