Protocol source providers/sensorprotocolconfigs verzamelen raw event gegevens, hetzij door er naartoe te gaan en het op te halen (JDBC, Log File, SMBTail, of een van de REST API protocollen) of door te luisteren naar wat er binnenkomt (elke van de syslog varianten, SNMP)
- Ze produceren payload objecten
- Dit is het begin van de event pipeline
DSMs/sensordevices zijn ontvangers voor parsing/categorisering/normalisatie van event payloads OF simpelweg buckets voor het verzamelen van de data (UDSM, sans extension)
- Ze consumeren payload objecten (en produceren Normalized Events, en daarnaast nog wat andere zaken)
- Dit is verderop in de event pijplijn (niet de ‘tweede trap’)
Twee kanten aan de spijsvertering van data – het in het systeem krijgen, en er iets zinvols mee doen.
Indien je toch een mapping tussen een DSM een een protocol source moet maken is het niet zo moeilijk om te doen
- psql -U qradar -c "insert into sensordeviceprotocols (sensordevicetypeid, sensorprotocolid) values ((select id from sensordevicetype where devicetypedescription = ‘<Log Source Type from UI>’), (select id from sensorprotocol where protocolname = 'Log File' or protocoldescription = ‘<Protocol Configuration from UI>'));“
- data-blogger-escaped-comment-EndFragment
Geen opmerkingen:
Een reactie posten