IBM QRadar: Come Creare una Regola per il Monitoraggio delle Origini di Log

1. Vai alla Sezione Regole:
   • Naviga suOffese > Regole.
   • Clicca suAzioni > Nuova Regola Evento.

Poi vedrai laFinestra Procedura Guidata Regola.
In questo passaggio, usa il parametro predefinito.

• Nell’editor delle regole, clicca suGruppo di Teste scegli dall’elenco a discesaProva Fonte di Log
• Cerca e seleziona il parametro ‘quando l’evento(i) non è stato rilevato da’.
• Imposta il ‘di queste fonti di log’e ‘questo numero’(ad es., 10 minuti (impostati in secondi)).

Ad esempio, nello screenshot, ho chiamato la regola test_wather poi ho impostato “e quando l’evento(i) non è stato rilevato da uno o più di SRV-WIN-XXX per 6000 secondi” selezionatoGruppo “Sistema”e ho aggiuntoNote “monitoraggio delle fonti di log“:

• Sotto laRispostascheda, scegli la o le risposte da adottare quando un evento attiva questa regola.
  • Clicca suGestisci Destinazioni
  • Nella finestra aperta clicca suaggiungi:Per aggiungere una nuova destinazione.
  • Nella finestra apertaProprietà Destinazione di Inoltro: Imposta le proprietà della tua destinazione e clicca Salva. Ad esempio, nello screenshot, ho impostato la destinazione su un server utilizzando il protocollo tcp.. For example, in the screenshot, I set the destination on a server by using tcp protocol. 

Dopo di ciò, puoi vedere la tuaDestinazione creata. Sceglila e clicca sufine

Ora inOffese,puoi vedere la tua regola creata. Ad esempio, nello screenshot, ho creato la regola test_wather.

Ora, se la tua fonte di log smette di arrivare, vedrai un messaggio al riguardo. Ad esempio, nello screenshot, la regola invia un messaggio sul server tramite protocollo tcp.