Adapter la taille des messages syslog UDP dans QRadar

QRadar utilise une taille par défaut de 1024 octets pour les messages syslog UDP (taille de la charge utile ou payload).
Lorsque un message excède cette taille, il est alors automatiquement tronqué.

Or, certains événements émis par les firewalls SNS excèdent cette taille. Le type de log étant positionné en fin de ligne, la catégorie d'événement correspondante ne pourra donc pas être extraite par QRadar et ces messages seront alors considérés comme inconnus par QRadar.

Il est donc nécessaire de modifier la taille des messages syslog UDP acceptés par IBM Qradar.
Une taille de 2048 octets est suffisante pour couvrir l'ensemble des types de messages pouvant être émis par le firewall.

Modifier la taille de la charge utile des messages syslog dans QRadar

1. Connectez-vous à votre console IBM Qradar.
2. Dans le menu Admin, sélectionnez System settings :
   
3. Passez l'affichage du panneau de réglages système du mode Basic au mode Advanced.
4. Dans le champ Max UDP Syslog Payload Length, indiquez 2048 :
   
   
5. Cliquez sur Save pour enregistrer vos modifications.