Options de configuration du protocole SMB Tail

Vous pouvez configurer une source de journal de façon à utiliser le protocole SMB Tail. Utilisez ce protocole pour surveiller les événements sur un partage Samba distant et recevoir des événements du partage Samba lorsque de nouvelles lignes sont ajoutées au journal d'événement.

Le protocole SMB Tail est un protocole sortant actif.
Remarque : pour plus d'informations sur l'installation de SMB Trail et des protocoles dépendants, voir Installation de SMB Tail et des protocoles dépendants.
Le tableau suivant décrit les paramètres spécifiques au protocole SMB Tail :
Tableau 1. Paramètres du protocole SMB Tail
Paramètre Descriptif
Configuration du protocole SMB Tail
Identificateur de source de journal Entrez l'adresse IP, le nom d'hôte ou un nom unique pour identifier votre source de journal.
Adresse du serveur Adresse IP ou nom d'hôte de votre serveur SMB Tail.
Domaine

Entrez le domaine de votre serveur SMB Tail.

Ce paramètre est facultatif si votre serveur n'est pas situé dans un domaine.
Nom d'utilisateur Entrez le nom d'utilisateur requis pour accéder à votre serveur.
Mot de passe Entrez le mot de passe requis pour accéder à votre serveur.
Confirmer le mot de passe Confirmez le mot de passe requis pour accéder au serveur.
Chemin du dossier du journal Chemin d'accès au répertoire contenant les fichiers journaux. Par exemple, les administrateurs peuvent utiliser le répertoire c$/LogFiles/ pour un partage administratif ou le répertoire LogFiles/ pour un chemin de dossier de partage public. Toutefois, le répertoire c:/LogFiles n'est pas un chemin de dossier de journal pris en charge.

Si un chemin de dossier de journal contient un partage administratif (C$), les utilisateurs possédant un accès NetBIOS sur le partage administratif (C$) ont les privilèges requis pour lire les fichiers journaux.

Les privilèges de système local ou d'administrateur de domaine sont également suffisants pour accéder à tous les fichiers journaux figurant sur une action administrative.
Modèle de fichier Expression régulière (regex) identifiant les journaux d'événements.
Version SMB

Sélectionnez la version du bloc de message serveur (SMB) que vous souhaitez utiliser.

AUTO
Détecte automatiquement la version la plus élevée que le client et le serveur acceptent d'utiliser.
SMB1
Impose l'utilisation de SMB1. SMB1 utilise le fichier jCIFS.jar (Java™ ARchive).
Important: SMB1 n'est plus pris en charge. Tous les administrateurs doivent mettre à jour les configurations existantes pour utiliser SMB2 ou SMB3.
SMB2
Impose l'utilisation de SMB2. SMB2 utilise le fichier jNQ.jar.
SMB3
Force l'utilisation de SMB3. SMB3 utilise le fichier jNQ.jar.
Remarque: avant de créer une source de journal avec une version SMB spécifique (par exemple: SMBv1, SMBv2et SMBv3), vérifiez que la version SMB spécifiée est prise en charge par le système d'exploitation Windows qui s'exécute sur votre serveur. Vous devez également vérifier que les versions SMB sont activées sur le serveur Windows spécifié.

Pour plus d'informations sur les versions de Windows compatibles avec les différentes versions de SMB, consultez le site web de Microsoft TechNet ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Pour plus d'informations sur la détection, l'activation et la désactivation de SMBv1, SMBv2, et SMBv3 dans Windows et Windows Server, consultez le site web d'assistance de Microsoft ( https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server ).
Forcer la lecture du fichier Si cette case n'est pas cochée, le fichier journal est en lecture seule lorsque QRadar détecte un changement de l'heure ou de la taille de fichier modifiées.
Récursif Si vous souhaitez que le modèle de fichier recherche des sous-dossiers, utilisez cette option. Par défaut, la case est cochée.
Intervalle d'interrogation (en secondes) Entrez l'intervalle d'interrogation, qui correspond au nombre de secondes entre les requêtes dans les fichiers journaux pour rechercher de nouvelles données. La valeur par défaut est de 10 secondes.
Evénements de régulation/seconde Nombre maximal d'événements envoyés par le protocole SMB Tail par seconde.
Codage du fichier Codage de caractères utilisé par les événements dans votre fichier journal.
Liste d'exclusion de fichiers Liste d'expressions régulières qui empêchent l'ouverture de certains répertoires de fichiers. La liste inclut une expression régulière par ligne.

Lorsqu'un fichier ou un répertoire correspond à l'une des expressions régulières, ce fichier ou ce répertoire ne s'ouvre pas. Lorsqu'un fichier est utilisé, il se peut que d'autres applications ne puissent pas l'utiliser. Utilisez ce paramètre pour empêcher le verrouillage de ces fichiers ou pour empêcher le protocole d'accéder à des fichiers spécifiques.

Le modèle ne s'applique pas au chemin d'accès complet au dossier de journaux. Elle s'applique uniquement au répertoire final qui est répertorié dans le chemin d'accès. Le modèle s'applique à tous les fichiers ou répertoires qui se trouvent dans le répertoire du dossier des journaux.

La liste suivante est un exemple de ce que vous pouvez entrer dans cette zone.

/j50.*\.log

dhcp\.mdb

dhcp\.tmp