Блог

Главная - Вопросы по программированию - Azure Sentinel — Как получить журналы ESET в eset_CL

Azure Sentinel — Как получить журналы ESET в eset_CL

#azure-log-analytics

Вопрос:

Мы используем агент Linux для пересылки журналов с нескольких устройств. Мне удалось успешно получить журналы из брандмауэра Fortigate в правильную таблицу CommonEvenLog. Однако, когда я пытаюсь добавить ESET в микс, я не могу правильно проанализировать его и поместить в таблицу eset_CL. Лучшее, что я смог сделать, — это в основном не разобрать его и занести в таблицу системного журнала.

В настоящее время у меня есть следующая настройка: Мой /etc/rsyslog.d/80…

 $ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
$AllowedSender TCP, 127.0.0.1, <ESET IP>, <Firewall IP>
$AllowedSender UDP, 127.0.0.1, <ESET IP> user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25524
$AllowedSender UDP, 127.0.0.1, <Firewall IP> user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224

Мой агент omsagent.conf

 <match oms.syslog.** oms.security.** oms.operation.**>
type out_oms
log_level info
num_threads 5
run_in_background false

omsadmin_conf_path /etc/opt/microsoft/omsagent/<ID>/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/<ID>/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/<ID>/certs/oms.key

buffer_chunk_limit 15m
buffer_type file
buffer_path /var/opt/microsoft/omsagent/<ID>/state/out_oms_common*.buffer

buffer_queue_limit 10
buffer_queue_full_action drop_oldest_chunk
flush_interval 20s
retry_limit 6
retry_wait 30s
max_retry_wait 30m
</match>
<match oms.api.**>
type out_oms_api
log_level info
num_threads 5
run_in_background false

omsadmin_conf_path /etc/opt/microsoft/omsagent/<ID>/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/<ID>/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/<ID>/certs/oms.key

buffer_chunk_limit 15m
buffer_type file
buffer_path /var/opt/microsoft/omsagent/<ID>/state/out_oms_api*.buffer

buffer_queue_limit 10
buffer_queue_full_action drop_oldest_chunk
flush_interval 20s
retry_limit 10
retry_wait 30s
max_retry_wait 9m
</match>

И, наконец, у меня есть два входных файла:

 <source>
type syslog
port 25224
bind 127.0.0.1
protocol_type udp
tag oms.syslog
</source>

<filter oms.syslog.**>
type filter_syslog
</filter>
<source>
type syslog
port 25524
bind 127.0.0.1
protocol_type udp
tag oms.api.eset
</source>

<filter oms.api.**>
@type parser
key_name message
format /(?<message>.*?{.*})/
</filter>

<filter oms.api.**>
@type parser
key_name message
format json
</filter>

Если я полностью удалю разделы, которые работают для брандмауэра, оставив только ту часть, которая работает для ESET, я смогу правильно поместить журналы в правильную таблицу eset_CL. Но потом я теряю свою таблицу брандмауэра. Как я могу получить оба в их правильных таблицах?

Метки: