На этом шаге необходимо отправить в QRadar два набора событий, чтобы QRadar автоматически добавил два новых источника журналов — один для проверки работоспособности, а другой — для событий из Kaspersky CyberTrace Service.
Чтобы добавить новые источники журналов, выполните следующие действия:
Отправьте в QRadar файл verification/kl_verification_test_leef.txt
, как описано в процедуре в подразделе «Отправка набора событий» ниже.
После отправки файла проверки работоспособности QRadar будет содержать источник журналов KL_Verification_Tool
.
Для тестирования и окончательной настройки интеграции с QRadar отправьте образец файла журнала integration/qradar/sample_initiallog.txt
в QRadar, как описано в процедуре в подразделе «Отправка набора событий» ниже.
После отправки файла проверки работоспособности QRadar будет содержать источник журналов KL_Feed_Service_v2
.
Согласно документации QRadar, после добавления нового источника журналов может быть пропущено до 25 событий. Таким образом, возможно, файл sample_initiallog.txt придется отправить несколько раз. Таким образом будет обеспечено отображение некоторых событий в QRadar и их обработка в Kaspersky CyberTrace Service.
Отправка набора событий
Чтобы отправить события в QRadar, выполните следующие действия:
Connection
конфигурационного файла Log Scanner укажите IPv4-адрес и порт сервера QRadar (обычно это 514
).В ОС Linux:
./log_scanner -p <log_file> [-p <log_file2> ...]
В ОС Windows:
log_scanner.exe -p <log_file> [-p <log_file2> ...]
<log_file>
, <log_file2>
— отправляемые файлы журнала. Кроме того, можно указать каталог, содержащий файлы журнала для отправки.
В списке источников журналов появится новый источник журналов типа Kaspersky CyberTrace
.
Редактирование источника журналjd