谢谢你的时间和帮助。我有一个无情的问题,让Cisco ASA摄取到CommonSecurityLog数据表。我认为这源于我如何通过syslog接收消息,以及我对OMSagent架构的理解和它如何区分CEF和Syslog。目前,我们没有任何东西写到任何syslog设施。我正在把我的cisco asa消息写到一个每天生成的自定义文件中。因为cisco asa不支持TCP514,所以它是通过TCP1470发送的。日志成功地流向机器,所以我没有conf语法问题。虽然我似乎找不到任何有用的东西来把它传到Sentinel上,现在它就在我的syslog服务器上,除了创建一个不会有字段映射的自定义日志之外。下面是我的syslog-ng.conf中相关源的样子。我还在数据连接器页面内运行了验证连接脚本,以确保代理连接到工作空间的一切都没问题。
source s_cisco {
tcp(port(1470));
};
destination d_cisco_asa { file("/opt/syslog-ng/cisco_asa/$HOST/$YEAR-$MONTH-$DAY-$SOURCEIP-cisco_asa.log");};
filter f_cisco_asa {
host(x.x.x.x);
};
log { source(s_cisco); filter(f_cisco_asa); destination(d_cisco_asa); };
要想通过Linux代理收集日志,我们需要通过25226端口将日志发送到代理上
#syslog config
destination security_oms { udp("127.0.0.1" port(25226)); };
and then create security events configuration file
#oms config
#/etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/
<source>
type syslog
port 25226
bind 127.0.0.1
protocol_type tcp
tag oms.security
format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
<parse>
message_format auto
</parse>
</source>
<filter oms.security.**>
type filter_syslog_security
</filter>
更多关于这个问题,你可以在OMS的Github页面上找到。业务管理系统安全事件配置