FlexConnector类型
下表列出了可用的 FlexConnector 类型。
FlexConnector 类型 | 描述 |
---|---|
File | 如果事件数据在使用固定的、带分隔符的格式的日志文件中, 请选择此类型。在这种情况下, 文本文件中的每一行都表示唯一的事件, 并且每行包含相同数量的字段, 顺序相同。固定格式的日志文件可以用逗号、制表符或其他字符 (如管道 (‘|’) 来分隔。所有文件读取器 FlexConnectors 都可以处理 GZIP 和 ZIP 文件。不支持其他压缩格式。压缩文件仅以批处理模式处理。连接器从开始到末尾读取文件, 然后停止监视文件。 |
ID-Based Database | 为将安全事件信息写入数据库的设备选择基于 ID 的数据库或基于时间的数据库。每行表示一个事件, 列的数目和意义是固定的。如果使用唯一 id 从数据库中读取事件, 请选择基于 ID 的数据库。 |
JSON Folder Follower | 为将事件信息写入 JSON 文件的设备选择此类型。这些文件中的事件信息以标准 JSON 格式显示。此类型递归地读取文件夹中基于 JSON 的文件中的事件。 |
Multiple Database | 选择此类型可从使用相同查询的多个数据库中检索信息, 或使用同一数据库中的不同查询检索不同的事件集。 |
Multiple Folder File | 为将日志文件写入多个文件夹的设备选择此类型。此连接器类型可以实时或以批处理模式读取事件。 |
Regex File | 如果源日志文件每行有一个事件, 则选择此类型, 但每行的格式根据事件信息的类型而变化。在这种情况下, 每行共享一个公共节 (例如, 日期和主机名), 但行中其他字段的数量和内容也会有所不同。 |
Regex Folder File | 文件和 Regex 文件 FlexConnectors 从日志文件中实时读取事件 (一次一行)。但是, 某些设备可能无法实时写入日志文件。若要读取此类事件, 请使用 Regex 文件夹从下 FlexConnector。此连接器处理指定文件夹中的所有日志文件。 |
REST | rest FlexConnector 使用 rest API 终结点、JSON 分析器和 OAuth2 身份验证来收集云供应商 (如 Salesforce 或 Google 应用程序) 的安全事件。 |
Scanner DB | 选择scanner FlexConnector 类型以从scanner设备导入扫描结果, 并将数据转发到 esm, 以便 esm 可以对组织的资产、打开的端口、操作系统、应用程序和漏洞建模。连接器将定期扫描导入到 ESM, 它使用此信息进行事件优先级、报告和关联。 |
Scanner Text Reports | 普通文本报告包含单个扫描的结果, 其中每行包含一条有关主机的信息。基于正则表达式的分析器用于从报告中提取相关信息。 |
Scanner XML Reports | 普通文本报告包含单个扫描的结果, 其中每行包含一条有关主机的信息。基于正则表达式的分析器用于从报告中提取相关信息。 |
Time-Based Database | 为将安全事件信息写入数据库的设备选择基于 ID 的数据库或基于时间的数据库。每行表示一个事件, 列的数目和意义是固定的。一列表示事件时间戳, 可用于对行进行排序。要从数据库表行读取事件, 请选择基于时间的 DB。 |
XML File | 为将事件信息写入 XML 文件的设备选择此类型。这些文件中的事件信息以标准 XML 格式显示, 使用命名空间、元素、属性、文本和 cdata。此连接器类型递归地读取文件夹中基于 XML 的文件中的事件。 |
SNMP Unified | 对于 snmp 设备, 请选择 snmp 统一的 SmartConnector。有关安装和配置信息, 请参阅 SmartConnector 配置指南。 |
Syslog | 要从日志消息中读取事件, 请选择 SmartConnector 守护进程的 “”, 并定义一个 syslog FlexConnector 子连接器来解析感兴趣的 syslog 数据包。 |