Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

DSM 故障排除

问题

描述

如果遇到 DSM 问题,可以解决以下问题。

解决 方案

当使用非官方 DSM 解析和收集事件时会发生什么情况?

没有官方 DSM 并不意味着没有收集事件。它表示,JSA 收到的事件可能会在 JSA 的“日志活动”选项卡中标识为“未知”。“未知”表示 JSA 收集了事件,但无法解析事件格式对事件进行分类。但是,如果不遵循预期的事件格式,则无法解析或识别非官方 DSM 中的某些独特事件。如果系统无法理解某个事件,则它们被归类为“未知”。

未知事件和已存储事件之间的差异是什么?

活动包括三个不同的类别:

  • 解析事件 - JSA 会收集事件并解析事件,并将事件分类到正确的日志源。

  • 未知事件 - 已收集和解析事件,但无法映射或分类为特定的日志源。活动名称和低级类别设置为 未知。在系统中手动创建日志源之前,不会自动发现的日志源通常被识别为未知事件日志。当事件无法与日志源关联时,该事件会被分配给通用日志源。您可以通过搜索与 SIM Generic 日志源关联的事件或使用 Event is Unparsed 过滤器来识别这些事件。

  • 存储的事件 - JSA 无法理解或解析事件。当 JSA 无法解析事件时,它会将事件写入磁盘,并将事件分类为 “存储”。

如何在“日志活动”选项卡中找到这些事件?

要查找设备的特定事件,可以在 JSA 中搜索设备的源 IP 地址。您还可以从事件有效负载中选择唯一值并搜索 Payload Contains。其中一次搜索可能会找到您的事件,可能会将其分类为未知或已存储。

查找未知或存储事件的最简单方法是添加搜索过滤器 Event in Unparsed。此搜索过滤器用于查找无法解析(存储)的所有事件或可能与日志源关联或自动发现的事件(未知日志事件)。

有关正式支持的 DSM 的更多信息,请参阅 JSA 支持的 DSM

如果日志源无法自动发现未知事件日志,该怎么办?

事件收集服务 (ECS) 包含一个流量分析过程,可自动发现和创建新的事件日志源。流量分析尝试通过分析事件有效负载来识别日志源。识别日志源至少需要 25 个事件。如果 1,000 个事件后流量分析无法识别日志源,则 JSA 将放弃自动发现过程。当事件有效负载无法识别日志源并达到流量分析的最大阈值时, JSA 会生成指定日志源 IP 地址的通知。 JSA 会生成以下通知:

Unable to automatically detect the associated log source for IP address <IP>

然后,JSA 将日志源分类为 SIM 通用,并将事件标签为 未知事件日志

JSA 可以自动发现某些日志源,但无法检测到某些受支持的日志源。此通知的常见原因包括:

  • 设备比 JSA 支持的用于解析事件的 DSM 版本要更新。

  • 设备类型不支持自动日志源发现。查看 DSM 的文档,看看它是否被自动发现。

  • 日志格式可能未达到预期。可能缺少可自定义的事件格式或必填字段。

  • 设备可能由于配置不正确而正在创建事件格式。

  • 这些日志来自 JSA 中不是正式支持的 DSM 的设备。

要解决未知事件日志:

  • 查看 IP 地址,以确定哪个设备正在发送未经解析的事件。识别设备后,您可以使用 JSA 日志源管理应用程序手动创建日志源。

  • 查看以低速率转发事件的任何日志源。事件速率低的日志源是此通知的常见原因。

  • 确保自动更新下载最新的 DSM 以正确解析 JSA 系统的事件。

  • 查看通过中央日志服务器提供事件的任何日志源。从中央日志服务器或管理控制台提供的日志可能需要手动创建其日志源。

  • 查看 日志活动 选项卡,根据通知消息中的 IP 地址确定设备类型,并在 JSA 中手动创建日志源。

如果 DSM 配置指南中未列出您拥有的产品版本或设备,该怎么办?

有时,某个供应商产品或设备的某个版本未列为受支持。如果产品或设备未列出,请遵循以下准则:

  • 版本未列出 - 如果 JSA 正式支持产品的 DSM,但您的产品版本未在《JSA DSM 配置指南》中列出,则您具有以下选项:

    • 试用 DSM,看看它是否工作。指南中列出的产品版本由瞻博网络测试,但较新版本的未经测试也可使用。

    • 如果您试用 DSM 但不起作用,请打开支持工单,查看日志源,以便排除故障并排除任何潜在问题。

    提示:

    在大多数情况下,不需要更改,或者可能需要对 QRadar 标识符 (QID) 映射进行轻微更新。供应商的软件更新可能会在极少数情况下添加或更改破坏 DSM 的事件格式,因此需要 RFE 来开发新集成。这是唯一需要 RFE 的场景。

  • 设备未列出 - 当设备不受正式支持时,您具有以下选项:

    • 打开增强 (RFE) 请求,正式支持您的设备。

      • 转至 JSA。

      • 登录支持门户页面。

      • 单击 提交 选项卡并键入必要的信息。

      提示:

      如果设备有事件日志,请附上事件日志信息,并包括生成事件日志的设备的产品版本。

    • 编写日志源扩展,以分析设备的事件。有关更多信息,请参阅 日志源扩展

    • 您可以使用内容扩展来向某些第三方供应商提供的 JSA 发送事件。可以在 IBM Security App Exchange 上找到这些工具。