MCP_Qradar

基本能力

产品定位

MCP_Qradar是一个日志转换工具，专门用于将McAfee Cloud Proxy的日志转换为IBM Qradar可识别的格式。

核心功能

1. 日志转换：将McAfee Cloud Proxy的WebSaas CSV文件转换为Qradar可摄入的日志格式。
2. 定时调度：通过Shell脚本实现定时任务调度，定期检查并处理新日志文件。
3. 多线程处理：Python脚本支持多线程转换，提高处理效率。

适用场景

1. 安全日志分析：适用于需要将McAfee Cloud Proxy日志集成到Qradar进行安全分析和监控的场景。
2. 日志集中管理：适用于需要将分散的日志集中到Qradar进行统一管理的环境。

工具列表

1. Python脚本：负责从McAfee CSR服务器拉取WebSaas CSV文件并进行多线程转换。
2. Shell脚本：用于定时调度转换任务，通常配置为每15分钟运行一次。

常见问题解答

1. 脚本运行环境：需要在Linux主机上运行，建议使用Python 2.7。
2. 日志文件路径：确保日志文件正确放置在指定的in、out和tmp目录中。
3. Qradar配置：在Qradar端配置日志源时，需使用McAfee Web Gateway DSM类型，并选择SFTP文件协议。

使用教程

使用依赖

1. Linux主机：需要一个Linux主机，并创建本地用户mcafee，其主目录为/home/mcafee。
2. Python 2.7：确保系统已安装Python 2.7。
3. 目录结构：在/home/mcafee下创建in、out、tmp和bin目录。

安装教程

1. 克隆脚本：将Python脚本和Shell脚本放入/home/mcafee/bin目录。
2. 配置Cron任务：编辑Cron表，添加以下任务： bash */15 * * * * /home/mcafee/bin/shell_script.sh
3. 配置日志推送：使用Posh-SSH工具将McAfee CSR服务器的日志推送到/home/mcafee/in目录。

调试方式

1. 直接运行Python脚本： bash python /home/mcafee/bin/python_script.py
2. 检查日志文件：确保转换后的日志文件正确生成在/home/mcafee/out目录中。
3. Qradar日志源测试：在Qradar端验证日志源是否能够正确接收并解析日志文件。

许可证

该项目遵循 MIT 开源许可条款，请参阅 MIT 了解完整条款。