协议配置选项

日志源类型

阿卡迈·科纳

协议配置

Akamai Kona REST API

主机

Host 值是在 Akamai Luna 控制中心进行 SIEM OPEN API 置备期间提供的。Host 是唯一的基本 URL，其中包含有关查询安全事件的相应权限的信息。此参数是一个密码字段，因为部分值包含机密客户端信息。

客户端令牌

客户端令牌 是两个安全参数之一。此令牌与 客户端密码 配对以创建客户端凭据。您可以在预置 Akamai SIEM OPEN API 后找到此令牌。

客户端密钥

客户端密钥 是两个安全参数之一。此机密与 客户端令牌 配对以创建客户端凭据。您可以在预置 Akamai SIEM OPEN API 后找到此令牌。

访问令牌

访问令牌 是一个安全参数，用于与客户端凭据一起使用，以授权 API 客户端访问以检索安全事件。您可以在预置 Akamai SIEM OPEN API 后找到此令牌。

安全配置 ID

安全配置 ID 是要为其检索安全事件的每个安全配置的 ID。此 ID 可在 Akamai Luna 门户的 SIEM 集成部分找到。您可以在逗号分隔的列表中指定多个配置 ID。例如： configID1,configID2。

使用代理

如果 JSA 使用代理访问亚马逊云科技，请启用 使用代理。

如果代理需要身份验证，请配置 代理服务器、代理端口、代理用户名和 代理密码 字段。

如果代理不需要身份验证，请配置 代理 IP 或 主机名 字段。

自动获取服务器证书

为 JSA 选择“是”以自动下载服务器证书并开始信任目标服务器。

复发

针对新事件向 Akamai SIEM API 进行日志源查询之间的时间间隔。时间间隔可以以小时 （H）、分钟 （M） 或天 （D） 为单位。默认值为 1 分钟。

EPS 油门

每秒的最大事件数。默认值为 5000。

协议配置

Amazon AWS S3 REST API

日志源标识符

键入日志源的唯一名称。

日志源标识符可以是任何有效值，不需要引用特定服务器。日志源标识符可以与日志源名称的值相同。如果您配置了多个 Amazon AWS CloudTrail 日志源，则可能需要将第一个日志源标识为 awscloudtrail1，第二个日志源标识为 awscloudtrail2，第三个日志源awscloudtrail3标识为 。

身份验证方法

• 访问密钥 ID/密钥 – 可在任何地方使用的标准身份验证。

• EC2 实例 IAM 角色 - 如果您的托管主机在 AWS EC2 实例上运行，则选择此选项将使用分配给实例的实例元数据中的 IAM 角色进行身份验证;不需要密钥。此方法仅适用于在 AWS EC2 容器内运行的托管主机。

访问密钥

在为 AWS 用户账户配置安全凭证时生成的访问密钥 ID

如果您选择 访问密钥 ID/私有密钥 或 代入 IAM 角色，则会显示 访问密钥 参数。

密钥

在为 AWS 用户账户配置安全凭证时生成的私有密钥。

如果您选择 访问密钥 ID/私有密钥 或 代入 IAM 角色，则会显示 私有密钥 参数。

代入 IAM 角色

通过使用访问密钥或 EC2 实例 IAM 角色进行身份验证来启用此选项。然后，您可以临时代入 IAM 角色进行访问。

担任角色 ARN

要代入的角色的完整 ARN。它必须以“arn：”开头，并且不能包含任何前导或尾随空格，或 ARN 中的空格。

如果您启用了 代入 IAM 角色，则会显示 代入角色 ARN 参数。

代入角色会话名称

要代入的角色的会话名称。默认值为 QRadarAWSSession。如果不需要更改，请保留为默认值。此参数只能包含大写和小写字母数字字符、下划线或以下任何字符：=，.@-

如果您启用了 代入 IAM 角色，则会显示 代入角色会话名称 参数。

活动形式

AWS Cloud Trail JSON

AWS 网络防火墙

AWS VPC 流日志

思科伞式 CSB

逐行

W3c

区域名称

SQS 队列或 AWS S3 存储桶所在的区域。

Example: us-east-1, eu-west-1, ap-northeast-3

用作网关日志源

选择此选项可使收集的事件流经 JSA 流量分析引擎，并使 JSA 自动检测一个或多个日志源。

显示高级选项

如果要自定义事件数据，请选择此选项。

文件模式

当您将 “显示高级选项 ”设置为“是”时，此选项可用。

为与要拉取的文件匹配的文件模式键入正则表达式;例如， .*？\.json\.gz

本地目录

当您将 “显示高级选项 ”设置为“是”时，此选项可用。

目标事件收集器上的本地目录。在 AWS S3 REST API 协议尝试检索事件之前，该目录必须存在。

S3 终端节点网址

当您将 “显示高级选项 ”设置为“是”时，此选项可用。

用于查询 AWS S3 REST API 的终端节点 URL。

如果终结点 URL 与默认值不同，请键入终结点 URL。默认值为 https:// s3.amazonaws.com

使用 S3 路径样式访问

强制 S3 请求使用路径样式访问。

AWS 已弃用此方法。但是，当您使用其他与 S3 兼容的 API 时，可能需要这样做。

使用代理

如果 JSA 使用代理访问亚马逊云科技，请启用使用代理。

如果代理需要身份验证，请配置 代理服务器、代理端口、代理用户名和 代理密码 字段。

如果代理不需要身份验证，请配置 代理 IP 或主机名 字段。

复发

进行轮询以扫描新数据的频率。

如果使用 SQS 事件收集方法，则 SQS 事件通知 的最小值为 10（秒）。由于 SQS 队列轮询可以更频繁地发生，因此可以使用较低的值。

如果使用目录前缀事件收集方法，则 “使用特定前缀” 的最小值为 60（秒）或 1M。由于对 AWS S3 存储桶的每个 listBucket 请求都会给拥有该存储桶的账户带来成本，因此较小的重复值会增加成本。

键入时间间隔以确定扫描远程目录以查找新事件日志文件的频率。最小值为 1 分钟。时间间隔可以包括以小时 （H）、分钟 （M） 或天 （D） 为单位的值。例如，2H = 2 小时，15 M = 15 分钟。

EPS 油门

每秒发送到流管道的最大事件数。默认值为 5000。

确保 EPS 限制值高于传入速率，否则数据处理可能会落后。

S3 收集方法

选择 “使用特定前缀”。

存储桶名称

存储日志文件的 AWS S3 存储桶的名称。

目录前缀

从中检索 CloudTrail 日志的 AWS S3 存储桶上的根目录位置;例如， AWSLogs/<>AccountNumber/CloudTrial/<RegionName>/

要从存储桶的根目录拉取文件，您必须在 目录前缀 文件路径中使用正斜杠 （/）。

S3 收集方法

选择 SQS 事件通知。

SQS 队列网址

设置为接收来自 S3 的 ObjectCreated 事件通知的 SQS 队列的完整 URL。

制造商

亚马逊

帝斯曼名称

自定义日志源类型

RPM 文件名

AWS S3 REST API 协议

支持的版本

流日志 v5

协议

AWS S3 REST API 协议

事件格式

使用 JSA 流源进行 IPFIX

记录的事件类型

网络流

自动发现？

不

包括身份？

不

是否包含自定义属性？

不

更多信息

（https:// docs.aws.amazon.com/vpc/latest/userguide/flowlogs.

协议配置

从协议配置列表中选择 亚马逊云科技 。

身份验证方法

• 访问密钥 ID/密钥 — 可在任何地方使用的标准身份验证。

• EC2 实例 IAM 角色 — 如果您的 JSA 托管主机在 AWS EC2 实例中运行，则选择此选项将使用分配给实例的元数据中的 IAM 角色进行身份验证;不需要密钥。此方法仅适用于在 AWS EC2 容器内运行的托管主机。

访问密钥

在为 AWS 用户账户配置安全凭证时生成的访问密钥 ID。

如果选择了 访问密钥 ID/私有密钥，则会显示访问密钥 参数。

密钥

在为 AWS 用户账户配置安全凭证时生成的私有密钥。

如果选择了 访问密钥 ID/私有密钥，则会显示访问密钥 参数。

地区

选中与要从中收集日志的 亚马逊云科技 关联的每个区域的复选框。

其他地区

键入与要从中收集日志的 亚马逊云科技关联的任何其他区域的名称。若要从多个区域收集，请使用逗号分隔的列表，如以下示例所示： region1,region2

AWS 服务

亚马逊云科技的名称。从 AWS 服务 列表中，选择 CloudWatch Logs。

日志组

Amazon CloudWatch 中要从中收集日志的日志组的名称。

日志流 （可选）

日志组中日志流的名称。如果要从日志组内的所有日志流中收集日志，请将此字段留空。

过滤器模式 （可选）

键入用于筛选收集的事件的模式。此模式不是正则表达式筛选器。仅从 CloudWatch 日志中收集包含您指定的确切值的事件。如果键入 ACCEPT 作为“筛选器模式”值，则仅收集包含单词 ACCEPT 的事件，如以下示例所示。

{LogStreamName: LogStreamTest,Timestamp: 0,
Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

提取原始事件

要仅将添加到 CloudWatch 日志中的原始事件转发到 JSA，请选择此选项。

CloudWatch 日志使用额外的元数据包装它们收到的事件。

原始事件是从 CloudWatch 日志中提取的消息密钥的值。以下 CloudWatch 日志事件示例以粗体文本显示从 CloudWatch 日志中提取的原始事件：

{"owner":"123456789012","subscriptionFilters":
["allEvents"],"logEvents":
[{"id":"35093963143971327215510178578576502306458824699048362100","mes
sage":"{\"eventVersion\":\"1.05\",\"userIdentity\":
{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test
_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role/
CVDevABRoleToBeAssumed/
test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId
\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":
{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\
"arn:aws:iam::123456789012:role/
CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\
"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":
{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54
Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudt
rail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"
apnortheast-
1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":
null,\"responseElements\":null,\"requestID\":\"41e62e80-
b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-
f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipi
entAccountId\":\"123456789012\"}","timestamp":1573667733143}],"message
Type":"DATA_MESSAGE","logGroup":"CloudTrail/
DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}

用作网关日志源

如果不想为事件定义自定义日志源标识符，请确保清除此复选框。

日志源标识符模式

如果选择了 “用作网关日志源”，请使用此选项为正在处理的事件定义自定义日志源标识符。

使用键值对定义自定义日志源标识符。键是标识符格式字符串，它是生成的源或源值。该值是用于评估当前有效负载的关联正则表达式模式。此值还支持可用于进一步自定义密钥的捕获组。

通过在换行中键入每个模式来定义多个键值对。多个模式按其列出顺序进行评估。找到匹配项后，将显示自定义日志源标识符。

以下示例显示了多个键值对函数。

• 模式 - VPC=\s拒绝\s故障

  $1=\s（拒绝）\sOK

  VPC-$1-$2=\s（接受）\s（OK）

• 事件 - {日志流名称： 日志流测试，时间戳： 0，消息： 接受确定，引入时间： 0，事件 ID： 0}

• 生成的自定义日志源标识符 -

  VPC-接受-确定

使用代理

如果 JSA 使用代理访问亚马逊云科技，请选择此选项。

如果代理需要身份验证，请配置代理服务器、代理端口、代理用户名和代理密码字段。如果代理不需要身份验证，请配置代理服务器和代理端口字段。

自动获取服务器证书

为 JSA 选择“是”以自动下载服务器证书并开始信任目标服务器。

您可以使用此选项初始化新创建的日志源并获取证书，或替换过期的证书。

EPS 油门

每秒最大事件数 （EPS） 的上限。默认值为 5000。

如果选择了 “用作网关日志源 ”选项，则此值是可选的。

如果 EPS 限制参数值留空，则 JSA 不会施加 EPS 限制。

引导服务器列表

<hostname/ip>：<port>引导服务器。可以在逗号分隔的列表中指定多个服务器，如以下示例所示：hostname1:9092,10.1.1.1:9092

消费群体

标识此日志源所属的使用者组的唯一字符串或标签。

发布到 Kafka 主题的每条记录都会传送到每个订阅消费者组中的一个使用者实例。Kafka 使用这些标签在组中的所有使用者实例上对记录进行负载均衡。

主题订阅方式

用于订阅 Kafka 主题的方法。使用 “列出主题 ”选项可以指定特定的主题列表。使用 正则表达式模式匹配 选项指定要与可用主题匹配的正则表达式。

主题列表

要订阅的主题名称列表。列表必须以逗号分隔;例如： Topic1,Topic2,Topic3。

仅当为“主题订阅方法”选项选择了“列表主题”时，才会显示此选项。

主题过滤器模式

用于匹配要订阅的主题的正则表达式。

仅当为主题订阅方法选项选择了正则表达式模式匹配时，才会显示此选项。

使用 SASL 身份验证

此选项显示 SASL 身份验证配置选项。

在没有客户端身份验证的情况下使用时，必须在目录中放置服务器证书 /opt/qradar/conf/ trusted_certificates/ 的副本。

使用客户端身份验证

显示客户端身份验证配置选项。

/密钥存储/信任存储类型

密钥库和信任库类型的归档文件格式。以下选项可用于存档文件格式：

• 杰克斯

• PKCS12

信任存储区文件名

信任库文件的名称。信任库必须放置在 /opt/qradar/conf/trusted_certificates/ kafka/ 中。

该文件包含用户名和密码。

密钥库文件名

密钥库文件的名称。密钥库必须放在 /opt/qradar/conf/trusted_certificates/ kafka/ 中。

该文件包含用户名和密码。

用作网关日志源

此选项使收集的事件能够通过 JSA 流量分析引擎并自动检测相应的日志源。

日志源标识符模式

如果选中“ 用作网关日志源 ”复选框，则为正在处理的事件定义自定义日志源标识符。

键值对用于定义自定义日志源标识符。键是标识符格式字符串，它是生成的源或源值。该值是用于评估当前有效负载的关联正则表达式模式。此值还支持可用于进一步自定义密钥的捕获组。

多键值对是通过在新行上键入每个模式来定义的。多个模式按其列出顺序进行评估。找到匹配项后，将显示自定义日志源标识符。

以下示例显示了多个键值对函数。

模式

1. VPC=\sREJECT\sFAILURE

2. $1=\s(REJECT)\sOK

3. VPC-$1-$2=\s(ACCEPT)\s(OK)

事件

1. {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

生成的自定义日志源标识符

1. VPC-ACCEPT-OK

字符序列替换

将事件有效负载中的特定文字字符序列替换为实际字符。以下一个或多个选项可用：

• 换行符 （CR LF） 字符 （\r\n）

• 换行符 （\n）

• 回车符 （\r）

• 制表符 （\t）

• 空格字符 （\s）

EPS 油门

每秒最大事件数 （EPS）。如果字段为空，则不应用限制。

API 用户名

用于向 Blue Coat 网络安全服务进行身份验证的 API 用户名。API 用户名通过 Blue Coat 威胁脉冲门户进行配置。

密码

用于向 Blue Coat Web Security Service 进行身份验证的密码。

确认密码

确认 密码 字段。

使用代理

配置代理时，日志源的所有流量都将通过代理进行传输，以便 JSA 访问 Blue Coat 网络安全服务。

配置 代理 IP 或主机名、 代理端口、 代理用户名和 代理密码 字段。如果代理不需要身份验证，则可以将 代理用户名 和 代理 密码 字段留空。

复发

您可以指定日志收集数据的时间。格式为 M/H/D 表示月/小时/天。默认值为 5 M。

EPS 油门

每秒最大事件数 （EPS） 的上限。默认值为 5000。

日志源类型

Centrify 身份平台

协议配置

Centrify Redrock REST API

日志源标识符

日志源的唯一名称。

日志源标识符可以是任何有效值，不需要引用特定服务器。日志源标识符可以与 日志源名称的值相同。如果您配置了多个 Centrify 身份平台日志源，则可能需要将第一个日志源标识为 centrify1，第二个日志源标识为 centrify2，第三个日志源标识为 centrify3。

租户 ID

Centrify 分配了唯一的客户或租户 ID。

租户 URL

为指定的租户 ID 自动生成租户 URL。例如， tenantId.my.centrify.com

用户

与 Centrify 身份平台的云服务关联的用户名。

密码

与 Centrify 身份平台用户名关联的密码。

事件日志记录筛选器

选择要检索的事件的日志记录级别。 可选择信息、警告 和 错误 。必须至少选择一个筛选器。

允许不受信任的证书

启用此选项可允许自签名的不受信任证书。不要为 SaaS 托管租户启用此选项。但是，如果需要，可以为其他租户配置启用此选项。

证书必须以 PEM 或 DER 编码的二进制格式下载，然后放入文件扩展名为 .cert 或 .crt 的 /opt/ qradar/conf/trusted_certificates/ 目录中。

使用代理

配置代理后，来自 Centrify Redrock REST API 的所有流量都会通过代理。

配置 代理服务器、代理端口、代理用户名和 代理密码 字段。如果代理不需要身份验证，则可以将 代理用户名 和 代理密码 字段留空。

EPS 油门

每秒的最大事件数。默认值为 5000。

复发

时间间隔可以以小时 （H）、分钟 （M） 或天 （D） 为单位。默认值为 5 分钟 （5M）。

协议配置

Cisco Firepower eStreamer

服务器端口

Cisco Firepower eStreamer 服务配置为接受连接请求的端口号。

JSA 用于 Cisco Firepower eStreamer 的默认端口为 8302。

密钥库文件名

密钥库专用密钥和关联证书的目录路径和文件名。缺省情况下，导入脚本在以下目录中创建密钥库文件： /opt/qradar/conf/estreamer.keystore。

信任库文件名

信任库文件的目录路径和文件名。信任库文件包含客户端信任的证书。缺省情况下，导入脚本在以下目录中创建信任库文件： /opt/qradar/conf/estreamer.truststore。

请求额外数据

选择此选项可从思科 Firepower 管理中心请求额外数据，例如，额外数据包括事件的原始 IP 地址。

域

从中流式传输事件的域。

“ 域 ”字段中的值必须是完全限定的域。这意味着必须列出所需域的所有祖先，从顶级域开始，到要从中请求事件的叶域结束。

例子：

全局是顶级域，B 是二级域，是全局的子域，C 是三级域和叶域，是 B 的子域。若要从 C 请求事件，请为 Domain 参数键入以下值：

Global \ B \ C

协议配置

思科 NSEL

日志源标识符

如果网络包含连接到管理控制台的设备，则可以指定创建事件的单个设备的 IP 地址。每个事件的唯一标识符（如 IP 地址）可防止事件搜索将管理控制台标识为所有事件的源。

收集器端口

思科 ASA 用于转发 NSEL 事件的 UDP 端口号。 JSA 将端口 2055 用于 JSA 流处理器上的流数据。您必须在适用于 NetFlow 的思科自适应安全设备上分配不同的 UDP 端口。

协议配置

EMC VMware

日志源标识符

此参数的值必须与 VMware IP 参数匹配。

VMware IP

VMWare ESXi 服务器的 IP 地址。在协议请求事件数据之前，VMware 协议会将 VMware ESXi 服务器的 IP 地址追加 HTTPS。

服务帐户凭据类型

指定所需的服务帐户凭据的来源。

确保关联的服务帐户对 GCP 中配置的订阅名称具有发布/订阅者角色或更具体的 pubsub.subscriptions.consumption 权限。

用户管理的密钥

在“服务帐户密钥”字段中提供，方法是输入从下载的服务帐户密钥中输入完整的 JSON 文本。

GCP 托管密钥

确保 JSA 托管主机在 GCP 计算实例中运行，并且云 API 访问范围包括云发布/订阅。

订阅名称

云发布/订阅的全名。例如， projects/my-project/subscriptions/my-subscription。

用作网关日志源

选择此选项可使收集的事件流经 JSA 流量分析引擎，并使 JSA 自动检测一个或多个日志源。

选择此选项时， 可以选择使用日志源标识符 模式为正在处理的事件定义自定义 日志源标识符 。

日志源标识符模式

选择“ 用作网关日志源 ”选项后，使用此选项为处理的事件定义自定义日志源标识符。如果未配置日志 源标识符模式 ，JSA 将接收事件作为未知通用日志源。

日志源标识符模式字段接受键值对（如 key=value），以便为正在处理的事件定义自定义日志源标识符，并在适用时自动发现日志源。键是标识符格式字符串，它是生成的源或源值。值是用于评估当前有效负载的关联正则表达式模式。该值（正则表达式模式）还支持捕获组，可用于进一步自定义键（标识符格式字符串）。

可以通过在新行上键入每个模式来定义多个键值对。当使用多个模式时，将按顺序评估它们，直到找到匹配项。找到匹配项后，将显示自定义日志源标识符。

以下示例显示了多键值对功能：

模式

VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2=\s(ACCEPT)\s(OK)

事件

{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

生成的自定义日志源标识符

VPC-ACCEPT-OK

使用代理

为 JSA 选择此选项以使用代理连接到 GCP。

如果代理需要身份验证，请配置 代理服务器、代理端口、代理用户名 和 代理密码 字段。

如果代理不需要身份验证，请配置代理服务器和代理端口字段。

代理 IP 或主机名

代理服务器的 IP 或主机名。

代理端口

用于与代理服务器通信的端口号。

默认值为 8080。

代理用户名

仅当代理需要身份验证时才需要。

代理密码

仅当代理需要身份验证时才需要。

EPS 油门

此日志源不应超过的最大每秒事件数 （EPS） 的上限。默认值为 5000。

如果选择了 “用作网关日志源 ”选项，则此值是可选的。

如果 EPS 节流 参数值留空，则 JSA 不会施加任何 EPS 限制。

日志源标识符

键入日志源的唯一名称。

日志源标识符可以是任何有效值，不需要引用特定服务器。日志源标识符可以与日志源名称的值相同。如果您配置了多个 Google G Suite 日志源，则可能需要创建唯一标识符。例如，可以将第一个日志源标识为 googlegsuite1，第二个日志源标识为 googlegsuite2，第三个日志源 googlegsuite3标识为 。

用户帐户

具有报告权限的 Google 用户帐户。

服务帐户凭据

授权访问 Google 的 API 以检索事件。 服务帐号凭据 包含在您在 Google Cloud Platform 中创建新服务帐号时下载的 JSON 格式文件中。

使用代理

如果 JSA 使用代理访问 Google G Suite，请启用此选项。

如果代理需要身份验证，请配置 代理服务器、代理端口、代理用户名和 代理密码 字段。

如果代理不需要身份验证，请配置代理服务器和代理端口字段。

复发

针对新事件，向 Google G Suite 活动报告 API 进行日志源查询之间的时间间隔。时间间隔可以以小时 （H）、分钟 （M） 或天 （D） 为单位。

默认值为 5 分钟。

EPS 油门

每秒的最大事件数。

事件延迟

收集数据的延迟（以秒为单位）。

Google G Suite 日志在最终交付系统上工作。为了确保不会丢失任何数据，会在延迟时收集日志。

默认延迟为 7200 秒（2 小时），可设置为 0 秒。

协议配置

从列表中选择“ HTTP 接收器”。

日志源标识符

用于标识设备的 IP 地址、主机名或任何名称。

对于日志源类型必须是唯一的。

通信类型

选择“HTTP”、“HTTP”或“HTTP 和客户端身份验证”。

客户端证书路径

如果选择 HTTPs 和客户端身份验证 作为通信类型，则必须设置客户端证书的绝对路径。必须将客户机证书复制到日志源的 JSA 控制台 或 事件收集器 。

TLS 版本

可与此协议一起使用的 TLS 版本。要使用最安全的版本，请选择 TLSv1.2 选项。

选择具有多个可用版本的选项时，HTTPS 连接将协商客户端和服务器可用的最高版本。

侦听端口

JSA 用于接受传入 HTTP 接收器事件的端口。默认端口为 12469。

消息模式

默认情况下，整个 HTTP POST 作为单个事件进行处理。要将 POST 划分为多个单行事件，请提供一个正则表达式来表示每个事件的开始。

用作网关日志源

选择此选项可使收集的事件流经 JSA 流量分析引擎，并使 JSA 自动检测一个或多个日志源。

最大有效负载长度（字节）

单个事件的最大有效负载大小（以字节为单位）。当事件的有效负载大小超过此值时，事件将被拆分。

默认值为 8192，并且不得大于 32767。

最大 POST 方法请求长度 （MB）

POST 方法请求正文的最大大小（以 MB 为单位）。如果 POST 请求正文大小超过此值，则返回 HTTP 413 状态代码。

默认值为 5，并且不得大于 10。

EPS 油门

您不希望超过此协议的最大每秒事件数 （EPS）。默认值为 5000。

日志源名称

键入日志源的唯一名称。

日志源描述 （可选）

键入日志源的说明。

日志源类型

从 日志源类型 列表中选择使用 JDBC 协议的设备支持模块 （DSM）。

协议配置

Jdbc

日志源标识符

键入日志源的名称。该名称不能包含空格，并且在配置为使用 JDBC 协议的日志源类型的所有日志源中必须是唯一的。

如果日志源从具有静态 IP 地址或主机名的单个设备收集事件，请使用设备的 IP 地址或主机名作为全部或部分 日志源标识符 值;例如，192.168.1.1 或 JDBC192.168.1.1。如果日志源未从具有静态 IP 地址或主机名的单个设备收集事件，则可以对日志源标识符值使用任何唯一名称;例如，JDBC1、JDBC2。

数据库类型

选择包含事件的数据库的类型。

数据库名称

要连接到的数据库的名称。

IP 或主机名

数据库服务器的 IP 地址或主机名。

港口

输入 JDBC 端口。JDBC 端口必须与远程数据库上配置的侦听端口匹配。数据库必须允许传入的 TCP 连接。数据库必须允许传入的 TCP 连接。有效范围为 1 - 65535。

默认值为：

• MSDE - 1433

• 邮政 - 5432

• MySQL - 3306

• Sybase - 5000

• 甲骨文 - 1521

• Informix - 9088

• Db2 - 50000

如果 数据库实例 与 MSDE 数据库类型一起使用，则管理员必须在日志源配置中将 Port 参数留空。

用户

数据库中 JSA 的用户帐户。

密码

连接到数据库所需的密码。

确认密码

连接到数据库所需的密码。

身份验证域 （仅限 MSDE）

如果未选择 “使用 Microsoft JDBC”，则会显示身份验证域 。

MSDE 的域，即 Windows 域。如果您的网络不使用域，请将此字段留空。

数据库实例 （仅限 MSDE 或 Informix）

数据库实例（如果需要）。MSDE 数据库可以在一台服务器上包含多个 SQL 服务器实例。

当数据库使用非标准端口或阻止访问端口 1434 进行 SQL 数据库解析时，日志源配置中的 数据库实例 参数必须为空。

预定义查询 （可选）

为日志源选择预定义的数据库查询。如果预定义的查询不适用于日志源类型，管理员可以选择无。

表名

包含事件记录的表或视图的名称。表名可以包含以下特殊字符：美元符号 （$）、数字符号 （#）、下划线 （_）、短划线 （-） 和句点 （.）。

选择列表

轮询表以查找事件时要包括的字段列表。您可以使用逗号分隔的列表或键入星号 （*） 从表或视图中选择所有字段。如果定义了逗号分隔的列表，则该列表必须包含在 “比较字段”中定义的字段。

比较字段

表或视图中的数值或时间戳字段，用于标识在查询之间添加到表中的新事件。使协议能够识别以前由协议轮询的事件，以确保不会创建重复事件。

使用预准备语句

预准备语句使 JDBC 协议源能够设置 SQL 语句，然后使用不同的参数多次运行 SQL 语句。出于安全和性能原因，大多数 JDBC 协议配置都可以使用预准备语句。

开始日期和时间 （可选）

选择或输入数据库轮询的开始日期和时间。格式为 yyyy-mm-dd HH：mm，其中 HH 使用 24 小时制指定。

如果此参数为空，轮询将立即开始，并以指定的轮询间隔重复。

此参数用于设置协议连接到目标数据库以初始化事件收集的时间和日期。它可以与 轮询间隔 参数一起使用，为数据库轮询配置特定的计划。例如，确保每小时在整点过后五分钟进行投票，或者确保投票在每天凌晨 1：00 进行。

此参数不能用于从目标数据库中检索较旧的表行。例如，如果将参数设置为“上周”，则协议不会检索前一周的所有表行。该协议检索的行更新于初始连接时比较 字段 的最大值。

轮询间隔

输入查询事件表之间的时间量。要定义更长的轮询间隔，请将 H 表示小时或 M 表示分钟追加到数值中

最大轮询间隔为一周。

EPS 油门

您不希望此协议超过的每秒事件数 （EPS）。有效范围为 100 - 20,000。

安全机制 （仅限 Db2）

从列表中选择 Db2 服务器支持的安全机制。如果不想选择安全机制，请选择“ 无”。

默认值为 “无”。

有关 Db2 环境支持的安全机制的更多信息，请参阅 https://support.juniper.net/support/downloads/。

使用命名管道通信 （仅限 MSDE）

如果未选择 “使用 Microsoft JDBC”，则会显示“使用命名管道通信 ”。

MSDE 数据库需要用户名和密码字段才能使用 Windows 身份验证用户名和密码，而不是数据库用户名和密码。日志源配置必须使用 MSDE 数据库上的默认命名管道。

数据库群集名称 （仅限 MSDE）

如果选择了 使用命名管道通信，则会显示 使用命名管道通信 参数。

如果在群集环境中运行 SQL Server，请定义群集名称以确保命名管道通信正常运行。

使用 NTLMv2 （仅限 MSDE）

如果未选择“ 使用 Microsoft JDBC”，则会显示“使用 NTLMv2 ”。

如果希望 MSDE 连接在与需要 NTLMv2 身份验证的 SQL 服务器通信时使用 NTLMv2 协议，请选择此选项。此选项不会中断不需要 NTLMv2 身份验证的 MSDE 连接的通信。

不会中断不需要 NTLMv2 身份验证的 MSDE 连接的通信。

使用 Microsoft JDBC （仅限 MSDE）

如果要使用 Microsoft JDBC 驱动程序，则必须启用“使用 Microsoft JDBC”。

使用 SSL （仅限 MSDE）

如果您的连接支持 SSL，请选择此选项。此选项仅对 MSDE 显示。

SSL 证书主机名

当同时启用了 “使用 Microsoft JDBC ”和 “使用 SSL ”时，此字段为必填字段。

此值必须是主机的完全限定域名 （FQDN）。不允许使用 IP 地址。

有关 SSL 证书和 JDBC 的更多信息，请参阅以下链接中的过程：

• QRadar：使用自签名证书配置 JDBC over SSL

• 使用外部签名证书配置 JDBC over SSL

使用 Oracle 加密

Oracle 加密和数据完整性设置也称为 Oracle 高级安全。

如果选中此选项，Oracle JDBC 连接将要求服务器支持与客户端类似的 Oracle 数据加密设置。

数据库语言环境 （仅限 Informix）

对于多语言安装，请使用此字段指定要使用的语言。

代码集 （仅限 Informix）

选择多语言安装的语言后，将显示 “代码集 ”参数。使用此字段指定要使用的字符集。

启用

选中此复选框可启用日志源。默认情况下，该复选框处于选中状态。

信誉

从列表中选择日志源的 可信度 。范围为 0 - 10。

可信度表示事件或违规行为的完整性，由源设备的可信度评级确定。如果多个来源报告同一事件，可信度就会增加。默认值为 5。

目标事件收集器

选择要用作日志源目标的目标 事件收集器 。

合并事件

选中合并 事件 复选框以启用日志源合并（捆绑）事件。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“合并事件”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

存储事件有效负载

选中“ 存储事件有效负载 ”复选框以启用日志源以存储事件有效负载信息。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“存储事件有效负载”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

协议配置

JDBC - SiteProtector

数据库类型

从列表中选择“ MSDE ”作为要用于事件源的数据库类型。

数据库名称

键入 RealSecureDB 协议可以连接到的数据库的名称。

IP 或主机名

数据库服务器的 IP 地址或主机名。

港口

数据库服务器使用的端口号。JDBC 站点保护器配置端口必须与数据库的侦听器端口匹配。数据库必须启用传入 TCP 连接。如果在以 MSDE 作为数据库类型时定义 数据库实例 ，则必须在日志源配置中将 Port 参数留空。

用户

如果要通过 JDBC 协议跟踪对数据库的访问，可以为 JSA 系统创建特定用户。

认证域

如果选择 MSDE 并且数据库是为 Windows 配置的，则必须定义 Windows 域。

如果您的网络不使用域，请将此字段留空。

数据库实例

如果选择 MSDE，并且一台服务器上有多个 SQL 服务器实例，请定义要连接到的实例。如果在数据库配置中使用非标准端口，或者阻止访问端口 1434 以进行 SQL 数据库解析，则必须在配置中将 Database Instance 参数留空。

预定义查询

日志源的预定义数据库查询。预定义的数据库查询仅适用于特殊的日志源连接。

表名

SensorData1

AVP 视图名称

SensorDataAVP

响应视图名称

SensorDataResponse

选择列表

键入 * 以包括表或视图中的所有字段。

比较字段

SensorDataRowID

使用预准备语句

预准备语句允许 JDBC 协议源设置 SQL 语句，然后使用不同的参数多次执行 SQL 语句。出于安全和性能原因，请使用预准备语句。可以清除此复选框以使用不使用预编译语句的替代查询方法。

包括审核事件

指定从 IBM Proventia Management SiteProtector 收集审计事件。

开始日期和时间

选。协议可以开始轮询数据库的开始日期和时间。

轮询间隔

查询事件表之间的时间量。您可以通过在数值中附加 H 表示小时或 M 表示分钟来定义更长的轮询间隔。没有 H 或 M 指示符的数值轮询（以秒为单位）。

EPS 油门

您不希望此协议超过的每秒事件数 （EPS）。

数据库区域设置

对于多语言安装，请使用 “数据库区域设置 ”字段指定要使用的语言。

数据库代码集

对于多语言安装，请使用 “代码集 ”字段指定要使用的字符集。

使用命名管道通信

如果您使用的是 Windows 身份验证，请启用此参数以允许对 AD 服务器进行身份验证。如果使用 SQL 身份验证，请禁用命名管道通信。

数据库群集名称

用于确保命名管道通信正常运行的群集名称。

使用 NTLMv2

强制 MSDE 连接将 NTLMv2 协议与需要 NTLMv2 身份验证的 SQL 服务器一起使用。“ 使用 NTLMv2 ”复选框不会中断不需要 NTLMv2 身份验证的 MSDE 连接的通信。

使用 SSL

为 JDBC 协议启用 SSL 加密。

日志源语言

选择日志源生成的事件的语言。日志源语言可帮助系统分析来自外部设备或操作系统的事件，这些事件可以使用多种语言创建事件。

日志源类型

瞻博网络网络和安全经理

协议配置

瞻博网络 NSM

协议配置

安全二进制日志收集器

XML 模板文件位置

用于解码来自瞻博网络 SRX 系列服务网关或瞻博网络 J 系列设备的二进制流的 XML 文件的路径。默认情况下，设备支持模块 （DSM） 包含一个用于解码二进制流的 XML 文件。

XML 文件位于以下目录中： /opt/qradar/conf/security_log.xml。

协议配置

日志文件

选择从远程服务器检索日志文件时要使用的协议。

• SFTP - 安全文件传输协议（默认）

• FTP - 文件传输协议

• FTPS - 文件传输协议安全

• SCP - 安全复制协议

• AWS - 亚马逊云科技

在 “远程 IP 或主机名 ”字段中指定的服务器必须使 SFTP 子系统能够使用 SCP 或 SFTP 检索日志文件。

远程端口

如果远程主机使用非标准端口号，则必须调整端口值才能检索事件。

SSH 密钥文件

如果系统配置为使用密钥身份验证，请键入 SSH 密钥。使用 SSH 密钥文件时，将忽略 “远程密码 ”字段。

SSH 密钥必须位于 /opt/qradar/conf/keys 目录中。

远程目录

对于 FTP，如果日志文件位于远程用户主目录中，则可以将远程目录留空。空白远程目录字段支持限制更改工作目录 （CWD） 命令的系统。

递 归

启用此复选框可允许 FTP 或 SFTP 连接以递归方式搜索远程目录的子文件夹中的事件数据。从子文件夹收集的数据取决于与 FTP 文件模式中的正则表达式的匹配项。 递归 选项不适用于 SCP 连接。

FTP 文件模式

标识要从远程主机下载的文件所需的正则表达式 （regex）。

FTP 传输模式

对于通过 FTP 进行的 ASCII 传输，必须在“处理器”字段和LINEBYLINE“事件生成器”字段中进行选择NONE。

可用于 FTPS 连接的 TLS 版本。要使用最安全的版本，请选择 TLSv1.2 选项。当您选择具有多个可用版本的选项时，FTPS 连接将协商客户端和服务器可用的最高版本。

仅当在 服务类型 参数中选择了 FTPS 时，才能配置此选项。

复发

用于确定扫描远程目录以查找新事件日志文件的频率的时间间隔。时间间隔可以包括以小时 （H）、分钟 （M） 或天 （D） 为单位的值。例如，重复周期 2H 每 2 小时扫描一次远程目录。

保存时运行

保存日志源配置后立即开始日志文件导入。选中后，此复选框将清除以前下载和处理的文件的列表。第一次文件导入后，日志文件协议将遵循管理员定义的开始时间和重复计划。

EPS 油门

协议不能超过的每秒事件数 （EPS）。

更改本地目录？

更改 目标事件收集器 上的本地目录，以便在处理事件日志之前存储事件日志。

本地目录

目标事件收集器上的本地目录。在日志文件协议尝试检索事件之前，该目录必须存在。

文件编码

日志文件中的事件使用的字符编码。

文件夹分隔符

用于分隔操作系统文件夹的字符。大多数配置可以使用 “文件夹分隔符 ”字段中的默认值。此字段适用于使用不同字符定义单独文件夹的操作系统。例如，分隔大型机系统上文件夹的句点。

使用事件中心连接字符串

使用连接字符串向 Azure 事件中心进行身份验证。

事件中心连接字符串

提供对事件中心的访问权限的授权字符串。例如，

Endpoint=sb://<Namespace Name>.servicebus.windows.net/;SharedAccess KeyNam Key Name>;SharedAccessKey=<SAS Key>; EntityPath=<Event Hub Name>

消费群体

指定连接期间使用的视图。每个 使用者组 都维护自己的会话跟踪。共享使用者组和连接信息的任何连接都共享会话跟踪信息。

使用存储帐户连接字符串

使用连接字符串向 Azure 存储帐户进行身份验证。

存储帐户连接字符串

提供对存储帐户的访问权限的授权字符串。例如，

DefaultEndpointsProtocol=https;Account Name=<Stor Account Name>AccountKey=<StorageAccount Key>;EndpointSuffix=core.windows.net

将 Azure Linux 事件格式化为 Syslog

将 Azure Linux 日志格式化为单行系统日志格式，类似于 Linux 系统中的标准系统日志日志记录。

用作网关日志源

选择此选项可使收集的事件流经 JSA 流量分析引擎，并使 JSA 自动检测一个或多个日志源。

选择此选项时， 可以选择使用日志源标识符模式 为正在处理的事件定义自定义 日志源标识符 。

日志源标识符模式

选择“ 用作网关日志源 ”选项后，使用此选项为处理的事件定义自定义日志源标识符。如果未配置日志源标识符模式， JSA 将接收事件作为未知通用日志源。

日志源标识符模式字段接受键值对（如 key=value），以便为正在处理的事件定义自定义日志源标识符，并在适用时自动发现日志源。键是标识符格式字符串，它是生成的源或源值。值是用于评估当前有效负载的关联正则表达式模式。该值（正则表达式模式）还支持捕获组，可用于进一步自定义键（标识符格式字符串）。

可以通过在新行上键入每个模式来定义多个键值对。当使用多个模式时，将按顺序评估它们，直到找到匹配项。找到匹配项后，将显示自定义日志源标识符。

以下示例显示了多键值对功能：

模式VPC=\sREJECT\sFAILURE$1=\s(REJECT)\sOKVPC-$1-$2=\s(ACCEPT)\s(OK)

事件{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

生成的自定义日志源标识符VPC-ACCEPT-OK

使用预测分析

如果启用此参数，算法将从事件中提取日志源标识符模式，而无需为每个事件运行正则表达式，从而提高解析速度。

仅为预期接收高事件率并需要更快解析的日志源类型启用预测解析。

使用代理

配置代理时，日志源的所有流量都会通过代理访问 Azure 事件中心。启用此参数后，请配置 代理 IP 或主机名、 代理端口、 代理用户名和 代理密码 字段。

如果代理不需要身份验证，您可以将代理 用户名 和 代理密码 字段留空。

代理 IP 或主机名

代理服务器的 IP 地址或主机名。

启用 “使用代理 ”时，将显示此参数。

代理端口

用于与代理通信的端口号。默认值为 8080。

启用 “使用代理 ”时，将显示此参数。

代理用户名

用于访问代理服务器的用户名。

启用“使用代理”时，将显示此参数。

代理密码

用于访问代理服务器的密码。

启用 “使用代理 ”时，将显示此参数。

EPS 油门

每秒最大事件数 （EPS）。默认值为 5000。

已弃用 - 命名空间名称

如果 “使用事件中心连接字符串” 选项设置为“关闭”，则显示此选项。

包含 Microsoft Azure 事件中心用户界面中的事件中心实体的顶级目录的名称。

已弃用 - 事件中心名称

如果 “使用事件中心连接字符串” 选项设置为“关闭”，则显示此选项。

要访问的事件中心的标识符。 事件中心名称 必须与命名空间中的某个事件中心实体匹配。

已弃用 - SAS 密钥名称

如果 “使用事件中心连接字符串” 选项设置为“关闭”，则显示此选项。

共享访问签名 （SAS） 名称标识事件发布者。

已弃用 - SAS 密钥

如果 “使用事件中心连接字符串” 选项设置为“关闭”，则显示此选项。

共享访问签名 （SAS） 密钥对事件发布者进行身份验证。

已弃用 - 存储帐户名称

如果 “使用存储帐户连接字符串” 选项设置为“关闭”，则会显示此选项。

存储事件中心数据的存储帐户的名称。

存储帐户名称是访问 Azure 存储帐户中的数据所需的身份验证过程的一部分。

已弃用 - 存储帐户密钥

如果 “使用存储帐户连接字符串” 选项设置为“关闭”，则会显示此选项。

用于存储帐户身份验证的授权密钥。

存储帐户密钥是访问 Azure 存储帐户中的数据所需的身份验证过程的一部分。

日志源类型

Microsoft 365 Defender

协议配置

Microsoft Defender for Endpoint SIEM REST API

授权服务器 URL

提供获取访问令牌的授权的服务器的 URL。访问令牌用作从 Microsoft 365 防御者收集事件的授权。

授权服务器 URL 使用以下格式：

其中<Tenant_ID>是 UUID。

资源

用于访问 Microsoft 365 Defender SIEM API 事件的资源。

客户端 ID

确保用户有权获取访问令牌。

客户端密钥

“ 客户端密码 ”值仅显示一次，然后不再可见。如果您无权访问 “客户端密码 ”值，请与 Microsoft Azure 管理员联系以请求新的客户端密码。

地区

选择要从中收集日志的与 Microsoft 365 Defender SIEM API 关联的区域。

其他地区

键入与要从中收集日志的 Microsoft 365 防御器 SIEM API 关联的任何其他区域的名称。

使用逗号分隔的列表;例如， 区域 1，区域 2。

使用 GCC 端点

启用或禁用 GCC 和 GCC High & DOD 端点的使用。GCC 和 GCC High & DOD 端点是美国政府客户的端点。

有关详细信息，请参阅 面向美国政府客户的适用于终结点的 Microsoft Defender。

海湾合作委员会类型

选择 GCC 或 GCC High & DOD。

• GCC：微软的政府社区云

• GCC High & DoD：符合法规

  来自国防部。

使用代理

如果配置了 JSA 的代理，则日志源的所有流量都将通过代理传输，以便 JSA 可以访问 Microsoft 365 Defender SIEM API。

配置代理服务器、代理端口、代理用户名和代理密码字段。如果代理不需要身份验证，请配置代理服务器和代理端口字段。

复发

您可以指定日志收集数据的频率。格式为 M/H/D，表示分钟/小时/天。

默认值为 5 M。

EPS 油门

每秒最大事件数 （EPS） 的上限。默认值为 5000。

协议配置

微软 DHCP

日志源标识符

键入日志源独有的唯一主机名或其他标识符。

服务器地址

您的 Microsoft DHCP 服务器的 IP 地址或主机名。

域

键入 Microsoft DHCP 服务器的域。

如果您的服务器不在域中，则此参数是可选的。

用户

键入访问 DHCP 服务器所需的用户名。

密码

键入访问 DHCP 服务器所需的密码。

确认密码

键入访问服务器所需的密码。

文件夹路径

DHCP 日志文件的目录路径。默认值为 /WINDOWS/system32/dhcp/

文件模式

标识事件日志的正则表达式 （regex）。日志文件必须包含一周中某一天的三字符缩写。使用以下文件模式之一：

英语：

• IPv4 文件模式： DhcpSrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log。

• IPv6 文件模式： DhcpV6SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log。

• IPv4 和 IPv6 混合文件模式：Dhcp.*SrvLog- （？：Sun|周一|周二|周三|周四|周五|星期六）\.log。

• 混合 IPv4 和 IPv6 文件模式： Dhcp.*SrvLog-(?:Sun|Mon|Tue|Wed|Thu|Fri|Sat) \.log。

波兰语：

• IPv4 文件模式： DhcpSrvLog-(?:Pia|Pon|Sob|Wto|Sro|Csw|Nie) \.log。

• IPv6 文件模式： DhcpV6SrvLog-(?:Pt|Pon|So|Wt|Si|Csw|Nie) \.log。

递 归

如果希望文件模式搜索子文件夹，请选择此选项。

中小企业版本

要使用的 SMB 版本：

自动 - 自动检测到客户端和服务器同意使用的最高版本。

SMB1 - 强制使用 SMB1。SMB1 使用 jCIFS.jar （Java ARchive） 文件。

SMB2 - 强制使用 SMB2。SMB2 使用该文件 jNQ.jar 。

SMB3 - 强制使用 SMB3。SMB3 使用该文件 jNQ.jar 。

轮询间隔（以秒为单位）

查询日志文件以检查新数据之间的秒数。最小轮询间隔为 10 秒。最大轮询间隔为 3,600 秒。

节流事件/秒

DHCP 协议每秒可以转发的最大事件数。最小值为 100 EPS。最大值为 20,000 EPS。

文件编码

日志文件中的事件使用的字符编码。

启用

如果未启用此选项，则日志源不会收集事件，并且日志源不计入许可证限制。

信誉

可信度表示由日志源创建的事件的完整性或有效性。分配给日志源的可信度值可以根据传入事件增加或减少，也可以根据对用户创建的事件规则的响应进行调整。来自日志源的事件的可信度有助于计算攻击程度，并可以增加或减少攻击的严重程度值。

目标事件收集器

指定轮询远程日志源的 JSA 事件收集器。

在分布式部署中使用此参数，通过将轮询任务移动到事件收集器来提高控制台系统性能。

合并事件

当同一事件在短时间间隔内多次发生时，增加事件计数。合并事件提供了一种在“日志活动”选项卡上查看和确定单个事件类型出现频率的方法。

清除此复选框后，将单独查看事件，而不捆绑事件。

新的和自动发现的日志源从“管理”选项卡上的“系统设置”配置中继承此复选框的值。您可以使用此复选框覆盖单个日志源的系统设置的默认行为。

协议配置

微软交易所

日志源标识符

键入 IP 地址、主机名或名称以标识日志源。

服务器地址

您的 Microsoft Exchange 服务器的 IP 地址或主机名。

域

键入 Microsoft Exchange 服务器的域。

如果您的服务器不在域中，则此参数是可选的。

用户

键入访问 Microsoft Exchange 服务器所需的用户名。

密码

键入访问 Microsoft Exchange 服务器所需的密码。

确认密码

键入访问 Microsoft Exchange 服务器所需的密码。

SMTP 日志文件夹路径

用于访问 SMTP 日志文件的目录路径。

默认文件路径为 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog

清除文件夹路径后，将禁用 SMTP 事件收集。

OWA 日志文件夹路径

用于访问 OWA 日志文件的目录路径。

默认文件路径为 Windows/system32/LogFiles/W3SVC1

清除文件夹路径后，将禁用 OWA 事件收集。

MSGTRK 日志文件夹路径

用于访问邮件跟踪日志的目录路径。

默认文件路径为 Program Files/Microsoft/Exchange Server/TransportRoles/Logs/MessageTracking

邮件跟踪在分配了集线器传输、邮箱或边缘传输服务器角色的 Microsoft Exchange 2017 或 2010 服务器上可用。

使用自定义文件模式

选中此复选框可配置自定义文件模式。清除该复选框以使用默认文件模式。

MSGTRK 文件模式

用于标识和下载 MSTRK 日志的正则表达式 （regex）。将处理与文件模式匹配的所有文件。

默认文件模式为 MSGTRK\d+-\d+\.（？：log|日志）$

将处理与文件模式匹配的所有文件。

MSGTRKMD 文件模式

用于标识和下载 MSGTRKMD 日志的正则表达式 （regex）。将处理与文件模式匹配的所有文件。

默认文件模式为 MSGTRKMD\d+-\d+\.（？：log|日志）$

将处理与文件模式匹配的所有文件。

MSGTRKMS 文件模式

用于标识和下载 MSGTRKMS 日志的正则表达式 （regex）。将处理与文件模式匹配的所有文件。

默认文件模式为 MSGTRKMS\d+-\d+\.（？：log|日志）$

将处理与文件模式匹配的所有文件。

MSGTRKMA 文件模式

用于标识和下载 MSGTRKMA 日志的正则表达式 （regex）。将处理与文件模式匹配的所有文件。

默认文件模式为 MSGTRKMA\d+-\d+\.（？：log|

将处理与文件模式匹配的所有文件。

SMTP 文件模式

用于标识和下载 SMTP 日志的正则表达式 （regex）。将处理与文件模式匹配的所有文件。

默认文件模式为 .*\.（？：log|日志）$

将处理与文件模式匹配的所有文件。

OWA 文件模式

用于标识和下载 OWA 日志的正则表达式 （regex）。将处理与文件模式匹配的所有文件。

默认文件模式为 .*\.（？：log|日志）$

将处理与文件模式匹配的所有文件。

强制文件读取

如果清除该复选框，则仅当 JSA 检测到修改时间或文件大小的更改时，日志文件才是只读的。

递 归

如果希望文件模式搜索子文件夹，请使用此选项。默认情况下，该复选框处于选中状态。

中小企业版本

选择要使用的 SMB 版本。

自动 - 自动检测到客户端和服务器同意使用的最高版本。

SMB1 - 强制使用 SMB1。SMB1 使用 jCIFS.jar （Java ARchive） 文件

SMB2 - 强制使用 SMB2。SMB2 使用该文件 jNQ.jar 。

SMB3 – 强制使用 SMB3。SMB3 使用该文件 jNQ.jar 。

轮询间隔（以秒为单位）

键入轮询间隔，即查询日志文件以检查新数据之间的秒数。默认值为 10 秒。

节流事件/秒

Microsoft Exchange 协议每秒可以转发的最大事件数。

文件编码

日志文件中的事件使用的字符编码。

日志源类型

使用此协议的自定义日志源类型或特定 DSM。

协议配置

Microsoft Graph Security API

租户 ID

用于 Microsoft Azure Active Directory 身份验证的 租户 ID 值。

客户端 ID

Microsoft Azure Active Directory 应用程序配置中的 客户端 ID 参数值。

客户端密钥

Microsoft Azure Active Directory 应用程序配置中的 客户端密钥 参数值。

事件过滤器

使用 Microsoft 安全图形 API 查询筛选器检索事件。例如，严重性 eq “高”。不要在过滤器参数前键入“filter=”。

使用代理

如果 JSA 通过代理访问 Microsoft Graph Security API，请启用此复选框。

如果代理需要身份验证，请配置 代理主机名或 IP、代理端口、代理用户名和代理 字段。

如果代理不需要身份验证，请配置 代理主机名或 IP 和代理端口 字段。

代理 IP 或主机名

代理服务器的 IP 地址或主机名。

如果 “使用代理” 设置为 False，则此选项处于隐藏状态。

代理端口

用于与代理通信的端口号。默认值为 8080。

如果 “使用代理” 设置为 False，则此选项处于隐藏状态。

代理用户名

用于与代理通信的用户名。

如果 “使用代理” 设置为 False，则此选项处于隐藏状态。

代理密码

用于访问代理的密码。

如果 “使用代理” 设置为 False，则此选项处于隐藏状态。

复发

键入从“开始时间”开始的时间间隔，以确定轮询扫描新数据的频率。时间间隔可以包括以小时 （H）、分钟 （M） 或天 （D） 为单位的值。例如，2H - 2 小时，15M - 15 分钟。默认值为 1M。

EPS 油门

每秒最大事件数 （EPS）。默认值为 5000。

显示高级选项

若要配置事件收集的高级选项，请将此选项设置为 on。

登录端点

指定 Azure AD 登录终结点。默认值为 login.microsoftonline.com。

如果禁用 “显示高级选项”，则此选项将被隐藏。

图形 API 终结点

指定 Microsoft Graph Security API URL。默认值为 https://graph.microsoft.com。

如果禁用 “显示高级选项”，则此选项将被隐藏。

协议配置

微软 IIS

日志源标识符

键入 IP 地址、主机名或唯一名称以标识日志源。

服务器地址

Microsoft IIS 服务器的 IP 地址或主机名。

域

键入 Microsoft IIS 服务器的域。

如果您的服务器不在域中，则此参数是可选的。

用户

键入访问服务器所需的用户名。

密码

键入访问服务器所需的密码。

确认密码

键入访问服务器所需的密码。

日志文件夹路径

用于访问日志文件的目录路径。例如，管理员可以将 c$/LogFiles/ 目录用于管理共享，或将 LogFiles/ 目录用于公共共享文件夹路径。但是，c：/LogFiles 目录不是受支持的日志文件夹路径。

如果日志文件夹路径包含管理共享 （C$），则对该管理共享 （C$） 具有 NetBIOS 访问权限的用户具有读取日志文件所需的权限。

本地系统或域管理员权限也足以访问管理共享上的日志文件。

文件模式

标识事件日志的正则表达式 （regex）。

递 归

如果希望文件模式搜索子文件夹，请使用此选项。默认情况下，该复选框处于选中状态。

中小企业版本

选择要使用的 SMB 版本。

自动 - 自动检测到客户端和服务器同意使用的最高版本。

SMB1 - 强制使用 SMB1。SMB1 使用 jCIFS.jar （Java ARchive） 文件。

SMB2 - 强制使用 SMB2。SMB2 使用该文件 jNQ.jar 。

SMB3 - 强制使用 SMB3。SMB3 使用该文件 jNQ.jar 。

轮询间隔（以秒为单位）

键入轮询间隔，即查询日志文件以检查新数据之间的秒数。默认值为 10 秒。

节流事件/秒

IIS 协议每秒可以转发的最大事件数。

文件编码

日志文件中的事件使用的字符编码。

协议配置

Windows 安全事件日志

协议名称

MQ JMS

IP 或主机名

主队列管理器的 IP 地址或主机名。

港口

用于与主队列管理器通信的缺省端口是 1414。

备用 IP 或主机名

备用队列管理器的 IP 地址或主机名。

备用端口

用于与备用队列管理器通信的端口。

队列管理器

队列管理器的名称。

通道

队列管理器发送消息的通道。默认通道为 “系统”。Def。SVRCONN。

队列

要监视的队列或队列列表。队列列表使用逗号分隔的列表指定。

用户

用于向 MQ 服务进行身份验证的用户名。

密码

可选：用于向 MQ 服务进行身份验证的密码。

传入消息编码

传入消息使用的字符编码。

流程计算领域

可选：仅当检索到的消息包含在 COBOL 副本中定义的计算数据时，才选择此选项。消息中的二进制数据根据在指定的副本文件中找到的字段定义进行处理。

副本簿文件名

选择“流程计算字段”时，将显示此参数。用于处理数据的复制簿文件的名称。文案文件必须放在 /store/ec/mqjms/* 中

事件格式化程序

选择要应用于通过处理包含计算字段的数据生成的任何事件的事件格式。默认情况下，不使用 任何格式 。

包括 JMS 消息头

选择此选项可在每个生成的事件中包含一个标头，其中包含 JMS 消息字段，如 和 JMSMessageID JMSTimestamp。

EPS 油门

每秒最大事件数 （EPS） 的限制。

日志源标识符

日志源的唯一名称。

该名称不能包含空格，并且在使用 Office 365 消息跟踪 REST API 协议配置的所有此类日志源中必须是唯一的。

Office 365 用户帐户电子邮件

若要使用 Office 365 邮件跟踪 REST API 进行身份验证，请提供具有适当权限的 Office 365 电子邮件帐户。

Office 365 用户帐户密码

若要使用 Office 365 邮件跟踪 REST API 进行身份验证，请提供与 Office 365 用户帐户电子邮件关联的密码。

事件延迟

收集数据的延迟（以秒为单位）。

Office 365 邮件跟踪日志在最终传递系统上工作。为了确保不会丢失任何数据，会在延迟时收集日志。默认延迟为 900 秒（15 分钟），可以设置为 0 秒。

使用代理

如果使用代理访问服务器，请选中 “使用代理” 复选框。如果代理需要身份验证，请配置 代理服务器、代理端口、代理用户名和代理密码字段。 如果代理不需要身份验证，请配置代理服务器 和代理端口 字段。

代理 IP 或主机名

代理服务器的 IP 地址或主机名。

代理端口

用于与代理通信的端口号。默认值为 8080。

代理用户名

当代理需要身份验证时，用于访问代理服务器的用户名。

代理密码

当代理需要身份验证时，用于访问代理服务器的密码。

复发

对于新事件，日志源查询到 Office 365 邮件跟踪 REST API 之间的时间间隔。

时间间隔可以以小时 （H）、分钟 （M） 或天 （D） 为单位。默认值为 5 分钟。

EPS 油门

每秒最大事件数 （EPS）。默认值为 5000。

日志源标识符

日志源的唯一名称。

日志源标识符可以是任何有效值，不需要引用特定服务器。日志源标识符可以与日志源名称的值相同。如果配置了多个 Okta 日志源，则可能需要将第一个日志源标识为 okta1，第二个日志源标识为 okta2，第三个日志源标识为 okta3。

IP 或主机名

oktaprise.okta.com

身份验证令牌

由 Okta 控制台生成的单个身份验证令牌，必须用于所有 API 事务。

使用代理

如果 JSA 使用代理访问 Okta，请启用此选项。

配置代理后，日志源的所有流量都将通过代理进行传输， 以便 JSA 访问 Okta。

如果代理需要身份验证，请配置 主机名、 代理端口、 代理用户名和 代理密码 字段。如果代理不需要身份验证，则可以将 代理用户名 和 代理密码 字段留空。

主机 名

如果选择 “使用代理”，将显示此参数。

代理端口

如果选择 “使用代理”，将显示此参数。

代理用户名

如果选择 “使用代理”，将显示此参数。

代理密码

如果选择 “使用代理”，将显示此参数。

复发

用于确定轮询新数据的频率的时间间隔。时间间隔可以包括以小时 （H）、分钟 （M） 或天 （D） 为单位的值。例如，2H = 2 小时，15M = 15 分钟，30 = 秒。默认值为 1M。

EPS 油门

每秒发送到流管道的最大事件数。默认值为 5000。

确保 EPS 限制 值高于传入速率，否则数据处理可能会落后。

协议配置

OPSEC/LEA

日志源标识符

用于标识设备的 IP 地址、主机名或任何名称。

对于日志源类型必须是唯一的。

服务器 IP

键入服务器的 IP 地址。

服务器端口

用于 OPSEC 通信的端口号。有效范围为 0 - 65,536，默认值为 18184。

使用服务器 IP 作为日志源

如果要将 LEA 服务器 IP 地址而不是受管设备 IP 地址用于日志源，请选中使用 服务器 IP 作为日志源 复选框。默认情况下，该复选框处于选中状态。

统计报告间隔

在 qradar.log 文件中记录系统日志事件数的时间间隔（以秒为单位）。有效范围为 4 - 2,147,483,648，默认间隔为 600。

身份验证类型

从列表中选择要用于此 LEA 配置的 身份验证类型 。选项包括 slca（默认）、sslca_clear或清除。此值必须与服务器使用的身份验证方法匹配。

OPSEC 应用程序对象 SIC 属性（SIC 名称）

安全内部通信 （SIC） 名称是应用程序的可分辨名称 （DN），例如： CN=LEA，o=fwconsole。7psasx。

日志源 SIC 属性（实体 SIC 名称）

服务器的 SIC 名称，例如： cn=cp_mgmt，o=fwconsole。7psasxz。

指定证书

如果要为此 LEA 配置定义证书，请选中此复选框。当需要证书时， JSA 会尝试使用这些参数检索证书。

证书文件名

仅当选择了“指定证书”时，才会显示此选项。键入要用于此配置的证书的文件名。证书文件必须位于 /opt/qradar/conf/ trusted_certificates/lea 目录中。

证书颁发机构 IP

键入检查点管理器服务器 IP 地址。

拉取证书密码

键入密码。

OPSEC 应用

发出证书请求的应用程序的名称。

启用

选中此复选框可启用日志源。默认情况下，该复选框处于选中状态。

信誉

从列表中选择日志源的 可信度 。范围为 0 - 10。

可信度表示事件或违规行为的完整性，由源设备的可信度评级确定。如果多个来源报告同一事件，可信度就会增加。默认值为 5。

目标事件收集器

从列表中选择要用作日志源目标的目标事件 收集 器。

合并事件

选中合并 事件 复选框以启用日志源合并（捆绑）事件。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“合并事件”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

存储事件有效负载

选中“ 存储事件有效负载 ”复选框以启用日志源以存储事件有效负载信息。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“存储事件有效负载”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

协议配置

Oracle 数据库侦听器

日志源标识符

键入 IP 地址、主机名或唯一名称以标识日志源。

服务器地址

Oracle 数据库侦听器的 IP 地址或主机名。

域

键入 Oracle 数据库学习服务器的域。

如果您的服务器不在域中，则此参数是可选的。

用户

键入访问服务器所需的用户名。

密码

键入访问服务器所需的密码。

确认密码

键入访问服务器所需的密码。

日志文件夹路径

键入用于访问 Oracle 数据库侦听器日志文件的目录路径。

文件模式

标识事件日志的正则表达式 （regex）。

强制文件读取

选中此复选框可强制协议在轮询间隔计时指定时读取日志文件。

选中该复选框后，无论上次修改时间或文件大小属性如何，在轮询间隔指定时始终检查日志文件源。

如果未选中该复选框，则在上次修改时间或文件大小属性发生更改时，将在轮询间隔检查日志文件源。

递 归

如果希望文件模式搜索子文件夹，请使用此选项。默认情况下，该复选框处于选中状态。

中小企业版本

选择要使用的 SMB 版本：

自动 - 自动检测到客户端和服务器同意使用的最高版本。

SMB1 - 强制使用 SMB1。SMB1 使用 jCIFS.jar （Java ARchive） 文件。

SMB2 - 强制使用 SMB2。SMB2 使用该文件 jNQ.jar 。

SMB3 - 强制使用 SMB3。SMB3 使用该文件 jNQ.jar 。

轮询间隔（以秒为单位）

键入轮询间隔，即查询日志文件以检查新数据之间的秒数。默认值为 10 秒。

节流事件/秒

Oracle 数据库侦听器协议每秒转发的最大事件数。

文件编码

日志文件中的事件使用的字符编码。

协议配置

SDEE

Url

访问日志源所需的 HTTP 或 HTTPS URL，例如 https://www.mysdeeserver.com/cgi-bin/sdee-server。

对于 SDEE/CIDEE（Cisco IDS v5.x 及更高版本），URL 必须以 结尾 /cgi-bin/sdee-server。使用 RDEP （Cisco IDS v4.x） 的管理员，URL 必须以 结尾 /cgi-bin/event-server。

强制订阅

选中该复选框后，协议将强制服务器丢弃最不活跃的连接，并接受日志源的新 SDEE 订阅连接。

阻止事件的最大等待时间

当发出收集请求且没有新事件可用时，协议将启用事件块。该块可防止向没有任何新事件的远程设备发出另一个事件请求。此超时旨在节省系统资源。

协议配置

中小企业尾部

日志源标识符

键入 IP 地址、主机名或唯一名称以标识日志源。

服务器地址

SMB 尾部服务器的 IP 地址或主机名。

域

键入 SMB Tail 服务器的域。

如果您的服务器不在域中，则此参数是可选的。

用户

键入访问服务器所需的用户名。

密码

键入访问服务器所需的密码。

确认密码

确认访问服务器所需的密码。

日志文件夹路径

用于访问日志文件的目录路径。例如，管理员可以将 c$/LogFiles/ 目录用于管理共享，或将 LogFiles/ 目录用于公共共享文件夹路径。但是， c：/LogFiles 目录不是受支持的日志文件夹路径。

如果日志文件夹路径包含管理共享 （C$），则对该管理共享 （C$） 具有 NetBIOS 访问权限的用户具有读取日志文件所需的权限。

本地系统或域管理员权限也足以访问管理共享上的日志文件。

文件模式

标识事件日志的正则表达式 （regex）。

中小企业版本

选择要使用的服务器消息块 （SMB） 版本。

自动 - 自动检测到客户端和服务器同意使用的最高版本。

SMB1 - 强制使用 SMB1。SMB1 使用 jCIFS.jar （Java ARchive） 文件。

SMB2 - 强制使用 SMB2。SMB2 使用该文件 jNQ.jar 。

SMB3 - 强制使用 SMB3。SMB3 使用该文件 jNQ.jar 。

强制文件读取

如果清除该复选框，则仅当 JSA 检测到修改时间或文件大小的更改时，日志文件才会被读取。

递 归

如果希望文件模式搜索子文件夹，请使用此选项。默认情况下，该复选框处于选中状态。

轮询间隔（以秒为单位）

键入轮询间隔，即查询日志文件以检查新数据之间的秒数。默认值为 10 秒。

节流事件/秒

SMB Tail 协议每秒转发的最大事件数。

文件编码

日志文件中的事件使用的字符编码。

协议配置

SNMPv2

社区

访问包含 SNMP 事件的系统所需的 SNMP 公共组名称。例如，公共。

在事件有效负载中包含 OID

指定使用名称-值对而不是事件有效负载格式构造 SNMP 事件有效负载。

从 “日志源类型” 列表中选择特定日志源时，事件有效负载中的 OID 是处理 SNMPv2 或 SNMPv3 事件所必需的。

合并事件

选中此复选框可使日志源合并（捆绑）事件。

当同一事件在短时间间隔内多次发生时，合并事件会增加事件计数。合并事件为管理员提供了一种在 “日志活动 ”选项卡上查看和确定单个事件类型发生频率的方法。

清除此复选框后，将单独显示事件，并且不会捆绑信息。

新的和自动发现的日志源从“管理”选项卡上的“系统设置”配置中继承此复选框的值。管理员可以使用此复选框覆盖单个日志源的系统设置的默认行为。

存储事件有效负载

选中此复选框可使日志源存储事件的有效负载信息。

新的和自动发现的日志源从“管理”选项卡上的“系统设置”配置中继承此复选框的值。管理员可以使用此复选框覆盖单个日志源的系统设置的默认行为。

协议配置

SNMPv3

日志源标识符

键入日志源的唯一名称。

认证协议

要用于验证 SNMP3 陷阱的算法：

• SHA 使用安全散列算法 （SHA） 作为身份验证协议。

• MD5 使用消息摘要 5 （MD5） 作为身份验证协议。

认证密码

用于验证 SNMPv3 的密码。您的身份验证密码必须至少包含 8 个字符。

解密协议

选择要用于解密 SNMPv3 陷阱的算法。

• Des

• AES128

• AES192

• AES256

解密密码

用于解密 SNMPv3 陷阱的密码。您的解密密码必须至少包含 8 个字符。

用户

用于在设备上配置 SNMPv3 的用户名。

在事件有效负载中包含 OID

指定使用名称-值对而不是标准事件有效负载格式构造 SNMP 事件有效负载。从 “日志源类型” 列表中选择特定日志源时，事件有效负载中的 OID 是处理 SNMPv2 或 SNMPv3 事件所必需的。

日志源类型

塞库勒特

协议配置

Seculert Protection REST API

日志源标识符

键入日志源的 IP 地址或主机名，作为来自 Seculert 的事件的标识符。

理想情况下，在有多个安装时创建的每个附加日志源都包含一个唯一标识符，例如 IP 地址或主机名。

API 密钥

用于向 Seculert Protection REST API 进行身份验证的 API 密钥。API 密钥值是从 Seculert Web 门户获取的。

使用代理

配置代理时，日志源的所有流量都将通过 JSA 的代理来访问 Seculert Protection REST API。

配置 代理 IP 或主机名、 代理端口、 代理用户名和 代理密码 字段。如果代理不需要身份验证，则可以将 代理用户名 和 代理密码 字段留空。

自动获取服务器证书

如果从列表中选择 是 ， JSA 将下载证书并开始信任目标服务器。

复发

指定日志收集数据的时间。格式为 M/H/D，表示分钟/小时/天。默认值为 1 M。

EPS 油门

从 API 接收的事件的最大每秒事件数 （eps） 上限。

启用

选中此复选框可启用日志源。默认情况下，该复选框处于选中状态。

信誉

选择日志源的 可信度 。范围为 0 - 10。

可信度表示事件或违规行为的完整性，由源设备的可信度评级确定。如果多个来源报告同一事件，可信度就会增加。默认值为 5。

目标事件收集器

选择要用作日志源目标的目标 事件收集器 。

合并事件

选中此复选框可使日志源合并（捆绑）事件。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“合并事件”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

存储事件有效负载

选中此复选框可使日志源存储事件有效负载信息。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“存储事件有效负载”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

协议配置

Sophos 企业控制台 JDBC

日志源标识符

键入日志源的名称。该名称不能包含空格，并且在配置为使用 JDBC 协议的日志源类型的所有日志源中必须是唯一的。

如果日志源从具有静态 IP 地址或主机名的单个设备收集事件，请使用设备的 IP 地址或主机名作为全部或部分 日志源标识符 值;例如，192.168.1.1 或 JDBC192.168.1.1。如果日志源未从具有静态 IP 地址或主机名的单个设备收集事件，则可以对 日志源标识符 值使用任何唯一名称;例如，JDBC1、JDBC2。

数据库类型

MSDE

数据库名称

数据库名称必须与 “日志源标识符 ”字段中指定的数据库名称匹配。

港口

Sophos Enterprise Console 中 MSDE 的默认端口是 1168。JDBC 配置端口必须与 Sophos 数据库的侦听器端口匹配才能与 JSA 通信。Sophos 数据库必须启用传入的 TCP 连接。

如果 数据库实例 与 MSDE 数据库类型一起使用，则必须将 Port 参数留空。

认证域

如果您的网络不使用域，请将此字段留空。

数据库实例

数据库实例（如果需要）。MSDE 数据库可以在一台服务器上包含多个 SQL 服务器实例。

当非标准端口用于数据库或管理员阻止访问端口 1434 以进行 SQL 数据库解析时， 数据库实例 参数必须为空。

表名

vEventsCommonData

选择列表

*

比较字段

InsertedAt

使用预准备语句

预准备语句使协议源能够设置 SQL 语句，然后使用不同的参数多次运行 SQL 语句。出于安全和性能原因，大多数配置都可以使用预准备语句。清除此复选框可使用不使用预编译语句的替代查询方法。

开始日期和时间

选。协议可以开始轮询数据库的开始日期和时间。如果未定义开始时间，协议将在保存和部署日志源配置后尝试轮询事件。

轮询间隔

轮询间隔，即查询数据库之间的时间量。您可以通过在数值中附加 H 表示小时或 M 表示分钟来定义更长的轮询间隔。以任何时间格式，最大轮询间隔为 1 周。没有 H 或 M 指示符的数值轮询（以秒为单位）。

EPS 油门

您不希望此协议超过的每秒事件数 （EPS）。

使用命名管道通信

如果将 MSDE 配置为数据库类型，则管理员可以选中此复选框以使用 TCP/IP 端口连接的替代方法。

MSDE 数据库的命名管道连接要求用户名和密码字段使用 Windows 身份验证用户名和密码，而不是数据库用户名和密码。日志源配置必须使用 MSDE 数据库上的默认命名管道。

数据库群集名称

如果在群集环境中使用 SQL Server，请定义群集名称以确保命名管道通信正常运行。

使用 NTLMv2

强制 MSDE 连接将 NTLMv2 协议与需要 NTLMv2 身份验证的 SQL 服务器一起使用。复选框的默认值处于选中状态。

“ 使用 NTLMv2 ”复选框不会中断不需要 NTLMv2 身份验证的 MSDE 连接的通信。

协议配置

系统日志重定向

日志源标识符正则表达式

输入正则表达式以从有效负载解析日志源标识符。

日志源标识符

输入要用作默认值的日志源标识符。如果日志源标识符正则表达式无法使用提供的正则表达式从特定有效负载分析日志源标识符，则使用默认值。

日志源标识符正则表达式格式字符串

格式化字符串以合并日志源标识符正则表达式中的捕获组。

例如：

1. “$1”将使用第一个捕获组。

2. “$1$2”将连接捕获组 1 和 2。

3. “$1 TEXT $2”将连接捕获组 1、文字“TEXT”和捕获组 2。

生成的字符串将用作新的日志源标识符。

在正则表达式匹配上执行 DNS 查找

选中“ 对正则表达式匹配项执行 DNS 查找”复选框以启用基于 日志源标识符正则表达式 和参数值的 DNS 功能。

默认情况下，不选中该复选框。

侦听端口

输入任何未使用的端口，并设置日志源以将事件发送到该端口上的 JSA 。

协议

从列表中选择 TCP 或 UDP。

系统日志重定向协议支持任意数量的 UDP 系统日志连接，但将 TCP 连接限制为 2500。如果系统日志流的日志源超过 2500 个，则必须输入第二个日志源和侦听端口号。

启用

选中此复选框可启用日志源。默认情况下，该复选框处于选中状态。

信誉

从列表中选择日志源的可信度。范围为 0 - 10。

可信度表示事件或违规行为的完整性，由源设备的可信度评级确定。如果多个来源报告同一事件，可信度就会增加。默认值为 5。

目标事件收集器

从列表中选择要用作日志源目标的目标事件 收集 器。

合并事件

选中合并事件 复选框以启用日志源合并（捆绑）事件。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“合并事件”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

传入事件有效负载

从 “传入事件有效负载 ”列表中，选择用于分析和存储日志的传入有效负载编码器。

存储事件有效负载

选中“ 存储事件有效负载 ”复选框以启用日志源以存储事件有效负载信息。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“存储事件有效负载”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

协议配置

TCP 多行系统日志

日志源标识符

键入 IP 地址或主机名以标识日志源。要改用名称，请选择 使用自定义源名称 并填写 源名称正则表达式 和 源名称格式字符串 参数。

侦听端口

默认端口为 12468。

聚合方法

默认值为 “开始/结束匹配”。如果要合并由公共标识符联接的多行事件，请使用 ID 关联 。

事件启动模式

将聚合方法参数设置为 开始/结束匹配时，此参数可用。

标识 TCP 多行事件有效负载的开始所需的正则表达式 （regex）。系统日志标头通常以日期或时间戳开头。该协议可以创建仅基于事件开始模式（如时间戳）的单行事件。当只有启动模式可用时，协议将捕获每个启动值之间的所有信息以创建有效事件。

事件结束模式

将聚合方法参数设置为 开始/结束匹配时，此参数可用。

标识 TCP 多行事件有效负载结束所需的此正则表达式 （regex）。如果 syslog 事件以相同的值结束，则可以使用正则表达式来确定事件的结束时间。协议可以捕获仅基于事件结束模式的事件。当只有一个结束模式可用时，协议将捕获每个结束值之间的所有信息以创建有效事件。

消息 ID 模式

将 聚合方法 参数设置为 关联 ID 时，此参数可用。

筛选事件有效负载消息所需的此正则表达式 （regex）。TCP 多行事件消息必须包含一个公共标识值，该值在事件消息的每一行上重复。

事件格式化程序

对专门为 Windows 设置格式的多行事件使用 Windows 多行 选项。

显示高级选项

默认值为 “否”。如果要自定义事件数据，请选择“ 是 ”。

使用自定义源名称

当您将 “显示高级选项 ”设置为 “是”时，此参数可用。

如果要使用正则表达式自定义源名称，请选中该复选框。

源名称正则表达式

选中 使用自定义源名称时，此参数可用。

正则表达式 （regex），用于从此协议处理的事件有效负载中捕获一个或多个值。这些值与 源名称格式字符串 参数一起使用，以为每个事件设置源或源值。此源值用于将事件路由到具有匹配日志源标识符值的日志源。

源名称格式化字符串

选中 使用自定义源名称时，此参数可用。

可以使用以下一个或多个输入的组合来形成此协议处理的事件有效负载的源值：

• 源名称正则表达式中的一个或多个捕获组。若要引用捕获组，请使用 \x 表示法，其中 x 是源名称正则表达式中捕获组的索引。

• 事件数据源自的 IP 地址。要引用数据包 IP，请使用令牌 $PIP$。

• 文字字符。整个 源名称格式字符串 可以是用户提供的文本。例如，如果 源名称正则表达式 为“hostname=（.*？）”，并且您希望将 hostname.com 追加到捕获组 1 值，请将“ 源名称格式字符串 ”设置为\1.hostname.com。如果处理的事件包含 hostname=ibm，那么事件有效负载的源值将设置为 ibm.hostname.com，JSA 会将事件路由到具有该 日志源标识符的日志源。

用作网关日志源

当您将 “显示高级选项 ”设置为 “是”时，此参数可用。

选中后，流经日志源的事件可以根据事件上标记的源名称路由到其他日志源。

如果未选择此选项且未选中 使用自定义源名称 ，则会使用与日志源标识符参数对应的源名称标记传入事件。

将多行事件平展为单行

当您将 “显示高级选项 ”设置为 “是”时，此参数可用。

在单行或多行中显示事件。

在事件聚合期间保留整行

当您将 “显示高级选项 ”设置为 “是”时，此参数可用。

如果将 聚合方法 参数设置为 关联 ID，则可以启用事件 聚合期间保留整行 ，以便在将具有相同 ID 模式的事件连接在一起时放弃或保留 消息 ID 模式 之前的部分事件。

时间限制

在将事件推送到事件管道之前等待其他匹配有效负载的秒数。默认值为 10 秒。

启用

选中此复选框可启用日志源。

信誉

选择日志源的可信度。范围为 0 - 10。

可信度表示事件或违规行为的完整性，由源设备的可信度评级确定。如果多个来源报告同一事件，可信度就会增加。默认值为 5。

目标事件收集器

在部署中选择应承载 TCP 多行系统日志侦听器的事件收集器。

合并事件

选中此复选框可使日志源合并（捆绑）事件。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“合并事件”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

存储事件有效负载

选中此复选框可使日志源存储事件有效负载信息。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“存储事件有效负载”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

协议配置

TLS 系统日志

日志源标识符

用于标识日志源的 IP 地址或主机名。

TLS 侦听端口

默认 TLS 侦听端口为 6514。

身份验证模式

TLS 连接用于进行身份验证的模式。如果选择 TLS 和客户端身份验证 选项，则必须配置证书参数。

客户端证书身份验证

从列表中选择以下选项之一：

• CN 允许列表和颁发者验证

• 磁盘上的客户端证书

使用 CN 允许列表

启用此参数以使用 CN 允许列表。

CN 允许列表

受信任的客户端证书公用名的允许列表。您可以输入纯文本或正则表达式 （regex）。要定义多个条目，请在单独的行中输入每个条目。

使用颁发者验证

启用此参数以使用颁发者验证。

根/中间颁发者的证书或公钥

以 PEM 格式输入根/中间颁发者的证书或公钥。

• 输入证书，开头为：

  -----开始证书-----

  结尾为：

  -----结束证书-----

• 输入以以下内容开头的公钥：

  -----开始公钥-----

  结尾为：

  -----结束公钥-----

检查证书吊销

根据客户端证书检查证书吊销状态。此选项需要与 X509v3 扩展中的客户端证书的“ CRL 分发点 ”字段指定的 URL 建立网络连接。

检查证书使用情况

检查“ 密钥用法 ”和 “扩展密钥用法 扩展”字段中证书 X509v3 扩展的内容。对于传入客户端证书，“X509v3 密钥用法”的允许值为 “数字签名 ”和 “密钥协议”。X509v3 扩展密钥用法的允许值为 TLS Web 客户端身份验证。

默认情况下，此属性处于禁用状态。

客户端证书路径

磁盘上客户端证书的绝对路径。证书必须存储在此日志源的 JSA 控制台 或 事件收集器 上。

服务器证书类型

用于对服务器证书和服务器密钥进行身份验证的证书类型。

从“ 服务器证书类型” 列表中选择以下选项之一：

• 生成的证书

• PEM 证书和私钥

• PKCS12 证书链和密码

• 从 JSA 证书存储中选择

生成的证书

配置 证书类型时，此选项可用。

如果要将 JSA 生成的缺省证书和密钥用于服务器证书和服务器密钥，请选择此选项。

生成的证书在日志源分配到的目标事件收集器上的 /opt/ qradar/conf/trusted_certificates/ 目录中名为 syslog-tls.cert。

单个证书和私钥

配置 证书类型时，此选项可用。

如果要对服务器证书使用单个 PEM 证书，请选择此选项，然后配置以下参数：

• 提供的服务器证书路径 - 服务器证书的绝对路径。

• 提供的私钥路径 - 私钥的绝对路径。

PKCS12 证书和密码

配置 证书类型时，此选项可用。

如果要使用包含服务器证书和服务器密钥的 PKCS12 文件，请选择此选项，然后配置以下参数：

• PKCS12 证书路径 - 键入包含服务器证书和服务器密钥的 PKCS12 文件的文件路径。

• PKCS12 密码 - 键入密码以访问 PKCS12 文件。

• 证书别名 - 如果 PKCS12 文件中有多个条目，则必须提供别名以指定要使用的条目。如果 PKCS12 文件中只有一个别名，请将此字段留空。

从 JSA 证书存储中选择

配置 证书类型时，此选项可用。

您可以使用证书管理应用程序从 JSA 证书存储区上载证书。

JSA 7.3.3 FP6 或更高版本以及 JSA 7.4.2 或更高版本支持该应用程序。

最大有效负载长度

为 TLS 系统日志消息显示的最大有效负载长度（字符）。

最大连接数

最大连接数参数控制 TLS 系统日志协议可以为每个事件收集器接受多少个同时连接数。

对于每个事件收集器，TLS 系统日志源配置中的连接数限制为 1000 个，包括启用和禁用的日志源。

TLS 协议

日志源要使用的 TLS 协议。

选择“TLS 1.2 或更高版本”选项。

用作网关日志源

通过 JSA 流量分析引擎发送收集的事件，以自动检测相应的日志源。

如果不想为事件定义自定义日志源标识符，请清除该复选框。

如果未选择此选项且未配置 日志源标识符模式 ，JSA 将接收作为未知通用日志源的事件。

日志源标识符模式

使用“ 用作网关日志源 ”选项可以为正在处理的事件定义自定义日志源标识符，并在适用时自动发现日志源。如果未配置日志源标识符模式，JSA 将事件作为未知通用日志源接收。

使用键值对定义自定义日志源标识符。键是标识符格式字符串，它是生成的源或源值。该值是用于评估当前有效负载的关联正则表达式模式。此值还支持可用于进一步自定义密钥的捕获组。

通过在换行中键入每个模式来定义多个键值对。多个模式按其列出顺序进行评估。找到匹配项后，将显示自定义日志源标识符。

以下示例显示了多个键值对函数。

• 模式 - VPC=\sREJECT\sFAILURE $1=\s(REJECT)\sOK VPC-$1-$2= \s(ACCEPT)\s(OK)

• 活动 - {LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}

• 生成的自定义日志源标识符 - VPC-ACCEPT-OK

启用多行

根据开始/结束匹配或与 ID 关联的正则表达式将多条消息聚合为单个事件。

聚合方法

打开启用 多行 时，此参数可用。

• ID 关联 - 处理每行开头包含通用值的事件日志。

• 开始/结束匹配 - 根据开始或结束正则表达式 （regex） 聚合事件。

事件启动模式

当启用 多行 处于打开状态且 聚合方法 设置为 开始/结束匹配时，此参数可用。

需要正则表达式 （regex） 来标识 TCP 多行事件有效负载的开始。系统日志标头通常以日期或时间戳开头。协议可以创建仅基于事件开始模式（如时间戳）的单行事件。当只有启动模式可用时，协议将捕获每个启动值之间的所有信息以创建有效事件。

事件结束模式

当启用 多行 处于打开状态且 聚合方法 设置为 开始/结束匹配时，此参数可用。

需要此正则表达式 （regex） 来标识 TCP 多行事件有效负载的结束。如果 syslog 事件以相同的值结束，则可以使用正则表达式来确定事件的结束时间。协议可以捕获仅基于事件结束模式的事件。当只有一个结束模式可用时，协议将捕获每个结束值之间的所有信息以创建有效事件。

消息 ID 模式

开启启用 多行 且 聚合方式 设置为 关联ID时，此参数可用。

筛选事件有效负载消息所需的此正则表达式 （regex）。TCP 多行事件消息必须包含一个公共标识值，该值在事件消息的每一行上重复。

时间限制

开启启用 多行 且 聚合方式 设置为 关联ID时，此参数可用。

在将事件推送到事件管道之前等待更多匹配有效负载的秒数。默认值为 10 秒。

在事件聚合期间保留整行

开启启用 多行 且 聚合方式 设置为 关联ID时，此参数可用。

如果 将聚合方法 参数设置为 关联 ID，则可以启用事件 聚合期间保留整行 以放弃或保留 消息 ID 模式之前的部分事件。仅当将具有相同 ID 模式的事件连接在一起时，才能启用此功能。

将多行事件平展为单行

打开启用 多行 时，此参数可用。

在单行或多行中显示事件。

事件格式化程序

打开启用 多行 时，此参数可用。

对专门为 Windows 设置格式的多行事件使用 Windows 多行 选项。

协议配置

UDP 多行系统日志

侦听端口

JSA 用于接受传入 UDP 多行系统日志事件的默认端口号为 517。您可以使用 1 - 65535 范围内的其他端口。

要编辑保存的配置以使用新端口号，请完成以下步骤：

1. 在 侦听端口 字段中，键入用于接收 UDP 多行系统日志事件的新端口号。

2. 单击 保存。

3. 单击 “部署更改 ”以使此更改生效。

端口更新已完成，事件收集将在新端口号上开始。

消息 ID 模式

筛选事件有效负载消息所需的正则表达式 （regex）。UDP 多行事件消息必须包含一个公共标识值，该值在事件消息的每一行上重复。

事件格式化程序

格式化侦听器检测到的传入有效负载的事件格式化程序。选择 无格式 以使有效负载保持不变。选择 思科 ACS 多行 ，将有效负载格式化为单线事件。

在 ACS 系统日志标头中，有“total_seg”和“seg_num”字段。当您选择思科 ACS 多行选项时，这两个字段用于将 ACS 多行事件重新排列为具有正确顺序的单行事件。

显示高级选项

默认值为 “否”。如果要配置高级选项，请选择“ 是 ”。

使用自定义源名称

如果要使用正则表达式自定义源名称，请选中该复选框。

源名称正则表达式

如果要定制 JSA 确定此 UDP 多行系统日志配置处理的事件的源的方式，请使用 源名称正则表达式 和 源名称格式字符串 参数。

对于源名称正则表达式，请输入正则表达式以从此协议处理的事件有效负载中捕获一个或多个标识值。这些值与源名称格式字符串一起使用，以为每个事件设置源或源值。启用“用作网关日志源”选项时，此源值用于将事件路由到具有匹配日志源标识符值的日志源。

源名称格式化字符串

可以使用以下一个或多个输入的组合来形成此协议处理的事件有效负载的源值：

• 源名称正则表达式中的一个或多个捕获组。若要引用捕获组，请使用 \x 表示法，其中 x 是源名称正则表达式中捕获组的索引。

• 事件数据源自的 IP 地址。要引用数据包 IP，请使用令牌 $PIP$。

• 文字字符。整个源名称格式字符串可以是用户提供的文本。

例如，CiscoACS\1\2$PIP$，其中 \1\2 表示 源名称正则表达式 值中的第一个和第二个捕获组，$PIP$ 是数据包 IP。

用作网关日志源

如果清除此复选框，则将传入事件发送到日志源，其 日志源标识符 与其源自的 IP 匹配。

选中后，此日志源可用作单个入口点或网关，以便来自多个源的多行事件进入 JSA 并以相同的方式进行处理，而无需为每个源配置 UDP 多行 Syslog 日志源。具有符合 RFC3164 或 RFC5424 的系统日志标头的事件将被标识为源自其标头中的 IP 或主机名，除非正在使用 源名称格式字符串 参数，在这种情况下，将为每个事件评估该格式字符串。任何此类事件都会基于此捕获的值通过 JSA 进行路由。

如果存在一个或多个具有相应 日志源标识符的日志源，则会根据配置的分析顺序为其指定事件。如果它们不接受事件，或者不存在具有匹配 日志源标识符的日志源，则会分析事件以进行自动检测。

将多行事件平展为单行

在单行或多行中显示事件。如果选中此复选框，将从事件中删除所有换行符和回车符。

在事件聚合期间保留整行

选择此选项可在协议将具有相同 ID 模式的事件连接在一起时放弃或保留 消息 ID 模式 之前的事件部分。

时间限制

在将事件推送到事件管道之前等待其他匹配有效负载的秒数。默认值为 10 秒。

启用

选中此复选框可启用日志源。

信誉

选择日志源的可信度。范围为 0 - 10。

可信度表示事件或违规行为的完整性，由源设备的可信度评级确定。如果多个来源报告同一事件，可信度就会增加。默认值为 5。

目标事件收集器

在部署中选择应承载 UDP 多行系统日志侦听器的事件收集器。

合并事件

选中此复选框可使日志源合并（捆绑）事件。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“合并事件”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

存储事件有效负载

选中此复选框可使日志源存储事件有效负载信息。

缺省情况下，自动发现的日志源从 JSA 中的“系统设置”继承“存储事件有效负载”列表的值。创建日志源或编辑现有配置时，可以通过为每个日志源配置此选项来覆盖默认值。

日志源标识符

日志源名称不能包含空格，并且在使用 VMware vCloud Director 协议配置的所有此类日志源中必须是唯一的。

协议配置

VMware vCloud Director

虚拟云 URL

在 VMware vCloud 设备上配置的用于访问 REST API 的 URL。该 URL 必须与在 vCloud 服务器上配置为 VCD 公共 REST API 基本 URL 字段的地址匹配。例如， https:<my.vcloud.server>/api.

用户名

远程访问虚拟云服务器所需的用户名。例如， console/user@organization.

如果要配置用于 JSA 的只读帐户，请在组织中创建一个具有 “仅控制台访问” 权限的 vCloud 用户。

密码

远程访问虚拟云服务器所需的密码。

轮询间隔（以秒为单位）

针对新事件向 vCloud 服务器查询之间的时间间隔。

默认轮询间隔为 10 秒。

EPS 油门

每秒最大事件数 （EPS）。默认值为 5000。

启用高级选项

启用此选项可配置更多参数。

API 页面大小

如果选择 启用高级选项，将显示此参数。

每个 API 调用要返回的记录数。最大值为 128。

启用旧版 vCloud SDK

如果选择 启用高级选项，将显示此参数。

要连接到 vCloud 5.1 或更低版本，请启用此选项。

虚拟云 API 版本

如果选择 启用高级选项 ，然后选择 启用旧版 vCloud SDK，则不再显示此参数。

API 请求中使用的 vCloud 版本。此版本必须与 vCloud 安装兼容的版本匹配。

使用以下示例可帮助您确定与 vCloud 安装兼容的版本：

• vCloud API 33.0 （vCloud Director 10.0）

• vCloud API 32.0 （vCloud Director 9.7）

• vCloud API 31.0 （vCloud Director 9.5）

• vCloud API 30.0 （vCloud Director 9.1）

• vCloud API 29.0 （vCloud Director 9.0）

允许不受信任的证书

如果选择 启用高级选项 ，然后选择 启用旧版 vCloud SDK，则不再显示此参数。

连接到 vCloud 5.1 或更高版本时，必须启用此选项才能允许自签名的不受信任证书。

证书必须以 PEM 或 DER 编码的二进制格式下载，然后放入具有文件扩展名的/opt/qradar/conf/ trusted_certificates/.cert or .crt目录中。

使用代理

如果选择 启用高级选项 ，然后选择 启用旧版 vCloud SDK，则不再显示此参数。

如果使用代理访问服务器，请选中 “使用代理” 复选框。如果代理需要身份验证，请配置 代理服务器、代理端口、代理用户名和代理密码 字段。

如果代理不需要身份验证，请配置 代理 IP 或主机名 字段。

代理 IP 或主机名

如果选择 “使用代理”，将显示此参数。

如果选择 启用高级选项 ，然后选择 启用旧版 vCloud SDK，则不再显示此参数。

代理端口

如果选择 “使用代理”，将显示此参数。

如果选择 启用高级选项 ，然后选择 启用旧版 vCloud SDK，则不再显示此参数。

用于与代理通信的端口号。默认值为 8080。

代理用户名

如果选择 “使用代理”，将显示此参数。

如果选择 启用高级选项 ，然后选择 启用旧版 vCloud SDK，则不再显示此参数。

代理密码

如果选择 “使用代理”，将显示此参数。

如果选择 启用高级选项 ，然后选择 启用旧版 vCloud SDK，则不再显示此参数。