1

感谢您的时间和帮助。我在将 Cisco ASA 引入 CommonSecurityLog 数据表时遇到了很多问题。我认为这源于我如何通过 syslog 接收消息以及我对 omsagent 架构的理解以及它如何区分 CEF 和 Syslog。目前,我们没有任何内容写入任何系统日志设施。我正在将我的 cisco asa 消息写入每天生成的自定义文件。它在 TCP/1470 上发送,因为 cisco asa 不支持 TCP/514。日志已成功流向机器,所以我没有 conf 语法问题。尽管现在我似乎找不到任何有助于将其放入 Sentinel 的方法,因为它位于我的系统日志服务器上,而不是创建一个没有字段映射的自定义日志。下面是我的 syslog-ng。conf 看起来像相关的来源。我还在数据连接器页面中运行了验证连接脚本,以确保代理连接到工作区时一切正常。

source s_cisco {
        tcp(port(1470));
};

destination d_cisco_asa { file("/opt/syslog-ng/cisco_asa/$HOST/$YEAR-$MONTH-$DAY-$SOURCEIP-cisco_asa.log");};

filter f_cisco_asa {
                                               host(x.x.x.x);
                                                };

log { source(s_cisco); filter(f_cisco_asa); destination(d_cisco_asa); };
4

1 回答 1

0

要通过 Linux 代理收集日志,我们需要通过端口 25226 将它们发送到代理

#syslog config
destination security_oms { udp("127.0.0.1" port(25226)); };
and then create security events configuration file


#oms config
#/etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/
<source>
  type syslog
  port 25226
  bind 127.0.0.1
  protocol_type tcp
  tag oms.security
  format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
  <parse>
     message_format auto
  </parse>
</source>


<filter oms.security.**>
  type filter_syslog_security
</filter>

有关更多信息,您可以在 oms github 页面上找到OMS 安全事件配置

于 2020-04-23T08:39:51.173 回答