部署 QRadar 后,一些日志源按预期自动发现,但 QRadar 未自动发现的其他一些源,我已使用批量选项在 admin->Log Sources 中手动添加它们。
所有这些都已成功添加,但它们仍然显示状态为 N/A。即使是状态为 N/A 的日志源也出现在 Assets 选项卡上。
我还检查了日志活动选项卡中是否也出现了日志。即使在 QRadar 上接收到日志后,为什么状态在 v7.3.0 上也没有显示成功,这是一个已知问题吗?
提前致谢
问问题
1146 次
2 回答
0
您可以检查日志源标识符,是主机名还是 IP?如果日志中有时间信息后有主机名,则应写“主机名”。如果日志中时间信息后有IP,则可能应写IP。之后您可以启用/禁用日志源并等待几分钟,它应该成功。
例如; 4 月 10 日 17:35:25 127.0.0.1 [Thread-62] com.q1labs.hostcontext.health.Agent: [INFO] ...
您应该在 Log source identifier 上写 127.0.0.1 。
我希望这些信息对您有所帮助。
于 2018-04-10T14:42:46.010 回答
0
如果您看到来自显示为 N/A 的来源的日志,这是一个已知问题。如果没记错的话,这对于 Cisco eStreamer 协议设备来说很常见。
于 2018-10-20T03:08:11.407 回答