我正在编写一个 .NET 应用程序,需要将日志信息发送到 IBM 日志系统。 有人对这个有经验么?谢谢。 IBM 日志系统称为 QRADAR。
最佳答案
Windows 不包含捆绑发送系统日志的标准应用程序。 LEEF 格式是标准系统日志事件的专用格式。
QRadar 有一个应用程序或协议(protocol)可用于本地或远程检索此文件。
例如,您可以将 WinCollect 代理与文件转发器插件结合使用。 WinCollect 是一个可安装在 Windows 上的代理,可以从本地系统读取事件或远程轮询其他 Windows 系统的事件。它创建名称=值对并将系统日志事件发送到 QRadar。您可以使用文件转发器插件(刚刚发布)通过 Universal DSM + Log Source Extension 来完成此操作,以正确解析和分类您的自定义 .NET 事件。
或者,您可以将 LEEF 事件写入平面文件。 QRadar 可以使用称为日志文件协议(protocol)的协议(protocol)导入这些内容。这不是实时的,但可以每 15 分钟检索一次文件(FTP、SFTP 或 SCP)。
不过,您应该访问 QRadar 客户论坛以获得问题的更具体答案。
http://www.ibm.com/developerworks/forums/category.jspa?categoryID=528
关于.net - 如何将 .NET 登录到 QRADAR,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23414517/