让Cisco ASA摄入CommonSecurityLog数据表的问题。

谢谢你的时间和帮助。我有一个无情的问题,让Cisco ASA摄取到CommonSecurityLog数据表。我认为这源于我如何通过syslog接收消息,以及我对OMSagent架构的理解和它如何区分CEF和Syslog。目前,我们没有任何东西写到任何syslog设施。我正在把我的cisco asa消息写到一个每天生成的自定义文件中。因为cisco asa不支持TCP514,所以它是通过TCP1470发送的。日志成功地流向机器,所以我没有conf语法问题。虽然我似乎找不到任何有用的东西来把它传到Sentinel上,现在它就在我的syslog服务器上,除了创建一个不会有字段映射的自定义日志之外。下面是我的syslog-ng.conf中相关源的样子。我还在数据连接器页面内运行了验证连接脚本,以确保代理连接到工作空间的一切都没问题。

source s_cisco {
        tcp(port(1470));
};

destination d_cisco_asa { file("/opt/syslog-ng/cisco_asa/$HOST/$YEAR-$MONTH-$DAY-$SOURCEIP-cisco_asa.log");};

filter f_cisco_asa {
                                               host(x.x.x.x);
                                                };

log { source(s_cisco); filter(f_cisco_asa); destination(d_cisco_asa); };

解决方案:

要想通过Linux代理收集日志,我们需要通过25226端口将日志发送到代理上

#syslog config
destination security_oms { udp("127.0.0.1" port(25226)); };
and then create security events configuration file


#oms config
#/etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/
<source>
  type syslog
  port 25226
  bind 127.0.0.1
  protocol_type tcp
  tag oms.security
  format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
  <parse>
     message_format auto
  </parse>
</source>


<filter oms.security.**>
  type filter_syslog_security
</filter>

更多关于这个问题,你可以在OMS的Github页面上找到。业务管理系统安全事件配置

给TA打赏
共{{data.count}}人
人已打赏
解决方案

javascript查询选择器和const问题

2022-5-12 3:00:15

解决方案

为什么当我去打印我的链接列表时,我得到了一个读取访问违规的信息?

2022-5-12 3:00:18

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索