Проблема с получением Cisco ASA для загрузки в таблицу данных CommonSecurityLog - PullRequest
Новая
       112

Проблема с получением Cisco ASA для загрузки в таблицу данных CommonSecurityLog

1 голос
/ 17 апреля 2020

спасибо за ваше время и помощь в этом. У меня возникли непрекращающиеся проблемы с получением Cisco ASA в таблице данных CommonSecurityLog. Я думаю, что это связано с тем, как я получаю сообщения через syslog, и с моим пониманием архитектуры omsagent и того, как оно различает CEF и Syslog. В настоящее время мы ничего не пишем в средства системного журнала. Я пишу свои сообщения cisco asa в пользовательский файл, который создается каждый день. Это он отправил по TCP / 1470, потому что cisco asa не поддерживает TCP / 514. Журналы успешно передаются на компьютер, поэтому у меня нет проблем с синтаксисом conf. Хотя я не могу найти ничего полезного, чтобы передать это в Sentinel сейчас, когда он находится на моем сервере системного журнала, не создавая пользовательский журнал, в котором не будет отображаться поле. Ниже показано, как выглядит мой syslog-ng.conf для соответствующего источника. Я также запустил сценарий проверки подключения на странице соединителя данных, чтобы убедиться, что с агентом, подключающимся к рабочей области, все в порядке. 

source s_cisco {
        tcp(port(1470));
};

destination d_cisco_asa { file("/opt/syslog-ng/cisco_asa/$HOST/$YEAR-$MONTH-$DAY-$SOURCEIP-cisco_asa.log");};

filter f_cisco_asa {
                                               host(x.x.x.x);
                                                };

log { source(s_cisco); filter(f_cisco_asa); destination(d_cisco_asa); };

1 Ответ

0 голосов
/ 23 апреля 2020

Для сбора журналов агентом Linux нам нужно отправить их агенту через порт 25226 

#syslog config
destination security_oms { udp("127.0.0.1" port(25226)); };
and then create security events configuration file


#oms config
#/etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/
<source>
  type syslog
  port 25226
  bind 127.0.0.1
  protocol_type tcp
  tag oms.security
  format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
  <parse>
     message_format auto
  </parse>
</source>


<filter oms.security.**>
  type filter_syslog_security
</filter>

Подробнее об этом вы можете узнать на странице oms github Настройка событий безопасности OMS

...