Mensajes de suceso de ejemplo de Syslog para Check Point
Utilice estos mensajes de suceso de ejemplo para verificar una integración satisfactoria con IBM QRadar.
Importante: Debido a problemas de formato, pegue el formato de mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o salto de línea.
Mensaje de ejemplo de Check Point cuando se utiliza el protocolo Syslog
Ejemplo 1: El siguiente mensaje de suceso de ejemplo muestra que una conexión fiable se ha identificado y marcado como un flujo de elefante.
<13>Sep 30 07:13:59 checkpoint.checkpoint.test 30Sep2020 07:13:59 10.1.253.3 product: VPN-1 &FireWall-1; src: 10.3.5.15; s_port: 61172; dst: 10.254.4.3; service: 53; proto: udp; rule:; policy_id_tag: product=VPN-1 & FireWall-1[db_tag={666B9F89-D1F9-7848-B5FB- BF8D97B768F8};mgmt=fw-mgmt;date=1601441138;policy_name=CBS_policy_Simplified_PlusDeskt];dst_machine_name: *** Confidential ***;dst_user_name: *** Confidential ***;fw_message: Connection is marked as trusted elephant flow. Use fastaccel tool to edit configuration if needed.;has_accounting: 0;i/f_dir: inbound;is_first_for_luuid: 131072;logId: -1;log_sequence_num: 11;log_type: log;log_version: 5;origin_sic_name: CN=x01_fw1,O=fw-mgmt.cu.com.pl.8pjujj;snid: 0;src_machine_name: *** Confidential ***;src_user_name: *** Confidential ***;user: *** Confidential ***;| QRadar Nombre del campo de | Valores resaltados en la carga útil del suceso |
|---|---|
| Nombre de usuario | *** Confidential *** |
| IP de origen | 10.3.5.15 |
| Puerto de origen | 61172 |
| IP de destino | 10.254.4.3 |
| Puerto de destino | 53 |
| Hora de dispositivo | Sep 30 07:13:59 |
Ejemplo 2: El siguiente mensaje de suceso de ejemplo muestra que un inicio de sesión de usuario se ha realizado correctamente.
LEEF:2.0|Check Point|Linux OS|1.0|Log In|cat=Linux OS devTime=1539878943 usrName=cpaction=Log In ifdir=inbound loguid={0x5bc8b020,0x3,0x6a9610ac,0xee29cd8} origin=172.16.150.106 sequencenum=4 version=5 application=su default_device_message=<86>su: pam_unix(su:session):session opened for user cp_postgres by (uid\\=0) facility=security/authorization messages login_status=succeeded product_category=OS syslog_severity=Informational| QRadar Nombre del campo de | Valores resaltados en la carga útil del suceso |
|---|---|
| ID de suceso | Log In succeeded |
| Categoría de suceso | Linux OS |
| Nombre de usuario | cp |
| IP de origen | 172.16.150.106 |
| Hora de dispositivo | Oct 18 13:09:03 ADT |
| IP de identidad | 172.16.150.106 |
| Nombre de usuario de identidad | cp |