Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia RSA_AUTH_MANAGER.
Configura RSA Authentication Manager
Accede a la consola de RSA Authentication Manager Security con credenciales de administrador.
En el menú Configuración, haz clic en Configuración del sistema.
En la ventana Configuración del sistema, en la sección Configuración básica, selecciona Logging.
En la sección Seleccionar instancia, selecciona el tipo de instancia Principal configurado en tu entorno y, luego, haz clic en Siguiente para continuar.
En la sección Configurar parámetros, configura los registros de las siguientes secciones que se muestran:
Niveles de registro
Destino de los datos de registros
Enmascaramiento de datos de registros
En la sección Niveles de registro, configura los siguientes registros:
Establece Registro de seguimiento en Fatal.
Establece Registro de auditoría administrativa en Éxito.
Establece Registro de auditoría del entorno de ejecución en Éxito.
Establece Registro del sistema en Advertencia.
En la sección Destino de los datos de registro, para los siguientes datos de nivel de registro, selecciona Guardar en la base de datos interna y en syslog remoto para el siguiente nombre de host o dirección IP y, luego, ingresa la dirección IP de Google Security Operations:
Datos del registro de auditoría administrativa
Datos del registro de auditoría del entorno de ejecución
Datos de registros del sistema
Los mensajes de Syslog se transmiten a través de un número de puerto más alto para UDP.
En la sección Log data masking, en el campo Mask token serial number: number of digits of the token serial number to display, ingresa el valor máximo, que es igual a la cantidad de dígitos que aparecen en los tokens disponibles, como 12.
Este analizador extrae campos de los registros CSV de RSA Authentication Manager y controla las variaciones en el formato de registro. Utiliza grok para analizar inicialmente las líneas de registro y, luego, aprovecha el filtrado de CSV para extraer campos individuales y asignarlos a nombres estandarizados, como username, clientip y operation_status, para la compatibilidad con UDM.
Tabla de asignación de UDM
Campo de registro
Asignación de UDM
Lógica
clientip
principal.asset.ip
Es el valor de la columna8 del registro sin procesar.
clientip
principal.ip
Es el valor de la columna8 del registro sin procesar.
column1
metadata.event_timestamp.seconds
Se analizó a partir del campo time (columna 1) en el registro sin procesar, con los formatos "aaaa-MM-dd HH:mm:ss" y "aaaa-MM-dd HH: mm:ss".
column12
security_result.action
Se asigna según el campo operation_status (columna 12). Los valores "SUCCESS" y "ACCEPT" se asignan a ALLOW, "FAIL", "REJECT", "DROP", "DENY" y "NOT_ALLOWED" se asignan a BLOCK, y otros valores se asignan a UNKNOWN_ACTION.
column18
principal.user.userid
Es el valor de la columna18 del registro sin procesar.
column19
principal.user.first_name
Es el valor de la columna19 del registro sin procesar.
column20
principal.user.last_name
Es el valor de la columna 20 del registro sin procesar.
column25
principal.hostname
Es el valor de la columna 25 del registro sin procesar.
column26
principal.asset.hostname
Es el valor de la columna 26 del registro sin procesar.
column27
metadata.product_name
Es el valor de la columna 27 del registro sin procesar.
column3
target.administrative_domain
Es el valor de la columna 3 del registro sin procesar.
column32
principal.user.group_identifiers
Es el valor de la columna32 del registro sin procesar.
column5
security_result.severity
Se asigna según el campo severity (columna5). Los valores "INFO" y "INFORMATIONAL" se asignan a INFORMATIONAL, los valores "WARN" y "WARNING" se asignan a WARNING, los valores "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" y "ALERT" se asignan a ERROR, los valores "NOTICE", "DEBUG" y "TRACE" se asignan a DEBUG, y otros valores se asignan a UNKNOWN_SEVERITY.
column8
target.asset.ip
Es el valor de la columna8 del registro sin procesar.
column8
target.ip
Es el valor de la columna8 del registro sin procesar.
event_name
security_result.rule_name
Es el valor de la columna10 del registro sin procesar.
host_name
intermediary.hostname
Se extrae de la parte <DATA> del registro sin procesar con patrones de Grok.
process_data
principal.process.command_line
Se extrae de la parte <DATA> del registro sin procesar con patrones de Grok.
summary
security_result.summary
Es el valor de la columna 13 del registro sin procesar.
time_stamp
metadata.event_timestamp.seconds
Se extrae de la parte <DATA> del registro sin procesar con patrones de Grok. Si no se encuentra, la marca de tiempo se extrae del campo timestamp en el registro sin procesar.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eThis document details the process of collecting RSA Authentication Manager logs using a Google Security Operations forwarder, supporting ingestion through the \u003ccode\u003eRSA_AUTH_MANAGER\u003c/code\u003e parser label.\u003c/p\u003e\n"],["\u003cp\u003eConfiguration steps for RSA Authentication Manager include adjusting log levels, setting data destinations to a remote syslog, and masking sensitive token serial numbers.\u003c/p\u003e\n"],["\u003cp\u003eSetting up a Google Security Operations forwarder involves creating a new forwarder, adding a collector configured for RSA logs via syslog, and specifying necessary connection parameters like protocol, address, and port.\u003c/p\u003e\n"],["\u003cp\u003eThe parser extracts fields from RSA Authentication Manager logs using grok patterns and CSV filtering, mapping them to UDM format fields like \u003ccode\u003eusername\u003c/code\u003e, \u003ccode\u003eclientip\u003c/code\u003e, and \u003ccode\u003eoperation_status\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eThe UDM mapping table outlines how specific log fields from RSA Authentication Manager are transformed into UDM fields within Google Security Operations, including data like timestamps, severity, and user details.\u003c/p\u003e\n"]]],[],null,["# Collect RSA Authentication Manager logs\n=======================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document describes how you can collect RSA Authentication Manager logs by using a Google Security Operations forwarder.\n\nFor more information, see [Data ingestion to Google Security Operations](/chronicle/docs/data-ingestion-flow).\n\nAn ingestion label identifies the parser which normalizes raw log data to structured\nUDM format. The information in this document applies to the parser with the `RSA_AUTH_MANAGER`\ningestion label.\n\nConfigure RSA Authentication Manager\n------------------------------------\n\n1. Sign in to the **RSA Authentication Manager Security** console using administrator credentials.\n2. In the **Setup** menu, click **System settings**.\n3. In the **System settings** window, in the **Basic settings** section, select **Logging**.\n4. In the **Select instance** section, select the **Primary** instance type configured in your environment, and then click **Next** to continue.\n5. In the **Configure settings** section, configure the logs for the following sections that are displayed:\n - **Log levels**\n - **Log data destination**\n - **Log data masking**\n6. In the **Log levels** section, configure the following logs:\n - Set **Trace log** to **Fatal**.\n - Set **Administrative audit log** to **Success**.\n - Set **Runtime audit log** to **Success**.\n - Set **System log** to **Warning**.\n7. In the **Log data destination** section, for the following log level data, select\n **Save to internal database and remote syslog for the following hostname or IP address**,\n and then enter the IP address of Google Security Operations:\n\n - **Administrative audit log data**\n - **Runtime audit log data**\n - **System log data**\n\n Syslog messages are transmitted over higher port number for UDP.\n8. In the **Log data masking** section, in the **Mask token serial number: number of digits of the token serial number to display** field, enter the maximum value, which is equal to the number of digits that\n appear in available tokens, such as 12.\n\n For more information, see [Log data masking](https://community.rsa.com/s/article/Mask-Token-Serial-Numbers-in-Logs-4b7e844c).\n9. Click **Save**.\n\nConfigure Google Security Operations forwarder and syslog to ingest RSA Authentication Manager logs\n---------------------------------------------------------------------------------------------------\n\n1. Select **SIEM Settings** \\\u003e **Forwarders**.\n2. Click **Add new forwarder**.\n3. In the **Forwarder name** field, enter a unique name for the forwarder.\n4. Click **Submit** and then click **Confirm** . The forwarder is added and the **Add collector configuration** window appears.\n5. In the **Collector name** field, type a unique name for the collector.\n6. Select **RSA** as the **Log type**.\n7. Select **Syslog** as the **Collector type**.\n8. Configure the following mandatory input parameters:\n - **Protocol**: specify the connection protocol the collector will use to listen for syslog data.\n - **Address**: specify the target IP address or hostname where the collector resides and listens for syslog data.\n - **Port**: specify the target port where the collector resides and listens for syslog data.\n9. Click **Submit**.\n\nFor more information about Google Security Operations forwarders, see [Google Security Operations forwarders documentation](/chronicle/docs/install/forwarder-management-configurations). For information about requirements for each forwarder type, see [Forwarder configuration by type](/chronicle/docs/install/forwarder-management-api). If you encounter issues when you create forwarders, contact [Google Security Operations support](/chronicle/docs/support).\n\nField mapping reference\n-----------------------\n\nThis parser extracts fields from RSA Authentication Manager CSV logs, handling variations in the log format. It uses grok to initially parse the log lines, then leverages CSV filtering to extract individual fields, mapping them to standardized names like `username`, `clientip`, and `operation_status` for UDM compatibility.\n\nUDM mapping table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
