UDPMultilineSyslog (en binnenkort, de TCPMultiline en TLSSyslog protocollen) stellen de gebruiker in staat om een reguliere expressie te definieren die de capturing van een waarde uit de
payload uit kan voeren en deze dan te gebruiken als een
pivot point om te bepalen met welke inkomende berichten het geaggregeerde event geassocieerd moet worden.
Cisco ISE logs
Gebruik /opt/qradar/bin/logrun.pl
–d <qradar
IP> -p <configured listen port> -f udp_multiline.syslog 10
Configureer Cisco
ISE log source
– Protocol:
UDP Multiline Syslog.
– Log
Source Identifier: IP van het systeem dat events stuurt (er zijn twee systemen nodig)
– Bericht ID Pattroon: CISE_\S+\s+(\d{10})
Geen opmerkingen:
Een reactie posten