自定义日志

与其他原始数据一样，自定义日志将贯穿InsightIDR的信息上下文化，并且在日志搜索期间很有帮助。

任何类型的基于文本的日志都可以通过InsightIDR接收。此事件源将原样接受任何数据，并且不进行解析。因此，当您希望以平台当前不支持的格式发送数据时，请使用此事件源。

如何配置事件源

1. 从仪表板中选择数据收集在左边的菜单上。
2. 当出现“数据采集”页面时，单击设置事件源下拉选择添加事件源．
3. 从“原始数据”部分，单击自定义日志图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 选择时区与事件源日志的位置匹配。
6. 配置不活动超时阈值(分钟)。
7. 选择一个收集的方法并指定端口和协议。
   • 可以选择加密事件源，如果选择TCP通过下载Rapid7证书．
8. 点击保存．

自定义日志的建议

Rapid7建议使用JSON或KVP格式进行日志记录，因为日志搜索中的数据以这种形式显示。发送一个非结构化字符串将在InsightIDR中生成一个非结构化日志条目——您可以在事件中搜索任何文本，但失去了关键字搜索的好处。

以JSON或KVP格式格式化日志将允许InsightIDR保留关键字格式，并提供关键字搜索的额外好处(例如，foo=bar)。