Indien er meerdere apparaten/applicaties/systemen events sturen die dezelfde speciale behandeling vereisen bijvoorbeeld:
– zelfde encryptie key/cert– zelfde regex/patroon voor multiline recombitnatie– zelfde regex/patroon voor sourceAddress overiding/redirecting
Dan kun je een enkele logsource aanmaken (van ieder type – het zal zelf feitelijk toch nooit events ontvangen) om een protocol source leverancier op te starten om events te ontvangen en om event data te decrypten/recombineren/redirecten.
Deze events kunnen dan addionitioneel worden gerouteerd naar een set van handmatig gecreeerde logsource van het type Syslog,
of ze kunnen automatisch gedetecteerd worden (onder de voorwaarde dat er een DSM is die de events kan parsen)
of ze kunnen automatisch gedetecteerd worden (onder de voorwaarde dat er een DSM is die de events kan parsen)
Geen opmerkingen:
Een reactie posten