让 Cisco ASA 被摄取到 CommonSecurityLog 数据表的问题

Question

感谢您的时间和帮助。我在将 Cisco ASA 引入 CommonSecurityLog 数据表时遇到了很多问题。我认为这源于我如何通过 syslog 接收消息，以及我对 omsagent 架构的理解以及它如何区分 CEF 和 Syslog。目前，我们没有任何内容写入任何系统日志设施。我正在将我的 cisco asa 消息写入每天生成的自定义文件。它在 TCP/1470 上发送，因为 cisco asa 不支持 TCP/514。日志已成功流向机器，所以我没有 conf 语法问题。尽管现在我似乎找不到任何有助于将其输入到 Sentinel 的内容，因为它位于我的系统日志服务器上，而不是创建一个没有字段映射的自定义日志。下面是我的 syslog-ng.conf 对于相关源的样子。我还在数据连接器页面中运行了验证连接脚本，以确保代理连接到工作区时一切正常。

source s_cisco {
        tcp(port(1470));
};

destination d_cisco_asa { file("/opt/syslog-ng/cisco_asa/$HOST/$YEAR-$MONTH-$DAY-$SOURCEIP-cisco_asa.log");};

filter f_cisco_asa {
                                               host(x.x.x.x);
                                                };

log { source(s_cisco); filter(f_cisco_asa); destination(d_cisco_asa); };

Answer 1

要通过 Linux 代理收集日志，我们需要通过端口 25226 将它们发送到代理

#syslog config
destination security_oms { udp("127.0.0.1" port(25226)); };
and then create security events configuration file


#oms config
#/etc/opt/microsoft/omsagent/<workspace id>/conf/omsagent.d/
<source>
  type syslog
  port 25226
  bind 127.0.0.1
  protocol_type tcp
  tag oms.security
  format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
  <parse>
     message_format auto
  </parse>
</source>


<filter oms.security.**>
  type filter_syslog_security
</filter>

您可以在 oms github 页面 OMS security events configuration 上找到更多相关信息