什么是 DSM?
DSM(Device Support Module)是 QRadar 解析特定厂商日志格式的模块。
DSM 开发选项
| 方式 | 难度 | 适用场景 |
|---|---|---|
| Universal DSM | 低 | 简单日志,标准格式 |
| DSM Editor | 中 | 微调现有 DSM |
| Custom DSM (Java) | 高 | 复杂解析逻辑 |
Universal DSM 示例
日志格式:
2024-06-18 10:30:00 | APP=myapp | SEVERITY=HIGH | USER=john | ACTION=login | RESULT=success | SRC=192.168.1.1
正则提取:
(?<timestamp>\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}) \| APP=(?<app>[^|]+) \| SEVERITY=(?<severity>[^|]+) \| USER=(?<username>[^|]+) \| ACTION=(?<action>[^|]+) \| RESULT=(?<result>[^|]+) \| SRC=(?<sourceip>[^|]+)DSM Editor 用法
路径:Admin > DSM Editor
- 创建新日志源类型
- 上传样本日志
- 定义解析步骤
- 映射到 QID
- 测试并部署
上一章:03 - AQL 高级查询 下一章:05 - REST API 开发