F5 BIG-IP LTM-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie F5 BIG-IP Local Traffic Manager-Protokolle (LTM) mit einem Google Security Operations-Weiterleiter erfassen.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Ein Datenaufnahmelabel identifiziert den Parser, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel F5_BIGIP_LTM.

F5 BIG-IP LTM konfigurieren

  1. Melden Sie sich mit Root-Anmeldedaten bei SSH an.

  2. Melden Sie sich mit dem folgenden Befehl in der Traffic Management Shell (tmsh) an:

    tmsh

  3. Mit dem folgenden Befehl können Sie gefilterte Protokollmeldungen an Remote-Syslog-Server senden:

    modify /sys syslog remote-servers none

  4. Entfernen Sie die Anweisung „remote-servers“ und fügen Sie dann eine syslog-include-Anweisung hinzu, die eine Filterregel und den Remote-Server definiert.

  5. Verwenden Sie den folgenden Befehl, um den erforderlichen syslog-Filter zu definieren, der auf den Remote-Server verweist:

    edit /sys syslog all-properties

  6. Ersetzen Sie den Befehl include none durch den folgenden Filter und fügen Sie die IP-Adresse und Portnummer hinzu.

    include "

filter f_remote_loghost {

level(debug..emerg);

};

filter f_ssl_acc {

not match(\"ssl_acc\");

};

filter f_ssl_req {

not match(\"ssl_req\");

};

destination d_remote_loghost {

udp(IP_ADDRESS PORT);

};

log {

source(s_syslog_pipe);

filter(f_remote_loghost);

filter(f_ssl_acc);

filter(f_ssl_req);

destination(d_remote_loghost);

};

"

    Ersetzen Sie IP_ADDRESS durch die IP-Adresse des Google Security Operations-Weiterleitungsservers und port durch die hohe Portnummer.

  7. Wenn Sie den Texteditor schließen möchten, drücken Sie die Esc-Taste und geben Sie dann wq! ein.

  8. Speichern Sie die Konfiguration mit dem folgenden Befehl:

    save /sys config

Google Security Operations-Weiterleiter und syslog für die Aufnahme von F5 BIG-IP LTM-Protokollen konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Weiterleitungen.
  2. Klicken Sie auf Neuen Weiterleiter hinzufügen.
  3. Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
  4. Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
  5. Geben Sie im Feld Name des Datensammlers einen Namen ein.
  6. Wählen Sie F5 BIGIP LTM als Logtyp aus.
  7. Wählen Sie Syslog als Typ des Collectors aus.
  8. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • Protokoll: Geben Sie das Protokoll an.
    • Address (Adresse): Geben Sie die IP-Adresse des Google Security Operations-Weiterleitungsservers an.
    • Port: Geben Sie den Port an.
  9. Klicken Sie auf Senden.

Weitere Informationen zu Google Security Operations-Weiterleitungen finden Sie in der Dokumentation zu Google Security Operations-Weiterleitungen. Informationen zu den Anforderungen für die einzelnen Weiterleitungstypen finden Sie unter Weiterleitungskonfiguration nach Typ.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parser normalisiert F5 BIG-IP Local Traffic Manager (LTM)-Protokolle und unterstützt sowohl Schlüssel/Wert- als auch syslog-Formate. Es werden Felder wie IP-Adressen, Nutzernamen, Aktionen und Beschreibungen extrahiert und dem UDM zugeordnet. Außerdem werden Ereignisse basierend auf Protokollinhalten und extrahierten Feldern kategorisiert, einschließlich Netzwerkverbindungen, Nutzeranmeldungen/-abmeldungen und generischen Ereignissen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Access_Profile event.idm.read_only_udm.additional.fields[].key:"Access_Profile", event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Schlüssel Access_Profile in den geparsten Schlüssel/Wert-Paaren abgeleitet.
Client_IP event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Direkt aus dem Schlüssel Client_IP in den geparsten Schlüssel/Wert-Paaren abgeleitet. Wird auch zum Ausfüllen der IP-Adresse des Haupt-Assets verwendet. Legt has_principal auf „true“ fest.
Country event.idm.read_only_udm.principal.location.country_or_region Direkt aus dem Schlüssel Country in den geparsten Schlüssel/Wert-Paaren abgeleitet.
Listener event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Schlüssel Listener in den geparsten Schlüssel/Wert-Paaren abgeleitet.
Session_ID event.idm.read_only_udm.network.session_id Direkt aus dem Schlüssel Session_ID in den geparsten Schlüssel/Wert-Paaren abgeleitet.
State event.idm.read_only_udm.principal.location.state Direkt aus dem Schlüssel State in den geparsten Schlüssel/Wert-Paaren abgeleitet.
Virtual_IP event.idm.read_only_udm.target.ip[], event.idm.read_only_udm.target.asset.ip[] Direkt aus dem Schlüssel Virtual_IP in den geparsten Schlüssel/Wert-Paaren abgeleitet. Wird auch zum Ausfüllen der IP-Adresse des Ziel-Assets verwendet. Legt has_target auf „true“ fest.
about event.idm.read_only_udm.about Wird aus verschiedenen Feldern wie snat, vs_name, path, query, node, pool_member, vs, client, blade und device gefüllt, sofern diese im Rohprotokoll vorhanden und erfolgreich geparst wurden.
action_data event.idm.read_only_udm.target.process.command_line Direkt für scriptd-Prozessprotokolle zugeordnet.
attack_type event.idm.read_only_udm.security_result.category_details[] Direkt zugeordnet.
blade event.idm.read_only_udm.about.resource.attribute.labels[].key:"blade", event.idm.read_only_udm.about.resource.attribute.labels[].value Direkt aus dem Schlüssel blade in den geparsten Schlüssel/Wert-Paaren abgeleitet.
bytes_in event.idm.read_only_udm.network.received_bytes Direkt zugeordnet, in eine Ganzzahl ohne Vorzeichen umgewandelt.
bytes_out event.idm.read_only_udm.network.sent_bytes Direkt zugeordnet, in eine Ganzzahl ohne Vorzeichen umgewandelt.
captcha_result event.idm.read_only_udm.additional.fields[].key:"captcha_result", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
client event.idm.read_only_udm.about.resource.attribute.labels[].key:"client", event.idm.read_only_udm.about.resource.attribute.labels[].value Direkt aus dem Schlüssel client in den geparsten Schlüssel/Wert-Paaren abgeleitet.
client_ip event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Direkt zugeordnet. Wird auch zum Ausfüllen der IP-Adresse des Haupt-Assets verwendet. Legt has_principal auf „true“ fest.
client_port event.idm.read_only_udm.principal.port Direkt zugeordnet, in eine Ganzzahl umgewandelt.
collection_time event.timestamp Der Zeitstempel des Log-Eintrags wird als Ereigniszeitstempel verwendet.
command_line event.idm.read_only_udm.target.process.command_line Direkt zugeordnet für CROND-Prozessprotokolle und einige logger-Protokolle.
data message Die Roh-Lognachricht. Dieser wird analysiert und zum Ausfüllen verschiedener UDM-Felder verwendet.
dgl_count event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_Value", event.idm.read_only_udm.principal.resource.attribute.labels[].value Direkt zugeordnet.
dgl_value event.idm.read_only_udm.principal.resource.attribute.labels[].key:"DataGroup_List", event.idm.read_only_udm.principal.resource.attribute.labels[].value Direkt zugeordnet.
description event.idm.read_only_udm.metadata.description, event.idm.read_only_udm.security_result.description Wird für einige Protokolltypen direkt zugeordnet oder als Teil der Beschreibung des Sicherheitsergebnisses verwendet.
device event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.about.resource.attribute.labels[].key:"device", event.idm.read_only_udm.about.resource.attribute.labels[].value Direkt zugeordnet. Wird auch zum Ausfüllen des Hostnamens des Haupt-Assets verwendet. Legt has_principal auf „true“ fest.
dest_ip event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt zugeordnet. Wird auch zum Ausfüllen der IP-Adresse des Ziel-Assets verwendet. Legt has_principal auf „true“ fest.
dest_port event.idm.read_only_udm.target.port Direkt zugeordnet.
dvc event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname, event.idm.read_only_udm.intermediary.hostname Wird geparst, um den Hostnamen oder die IP-Adresse zu extrahieren. Wird zum Ausfüllen des primären Hostnamens oder des Zwischen-Hostnamens verwendet.
errdefs_msgno event.idm.read_only_udm.additional.fields[].key:"errdefs_msgno", event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Schlüssel errdefs_msgno in den geparsten Schlüssel/Wert-Paaren abgeleitet.
error_reason event.idm.read_only_udm.principal.resource.attribute.labels[].key:"error_reason", event.idm.read_only_udm.principal.resource.attribute.labels[].value Direkt zugeordnet.
false_positive event.idm.read_only_udm.additional.fields[].key:"false_positive", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
function_id event.idm.read_only_udm.principal.resource.attribute.labels[].key:"function_id", event.idm.read_only_udm.principal.resource.attribute.labels[].value Direkt zugeordnet.
geoContinent event.idm.read_only_udm.principal.location.continent Im Beispiel nicht zugeordnet, würde aber einem Kontinent zugeordnet, falls verfügbar.
geoCountry event.idm.read_only_udm.principal.location.country_or_region Direkt zugeordnet.
geoState event.idm.read_only_udm.principal.location.state Direkt zugeordnet.
header.Referer event.idm.read_only_udm.network.http.referral_url Direkt zugeordnet.
header.User-Agent event.idm.read_only_udm.network.http.user_agent, event.idm.read_only_udm.network.http.parsed_user_agent Direkt zugeordnet. Wird auch in einen geparsten User-Agent umgewandelt.
header.X-Forwarded-For event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Es werden IP-Adressen extrahiert und mit der primären IP-Adresse und der primären Asset-IP zusammengeführt.
host event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Direkt zugeordnet. Wird auch zum Ausfüllen des Hostnamens des Ziel-Assets verwendet. Legt has_target auf „true“ fest.
http_host event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Direkt zugeordnet. Wird auch zum Ausfüllen des Hostnamens des Ziel-Assets verwendet. Legt has_target auf „true“ fest.
http_method event.idm.read_only_udm.network.http.method Direkt zugeordnet. Setzt event_type auf NETWORK_HTTP, falls vorhanden.
ip_client event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Direkt zugeordnet. Wird auch zum Ausfüllen der IP-Adresse des Haupt-Assets verwendet. Legt has_principal auf „true“ fest.
kv_msg Verschiedene Felder Sie werden als Schlüssel/Wert-Paare geparst und zum Ausfüllen verschiedener UDM-Felder verwendet.
Level event.idm.read_only_udm.security_result.severity Wird der Schwere zugeordnet, wenn das Feld severity nicht vorhanden ist. In UDM-Schweregrade umgewandelt (z.B. „Info“ -> „INFORMATIONSWEISEND“).
Listener event.idm.read_only_udm.additional.fields[].key:"Listener", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
log_message event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.description Es wird weiter analysiert, um request_uri oder description zu extrahieren.
log_type event.idm.read_only_udm.metadata.log_type Direkt aus dem Feld log_type des Rohlogs zugeordnet.
loglevel event.idm.read_only_udm.security_result.severity Zu Schweregrad zugeordnet. In UDM-Schweregrade umgewandelt (z.B. „warning“ -> „MEDIUM“, „err“ -> „HIGH“). Wird auch für die Logik von Benachrichtigungen/wichtigen Ereignissen verwendet.
manage_ip_addr event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Direkt zugeordnet. Wird auch zum Ausfüllen der IP-Adresse des Haupt-Assets verwendet. Legt has_principal auf „true“ fest.
method event.idm.read_only_udm.network.http.method Direkt zugeordnet. Legt event_type auf NETWORK_HTTP fest.
method_req event.idm.read_only_udm.network.http.method Direkt zugeordnet.
msg1 event.idm.read_only_udm.security_result.description Wird als Beschreibung des Sicherheitsergebnisses verwendet, wenn es nicht weiter geparst wird.
node event.idm.read_only_udm.about.resource.attribute.labels[].key:"node", event.idm.read_only_udm.about.resource.attribute.labels[].value Direkt aus dem Schlüssel node in den geparsten Schlüssel/Wert-Paaren abgeleitet.
partition_name event.idm.read_only_udm.additional.fields[].key:"partition_name", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
path event.idm.read_only_udm.target.url, event.idm.read_only_udm.about.resource.attribute.labels[].key:"path", event.idm.read_only_udm.about.resource.attribute.labels[].value Direkt zugeordnet.
policy_name event.idm.read_only_udm.security_result.detection_fields[].key:"policy_name", event.idm.read_only_udm.security_result.detection_fields[].value Direkt zugeordnet.
pool_member event.idm.read_only_udm.about.resource.attribute.labels[].key:"pool_member", event.idm.read_only_udm.about.resource.attribute.labels[].value Direkt aus dem Schlüssel pool_member in den geparsten Schlüssel/Wert-Paaren abgeleitet.
principalHost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt zugeordnet. Wird auch zum Ausfüllen des Hostnamens des Haupt-Assets verwendet. Legt has_principal auf „true“ fest.
principalIp event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[], event.idm.read_only_udm.observer.ip Direkt zugeordnet. Wird auch zum Ausfüllen der IP-Adresse des Haupt-Assets und der IP-Adresse des Beobachters verwendet. Legt has_principal auf „true“ fest.
principalPort event.idm.read_only_udm.principal.port Direkt zugeordnet, in eine Ganzzahl umgewandelt.
process event.idm.read_only_udm.target.application Direkt zugeordnet.
product_event_type event.idm.read_only_udm.metadata.product_event_type Direkt zugeordnet.
proto event.idm.read_only_udm.network.ip_protocol Dem IP-Protokoll zugeordnet, nachdem die Protokollnummer mithilfe einer Suche in den Protokollnamen umgewandelt wurde.
query event.idm.read_only_udm.about.resource.attribute.labels[].key:"query", event.idm.read_only_udm.about.resource.attribute.labels[].value Direkt aus dem Schlüssel query in den geparsten Schlüssel/Wert-Paaren abgeleitet.
query_string event.idm.read_only_udm.additional.fields[].key:"query_string", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
reason event.idm.read_only_udm.security_result.description Direkt für apmd-Prozessprotokolle mit Warn- oder Fehlerebene zugeordnet.
reason_code event.idm.read_only_udm.principal.resource.attribute.labels[].key:"reason_code", event.idm.read_only_udm.principal.resource.attribute.labels[].value Direkt zugeordnet.
req_status event.idm.read_only_udm.security_result.detection_fields[].key:"req_status", event.idm.read_only_udm.security_result.detection_fields[].value Direkt zugeordnet.
request event.idm.read_only_udm.principal.resource.attribute.labels[].key:"request_type", event.idm.read_only_udm.principal.resource.attribute.labels[].value, event.idm.read_only_udm.network.application_protocol Wird verwendet, um das Anwendungsprotokoll (HTTP) zu ermitteln, und als Label zugeordnet.
request_status event.idm.read_only_udm.additional.fields[].key:"request_status", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
request_uri event.idm.read_only_udm.target.url Direkt zugeordnet.
resp_code event.idm.read_only_udm.network.http.response_code Direkt zugeordnet, in eine Ganzzahl umgewandelt.
response_code event.idm.read_only_udm.network.http.response_code Direkt zugeordnet, in eine Ganzzahl umgewandelt.
rule_name event.idm.read_only_udm.security_result.rule_name Direkt zugeordnet.
sec_action event.idm.read_only_udm.security_result.action[] Zu Aktion zugeordnet. „Weiter“ wird in „ALLOW“ umgewandelt. Andere Werte werden in „BLOCK“ umgewandelt.
security_result event.idm.read_only_udm.security_result Mit dem Objekt „security_result“ zusammengeführt.
session_id event.idm.read_only_udm.network.session_id Direkt zugeordnet.
severity event.idm.read_only_udm.security_result.severity Zu Schweregrad zugeordnet. In UDM-Schweregrade umgewandelt (z.B. „Fehler“ -> „ERROR“, „Informationen“ -> „INFORMATIONAL“).
sig_ids event.idm.read_only_udm.additional.fields[].key:"sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
sig_names event.idm.read_only_udm.additional.fields[].key:"sig_names", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
sni_host event.idm.read_only_udm.network.tls.client.server_name Direkt zugeordnet.
snat event.idm.read_only_udm.about.resource.attribute.labels[].key:"snat", event.idm.read_only_udm.about.resource.attribute.labels[].value Direkt aus dem Schlüssel snat in den geparsten Schlüssel/Wert-Paaren abgeleitet.
snat_ip event.idm.read_only_udm.principal.nat_ip[] Direkt zugeordnet.
snat_port event.idm.read_only_udm.principal.nat_port Direkt zugeordnet, in eine Ganzzahl umgewandelt.
src_ip event.idm.read_only_udm.principal.ip[], event.idm.read_only_udm.principal.asset.ip[] Direkt zugeordnet. Wird auch zum Ausfüllen der IP-Adresse des Haupt-Assets verwendet.
src_port event.idm.read_only_udm.principal.port Direkt zugeordnet.
ssl_cipher event.idm.read_only_udm.network.tls.cipher Direkt zugeordnet.
ssl_function event.idm.read_only_udm.principal.resource.attribute.labels[].key:"ssl_function", event.idm.read_only_udm.principal.resource.attribute.labels[].value Direkt zugeordnet.
ssl_version event.idm.read_only_udm.network.tls.version_protocol Direkt zugeordnet.
staged_sig_ids event.idm.read_only_udm.additional.fields[].key:"staged_sig_ids", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
staged_sig_names event.idm.read_only_udm.additional.fields[].key:"staged_sig_names", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
staged_sig_set_names event.idm.read_only_udm.additional.fields[].key:"staged_sig_set_names", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
staged_threat_campaign_names event.idm.read_only_udm.additional.fields[].key:"staged_threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
status event.idm.read_only_udm.security_result.summary Direkt für scriptd-Prozessprotokolle zugeordnet.
summary event.idm.read_only_udm.security_result.summary Für einige Protokolltypen direkt zugeordnet.
support_id event.idm.read_only_udm.additional.fields[].key:"Support_Id", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
systems event.idm.read_only_udm.principal.asset.attribute.labels[].key, event.idm.read_only_udm.principal.asset.attribute.labels[].value Sie werden analysiert, um Systeminformationen zu extrahieren und als Labels dem Haupt-Asset zuzuordnen.
targetFile event.idm.read_only_udm.target.file.full_path Direkt für scriptd-Prozessprotokolle zugeordnet.
targetIp event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt zugeordnet. Wird auch zum Ausfüllen der IP-Adresse des Ziel-Assets verwendet. Legt has_target auf „true“ fest.
targetPort event.idm.read_only_udm.target.port Direkt zugeordnet, in eine Ganzzahl umgewandelt.
threat_campaign_names event.idm.read_only_udm.additional.fields[].key:"threat_campaign_names", event.idm.read_only_udm.additional.fields[].value.string_value Direkt zugeordnet.
timestamp event.timestamp Nach dem Parsen und Neuansetzen direkt zugeordnet.
tls_version event.idm.read_only_udm.network.tls.version Direkt zugeordnet.
tlsproto event.idm.read_only_udm.network.tls.version_protocol Direkt zugeordnet. Wenn der Wert „HTTP/1.1“ ist, wird „HTTP“ zugeordnet.
unit_host event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt zugeordnet. Wird auch zum Ausfüllen des Hostnamens des Haupt-Assets verwendet. Legt has_principal auf „true“ fest.
uri event.idm.read_only_udm.target.url Direkt zugeordnet.
uri_path event.idm.read_only_udm.target.url Direkt zugeordnet, mit uri_query zusammengefügt, falls vorhanden.
url event.idm.read_only_udm.principal.url Direkt zugeordnet.
url_string event.idm.read_only_udm.network.http.referral_url Direkt zugeordnet.
user_agent event.idm.read_only_udm.network.http.user_agent Direkt zugeordnet.
userId event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.target.user.userid Direkt zugeordnet. Wird auch zum Ausfüllen der Zielnutzer-ID verwendet. Legt has_principal_user auf „true“ fest.
vendor_name event.idm.read_only_udm.metadata.vendor_name Hartcodiert auf „F5“.
violations event.idm.read_only_udm.security_result.detection_fields[].key:"violations", event.idm.read_only_udm.security_result.detection_fields[].value Direkt zugeordnet.
vs event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs", event.idm.read_only_udm.about.resource.attribute.labels[].value Direkt aus dem Schlüssel vs in den geparsten Schlüssel/Wert-Paaren abgeleitet.
vs_name event.idm.read_only_udm.about.resource.attribute.labels[].key:"vs_name", event.idm.read_only_udm.about.resource.attribute.labels[].value Direkt aus dem Schlüssel vs_name in den geparsten Schlüssel/Wert-Paaren abgeleitet.
event.idm.read_only_udm.metadata.event_type Wird durch die Parserlogik anhand des Vorhandenseins bestimmter Felder bestimmt. Die Standardeinstellung ist GENERIC_EVENT. Kann NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_UNCATEGORIZED, STATUS_UPDATE oder NETWORK_HTTP sein.
event.idm.read_only_udm.metadata.product_name Hartcodiert auf „BIG-IP Local Traffic Manager (LTM)“.
event.idm.read_only_udm.metadata.vendor_name Hartcodiert auf „F5“.
event.idm.read_only_udm.metadata.event_timestamp Von der obersten Ebene von event.timestamp kopiert.
event.idm.read_only_udm.security_result.severity Wird durch die Parserlogik anhand der Felder severity oder Level bestimmt, falls vorhanden. Die Standardeinstellung ist UNKNOWN_SEVERITY. Kann INFORMATIONAL, LOW, MEDIUM, HIGH oder CRITICAL sein.
event.idm.read_only_udm.security_result.summary Legen Sie für bestimmte apmd-Protokolle „Authentifizierungsfehler“ fest.
event.idm.read_only_udm.extensions.auth.type Legen Sie für bestimmte apmd- und sshd-Logs den Wert „VPN“ fest. Andernfalls setzen Sie für USER_LOGIN- und USER_LOGOUT-Ereignisse AUTHTYPE_UNSPECIFIED.
event.idm.read_only_udm.network.ip_protocol Der Standardwert ist „TCP“, wenn proto nicht vorhanden ist. Andernfalls wird der Wert durch das Feld proto bestimmt.
event.idm.is_alert, event.idm.is_significant Legen Sie true fest, wenn loglevel „alert“, „crit“ oder „emer“ ist.

Änderungen

2024-05-06

  • Unterstützung für ein neues Format von KV-Protokollen hinzugefügt.
  • „tlsproto“ wurde in „network.tls.version_protocol“ geändert.
  • „method_req“ wurde „network.http.method“ zugeordnet.
  • „path“ wurde „target.url“ zugeordnet.
  • „url“ wurde „principal.url“ zugeordnet.
  • „client_ip“ wurde auf „principal.ip“ und „principal.asset.ip“ zugeordnet.
  • „device“ wurde „principal.hostname“ und „principal.asset.hostname“ zugeordnet.
  • „host“ wurde „target.hostname“ und „target.asset.hostname“ zugeordnet.
  • „vip“ wurde „target.ip“ und „target.asset.ip“ zugeordnet.
  • „client_port“ wurde auf „principal.port“ zugeordnet.
  • „snat_ip“ wurde auf „principal.nat_ip“ zugeordnet.
  • „snat_port“ wurde auf „principal.nat_port“ zugeordnet.
  • „vs_name“, „path“, „query“, „node“, „pool_member“, „vs“, „device“, „blade“, „client“ und „snat“ wurden auf „about.resource.attribute.labels“ zugeordnet.

2024-03-23

  • „gsub“ wurde hinzugefügt, um unerwünschte Zeichen beim Parsen der Protokolle zu entfernen.
  • „support_id“, „query_string“ und „request_status“ wurden „additional.fields“ zugeordnet.
  • „uri“ wurde „target.url“ zugeordnet.

2024-02-23

  • Verbesserung
  • Der Block „kv“ wurde hinzugefügt, um Daten im Schlüssel/Wert-Format abzurufen.
  • Unterstützung für Protokolle im CSV-Format hinzugefügt.
  • Es wurde ein Grok-Muster zum Extrahieren von Schlüssel/Wert-Feldern hinzugefügt.
  • „dest_ip“ wurde „target_ip“ zugeordnet.
  • „dest_port“ wurde „targetPort“ zugeordnet
  • „src_port“ wurde auf „principalPort“ zugeordnet
  • „dest_port“ wurde „targetPort“ zugeordnet
  • „ip_client“ und „manage_ip_addr“ wurden in „principal.ip“ und „principal.asset.ip“ ummapped
  • „target_ip“ und „Virtual_IP“ wurden auf „target.ip“ und „target.asset.ip“ umgestellt
  • „severity“ wurde in „security_result.severity“ geändert
  • „session_id“ wurde in „network.session_id“ umgewandelt
  • „network“ wurde in „network.http.method“ geändert
  • „Verstöße“, „Richtlinienname“ und „Anfragestatus“ wurden „security_result.detection_fields“ zugeordnet.
  • „protocol“ wurde in „network.application_protocol“ geändert
  • „staged_threat_campaign_names“, „staged_sig_ids“, „threat_campaign_names“, „staged_sig_names“, „captcha_result“, „sig_set_names“, „staged_sig_set_names“, „sig_ids“, „sig_names“, „resp_code“ und „false_positive“ wurden in „additional.fields“ zugeordnet.

2024-01-24

  • bug-fix
  • Die Zuordnung von „uri_pathuri_query“ und „header.Referer“ wurde geändert.
  • Die Zuordnung von „uri_pathuri_query“ zu „target.url“ wurde von „network.http.referral_url“ geändert.
  • Die Zuordnung von „header.Referer“ zu „network.http.referral_url“ wurde von „security_result.about.resource.attribute.labels“ geändert.

2023-12-14

  • Verbesserung
  • Unterstützung für Protokolle im JSON-Format hinzugefügt

2023-08-28

  • Verbesserung
  • Der Block „kv“ wurde hinzugefügt, um Daten im Schlüssel/Wert-Format abzurufen.
  • „process“ wurde „target.application“ zugeordnet.
  • „Land“ wurde „principal.location.country_or_region“ zugeordnet.
  • „Bundesland“ wurde „principal.location.state“ zugeordnet.
  • „Client_IP“ wurde auf „principal.ip“ zugeordnet.
  • „Virtual_IP“ wurde mit „target.ip“ verknüpft.
  • „Session_ID“ wurde „network.session_id“ zugeordnet.
  • „errdefs_msgno“, „partition_name“, „Listener“ und „Access_Profile“ wurden zu „additional.fields“ zugeordnet.

2023-07-18

  • Geparste Protokolle, bei denen „process“ „apmd“ und „loglevel“ „notice“ ist.

2023-05-18

  • Verbesserung: Es wurden Grok-Muster hinzugefügt, um Protokolle zu analysieren, die „tmm“ enthalten.
  • Die Protokolle wurden analysiert, die „anacron“, „run-parts“ und „syslog-ng“ enthalten.

2023-05-09

  • bug-fix
  • Der Hostname, der dem Zwischen-Hostnamen zugeordnet ist, der dem Haupt-Hostnamen für Syslogs zugeordnet ist.

2023-03-14

  • Verbesserung
  • „intermediary.hostname“ wurde für die Ereignistypen „USER_LOGIN“ und „NETWORK_CONNECTION“ zugeordnet.
  • Protokolle, die als „GENERIC_EVENT“ geparst werden, wenn „principal.user.userid“ vorhanden ist, werden dann „USER_UNCATEGORIZED“ zugeordnet.
  • Logs, die als „GENERIC_EVENT“ geparst werden, wenn „principal.ip“ vorhanden ist, werden dann „STATUS_UPDATE“ zugeordnet.

2023-02-23

  • Verbesserung
  • Das Grok-Muster für die Prozesstypen „httpd“ und „tmm“ wurde aktualisiert.

2023-02-06

  • Verbesserung
  • Das Grok-Muster für den Prozesstyp „tmm“ wurde aktualisiert.
  • Der redundante Code für „target.hostname“ wurde entfernt und als generisch/global festgelegt.
  • Die Zuordnung von „target.hostname“ zu „intermediary.hostname“ wurde geändert.

2023-02-02

  • Verbesserung
  • Aktualisiertes Grok-Muster für den Prozesstyp „tmm“.
  • Die Zuordnung von „target.hostname“ zu „intermediary.hostname“ wurde geändert.
  • Der Wert von „metadata.event_type“ wurde von „GENERIC_EVENT“ in „STATUS_UPDATE“ geändert, wenn „principal.ip“ vorhanden ist.

2022-06-21

  • bug-fix
  • Aktualisiertes Grok-Muster für den Prozesstyp „tmm“

2022-05-02

  • bug-fix
  • Doppelte Zuordnungen für „event.idm.read_only_udm.security_result“ entfernt
  • Die Protokolle, die beim Testen der Validation API fehlgeschlagen sind, wurden analysiert.