IBM QRadar: Como Criar uma Regra para Monitoramento de Fonte de Log

1. Ir para a Seção de Regras:
   • Navegue até Ofensas > Regras.
   • Clique Ações > Nova Regra de Evento.

Então você verá o Assistente de Regras janela.
Nesta etapa, use o parâmetro padrão.

• No editor de regras, clique em Grupo de Teste e escolha da lista suspensa Teste de Fonte de Log
• Procure e selecione o parâmetro ‘quando o(s) evento(s) não terem sido detectados por’.
• Defina o ‘destas fontes de log’ e ‘esta quantidade’(por exemplo, 10 minutos (definido em segundos)).

Por exemplo, na captura de tela, eu nomeei a regra teste_monitoramento então eu defini “e quando o(s) evento(s) não tiverem sido detectados por um ou mais de SRV-WIN-XXX por 6000 segundos” selecionado Grupo “Sistema” e adicionei Notas “monitoramento de fonte de log“:

• Na Resposta aba, escolha a(s) resposta(s) para realizar quando um evento acionar esta regra.
  • Clique Gerenciar Destinos
  • Na janela aberta clique em adicionar: Para adicionar um novo destino.
  • Na janela aberta Propriedades do Destino de Encaminhamento: Defina suas propriedades de destino e clique em  Salvar. Por exemplo, na captura de tela, eu defini o destino em um servidor usando o protocolo tcp. . For example, in the screenshot, I set the destination on a server by using tcp protocol. 

Depois disso, você pode ver seu Destino criado. Escolha e clique em concluir

Agora em Ofensas, você pode ver sua regra criada. Por exemplo, na captura de tela, eu criei a Regra teste_monitoramento.

Agora, se sua fonte de log parar de enviar, você verá uma mensagem sobre isso. Por exemplo, na captura de tela, a Regra envia uma mensagem no servidor pelo protocolo tcp.