Check Point の Syslog サンプル・イベント・メッセージ
これらのサンプル・イベント・メッセージを使用して、 IBM QRadarとの統合が正常に行われたことを確認します。
重要: フォーマットの問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。
Syslog プロトコルを使用する場合の Check Point サンプル・メッセージ
サンプル 1: 以下のサンプル・イベント・メッセージは、トラステッド接続が識別され、エレファント・フローとしてマークされたことを示しています。
<13>Sep 30 07:13:59 checkpoint.checkpoint.test 30Sep2020 07:13:59 10.1.253.3 product: VPN-1 &FireWall-1; src: 10.3.5.15; s_port: 61172; dst: 10.254.4.3; service: 53; proto: udp; rule:; policy_id_tag: product=VPN-1 & FireWall-1[db_tag={666B9F89-D1F9-7848-B5FB- BF8D97B768F8};mgmt=fw-mgmt;date=1601441138;policy_name=CBS_policy_Simplified_PlusDeskt];dst_machine_name: *** Confidential ***;dst_user_name: *** Confidential ***;fw_message: Connection is marked as trusted elephant flow. Use fastaccel tool to edit configuration if needed.;has_accounting: 0;i/f_dir: inbound;is_first_for_luuid: 131072;logId: -1;log_sequence_num: 11;log_type: log;log_version: 5;origin_sic_name: CN=x01_fw1,O=fw-mgmt.cu.com.pl.8pjujj;snid: 0;src_machine_name: *** Confidential ***;src_user_name: *** Confidential ***;user: *** Confidential ***;| QRadarフィールド名 | イベント・ペイロードで強調表示される値 |
|---|---|
| Username | *** Confidential *** |
| 送信元 IP | 10.3.5.15 |
| 送信元ポート | 61172 |
| 宛先 IP | 10.254.4.3 |
| 宛先ポート | 53 |
| デバイス時刻 | Sep 30 07:13:59 |
サンプル 2: 以下のサンプル・イベント・メッセージは、ユーザー・ログインが成功したことを示しています。
LEEF:2.0|Check Point|Linux OS|1.0|Log In|cat=Linux OS devTime=1539878943 usrName=cpaction=Log In ifdir=inbound loguid={0x5bc8b020,0x3,0x6a9610ac,0xee29cd8} origin=172.16.150.106 sequencenum=4 version=5 application=su default_device_message=<86>su: pam_unix(su:session):session opened for user cp_postgres by (uid\\=0) facility=security/authorization messages login_status=succeeded product_category=OS syslog_severity=Informational| QRadarフィールド名 | イベント・ペイロードで強調表示される値 |
|---|---|
| イベント ID | Log In succeeded |
| イベント・カテゴリー | Linux OS |
| Username | cp |
| 送信元 IP | 172.16.150.106 |
| デバイス時刻 | Oct 18 13:09:03 ADT |
| アイデンティティー IP | 172.16.150.106 |
| ID ユーザー名 (Identity Username) | cp |