當您使用 Amazon S3 REST API 通訊協定時,配置 Cloudflare 日誌以將事件傳送至 IBM QRadar

當您使用 Amazon S3 REST API 通訊協定時, IBM® QRadar® 會從 Amazon S3 儲存區收集 Cloudflare Log 事件。

在開始之前

完成下列步驟:
  1. 透過建立 Logpush 工作,配置 Cloudflare 實例來推送事件。 如需相關資訊,請參閱 透過 Cloudflare 使用者介面管理 (https://developers.cloudflare.com/logs/logpush/logpush-dashboard)。
  2. 若要建立 Logpush 工作以傳送防火牆事件,您需要使用 Logpush API 來配置及管理工作。 如需相關資訊,請參閱 透過 Logpush API 管理 (https://developers.cloudflare.com/logs/logpush/logpush-configuration-api)。

關於此作業

如果在 Cloudflare 使用者介面中建立 Logpush 工作,或使用 Logpush REST API 來建立 Logpush 工作,您必須完成下列程序。

程序

  1. 登入 Cloudflare 使用者介面 (https://dash.cloudflare.com/login)。
  2. 選取您要配置日誌的網站。
  3. 按一下 分析 > 日誌
  4. 如果 推送 開關位於關閉位置,請將開關切換至 開啟
  5. 按一下 編輯 ,然後確保根據選取的資料集來選取適當的欄位。
    • HTTP 要求- ClientRequest方法用戶端 IPClientSrc埠EdgeResponse狀態EdgeStart時間戳記
    • 防火牆事件- ActionDatetimeClientIP

下一步做什麼

建立 SQS 佇列並配置 S3 ObjectCreated Notifications