蓝色外套代理

Blue Coat ProxySG是一款基于云的产品，为用户提供网络安全。将此事件源连接到InsightIDR将增强可用于分析的安全数据。

在你开始之前

Blue Coat Security以特定格式ELFF记录其数据，该格式允许您定义记录数据字段的顺序。您可以在此处了解如何定义字段顺序：https://portal.threatpulse.com/docs/am/PDFBriefs/BCWSSPrxyFwd.pdf

为了让Blue Coat与InsightIDR解析器正常工作，请确保以下字段位于日志的前面，如下所示:日期时间c-ip s-action sc状态cs方法cs uri方案cs uri cs（用户代理）cs字节sc字节sc筛选结果

您可以在初始字段之后添加额外的字段，这不会影响解析器。

如何配置事件源

1. 从仪表板中选择数据收集在左边的菜单上。
2. 当出现“数据采集”页面时，单击设置事件源下拉选择添加事件源．
3. 从“安全数据”部分，单击Web代理图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 可选择发送未经过滤的日志．
6. 选择时区与事件源日志的位置匹配。
7. 选择一个收集的方法并指定端口和协议。
   • 选择加密事件源，如果通过下载Rapid7证书．
8. 点击保存．