日志事件扩展格式 (LEEF)
日志事件扩展格式 (LEEF) 是 JSA 的自定义事件格式。
任何供应商都可以使用本文档生成 LEEF 事件。
JSA 可以集成、识别和处理 LEEF 事件。LEEF 事件必须使用 UTF-8 字符编码。
您可以使用以下协议在 LEEF 输出中发送事件:
Syslog
使用日志文件协议导入文件
注意:
JSA 必须先完成通用 LEEF 配置任务,才能使用 LEEF 事件。有关将日志文件协议配置为收集通用 LEEF 事件的更多信息,请参阅 瞻博网络安全分析配置 DSM 指南。
选择提供 LEEF 事件的方法将决定是否可以在 JSA 中自动发现事件。自动发现事件时,JSA 中所需的手动配置级别将降低。
接收 LEEF 事件时,JSA 会分析事件流量,以尝试识别设备或设备。此过程称为 流量分析。在 JSA 中识别并创建新的日志源通常需要至少 25 个 LEEF 事件。在流量分析识别事件源之前,最初的 25 个事件被归类为 SIM 通用日志 DSM 事件,并将事件名称设置为 未知日志事件。识别事件流量后,JSA 会创建一个日志源,以便对从设备或软件转发的任何事件进行正确分类和标签。您可以从设备发送的事件在 日志活动 选项卡的 JSA 中查看。
注意:
如果 1,000 个事件后无法识别日志源,JSA 会创建系统通知,并从流量分析队列中移除日志源。JSA 仍然可以收集事件,但用户必须手动干预并创建日志源以识别事件类型。