Когда события из файла sample_initiallog.txt поступают в QRadar, на странице Log Activity они могут отображаться с именем «unknown», «Unknown Kaspersky Threat Feed Service Event» или иным описательным именем вместо стандартного значения (например, «KL_Threat_Feed_Service» или «CyberCrime_Tracker_Block_Url»). Это может привести к дублированию несвязанных между собой событий.
Журнал с событиями «unknown»
Если на странице Log Activity отображается слишком много событий, поступающих с разных устройств, можно добавить фильтр событий. В этом фильтре событий установите KL_Threat_Feed_Service_v2
и KL_Verification_Tool
в качестве источников журналов (в фильтре должен использоваться оператор Equals any of
).
Чтобы правильно идентифицировать события, настройте сопоставление QID с событиями:
KL_Threat_Feed_Service_v2
в столбце Log Source. Остановка потока событий
Отобразится информация о событии. Имя события содержится в поле Payload information.
Просмотр информации о событии
В таблице Matching QIDs будет отображаться один результат.
Добавление соответствия между QID и именем события
Журнал без событий «unknown»