Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

添加用于接收事件的日志源

使用 QRadar 日志源管理 应用程序添加新日志源,以接收来自网络设备或设备的事件。

下载并安装支持日志源的设备支持模块 (DSM)。DSM 是一种软件应用程序,其中包含识别和解析事件所需的事件模式。事件将从事件日志的原始格式解析为 QRadar 可以使用的格式。您可以从 瞻博网络客户支持安装 DSM。有关更多信息,请参阅 配置 DSM 指南

  1. QRadar 日志源管理 应用程序中,单击 + 新建日志源

  2. 单击 “单一日志源”。

  3. “选择日志源类型 ”页面上,选择一个日志源类型,然后单击“ 选择协议类型”。

  4. “选择协议类型 ”页面上,选择一个协议,然后单击配置 日志源参数

  5. “配置日志源参数 ”页面上,配置日志源参数,然后单击配置 协议参数

  6. “配置协议参数 ”页面上,配置协议特定的参数。

  7. 如果可以测试您的配置,则“步骤”窗格列出了 “测试协议参数 ”选项。测试配置时,可以使用协议参数识别任何错误。有关更多信息,请参阅 测试日志源。要测试您的配置,请执行以下步骤:

    1. 单击测试协议参数,然后单击开始测试

    2. 要修复任何错误,请单击配置协议参数

      “配置协议参数 ”页面上,配置协议特定的参数,然后再次测试您的协议。

      如果可以测试您的配置,但不想测试,请单击 跳过测试并完成

  8. 单击 完成

您的日志源在 “日志源” 页面上列出。

添加快速日志源

使用 QRadar 日志源管理应用程序中的快速日志源选项,在单个屏幕中添加新日志源。如果您希望添加日志源的速度比使用 + 新建日志源选项快,请添加快速日志源

  1. QRadar 日志源管理 应用程序中,单击 + 新建日志源 下拉箭头。.

  2. 单击 快速日志源

  3. 日志源摘要 面板中配置参数,然后单击 Create

测试您的日志源。有关更多信息,请参阅 测试日志源

同时添加多个日志源

使用 QRadar 日志源管理 应用程序同时向 QRadar 添加多个日志源。您可以添加尽可能多的日志源。

  1. QRadar 日志源管理 应用程序中,单击 + 新建日志源 ,然后单击 多个日志源

  2. “选择日志源类型 ”页面上,选择日志源类型,然后单击“ 选择协议类型”。

  3. “选择协议类型 ”页面上,选择一种协议类型,然后单击 配置通用日志源参数

  4. “配置通用日志源参数 ”页面上,配置要为所有日志源设置的参数。

  5. 如果日志源具有不同的日志源参数值,请清除相关复选框,然后单击 “配置通用协议参数”。

  6. “配置通用协议参数 ”页面上,配置要为所有日志源设置的协议特定参数。

  7. 如果日志源具有不同的协议参数值,请清除相关复选框,然后单击“ 配置单个参数”。

  8. “配置单个参数 ”页面上,上传包含各个日志源参数值的 CSV 文件 ,然后单击 Add

    将为此文件的每行创建一个日志源,以井号标签 (#) 开头的空行和注释行除外。每行都必须包含以逗号分隔的 日志源标识符 字段参数值列表,以及任何其他延迟参数(按递延参数表中显示的顺序)。

  9. 单击 “批量模板 ”以下载文件模板并按顺序添加要配置的参数。

    例如,如果延迟 “已启用 ”和 “组” 参数,则 CSV 文件必须包含以下值:

    Enabled, Groups, Log Source Identifier

    如果在参数中包含逗号,请将值用双引号括起来。

  10. 如果未上传 CSV 文件:

    1. 单击 Manual(手动)以指定您延迟的参数的值。

    2. 为每个新日志源输入一个日志源标识符,然后单击 Add

  11. 单击 完成

测试您的日志源。有关更多信息,请参阅 测试日志源

相关文档