Спасибо за ваше время и помощь в этом. У меня постоянно возникают проблемы с добавлением Cisco ASA в таблицу данных CommonSecurityLog. Я думаю, это связано с тем, как я получаю сообщения через системный журнал, и с моим пониманием архитектуры omsagent и того, как он различает CEF и Syslog. В настоящее время у нас нет ничего, что записывает какие-либо средства системного журнала. Я пишу свои сообщения cisco asa в пользовательский файл, который создается каждый день. Это отправка по TCP/1470, потому что cisco asa не поддерживает TCP/514. Журналы успешно передаются на машину, поэтому у меня нет проблемы с синтаксисом conf. Хотя я не могу найти ничего полезного, чтобы передать это в Sentinel теперь, когда он находится на моем сервере системного журнала, за исключением создания пользовательского журнала, в котором не будет сопоставления полей. Ниже показано, как выглядит мой syslog-ng.conf для соответствующего источника. Я также запустил сценарий проверки подключения на странице соединителя данных, чтобы убедиться, что агент подключается к рабочей области в порядке.

source s_cisco {
        tcp(port(1470));
};

destination d_cisco_asa { file("/opt/syslog-ng/cisco_asa/$HOST/$YEAR-$MONTH-$DAY-$SOURCEIP-cisco_asa.log");};

filter f_cisco_asa {
                                               host(x.x.x.x);
                                                };

log { source(s_cisco); filter(f_cisco_asa); destination(d_cisco_asa); };
syslog azure-log-analytics azure-sentinel
1
C. Lozach 17 Апр 2020 в 19:17

1 ответ

Для сбора логов агентом Linux нам нужно отправить их агенту через порт 25226.

#syslog config
destination security_oms { udp("127.0.0.1" port(25226)); };
and then create security events configuration file


#oms config
#/etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/
<source>
  type syslog
  port 25226
  bind 127.0.0.1
  protocol_type tcp
  tag oms.security
  format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
  <parse>
     message_format auto
  </parse>
</source>


<filter oms.security.**>
  type filter_syslog_security
</filter>

Подробнее об этом вы можете узнать на странице oms github Конфигурация событий безопасности OMS

0
profesor79 23 Апр 2020 в 11:39

Похожие вопросы

1 Потерянные пакеты системного журнала
1 Не видеть системные журналы, когда сервер системного журнала добавляется по имени хоста
1 Как мне расширить этот RegEx данными CEF с этими двумя парами ключевых значений?
1 Таблица запросов Azure Sentinel Kusto с данными из другого запроса
💵 Получи $100 на хостинг на 60 дней.
Регистрируйся!

Новые вопросы

1 Системный журнал с анализом данных JSON с использованием PyParsing
1 Отправлять журналы приложений-контейнеров kubernetes (stdout и stderr) на сервер UDP.
1 Обязательные поля rsyslog не печатаются в журналах
1 Псевдоним «/var/run/syslog» на «/dev/log» в MacOS 13.
1 rsyslog , собирать журнал из файлов вне /var/log
1 Добавление звездочки (*) в файл конфигурации с модулем Ansible lineinfile
1 Удалять файлы журналов с прокруткой в ​​log4j2 после достижения порогового размера
1 RFC 5424 и системный журнал
1 служба/агент для захвата активности в файловой системе Windows
1 Управление файлом журнала с помощью python
Все вопросы по теме syslog >

syslog

Системный журнал является стандартом для регистрации сообщений программы.

Подробнее про syslog...