Указание типа источника журналов

Следующая процедура требуется только в том случае, если пришлось вручную добавить Kaspersky CyberTrace Service в QRadar в качестве источника журналов из-за отсутствия последних обновлений QRadar. С помощью этой процедуры задается свойство Log Source Type добавленных пользовательских свойств события.

Чтобы указать тип источника журналов для добавленных пользовательских свойств события, выполните следующие действия:

1. В QRadar выберите Admin и в разделе Data sources в разделе Events выберите Custom Event Properties.

   

   Вкладка Admin в QRadar Console

   Откроется окно Custom Event Properties.

   

   Пользовательские свойства события

2. Для каждого пользовательского свойства события выполните следующие действия:
   1. Выберите свойство.
   2. Нажмите на кнопку Изменить.

      Откроется окно Custom Event Property Definition.

   3. В раскрывающемся списке Log Source Type выберите Universal LEEF.
   4. Выберите вариант Existing Property.

      Вариант Existing Property был выбран до изменения значения в раскрывающемся списке Log Source Type. Однако после изменения типа источника журналов был выбран вариант New Property. Следовательно, необходимо снова выбрать вариант Existing Property.

   5. Нажмите на кнопку Save.

   

   Определение пользовательского свойства события

   Теперь для всех пользовательских свойств события задан тип источника журналов «Universal LEEF».