Messaggi di evento di esempio syslog per Check Point
Utilizzare questi messaggi di evento di esempio per verificare una corretta integrazione con IBM QRadar.
Importante: A causa di formattazione dei problemi, incollare il formato del messaggio in un editor di testo e quindi rimuovere qualsiasi ritorno di trasporto o caratteri di alimentazione di linea.
Controllare il messaggio di esempio Point quando si utilizza il protocollo Syslog
Esempio 1: Il seguente messaggio di evento di esempio mostra che una connessione attendibile viene identificata e contrassegnata come un flusso di elefanti.
<13>Sep 30 07:13:59 checkpoint.checkpoint.test 30Sep2020 07:13:59 10.1.253.3 product: VPN-1 &FireWall-1; src: 10.3.5.15; s_port: 61172; dst: 10.254.4.3; service: 53; proto: udp; rule:; policy_id_tag: product=VPN-1 & FireWall-1[db_tag={666B9F89-D1F9-7848-B5FB- BF8D97B768F8};mgmt=fw-mgmt;date=1601441138;policy_name=CBS_policy_Simplified_PlusDeskt];dst_machine_name: *** Confidential ***;dst_user_name: *** Confidential ***;fw_message: Connection is marked as trusted elephant flow. Use fastaccel tool to edit configuration if needed.;has_accounting: 0;i/f_dir: inbound;is_first_for_luuid: 131072;logId: -1;log_sequence_num: 11;log_type: log;log_version: 5;origin_sic_name: CN=x01_fw1,O=fw-mgmt.cu.com.pl.8pjujj;snid: 0;src_machine_name: *** Confidential ***;src_user_name: *** Confidential ***;user: *** Confidential ***;| QRadar Nome campo | Valori evidenziati nel payload dell'evento |
|---|---|
| Nome utente | *** Confidential *** |
| IP di origine | 10.3.5.15 |
| Porta di origine | 61172 |
| IP di destinazione | 10.254.4.3 |
| Porta di destinazione | 53 |
| ora del dispositivo | Sep 30 07:13:59 |
Esempio 2: Il seguente messaggio di evento di esempio mostra che un login utente ha esito positivo.
LEEF:2.0|Check Point|Linux OS|1.0|Log In|cat=Linux OS devTime=1539878943 usrName=cpaction=Log In ifdir=inbound loguid={0x5bc8b020,0x3,0x6a9610ac,0xee29cd8} origin=172.16.150.106 sequencenum=4 version=5 application=su default_device_message=<86>su: pam_unix(su:session):session opened for user cp_postgres by (uid\\=0) facility=security/authorization messages login_status=succeeded product_category=OS syslog_severity=Informational| QRadar Nome campo | Valori evidenziati nel payload dell'evento |
|---|---|
| ID evento | Log In succeeded |
| Categoria evento | Linux OS |
| Nome utente | cp |
| IP di origine | 172.16.150.106 |
| ora del dispositivo | Oct 18 13:09:03 ADT |
| IP di identità | 172.16.150.106 |
| Nome utente di identità | cp |