QRadar에서 기술 지원 없이 구문 분석 문제를 해결하는 방법

모든 QRadar 제품은 두 그룹으로 나눌 수 있습니다: 7.2.8 버전 이전과 가장 최신 버전.
7.2.8+ QRadar 버전에서는 모든 구문 분석 변경이 웹 콘솔에서 수행됩니다.
구문 분석 문제를 해결하려면 다음 단계를 수행해야 합니다:

• QRadar의 로그 활동 페이지에서 구문 분석 문제가 있는 이벤트를 검색하십시오.

• CTRL 또는 SHIFT를 사용하여 구문 분석 변경이 필요한 이벤트를 선택하십시오. 메뉴에서 작업 – DSM 편집기로 이동합니다.

• 구문 분석 변경이 필요한 속성을 찾거나 선택하십시오. 속성 구성에서 시스템 동작 재정의를 선택하십시오. 정규식 필드에는 필요한 필드를 설명하는 정규 표현식을 작성해야 합니다. 올바르게 수행하면 로그에서 노란색으로 강조된 텍스트를 볼 수 있습니다. 아래 예시:

• 저장을 클릭합니다. 구문 분석 오류가 있는지 로그를 확인하세요. 오류가 있으면 절차를 다시 반복하십시오.

QRadar의 이전 버전에서는 이 절차가 약간 다릅니다:

• *.LSX 파일을 작성해야 합니다.
  파일에는 구조가 있습니다. 필드 속성을 정규식과 매핑해야 합니다.
  전체 파일 구조는 아래와 같습니다:

• ‘패턴 ID’ 필드에는 로그에서 필드를 설명하는 정규식을 ‘DATA’ 위치에 추가해야 합니다.
• 생성이 완료되면 QRadar 콘솔에 파서를 추가해야 합니다. 관리자 탭 – 로그 소스 확장으로 이동합니다.

• 아래 스크린샷과 같이 파서를 추가하십시오.

• 관리자 – 로그 소스 페이지로 이동하십시오. 파서를 추가해야 하는 로그 소스를 편집합니다.

• 저장을 클릭합니다. 구문 분석 오류가 있는지 로그를 확인하세요. 오류가 있으면 절차를 다시 반복하십시오.

플랫폼으로 이동 위협 현상금에 참여