Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion RSA_AUTH_MANAGER.
Configurer RSA Authentication Manager
Connectez-vous à la console RSA Authentication Manager Security à l'aide des identifiants administrateur.
Dans le menu Configuration, cliquez sur Paramètres système.
Dans la fenêtre Paramètres système, dans la section Paramètres de base, sélectionnez Journalisation.
Dans la section Sélectionner une instance, sélectionnez le type d'instance Principal configuré dans votre environnement, puis cliquez sur Suivant pour continuer.
Dans la section Configurer les paramètres, configurez les journaux pour les sections suivantes qui s'affichent :
Niveaux de journalisation
Destination des données de journaux
Masquage des données de journaux
Dans la section Niveaux de journalisation, configurez les journaux suivants :
Définissez Journal de trace sur Fatal.
Définissez Journal d'audit de l'administration sur Succès.
Définissez Journal d'audit de l'exécution sur Réussite.
Définissez Journal système sur Avertissement.
Dans la section Destination des données de journaux, pour les données de niveau de journal suivantes, sélectionnez Enregistrer dans la base de données interne et le syslog distant pour le nom d'hôte ou l'adresse IP suivants, puis saisissez l'adresse IP de Google Security Operations :
Données du journal d'audit de la console d'administration
Données du journal d'audit du runtime
Données des journaux système
Les messages Syslog sont transmis sur un numéro de port plus élevé pour UDP.
Dans la section Masquage des données de journaux, dans le champ Masquer le numéro de série du jeton : nombre de chiffres du numéro de série du jeton à afficher, saisissez la valeur maximale, qui correspond au nombre de chiffres qui apparaissent dans les jetons disponibles (par exemple, 12).
Cet analyseur extrait les champs des journaux CSV RSA Authentication Manager, en gérant les variations du format de journal. Il utilise grok pour analyser initialement les lignes de journaux, puis exploite le filtrage CSV pour extraire des champs individuels et les mapper à des noms standardisés tels que username, clientip et operation_status pour la compatibilité avec UDM.
Table de mappage UDM
Champ de journal
Mappage UDM
Logique
clientip
principal.asset.ip
Valeur de la colonne 8 du journal brut.
clientip
principal.ip
Valeur de la colonne 8 du journal brut.
column1
metadata.event_timestamp.seconds
Analysé à partir du champ time (colonne 1) du journal brut, à l'aide des formats "yyyy-MM-dd HH:mm:ss" et "yyyy-MM-dd HH:mm:ss".
column12
security_result.action
Mappé en fonction du champ operation_status (colonne 12). Les valeurs "SUCCESS" et "ACCEPT" correspondent à ALLOW, "FAIL", "REJECT", "DROP", "DENY" et "NOT_ALLOWED" correspondent à BLOCK, et les autres valeurs correspondent à UNKNOWN_ACTION.
column18
principal.user.userid
Valeur de la colonne 18 du journal brut.
column19
principal.user.first_name
Valeur de la colonne 19 du journal brut.
column20
principal.user.last_name
Valeur de la colonne 20 du journal brut.
column25
principal.hostname
Valeur de la colonne 25 du journal brut.
column26
principal.asset.hostname
Valeur de la colonne 26 du journal brut.
column27
metadata.product_name
Valeur de la colonne 27 du journal brut.
column3
target.administrative_domain
Valeur de la colonne 3 du journal brut.
column32
principal.user.group_identifiers
Valeur de la colonne 32 du journal brut.
column5
security_result.severity
Mappé en fonction du champ severity (colonne 5). Les valeurs "INFO" et "INFORMATIONAL" sont associées à INFORMATIONAL, "WARN" et "WARNING" à WARNING, "ERROR", "CRITICAL", "FATAL", "SEVERE", "EMERGENCY" et "ALERT" à ERROR, "NOTICE", "DEBUG" et "TRACE" à DEBUG, et les autres valeurs à UNKNOWN_SEVERITY.
column8
target.asset.ip
Valeur de la colonne 8 du journal brut.
column8
target.ip
Valeur de la colonne 8 du journal brut.
event_name
security_result.rule_name
Valeur de la colonne 10 du journal brut.
host_name
intermediary.hostname
Extrait de la partie <DATA> du journal brut à l'aide de modèles Grok.
process_data
principal.process.command_line
Extrait de la partie <DATA> du journal brut à l'aide de modèles Grok.
summary
security_result.summary
Valeur de la colonne 13 du journal brut.
time_stamp
metadata.event_timestamp.seconds
Extrait de la partie <DATA> du journal brut à l'aide de modèles Grok. Si elle est introuvable, le code temporel est extrait du champ timestamp du journal brut.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eThis document details the process of collecting RSA Authentication Manager logs using a Google Security Operations forwarder, supporting ingestion through the \u003ccode\u003eRSA_AUTH_MANAGER\u003c/code\u003e parser label.\u003c/p\u003e\n"],["\u003cp\u003eConfiguration steps for RSA Authentication Manager include adjusting log levels, setting data destinations to a remote syslog, and masking sensitive token serial numbers.\u003c/p\u003e\n"],["\u003cp\u003eSetting up a Google Security Operations forwarder involves creating a new forwarder, adding a collector configured for RSA logs via syslog, and specifying necessary connection parameters like protocol, address, and port.\u003c/p\u003e\n"],["\u003cp\u003eThe parser extracts fields from RSA Authentication Manager logs using grok patterns and CSV filtering, mapping them to UDM format fields like \u003ccode\u003eusername\u003c/code\u003e, \u003ccode\u003eclientip\u003c/code\u003e, and \u003ccode\u003eoperation_status\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eThe UDM mapping table outlines how specific log fields from RSA Authentication Manager are transformed into UDM fields within Google Security Operations, including data like timestamps, severity, and user details.\u003c/p\u003e\n"]]],[],null,["# Collect RSA Authentication Manager logs\n=======================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document describes how you can collect RSA Authentication Manager logs by using a Google Security Operations forwarder.\n\nFor more information, see [Data ingestion to Google Security Operations](/chronicle/docs/data-ingestion-flow).\n\nAn ingestion label identifies the parser which normalizes raw log data to structured\nUDM format. The information in this document applies to the parser with the `RSA_AUTH_MANAGER`\ningestion label.\n\nConfigure RSA Authentication Manager\n------------------------------------\n\n1. Sign in to the **RSA Authentication Manager Security** console using administrator credentials.\n2. In the **Setup** menu, click **System settings**.\n3. In the **System settings** window, in the **Basic settings** section, select **Logging**.\n4. In the **Select instance** section, select the **Primary** instance type configured in your environment, and then click **Next** to continue.\n5. In the **Configure settings** section, configure the logs for the following sections that are displayed:\n - **Log levels**\n - **Log data destination**\n - **Log data masking**\n6. In the **Log levels** section, configure the following logs:\n - Set **Trace log** to **Fatal**.\n - Set **Administrative audit log** to **Success**.\n - Set **Runtime audit log** to **Success**.\n - Set **System log** to **Warning**.\n7. In the **Log data destination** section, for the following log level data, select\n **Save to internal database and remote syslog for the following hostname or IP address**,\n and then enter the IP address of Google Security Operations:\n\n - **Administrative audit log data**\n - **Runtime audit log data**\n - **System log data**\n\n Syslog messages are transmitted over higher port number for UDP.\n8. In the **Log data masking** section, in the **Mask token serial number: number of digits of the token serial number to display** field, enter the maximum value, which is equal to the number of digits that\n appear in available tokens, such as 12.\n\n For more information, see [Log data masking](https://community.rsa.com/s/article/Mask-Token-Serial-Numbers-in-Logs-4b7e844c).\n9. Click **Save**.\n\nConfigure Google Security Operations forwarder and syslog to ingest RSA Authentication Manager logs\n---------------------------------------------------------------------------------------------------\n\n1. Select **SIEM Settings** \\\u003e **Forwarders**.\n2. Click **Add new forwarder**.\n3. In the **Forwarder name** field, enter a unique name for the forwarder.\n4. Click **Submit** and then click **Confirm** . The forwarder is added and the **Add collector configuration** window appears.\n5. In the **Collector name** field, type a unique name for the collector.\n6. Select **RSA** as the **Log type**.\n7. Select **Syslog** as the **Collector type**.\n8. Configure the following mandatory input parameters:\n - **Protocol**: specify the connection protocol the collector will use to listen for syslog data.\n - **Address**: specify the target IP address or hostname where the collector resides and listens for syslog data.\n - **Port**: specify the target port where the collector resides and listens for syslog data.\n9. Click **Submit**.\n\nFor more information about Google Security Operations forwarders, see [Google Security Operations forwarders documentation](/chronicle/docs/install/forwarder-management-configurations). For information about requirements for each forwarder type, see [Forwarder configuration by type](/chronicle/docs/install/forwarder-management-api). If you encounter issues when you create forwarders, contact [Google Security Operations support](/chronicle/docs/support).\n\nField mapping reference\n-----------------------\n\nThis parser extracts fields from RSA Authentication Manager CSV logs, handling variations in the log format. It uses grok to initially parse the log lines, then leverages CSV filtering to extract individual fields, mapping them to standardized names like `username`, `clientip`, and `operation_status` for UDM compatibility.\n\nUDM mapping table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
