Tutti i prodotti QRadar possono essere suddivisi in due gruppi: versioni prima della 7.2.8 e tutte le versioni più recenti.
Nelle versioni QRadar 7.2.8+, tutte le modifiche di parsing vengono effettuate dalla console WEB.
Per risolvere un problema di parsing, è necessario seguire i seguenti passaggi:
- Crea una ricerca nella pagina di Log Activity in QRadar dove puoi ottenere eventi con problemi di parsing.
- Seleziona un evento che richiede una modifica di parsing utilizzando CTRL o SHIFT. Vai al menu Azioni – Editor DSM.
- Trova o seleziona una proprietà per la quale vuoi una modifica di parsing. Seleziona Override System behavior nella Configurazione della proprietà. Nel campo Regex, è necessario scrivere un’espressione regolare che descrive il campo richiesto. Se fai tutto correttamente, vedrai il testo, evidenziato in giallo nei log. L’esempio sotto:
- Clicca su Salva. Controlla i log per errori di parsing. Se sono presenti errori, ripeti di nuovo la procedura.
Nelle versioni precedenti di QRadar questa procedura è leggermente diversa:
- È necessario creare un file *.LSX.
Il file ha una struttura. Devi mappare la proprietà del campo con regex.
La struttura completa del file è di seguito:
- Nei campi ‘pattern id’, devi aggiungere regex che descrive i campi nei log nel posto ’DATA’.
- Dopo che le creazioni sono terminate, devi aggiungere un parser alla console QRadar. Vai alla scheda Admin – Log Source Extensions.
- Aggiungi il parser, come mostrato nello screenshot sotto.
- Vai alla pagina Admin – Log Sources. Modifica la fonte di log che ha bisogno di aggiungere un parser.
- Clicca su Salva. Controlla i log per errori di parsing. Se sono presenti errori, ripeti di nuovo la procedura.
