IBM QRadar: Cómo crear una regla para el monitoreo de fuentes de registro

1. Ir a la Sección de Reglas:
   • Navegar a Ofensas > Reglas.
   • Hacer clic en Acciones > Nueva Regla de Evento.

Luego verá Asistente de Reglas ventana.
En este paso, use el parámetro predeterminado.

• En el editor de reglas, haga clic en Grupo de Pruebas y elija de la lista desplegable Prueba de Fuente de Registro
• Busque y seleccione el parámetro ‘cuando el(los) evento(s) no hayan sido detectados por’.
• Establezca el ‘de estas fuentes de registro’ y ‘tantos’(por ejemplo, 10 minutos (establecido en segundos)).

Por ejemplo, en la captura, nombré la regla test_wather luego configuré «y cuando el(los) evento(s) no hayan sido detectados por una o más de SRV-WIN-XXX por 6000 segundos» seleccionado Grupo «Sistema» y añadí Notas «monitoreo de fuente de registro«:

• Bajo la pestaña Respuesta, elija la(s) respuesta(s) a realizar cuando un evento active esta regla.
  • Hacer clic en Gestionar Destinos
  • En la ventana abierta haga clic en añadir: Para añadir un nuevo destino.
  • En la ventana abierta Propiedades del Destino de Reenvío: configure sus propiedades de destino y haga clic en  Guardar. Por ejemplo, en la captura, configuré el destino en un servidor usando el protocolo tcp. . For example, in the screenshot, I set the destination on a server by using tcp protocol. 

Después de eso, puede ver su Destino creado. Elíjalo y haga clic en finalizar

Ahora en Ofensas, puede ver su regla creada. Por ejemplo, en la captura, creé la Regla test_wather.

Ahora, si su fuente de registro deja de llegar, verá un mensaje al respecto. Por ejemplo, en la captura, la Regla envía un mensaje en el servidor por el protocolo tcp.