Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Arbor Networks Peakflow SP

JSA 可以从网络中的 Arbor Networks Peakflow SP 设备收集系统日志事件并进行分类。

Arbor Networks Peakflow SP 设备将系统日志事件存储在本地。

要收集本地系统日志事件,必须将 Peakflow SP 设备配置为将系统日志事件转发到远程主机。 JSA 会自动发现并从 Arbor Networks Peakflow SP 设备转发的系统日志事件并创建日志源。 JSA 支持从峰值流量 V5.8 转发到 V8.1.2 的系统日志事件。

要配置 Arbor Networks Peakflow SP,请完成以下步骤:

  1. 在 Peakflow SP 设备上,为 JSA 创建通知组。

  2. 在 Peakflow SP 设备上,配置全局通知设置。

  3. 在 Peakflow SP 设备上,配置警报通知规则。

  4. 如果未为 JSA 启用自动更新,则可从 https://support.juniper.net/support/downloads/ 下载 RPM。在 JSA 控制台上下载并安装以下 RPM 的最新版本。

    • DSMCommon RPM

    • Arbor Networks Peakflow SP DSM RPM

  5. 配置 Arbor Networks Peakflow SP 设备以将系统日志或 TLS 系统日志事件发送到 JSA。

  6. 如果 JSA 没有自动检测日志源,请在 JSA 控制台添加 Arbor Networks Peakflow SP 日志源。下表描述了需要特定值才能从 Arbor Networks 峰值流量 SP 收集事件的参数:

    表 1:乔木网络峰值流量 SP 日志源参数

    参数

    价值

    日志源类型

    Arbor Networks Peakflow SP

    协议配置

    选择 系统日志TLS 系统日志

    日志源标识符

    键入日志源的唯一名称。

Arbor Networks Peakflow SP 支持的事件类型

用于 JSA 的Arbor Networks Peakflow DSM从多个类别收集事件。

每个事件类别都包含描述在事件类别中执行的操作的低级别事件。例如,认证事件可以具有 或 login failurelogin successful低级别类别。

以下列表定义了 JSA 从峰值流 SP 设备收集的事件类别:

  • 拒绝服务 (DoS) 事件

  • 身份验证事件

  • 漏洞利用事件

  • 可疑活动事件

  • 系统事件

在 Arbor Networks Peakflow SP 中配置远程系统日志

要收集事件,必须配置新的通知组或编辑现有组以将 JSA 添加为远程系统日志目标。

  1. 以管理员身份登录到 Peakflow SP 配置界面。

  2. 在导航菜单中,选择 管理>通知>组

  3. 单击 添加通知组

  4. 目标 字段中,键入 JSA 系统的 IP 地址。

  5. 端口 字段中,键入 514 as 系统日志目标的端口。

  6. 从“设施”列表中,选择一个系统日志 设施

  7. “严重性” 列表中,选择“ 信息”。

    信息严重性收集信息性事件级别和更高级别的所有事件消息。

  8. 单击 保存

  9. 单击 配置提交

配置 Arbor Networks Peakflow SP 中警报的全局通知设置

Arbor Networks Peakflow SP 中的全局通知提供不与规则关联的系统通知。

此过程定义如何将 JSA 添加为默认通知组并启用系统通知。

  1. 以管理员身份登录到 Arbor Networks Peakflow SP 设备的配置界面。

  2. 在导航菜单中,选择管理>通知>全局设置。

  3. 缺省通知组 字段中,选择您为 JSA 系统日志事件创建的通知组。

  4. 单击 保存

  5. 单击 配置提交 以应用配置更改。

  6. 以管理员身份登录到 Arbor Networks Peakflow SP 命令行界面。

  7. 键入以下命令以列出当前警报配置:

    services sp alerts system_errors show

  8. 可选:键入以下命令以列出可配置的字段名称:

    services sp alerts system_errors ?

  9. 键入以下命令以启用系统警报通知:

    services sp alerts system_errors <name> notifications enable

    其中<name>是通知的字段名称。

  10. 键入以下命令以提交配置更改:

    config write

在 Arbor Networks Peakflow SP 中配置告警通知规则

要生成事件,必须编辑或添加规则以将 JSA 用作远程系统日志目标的通知组。

  1. 以管理员身份登录到您的 Arbor Networks Peakflow SP 配置界面。

  2. 在导航菜单中,选择 管理>通知>规则

  3. 选择以下选项之一:

    • 单击当前规则以编辑该规则。

    • 单击添加规则以创建新的通知 规则

  4. 配置以下值:

    表 2:乔木网络峰值流量 SP 通知规则参数

    参数

    描述

    名字

    键入 IP 地址或主机名作为 Peakflow SP 安装中事件的标识符。

    日志源标识符必须是唯一值。

    资源

    键入 CIDR 地址或从峰值流量资源列表中选择一个托管对象。

    重要性

    选择规则的重要性。

    通知组

    选择您分配用于将系统日志事件转发到 JSA通知组

  5. 重复这些步骤以配置要创建的任何其他规则。

  6. 单击 保存

  7. 单击 配置提交 以应用配置更改。

    JSA 会自动发现并创建 Arbor Networks Peakflow SP 设备的日志源。转发到 JSA 的事件显示在日志活动选项卡上。

Arbor Networks Peakflow SP 的系统日志日志源参数

如果 JSA 没有自动检测日志源,请使用系统日志协议在 JSA 控制台上添加 Arbor Networks Peakflow SP 日志源。

使用 syslog 协议时,必须使用一些特定参数。

下表描述了需要特定值才能从 Arbor Networks 峰值流量 SP 收集系统日志事件的参数:

表 3:乔木网络峰值流量 SP DSM 的系统日志日志源参数

参数

价值

日志源名称

日志源的名称。

日志源说明

键入日志源的说明。

日志源类型

Arbor Networks Peakflow

协议配置

Syslog

日志源标识符

IP 地址或主机名用作 Peakflow SP 安装中事件的标识符。日志源标识符必须是唯一值。

信誉

日志源的可信度。可信度表示事件或违规行为的完整性,由源设备的可信度评级确定。如果多个来源报告同一事件,可信度就会增加。

目标事件收集器

要用作日志源目标的事件收集器。

合并事件

使日志源能够合并(捆绑)事件。缺省情况下,自动发现的日志源从 JSA 中的“系统设置”继承“合并事件”列表的值。创建日志源或编辑现有配置时,可以通过为每个日志源配置此选项来覆盖默认值。

传入事件有效负载

用于分析和存储日志的传入有效负载编码器。

存储事件有效负载

使日志源能够存储事件有效负载信息。

缺省情况下,自动发现的日志源从 JSA 中的“系统设置”继承“存储事件有效负载”列表的值。创建日志源或编辑现有配置时,可以通过为每个日志源配置此选项来覆盖默认值。