Opcje konfiguracji protokołu UDP multiline syslog

Aby utworzyć jednowierszowe zdarzenie dziennika systemowego z zdarzenia wielowierszowego, skonfiguruj źródło dziennika w celu użycia protokołu multiline protokołu UDP. Protokół syslog protokołu UDP multiline używa wyrażenia regularnego w celu identyfikowania i ponownego składania komunikatów syslog wielowierszowych w pojedynczy ładunek zdarzenia.

Protokół UDP multiline syslog jest protokołem przychodzącym/pasywnym. Oryginalne zdarzenie wielowierszowe musi zawierać wartość, która powtarza się w każdym wierszu, aby wyrażenie regularne przechwyciło tę wartość, a następnie zidentyfikował i zmontować poszczególne komunikaty syslog, które składają się na zdarzenie wielowierszowe. Na przykład to zdarzenie wielowierszowe zawiera powtarzające się wartości 2467222w polu conn . Ta wartość pola jest przechwytywana w taki sposób, aby wszystkie komunikaty dziennika systemowego zawierające conn=2467222 były połączone w jedno zdarzenie.
15:08:56 <IP_address> slapd[517]: conn=2467222 op=2 SEARCH RESULT tag=101
15:08:56 <IP_address> slapd[517]: conn=2467222 op=2 SRCH base="dc=xxx"
15:08:56 <IP_address> slapd[517]: conn=2467222 op=2 SRCH attr=gidNumber
15:08:56 <IP_address> slapd[517]: conn=2467222 op=1 SRCH base="dc=xxx"
W poniższej tabeli opisano parametry specyficzne dla protokołu dla protokołu UDP multiline syslog:
Tabela 1. Parametry protokołu UDP wielowierszowego syslog
Parametr Opis
Konfiguracja protokołu Protokół UDP Multiline Syslog
Identyfikator źródła dziennika

Wpisz unikalną nazwę źródła dziennika.

Identyfikator źródła dziennika może być dowolną poprawną wartością i nie musi odwoływać się do konkretnego serwera. Może to być także ta sama wartość, co nazwa źródła dziennika. Jeśli istnieje więcej niż jedno skonfigurowane źródło dziennika syslog protokołu UDP multiline, należy nadać każdemu nazwę unikalną nazwę.
Port nasłuchiwania

Domyślny numer portu używany przez program QRadar® do akceptowania przychodzących zdarzeń protokołu UDP Multiline Syslog wynosi 517. Można użyć innego portu z zakresu od 1 do 65535.

Aby edytować zapisaną konfigurację w taki sposób, aby używała nowego numeru portu, wykonaj następujące kroki:

  1. W polu Listen Port (Port nasłuchiwania) wpisz nowy numer portu dla odbierania zdarzeń protokołu UDP Multiline Syslog.
  2. Kliknij przycisk Zapisz.
  3. Kliknij przycisk Wdróż zmiany , aby wprowadzić tę zmianę jako efektywną.

Aktualizacja portu została zakończona, a kolekcja zdarzeń rozpoczyna się od nowego numeru portu.
Wzorzec identyfikatora komunikatu Wyrażenie regularne (regex) wymagane do filtrowania komunikatów ładunku zdarzenia. Komunikaty zdarzeń wielowierszowych UDP muszą zawierać wspólną wartość identyfikującą, która jest powtarzana w każdym wierszu komunikatu zdarzenia.
Formatter zdarzenia

Formater zdarzeń, który formatuje przychodzące ładunki, które są wykrywane przez program nasłuchujący. Wybierz opcję Brak formatowania , aby pozostawić ładunek nietknięty. Wybierz opcję Multiline Cisco ACS Multiline , aby sformatować ładunek w zdarzeniu jednowierszowym.

W nagłówku syslog ACS znajdują się pola total_seg i seg_num . Te dwa pola są używane do zmiany kolejności zdarzeń wielowierszowych ACS w jedno zdarzenie z poprawną kolejką w przypadku wybrania opcji Multiline Cisco ACS.
Pokaż opcje zaawansowane

Wartość domyślna to Nie. Wybierz opcję Tak , jeśli chcesz skonfigurować opcje zaawansowane.
Użyj niestandardowej nazwy źródła

Zaznacz to pole wyboru, jeśli chcesz dostosować nazwę źródła z regex.
Nazwa źródłowa Regex

Aby dostosować sposób określania źródła zdarzeń przetwarzanych przez tę konfigurację protokołu UDP Multiline, należy użyć parametrów Nazwa źródła Regex i Łańcuch formatowania nazwy źródła , aby dostosować sposób określania źródła zdarzeń przez program QRadar .

W polu Nazwa źródłowa wyrażenia regularnegowprowadź wyrażenie regularne, aby przechwycić jedną lub większą liczbę wartości identyfikujących z ładowań zdarzeń, które są obsługiwane przez ten protokół. Wartości te są używane z wartością Łańcuch formatowania nazwy źródła w celu ustawienia wartości źródłowej lub źródłowej dla każdego zdarzenia. Ta wartość źródłowa jest używana do kierowania zdarzenia do źródła dziennika ze zgodną wartością Identyfikator źródła dziennika , gdy włączona jest opcja Użyj jako źródła dziennika bramy .
Łańcuch formatowania nazwy źródła
Aby utworzyć wartość źródłową dla ładunków zdarzeń przetwarzanych przez ten protokół, można użyć kombinacji jednego lub większej liczby następujących danych wejściowych:
  • Jedna lub większa liczba grup przechwytywania z Regex nazwy źródła. Aby odwołać się do grupy przechwytywania, należy użyć notacji \x , gdzie x jest indeksem grupy przechwytywania z Regex nazwy źródła.
  • Adres IP, z którego pochodzą dane zdarzenia. Aby odwołać się do pakietu IP, należy użyć znacznika $PIP$.
  • Literałowe znaki tekstowe. Cały łańcuch Łańcuch formatowania nazwy źródła może być tekstem udostępnionym przez użytkownika.

Na przykład: CiscoACS\1\2$PIP$, gdzie \1\2 oznacza pierwszą i drugą grupę przechwytywania z wartości Nazwa źródłowa wyrażenia regularnego , a $PIP$ to pakiet IP pakietu.
Użyj Jako Źródła Dziennika Bramy

Jeśli to pole wyboru nie jest zaznaczone, zdarzenia przychodzące są wysyłane do źródła dziennika przy użyciu identyfikatora źródła dziennika zgodnego z adresem IP, z którego pochodzą.

Jeśli ta opcja jest zaznaczona, to źródło dziennika służy jako pojedynczy punkt wejścia lub brama dla zdarzeń wielowierszowych z wielu źródeł, aby wprowadzić QRadar i być przetwarzane w ten sam sposób, bez konieczności konfigurowania źródła dziennika systemowego dziennika systemowego UDP Multiline dla każdego źródła. Zdarzenia z nagłówkiem syslog RFC3164- lub RFC5424-compliant są identyfikowane jako pochodzące z adresu IP lub nazwy hosta w ich nagłówku, chyba że używany jest parametr Łańcuch formatowania nazwy źródła , w którym to przypadku łańcuch formatu jest wartościowany dla każdego zdarzenia. Wszystkie takie zdarzenia są kierowane przez QRadar w oparciu o tę przechwycony wartość.

Jeśli jeden lub więcej źródeł dziennika istnieje z odpowiednim identyfikatorem źródła dziennika, to są one nadawane na podstawie skonfigurowanego porządku analizowania. Jeśli nie zaakceptują one zdarzenia lub jeśli żadne źródła dziennika nie istnieją ze zgodną identyfikatorem źródła dziennika, zdarzenia są analizowane pod kątem autodetekcji.
Flatten Multiline Events Into Single Line

Wyświetla zdarzenie w jednym wierszu lub wielu wierszach. Jeśli to pole wyboru jest zaznaczone, wszystkie znaki nowego wiersza i znaki powrotu karetki są usuwane z zdarzenia.
Zachowuj Całe Wiersze Podczas Agregacji Zdarzeń

Wybierz tę opcję, aby usunąć lub zachować część zdarzeń, które są dostępne przed Wzorzec identyfikatora komunikatu , gdy protokół konkatenuje zdarzenia o tym samym wzorcu identyfikatora razem.
Limit czasu Liczba sekund oczekiwania na dodatkowe pasujące ładunki, zanim zdarzenie zostanie wepchnięte do potoku zdarzeń. Wartość domyślna to 10 sekund.
Włączone

Zaznacz to pole wyboru, aby włączyć źródło dziennika.
wiarygodność

Wybierz wiarygodność źródła dziennika. Zakres: od 0 do 10.

Wiarygodność wskazuje na integralność zdarzenia lub wykroczenia określonego przez ocenę wiarygodności z urządzeń źródłowych. Wiarygodność zwiększa się, jeśli wiele źródeł zgłasza to samo zdarzenie. Wartością domyślną jest 5.
Docelowy kolektor zdarzeń

Wybierz kolektor zdarzeń we wdrożeniu, który powinien udostępniać program nasłuchujący Syslog protokołu UDP Multiline.
Zdarzenia Coalescing

Zaznacz to pole wyboru, aby włączyć dla źródła dziennika zdarzenia coalesce (pakunku).

Domyślnie automatycznie wykryte źródła dzienników dziedziczą wartość listy zdarzeń Coalescing z ustawień systemowych w produkcie QRadar. Podczas tworzenia źródła dziennika lub edycji istniejącej konfiguracji można przesłonić wartość domyślną, konfigurując tę opcję dla każdego źródła dziennika.
Ładunek zdarzenia sklepu

Zaznacz to pole wyboru, aby włączyć źródło dziennika do przechowywania informacji o ładunku zdarzenia.

Domyślnie automatycznie wykryte źródła dzienników dziedziczą wartość listy Store Event Payload (Ładunek zdarzeń sklepu) na podstawie ustawień systemowych w produkcie QRadar. Podczas tworzenia źródła dziennika lub edycji istniejącej konfiguracji można przesłonić wartość domyślną, konfigurując tę opcję dla każdego źródła dziennika.