自定义日志
与其他原始数据一样,自定义日志将贯穿InsightIDR的信息上下文化,并且在日志搜索期间很有帮助。
任何类型的基于文本的日志都可以通过InsightIDR接收。此事件源将原样接受任何数据,并且不进行解析。因此,当您希望以平台当前不支持的格式发送数据时,请使用此事件源。
如何配置事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“原始数据”部分,单击自定义日志图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 配置不活动超时阈值(分钟)。
- 选择一个收集的方法并指定端口和协议。
- 可以选择加密事件源,如果选择TCP通过下载Rapid7证书.
- 点击保存.
自定义日志的建议
Rapid7建议使用JSON或KVP格式进行日志记录,因为日志搜索中的数据以这种形式显示。发送一个非结构化字符串将在InsightIDR中生成一个非结构化日志条目——您可以在事件中搜索任何文本,但失去了关键字搜索的好处。
以JSON或KVP格式格式化日志将允许InsightIDR保留关键字格式,并提供关键字搜索的额外好处(例如,foo=bar)。
这个页面对你有帮助吗?