vrijdag 23 oktober 2015

IBM QRadar - Log Sources (3)





Op het moment dat een protocol source provider een payload creeert, dan voorziet het het payload object van een sourceName waarde, met als bedoeling om de herkomst van het event aan te geven, en stuurt het daarna in de event pijplijn.

  • Het weet niet en het maakt hem ook niet uit waar de payload naartoe gaat.
  • Het weet niets over DSM’s


De DSM/Normalize filter’s parsing threads sturen payload objecten naar DSM’s op basis van de sourceName waarde het is zoals een mailadres, en de Log Source Identifier van een logsource is de bijbehorende mailbox.

  • Het maakt DSMs niet uit hoe de payload in het systeem gekomen is of welke protocol provider dit genereerde.
  • Als er geen mailbox is voor het sourceAddress, dan komt de TrafficAnalysis / autodiscovery aan bod.

Gepost door op
Labels: , , , , , , , , , , , ,

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)