Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión RSA_AUTH_MANAGER.
Configurar RSA Authentication Manager
Inicia sesión en la consola RSA Authentication Manager Security con las credenciales de administrador.
En el menú Configuración, haz clic en Configuración del sistema.
En la ventana Configuración del sistema, en la sección Configuración básica, selecciona Registro.
En la sección Select instance (Seleccionar instancia), elija el tipo de instancia Primary (Principal) configurado en su entorno y, a continuación, haga clic en Next (Siguiente) para continuar.
En la sección Configurar ajustes, configure los registros de las siguientes secciones que se muestran:
Niveles de registro
Destino de los datos de registro
Máscara de datos de registro
En la sección Niveles de registro, configure los siguientes registros:
En Registro de seguimiento, selecciona Fatal.
En Registro de auditoría de administrador, selecciona Éxito.
Defina Registro de auditoría de tiempo de ejecución como Éxito.
En Registro del sistema, selecciona Advertencia.
En la sección Destino de los datos de registro, para los siguientes datos de nivel de registro, selecciona
Guardar en la base de datos interna y en syslog remoto para el siguiente nombre de host o dirección IP
y, a continuación, introduce la dirección IP de Google Security Operations:
Datos de registro de auditoría de administrador
Datos de registro de auditoría de tiempo de ejecución
Datos de registro del sistema
Los mensajes de syslog se transmiten a través de un número de puerto más alto para UDP.
En la sección Máscara de datos de registro, en el campo Máscara del número de serie del token: número de dígitos del número de serie del token que se va a mostrar, introduce el valor máximo, que es igual al número de dígitos que aparecen en los tokens disponibles (por ejemplo, 12).
Este analizador extrae campos de los registros CSV de RSA Authentication Manager y gestiona las variaciones en el formato de registro. Usa grok para analizar inicialmente las líneas de registro y, a continuación, aprovecha el filtrado de CSV para extraer campos individuales y asignarlos a nombres estandarizados, como username, clientip y operation_status, para que sean compatibles con UDM.
Tabla de asignación de UDM
Campo de registro
Asignación de UDM
Lógica
clientip
principal.asset.ip
Valor de la columna 8 del registro sin procesar.
clientip
principal.ip
Valor de la columna 8 del registro sin procesar.
column1
metadata.event_timestamp.seconds
Se ha analizado a partir del campo time (columna 1) del registro sin procesar, con los formatos "aaaa-MM-dd HH:mm:ss" y "aaaa-MM-dd HH: mm:ss".
column12
security_result.action
Asignación basada en el campo operation_status (columna 12). Los valores "SUCCESS" y "ACCEPT" se asignan a ALLOW, "FAIL", "REJECT", "DROP", "DENY" y "NOT_ALLOWED" se asignan a BLOCK, y los demás valores se asignan a UNKNOWN_ACTION.
column18
principal.user.userid
El valor de la columna 18 del registro sin procesar.
column19
principal.user.first_name
El valor de la columna 19 del registro sin procesar.
column20
principal.user.last_name
Valor de la columna 20 del registro sin procesar.
column25
principal.hostname
El valor de la columna 25 del registro sin procesar.
column26
principal.asset.hostname
El valor de la columna 26 del registro sin procesar.
column27
metadata.product_name
El valor de la columna 27 del registro sin procesar.
column3
target.administrative_domain
El valor de column3 del registro sin procesar.
column32
principal.user.group_identifiers
Valor de column32 del registro sin procesar.
column5
security_result.severity
Asignación basada en el campo severity (columna 5). Los valores "INFO" e "INFORMATIONAL" se asignan a INFORMATIONAL, "WARN" y "WARNING" se asignan a WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" y "ALERT" se asignan a ERROR, "NOTICE", "DEBUG" y "TRACE" se asignan a DEBUG, y el resto de los valores se asignan a UNKNOWN_SEVERITY.
column8
target.asset.ip
Valor de la columna 8 del registro sin procesar.
column8
target.ip
Valor de la columna 8 del registro sin procesar.
event_name
security_result.rule_name
Valor de la columna 10 del registro sin procesar.
host_name
intermediary.hostname
Se extrae de la parte <DATA> del registro sin procesar mediante patrones grok.
process_data
principal.process.command_line
Se extrae de la parte <DATA> del registro sin procesar mediante patrones grok.
summary
security_result.summary
Valor de la columna 13 del registro sin procesar.
time_stamp
metadata.event_timestamp.seconds
Se extrae de la parte <DATA> del registro sin procesar mediante patrones grok. Si no se encuentra, la marca de tiempo se extrae del campo timestamp del registro sin procesar.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-20 (UTC)."],[[["\u003cp\u003eThis document details the process of collecting RSA Authentication Manager logs using a Google Security Operations forwarder, supporting ingestion through the \u003ccode\u003eRSA_AUTH_MANAGER\u003c/code\u003e parser label.\u003c/p\u003e\n"],["\u003cp\u003eConfiguration steps for RSA Authentication Manager include adjusting log levels, setting data destinations to a remote syslog, and masking sensitive token serial numbers.\u003c/p\u003e\n"],["\u003cp\u003eSetting up a Google Security Operations forwarder involves creating a new forwarder, adding a collector configured for RSA logs via syslog, and specifying necessary connection parameters like protocol, address, and port.\u003c/p\u003e\n"],["\u003cp\u003eThe parser extracts fields from RSA Authentication Manager logs using grok patterns and CSV filtering, mapping them to UDM format fields like \u003ccode\u003eusername\u003c/code\u003e, \u003ccode\u003eclientip\u003c/code\u003e, and \u003ccode\u003eoperation_status\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eThe UDM mapping table outlines how specific log fields from RSA Authentication Manager are transformed into UDM fields within Google Security Operations, including data like timestamps, severity, and user details.\u003c/p\u003e\n"]]],[],null,["# Collect RSA Authentication Manager logs\n=======================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document describes how you can collect RSA Authentication Manager logs by using a Google Security Operations forwarder.\n\nFor more information, see [Data ingestion to Google Security Operations](/chronicle/docs/data-ingestion-flow).\n\nAn ingestion label identifies the parser which normalizes raw log data to structured\nUDM format. The information in this document applies to the parser with the `RSA_AUTH_MANAGER`\ningestion label.\n\nConfigure RSA Authentication Manager\n------------------------------------\n\n1. Sign in to the **RSA Authentication Manager Security** console using administrator credentials.\n2. In the **Setup** menu, click **System settings**.\n3. In the **System settings** window, in the **Basic settings** section, select **Logging**.\n4. In the **Select instance** section, select the **Primary** instance type configured in your environment, and then click **Next** to continue.\n5. In the **Configure settings** section, configure the logs for the following sections that are displayed:\n - **Log levels**\n - **Log data destination**\n - **Log data masking**\n6. In the **Log levels** section, configure the following logs:\n - Set **Trace log** to **Fatal**.\n - Set **Administrative audit log** to **Success**.\n - Set **Runtime audit log** to **Success**.\n - Set **System log** to **Warning**.\n7. In the **Log data destination** section, for the following log level data, select\n **Save to internal database and remote syslog for the following hostname or IP address**,\n and then enter the IP address of Google Security Operations:\n\n - **Administrative audit log data**\n - **Runtime audit log data**\n - **System log data**\n\n Syslog messages are transmitted over higher port number for UDP.\n8. In the **Log data masking** section, in the **Mask token serial number: number of digits of the token serial number to display** field, enter the maximum value, which is equal to the number of digits that\n appear in available tokens, such as 12.\n\n For more information, see [Log data masking](https://community.rsa.com/s/article/Mask-Token-Serial-Numbers-in-Logs-4b7e844c).\n9. Click **Save**.\n\nConfigure Google Security Operations forwarder and syslog to ingest RSA Authentication Manager logs\n---------------------------------------------------------------------------------------------------\n\n1. Select **SIEM Settings** \\\u003e **Forwarders**.\n2. Click **Add new forwarder**.\n3. In the **Forwarder name** field, enter a unique name for the forwarder.\n4. Click **Submit** and then click **Confirm** . The forwarder is added and the **Add collector configuration** window appears.\n5. In the **Collector name** field, type a unique name for the collector.\n6. Select **RSA** as the **Log type**.\n7. Select **Syslog** as the **Collector type**.\n8. Configure the following mandatory input parameters:\n - **Protocol**: specify the connection protocol the collector will use to listen for syslog data.\n - **Address**: specify the target IP address or hostname where the collector resides and listens for syslog data.\n - **Port**: specify the target port where the collector resides and listens for syslog data.\n9. Click **Submit**.\n\nFor more information about Google Security Operations forwarders, see [Google Security Operations forwarders documentation](/chronicle/docs/install/forwarder-management-configurations). For information about requirements for each forwarder type, see [Forwarder configuration by type](/chronicle/docs/install/forwarder-management-api). If you encounter issues when you create forwarders, contact [Google Security Operations support](/chronicle/docs/support).\n\nField mapping reference\n-----------------------\n\nThis parser extracts fields from RSA Authentication Manager CSV logs, handling variations in the log format. It uses grok to initially parse the log lines, then leverages CSV filtering to extract individual fields, mapping them to standardized names like `username`, `clientip`, and `operation_status` for UDM compatibility.\n\nUDM mapping table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
