Exemple de messages d'événement Syslog pour Check Point
Utilisez ces exemples de messages d'événement pour vérifier la réussite de l'intégration avec IBM QRadar.
Important: En raison de problèmes de formatage, collez le format de message dans un éditeur de texte, puis supprimez les caractères de retour chariot ou de saut de ligne.
Exemple de message Check Point lorsque vous utilisez le protocole Syslog
Exemple 1 : L'exemple de message d'événement suivant montre qu'une connexion accréditée est identifiée et marquée comme un flux d'éléphants.
<13>Sep 30 07:13:59 checkpoint.checkpoint.test 30Sep2020 07:13:59 10.1.253.3 product: VPN-1 &FireWall-1; src: 10.3.5.15; s_port: 61172; dst: 10.254.4.3; service: 53; proto: udp; rule:; policy_id_tag: product=VPN-1 & FireWall-1[db_tag={666B9F89-D1F9-7848-B5FB- BF8D97B768F8};mgmt=fw-mgmt;date=1601441138;policy_name=CBS_policy_Simplified_PlusDeskt];dst_machine_name: *** Confidential ***;dst_user_name: *** Confidential ***;fw_message: Connection is marked as trusted elephant flow. Use fastaccel tool to edit configuration if needed.;has_accounting: 0;i/f_dir: inbound;is_first_for_luuid: 131072;logId: -1;log_sequence_num: 11;log_type: log;log_version: 5;origin_sic_name: CN=x01_fw1,O=fw-mgmt.cu.com.pl.8pjujj;snid: 0;src_machine_name: *** Confidential ***;src_user_name: *** Confidential ***;user: *** Confidential ***;| Nom de zone QRadar | Valeurs mises en évidence dans le contenu d'événement |
|---|---|
| Nom d'utilisateur | *** Confidential *** |
| IP source | 10.3.5.15 |
| Port source | 61172 |
| IP de destination | 10.254.4.3 |
| Port de destination | 53 |
| Heure de l'unité | Sep 30 07:13:59 |
Exemple 2 : L'exemple de message d'événement suivant montre qu'une connexion utilisateur a abouti.
LEEF:2.0|Check Point|Linux OS|1.0|Log In|cat=Linux OS devTime=1539878943 usrName=cpaction=Log In ifdir=inbound loguid={0x5bc8b020,0x3,0x6a9610ac,0xee29cd8} origin=172.16.150.106 sequencenum=4 version=5 application=su default_device_message=<86>su: pam_unix(su:session):session opened for user cp_postgres by (uid\\=0) facility=security/authorization messages login_status=succeeded product_category=OS syslog_severity=Informational| Nom de zone QRadar | Valeurs mises en évidence dans le contenu d'événement |
|---|---|
| ID d'événement | Log In succeeded |
| Catégorie d'événement | Linux OS |
| Nom d'utilisateur | cp |
| IP source | 172.16.150.106 |
| Heure de l'unité | Oct 18 13:09:03 ADT |
| IP d'identité | 172.16.150.106 |
| Nom d'utilisateur Identity | cp |