QRadar SIEM AIO v7.3.0手动添加的日志源显示状态不适用

Question

在QRadar部署之后，一些日志源如预期的那样被自动发现，但其他不被QRadar自动发现的日志源，我使用批量选项在管理->日志源中手动添加它们。

它们都已成功添加，但它们的状态仍显示为N/A。甚至状态为N/A的日志源也显示在资产选项卡上。

我还检查了日志活动选项卡中是否也显示了这些日志。为什么在QRadar上收到日志后，v7.3.0上的状态仍不显示成功，这是一个已知的问题吗？

提前感谢

Answer 1

您可以检查日志源İ识别器，它是主机名还是IP？如果log.Likely中有主机名后时间信息，则应写“主机名”。如果log.After中有IP后时间信息，则应写“主机名”。如果要启用/禁用日志源，请等待几分钟，应成功。

例如；Apr 10 17:35:25 127.0.0.1Thread-62 com.q1labs.hostcontext.health.Agent: INFO ...

您应该在日志源标识符上写入127.0.0.1。

我希望这些信息能对你有所帮助。

Answer 2

如果您看到来自源的日志显示为N/A，则这是一个已知问题。如果我没记错的话，这对于思科eStreamer协议设备来说是很常见的。