问题标签 [qradar]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
.net - 如何将 .NET 记录到 QADAR
我正在编写一个需要将 LOG 信息发送到 IBM Logging System 的 .NET 应用程序。有人对这个有经验么?谢谢。IBM 日志记录系统称为 QRADAR。
text-parsing - QRadar,解析日志
我想解析一些应用程序日志,我做了很多正常工作的正则表达式notepad++和网站www.regex101.com。但是当我应用它们时,QRadar它们什么都不匹配。
例如
12/2/2017 9:53:58,4040007,blablablbla,blablabla --- Abonnement 手机号码 : 0663016666 | 巴尔巴尔巴尔 | 2006 年 3 月 6 日 11:11:22 --- 出售,10.10.10.10
我做了这个正则表达式(?<=---)\s+[A-Za-z+ \/\w+0-9._%+-]+(?=(\sN°|\s\sN°|\sID))来匹配Abonnement mobile它正常工作,但它不匹配QRadar.
logging - QRadar 接收日志的频率
你好我添加了一个应用程序的日志源,自从我添加后我收到了很多日志,但是每天接收日志的频率很慢,我每天收到1-10行代码,我添加了这个日志源使用日志文件并制作了通用 DSM,我创建了一个 SFTP 帐户,当我检查我的帐户时,我可以收到 65 000 行日志。我不知道问题出在哪里注意:我的配置是:-日志源类型:通用 DSM-协议配置:日志文件-我所做的文件模式(文件名).*.csv(因为日志的扩展名是 .CSV ) - 处理器:无 - 事件生成器:LINEBYLINE - 文件编码:UTF-8
security - 发送安全访问日志
安全团队已请求通过端口 514 将我们 bomgar 设备的访问日志发送到他们的 qradar(企业安全信息和事件管理 (SIEM) 产品)服务器。
填写下方“出站事件”选项卡中显示的 URL 字段时,是否会正确发送事件?例子。127.0.0.12:514
security - QRadar SIEM AIO v7.3.0 手动添加 Logsources 显示状态 N/A
部署 QRadar 后,一些日志源按预期自动发现,但 QRadar 未自动发现的其他一些源,我已使用批量选项在 admin->Log Sources 中手动添加它们。
所有这些都已成功添加,但它们仍然显示状态为 N/A。即使是状态为 N/A 的日志源也出现在 Assets 选项卡上。
我还检查了日志活动选项卡中是否也出现了日志。即使在 QRadar 上接收到日志后,为什么状态在 v7.3.0 上也没有显示成功,这是一个已知问题吗?
提前致谢
python - IBM Qradar - 硬编码的 devicetypeid 不能与具有相同 devicetypeid 的其他应用程序一起使用?
假设我的日志源扩展有 4001 作为 devicetypeId 的硬编码值。如果安装在同一台机器上的任何应用程序已经在使用 4001,我的扩展程序在安装时会自动获取不同的 ID,例如 4002。这会给自定义属性提取和事件映射带来问题。因为我的自定义属性是在我的 XML 文件中的 devicetypeid 4001 上编写的,所以它们停止工作。如果我们手动更改 XML 文件以使用 4003 作为 devicetypeid,它就可以工作。但我不认为我们希望 QRadar 用户在每次应用程序之间发生冲突时手动执行此操作。我们如何解决这个问题?
aql - QRAdar - AQL 在输入 SELECT 处没有可行的替代方案
尝试使用此查询时出现错误。它适用于日志活动的高级搜索选项卡。但是当我将它写入规则向导AQL过滤器查询区域时,它会提示警告。顺便说一句,我从 Sigma Translator 得到了这个查询。AQL no viable alternative at input SELECT
powershell - 范围标头必须使用适当的属性或方法
我在产品论坛上搜索了高低并询问过,但似乎无法弄清楚这一点。
使用 PowerShell 5,我尝试按照 API 文档指示的方式使用范围标头来限制我的结果。但是,当我尝试使用它时收到以下错误。
“必须使用适当的属性或方法修改 'RANGE' 标头。参数名称:名称”
我试过了:
和...
此外,这是 API 文档中给出的 curl 示例:
curl -s -X GET -u 用户名 -H '范围:items=0-49' -H '版本:10.0' -H '接受:应用程序/json' ' https://product.com/api/s/of '
非常感谢对此的任何指示。
提前致谢
python - Python HTTPS POST 请求(到 API)响应,状态为 200,但 API 文档中未生成数据
我正在尝试使用 python 发布请求,状态代码为 200,但该对象未在服务器上创建。换句话说,我正在尝试将数据发布到 API 文档,但该帖子并未在 API 主机名中生成,尽管 200 ok(状态码)。
regex - 从日志文件中读取多行日志
我从记录多行类型的日志文件中读取日志。在阅读 QRadar 时会组装两条记录并将其作为一个日志。
在将日志源添加到 QRadar 时,我将日志行的开始和结束模式描述为:
启动模式正则表达式:
^(\d{7})\,结束模式正则表达式:
(\d{2}:\d{2}:\d{2})$
我应该读过类似的日志:
但我收到了其中一些组装好的,比如:
这是我的RegEx开始和结束模式的regex101.com记录。
https://regex101.com/r/2IfMR7/3
https://regex101.com/r/2IfMR7/4
如您所见,它在 regex101.com 中正常工作 为什么 QRadar 将它们作为一个来读取?