Syslog
Redirect (en binnenkort, de TCPMultiline, UDPMultiline, en TLSSyslog protocollen) stellen de gebruiker in staat om hun eigen regular expression te definiëren voor de capturing
van een waarde van
de event payload om als sourceAddress te gebruiken. Dit stelt je in staat om een enkele eventstroom op te breken in separate feeds dit QRadar door
kan sturen naar verschillende log sources.
Gebruik /opt/qradar/bin/logrun.pl
–d <qradar ip>
–p <configured listen port> -f syslog_redirect1.syslog 10
Configureer Universal
DSM log source
– Protocol
= Syslog Redirect
– Log
Source Identifier Regex =
\]\s\[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\]\s
Voeg de benodigde Syslog receiver
log sources toe.
Geen opmerkingen:
Een reactie posten