在我目前的实验室设置中,我几乎没有安装 ossec 代理并将日志发送到 ossec 服务器的 windows 机器和 linux 机器。从 OSSEC 服务器,我通过 syslog 输出将日志转发到 logstash。在logstash中我没有做任何修改,我只是将普通日志转发到qradar作为接收(我验证了它)。它有警报级别、规则和事件。但是在 qradar 中,它显示了单个日志源,即 logstash 服务器。从 logstash 我将日志作为 syslog 发送到 qradar。理想情况下,在 qradar 中,所有向 ossec 发送日志的机器都应该列在日志源中,但这并没有发生。我在这里做错了什么?任何帮助..我点击了这个链接https://www.ibm.com/support/knowledgecenter/en/SS42VS_DSM/t_DSM_guide_OSSEC_cfg.html而是直接将日志发送到 qradar 我在两者之间放置了一个 logstash。
问问题
688 次
1 回答
0
我看不出有什么问题,如果您的设备和 QRadar 之间有一个 Logstash,那么 QRadar 知道的唯一日志源就是您的 Logstash 服务器,它是向它发送数据的唯一服务。
如果您想在 QRadar 中将您的 ossec 设备列为日志源,我认为您需要将日志直接发送到 QRadar。
编辑:我不太了解 QRadar,但是如果可以使用标签或自定义字段来识别日志源,也许您可以在您的 logstash 管道中添加一个自定义字段,并且 QRadar 将使用该字段来知道日志源不是您的 logstash 服务器,而是其他设备。
于 2018-12-17T14:54:17.427 回答