Alle protocol code is geschreven in
Java – ze kunnen allemaal loggen met behulp van
log4j naar de standaard qradar.log en qradar.error die staan in /var/log/
Ze kunnen ook debug logs genereren in
het geval je
debugging inschakelt.
Debug logging kan op
het niveau van
by-class (of by-package) level worden geactiveerd. Indien je problemen hebt met een protocok, zet dan de debug aan en kijk eens in /var/log/qradar.java.debug
Hoe?
– Zoek de bijbehorende Java package:
–jar -tvf
/opt/qradar/jars/q1labs_semsources_protocol_ tab
–Er zijn 2 jars per protocol. Een welke eindigd met
_ui.jar (deze wordt gebruikt door
de UI, en het zal je niet helpen bij het debuggen van verzamelen van
events. Degene die geen ‘_ui’ heeft is degene die
we willen hebben.
–Het
jar –tvf
commando dat de
classes tonen die
de jar bevat – Zoek uit wat het
Java pad is, en gebruik dat op debugging in te schakelen.
–Voor de tlssyslog jar, is het com/q1labs/semsources/sources/tlssyslog/
Op
het moment dat je
de classpath kent, gebruik dan /opt/qradar/support/mod_log4j.pl – volg gewoon de instructies
Geen opmerkingen:
Een reactie posten