在QRadar部署之后,一些Log源被按预期自动发现,但是其他一些未被QRadar自动发现,我已经在管理中使用Bulk选项手动添加它们。
所有这些都已成功添加,但它们仍显示状态为N / A.即使状态为N / A的日志源也出现在“资产”选项卡上。
我还检查过日志活动选项卡中是否也出现了日志。这是一个众所周知的问题,即使在接收到QRadar上的日志后,状态也未在v7.3.0上显示成功?
先谢谢
答案 0 :(得分:0)
您可以查看日志源İdentifier,是主机名还是IP?如果日志中有时间信息后面有主机名,你应该写“主机名”。如果日志中有时间信息,你应该写IP。之后你应该启用/禁用日志源并等待几分钟,它应该成功。
例如; 4月10日17:35:25 127.0.0.1 [Thread-62] com.q1labs.hostcontext.health.Agent:[INFO] ......
您应该在日志源标识符上写入127.0.0.1。
我希望这些信息能为您提供帮助。
答案 1 :(得分:0)
如果从来源中看到的日志显示为“不适用”,则这是一个已知问题。如果内存为我服务,这对于Cisco eStreamer协议设备是很常见的。