모든 QRadar 제품은 두 그룹으로 나눌 수 있습니다: 7.2.8 버전 이전과 가장 최신 버전.
7.2.8+ QRadar 버전에서는 모든 구문 분석 변경이 웹 콘솔에서 수행됩니다.
구문 분석 문제를 해결하려면 다음 단계를 수행해야 합니다:
- QRadar의 로그 활동 페이지에서 구문 분석 문제가 있는 이벤트를 검색하십시오.
- CTRL 또는 SHIFT를 사용하여 구문 분석 변경이 필요한 이벤트를 선택하십시오. 메뉴에서 작업 – DSM 편집기로 이동합니다.
- 구문 분석 변경이 필요한 속성을 찾거나 선택하십시오. 속성 구성에서 시스템 동작 재정의를 선택하십시오. 정규식 필드에는 필요한 필드를 설명하는 정규 표현식을 작성해야 합니다. 올바르게 수행하면 로그에서 노란색으로 강조된 텍스트를 볼 수 있습니다. 아래 예시:
- 저장을 클릭합니다. 구문 분석 오류가 있는지 로그를 확인하세요. 오류가 있으면 절차를 다시 반복하십시오.
QRadar의 이전 버전에서는 이 절차가 약간 다릅니다:
- *.LSX 파일을 작성해야 합니다.
파일에는 구조가 있습니다. 필드 속성을 정규식과 매핑해야 합니다.
전체 파일 구조는 아래와 같습니다:
- ‘패턴 ID’ 필드에는 로그에서 필드를 설명하는 정규식을 ‘DATA’ 위치에 추가해야 합니다.
- 생성이 완료되면 QRadar 콘솔에 파서를 추가해야 합니다. 관리자 탭 – 로그 소스 확장으로 이동합니다.
- 아래 스크린샷과 같이 파서를 추가하십시오.
- 관리자 – 로그 소스 페이지로 이동하십시오. 파서를 추가해야 하는 로그 소스를 편집합니다.
- 저장을 클릭합니다. 구문 분석 오류가 있는지 로그를 확인하세요. 오류가 있으면 절차를 다시 반복하십시오.
