IBM QRadar : Comment créer une règle pour la surveillance des sources de journaux

1. Aller à la section Règles :
   • Accédez à Infractions > Règles.
   • Cliquez sur Actions > Nouvelle règle d’événement.

Ensuite vous Assistant de règle fenêtre.
À cette étape, utilisez le paramètre par défaut.

• Dans l’éditeur de règles, cliquez sur Groupe de test et choisissez dans la liste déroulante Test de source de journal
• Recherchez et sélectionnez le paramètre ‘quand l’événement n’a pas été détecté par’.
• Définir le ‘de ces sources de journal’ et ‘ce nombre-ci’(par exemple, 10 minutes (défini en secondes)).

Par exemple, dans la capture d’écran, j’ai nommé la règle test_wather puis j’ai défini « et quand l’événement n’a pas été détecté par un ou plusieurs de SRV-WIN-XXX pendant 6000 secondes » sélectionné Groupe « Système » et j’ai ajouté Notes « surveillance de source de journal« :

• Sous l’onglet Réponse , choisissez la ou les réponses à effectuer lorsqu’un événement déclenche cette règle.
  • Cliquez sur Gérer les destinations
  • Dans la fenêtre ouverte, cliquez sur ajouter : Pour ajouter une nouvelle destination.
  • Dans la fenêtre ouverte Propriétés de la destination de transfert : Configurez vos propriétés de destination et cliquez sur  Enregistrer. Par exemple, dans la capture d’écran, j’ai défini la destination sur un serveur en utilisant le protocole TCP. . For example, in the screenshot, I set the destination on a server by using tcp protocol. 

Après cela, vous pouvez voir que votre Destination créée. Choisissez-la et cliquez sur terminer

Maintenant, dans Infractions, vous pouvez voir votre règle créée. Par exemple, dans la capture d’écran, j’ai créé la règle test_wather.

Maintenant, si votre source de journal cesse de fonctionner, vous verrez un message à ce sujet. Par exemple, dans la capture d’écran, la règle envoie un message sur le serveur via le protocole TCP.