在当前的实验室设置中,我安装了ossec代理并将日志发送到ossec服务器的Windows计算机和Linux计算机很少。 从OSSEC服务器,我正在通过syslog输出将日志转发到logstash。 在logstash中,我不做任何修改,只是将原始日志转发到已收到的qradar(已验证)。它具有警报级别,规则和事件。但是在qradar中,它显示的是logstash服务器的单个日志源。 从logstash,我将日志作为syslog发送到qradar。 理想情况下,在qradar中,所有将日志发送到ossec的机器都应在日志源中列出,但不会发生。 我在做什么错呢?任何帮助..我都点击了此链接https://www.ibm.com/support/knowledgecenter/en/SS42VS_DSM/t_DSM_guide_OSSEC_cfg.html,而不是直接将日志发送到qradar,我在两者之间放置了logstash。
答案 0 :(得分:0)
我没有发现任何错误,如果您的设备和QRadar之间有Logstash,则QRadar知道的唯一日志源是Logstash服务器,这是向其发送数据的唯一服务。
如果您想将OSsec设备列为QRadar中的日志源,我认为您需要将日志直接发送到QRadar。
edit:我不太了解QRadar,但是如果可以使用标签或自定义字段来标识日志源,也许您可以在logstash管道中添加一个自定义字段,QRadar将使用此字段来知道日志源不是您的logstash服务器,而是其他设备。