问题标签 [arcsight]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
213 浏览

bash - 无法识别标志“ ”

我需要编写一个 bash 脚本,他的第一项工作是从 arcsight ESM 中导出一个包。之后它需要将导出的档案移动到连接器服务器,但我还没有到达那个部分。我的问题是这样的:根据 arcsight ESM 手册,导出包的命令如下:

该命令只需要从arcsightESM 服务器上的主目录运行,否则 bash 无法识别arcsight为命令。我这样做了,该命令似乎运行良好,因为它确实设法登录到 ESM,返回说它正在导出包,但后来我明白了

标志 '' 无法识别

它停止了。它没有完成导出包,因为运行命令后目标文件夹中没有“packagebundle.arb”文件。所以我想问一下是否有人知道这个错误是什么以及如何解决它。直到现在还没有找到太多关于它的信息。ArcSight 版本为 6.9,Linux 版本为 RHEL 5.5。

0 投票
1 回答
656 浏览

flume - ArcSight 的 CEF Syslog 配置差异 RAW TCP 和 UDP

ArcSight 的 CEF Syslog 配置在 RAW TCP 和 UDP 之间有什么区别?

Udp syslog 是否有可能在没有端行的情况下发送,例如\n

如何从 ArcSight 发送系统日志,Flumessyslogtcp会将其读取为系统日志

0 投票
1 回答
1289 浏览

logging - 在通用事件格式 (CEF) 中,如何在实际应用程序中使用现场版本?

我正在编写一个以通用事件格式 (CEF) 输出日志的程序,同时参考此文档,该文档分解了 CEF 的组成方式。但是,我对在这个特定部分中“版本”的含义感到困惑:

CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展

这是他们展示的例子:

9 月 19 日 08:26:10 主机 CEF:0|security|threatmanager|1.0|100|蠕虫成功停止|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

“Sep 19 08:26:10 host”是标题的一部分,而不是我感到困惑的东西。在上面的示例中,版本为 0。

该文档指出,“版本是一个整数并标识 CEF 格式的版本。事件消费者使用此信息来确定以下字段代表什么”。我将其解释为版本由事件消费者和生产者定义,并用作某种标识符。但是,我不确定这是否正确,即使正确,我也找不到具体的真实生活示例来说明它是如何使用的。这个示例日志和我在搜索示例时发现的所有 CEF 日志都使用零。

有谁知道我的解释是否正确和/或有使用它的真实例子?

0 投票
1 回答
142 浏览

elasticsearch - ArcSight ESM - 显示视频的自定义仪表板

我想在 ArcSight ESM 中创建一个自定义仪表板来显示视频。

在此处输入图像描述

我花了几个小时寻找解决方案,但没有运气。请任何人都可以指导我如何完成这项任务。

提前致谢。

0 投票
1 回答
258 浏览

c# - 通过 C# 发送日志 Arcsight Logger

我想通过 C# 将日志发送到 ArcSight - Logger。

在 google 上搜索时,发现一篇有趣的文章Check devices are not logged in ArcSight Logger via C# - Hakan Ungan

我花了几个小时通过 C# 搜索“如何将日志发送到 ArcSight Logger”,但找不到任何合适的解决方案。

请有人指导我如何通过 C# 将日志发送到 ArcSight Logger。

0 投票
3 回答
77 浏览

java - 忽略令牌正则表达式中的字符串

我试图解析日志文件并且很难尝试忽略令牌中的字符串。

我试图解析的部分日志:

我想为日期创建一个令牌,在该日期应该忽略第二年之后的任何值,如下所示:

我的正则表达式字符串现在看起来像这样:

0 投票
0 回答
35 浏览

arrays - 连接列表中的修复字符串并添加到 JSON 数组中的问题

目标:获取 CSV 文件中的所有行(至少 1 行及更多行),添加修复字符串并使用 JSON 数组中的变量。

对不起,如果问题不相关。我不确定要问什么正确的问题。

我希望“entryList”格式如下所示,以便成功发布 JSON 对象。

但是,以下方法均无效。

转储 JSON(完整格式):

方法 1 - 字符串格式化

问题:JSON 转储仅显示 1 个 entryList 值。我无法获得正确的方法来逃避 {},因此它会导致不想要的 JSON 对象

方法 2 - + 连接

这里也有太多问题。必要时提供建议

0 投票
0 回答
1830 浏览

apache-kafka - Kafka Consumer 无法为任何密钥库类型和路径加载 SSL 密钥库(Logstash ArcSight 模块)

我需要为 Kafka Consumer 的客户端身份验证提供证书,但是,它总是失败并出现以下异常(Failed to load SSL keystore):

我已经尝试了所有可能的选项:

  • JKS 和 PKCS12 密钥库
  • Java 默认密钥库(/usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts)和我自己的密钥库(例如,在 /etc/logstash/keystore.jks 中)
  • 以 logstash 用户等身份检查所有权限。

在 Logstash ArcSight 模块中,密钥库设置指定如下(在 logstash.yml 中):

您知道为什么 KafkaConsumer 拒绝加载任何密钥库吗?

0 投票
0 回答
531 浏览

elasticsearch - 如果 Logstash ArcSight 模块、Logstash CEF 编解码器和 FIlebeat decode_cef 处理器不起作用,如何将 ArcSight CEF 解析为 Elasticsearch?

我的目标是将 ArcSight CEF 消息从 ArcSight Transformation Hub 以解析的形式传输到 Elasticsearch。但是,Elastic Stack 提供的所有输入选项都不起作用:

  1. Logstash ArcSight 模块根本无法通过 SSL 与 Transformation Hub 工作:Kafka Consumer Failed to load SSL keystore (Logstash ArcSight module) for any keystore type and path

  2. Logstash with Kafka Plugin 确实可以使用 SSL 从 ArcSight Transofration Hub 读取数据,但是它只读取大约 50% 的数据,因此无论我尝试哪种设置(我也尝试过 9 Logstash 实例,每个读取 9 个 Transformation Hub / Kafka 管道中的 1 个,但仍获得与单个 Logstash 实例相同数量的事件):

  3. Filebeat 还通过带有客户端证书身份验证的 SSL 与 ArcSight Transformation Hub 配合使用。但是,它使用 decode_cef 处理器。如果没有修改过的 filebeat 管道,它就无法解析一些 Windows 事件并且具有最大 5k EPS(我需要 50k EPS)。使用自定义管道,它可能可以解析所有内容,但几乎没有事件进入 Elasticsearch(每小时 5000 个事件,而不是每秒 50,000 个事件)。

所以问题是如果 Elastic 提供的 3 个“标准”选项都不起作用,如何将数据从 ArcSight 获取到 Elasticsearch?

0 投票
0 回答
19 浏览

apache-kafka - StreamSet CEF 解析问题

我们使用 Kafka 将消息从 ArcSight 发送到 StreamSets 管道。我们在解析管道中来自 Kafka 的消息时遇到了问题。从 ArcSight 发送的数据有时会被分割成块,这意味着一个巨大的脚本将被切割成小块并分成多条消息。发生这种情况时,StreamSets 管道中使用的 Kafka Consumer 无法正确解析数据。

有什么帮助吗?