Messaggi di evento di esempio Netgate pfSense
Utilizzare questi messaggi di evento di esempio per verificare una corretta integrazione con IBM QRadar.
Importante: A causa di formattazione dei problemi, incollare il formato del messaggio in un editor di testo e quindi rimuovere eventuali ritorni di trasporto o i caratteri di alimentazione della linea.
Messaggio di esempio Netgate pfSense quando si utilizza la query DNS Syslog protocol: name server
Il seguente messaggio di evento di esempio mostra che l'evento indica che è stata effettuata una query DNS server di nome.
<30>Mar 17 00:35:02 unbound: [33068:6] info: 192.168.1.222 hostname.test. NS IN| QRadar Nome campo | Nome campo di payload evidenziato |
|---|---|
| Nome evento | NS |
| IP di origine | 192.168.1.222 |
Messaggio di esempio Netgate pfSense quando si utilizza il protocollo Syslog: evento di autorizzazione firewall
Il seguente messaggio di evento di esempio mostra un evento di permesso firewall.
<134>Mar 10 08:43:23 filterlog: 100,,,1581299744,hn0,match,pass,out,4,0x0,,127,46462,0,DF,6,tcp,52,192.168.0.10,192.168.2.3,10945,443,0,S,1283715954,,64240,,mss;nop;wscale;nop;nop;sackOK| QRadar Nome campo | Nome campo di payload evidenziato |
|---|---|
| Nome evento | pass |
| Protocollo | 6 (TCP) |
| IP di origine | 192.168.0.10 |
| IP di destinazione | 192.168.2.3 |
| Porta di origine | 10945 |
| Porta di destinazione | 443 |