Opcje konfiguracji protokołu SMB tail

Źródło dziennika można skonfigurować w taki sposób, aby korzystało z protokołu SMB Tail. Ten protokół służy do obserwowania zdarzeń w zdalnym współużytkowanym zasobie współużytkowanym Samba i odbierania zdarzeń z zasobu współużytkowanego Samba , gdy do dziennika zdarzeń zostaną dodane nowe wiersze.

Protokół SMB Tail jest aktywnym protokołem wychodzącym.

W poniższej tabeli opisano parametry specyficzne dla protokołu dla protokołu SMB Tail:
Tabela 1. Parametry protokołu SMB tail
Parametr Opis
Konfiguracja protokołu Ogon SMB
Identyfikator źródła dziennika Wpisz adres IP, nazwę hosta lub unikalną nazwę, aby zidentyfikować źródło dziennika.
Adres serwera Adres IP lub nazwa hosta serwera SMB Tail.
Domena

Wpisz domenę dla serwera SMB Tail.

Ten parametr jest opcjonalny, jeśli serwer nie znajduje się w domenie.
Nazwa użytkownika Wpisz nazwę użytkownika, który jest wymagany do uzyskania dostępu do serwera.
Hasło Wpisz hasło, które jest wymagane do uzyskania dostępu do serwera.
Potwierdź hasło Potwierdź hasło, które jest wymagane do uzyskania dostępu do serwera.
Ścieżka folderu dziennika Ścieżka do katalogu w celu uzyskania dostępu do plików dziennika. Na przykład administratorzy mogą używać katalogu c$/LogFiles/ dla współużytkowanego zasobu administracyjnego lub katalogu LogFiles/ dla ścieżki folderu współużytkowanego zasobu współużytkowanego. Jednak katalog c:/LogFiles nie jest obsługiwaną ścieżką do folderu dziennika.

Jeśli ścieżka do folderu dziennika zawiera współużytkowany zasób administracyjny (C$), użytkownicy z dostępem NetBIOS do współużytkowania administracyjnego (C$) mają uprawnienia wymagane do odczytu plików dziennika.

Uprawnienia administratora systemu lokalnego lub domeny są również wystarczające, aby uzyskać dostęp do wszystkich plików dziennika, które znajdują się w zasobie współużytkowanym.
Wzorzec nazwy pliku Wyrażenie regularne (wyrażenie regularne) identyfikujące dzienniki zdarzeń.
Wersja SMB

Wybierz wersję bloku komunikatów serwera (SMB), która ma być używana.

Auto
Automatycznie wykrywa najwyższą wersję, którą klient i serwer zgadzają się używać.
SMB1
Wymusza użycie komendy SMB1. SMB1 korzysta z pliku jCIFS.jar (Java™ ARchive).
Ważne: SMB1 nie jest już obsługiwany. Wszyscy administratorzy muszą zaktualizować istniejące konfiguracje w taki sposób, aby były używane SMB2 lub SMB3.
SMB2
Wymusza użycie komendy SMB2. SMB2 korzysta z pliku jNQ.jar .
SMB3
Wymusza użycie komendy SMB3. SMB3 korzysta z pliku jNQ.jar .
Uwaga: Przed utworzeniem źródła dziennika z określoną wersją SMB (na przykład SMBv1, SMBv2i SMBv3) należy się upewnić, że określona wersja SMB jest obsługiwana przez system operacyjny Windows, który działa na serwerze. Należy również sprawdzić, czy wersje SMB są włączone na określonym serwerze Windows Server.

Więcej informacji o tym, która wersja systemu Windows obsługuje wersje SMB, zawiera serwis WWW Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Aby uzyskać więcej informacji na temat wykrywania, włączania i wyłączania SMBv1, SMBv2i SMBv3 w systemach Windows i Windows Server, Przejdź do serwisu WWW Microsoft support (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Wymuszenie odczytu pliku Jeśli pole wyboru nie jest zaznaczone, plik dziennika jest odczytyowany tylko wtedy, gdy program QRadar® wykryje zmianę w zmodyfikowanym czasie lub wielkości pliku.
Rekurencyjnie Tę opcję należy użyć, jeśli wzorzec pliku ma być przeszukiwany pod względem podfolderów. Domyślnie pole wyboru jest zaznaczone.
Odstęp czasu odpytywania (w sekundach) Wpisz odstęp czasu odpytywania, który jest liczbą sekund między zapytaniami do plików dziennika w celu sprawdzenia nowych danych. Wartość domyślna to 10 sekund.
Zdarzenia ograniczania szybkości transmisji danych na sekundę Maksymalna liczba zdarzeń, które protokół SMB Tail przekazuje na sekundę.
Kodowanie pliku Kodowanie znaków używane przez zdarzenia w pliku dziennika.
Lista wykluczeń plików Lista wyrażeń regularnych, które uniemożliwiają otwarcie niektórych katalogów plików. Lista zawiera jedno wyrażenie regularne dla jednego wiersza.

Gdy plik lub katalog jest zgodny z jednym z wyrażeń regularnych, ten plik lub katalog nie jest otwarty. Gdy plik jest używany, inne aplikacje mogą nie być w stanie użyć tego pliku. Użyj tego parametru, aby zapobiec blokowaniu tych plików lub aby zapobiec dostępowi do określonych plików przez protokół.

Wzorzec nie ma zastosowania do pełnej ścieżki folderu dziennika. Ma ona zastosowanie tylko do katalogu końcowego, który znajduje się na liście w ścieżce. Wzorzec ma zastosowanie do wszystkich plików lub katalogów, które znajdują się w katalogu ścieżki folderu dziennika.

Poniżej znajduje się przykład tego, co można wprowadzić w tym polu.

/j50.*\.log

dhcp\.mdb

dhcp\.tmp