Wat als het IP-adres of de hostname niet altijd op dezelfde plek staat? We kunnen dan meerdere gateways voor meerdere log formaten opzetten … of helemaal los gaan met onze regex
Gebruik /opt/qradar/bin/logrun.pl
–d <qradar ip>
–p <configured listen port> -f syslog_redirect2.syslog
10
Configureer de Universal
DSM log source
– Protocol
= Syslog Redirect
– Log
Source Identifier Regex =
^\S+\s+\d+\s+\d{2}:\d{2}:\d{2}\s+\S+\s+(?:\S+\s+)?(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
– Dat is onze gateway, voeg daarna Syslog log
sources op voor de IPs die geextraheerd moeten worden.
Geen opmerkingen:
Een reactie posten