F5 网络 BIG-IP ASM
JSA F5 Networks BIG-IP Application Security Manager (ASM) DSM 使用 syslog 从 BIG-IP ASM 设备收集 Web 应用程序安全事件。
要将系统日志事件从 F5 网络 BIG-IP ASM 设备转发到 JSA,必须配置日志记录配置文件。
日志记录概要文件可用于为 syslog 事件配置远程存储,这些事件可以直接转发到 JSA。
登录到 F5 Networks BIG-IP ASM 设备用户界面。
在 导航 窗格中,选择“ 应用程序安全性”>“选项”。
单击 日志记录配置文件。
单击 创建。
从 “配置 ”列表中,选择 “高级”。
键入“ 配置文件名称” 属性的描述性名称。
键入 配置文件说明。
如果不希望同时在本地和远程记录数据,请清除“ 本地存储 ”复选框。
选中“ 远程存储 ”复选框。
从 “类型 ”列表中,选择以下选项之一:
在 BIG-IP ASM V12.1.2 或更早版本中,选择“ 报表服务器”。
在 BIG-IP ASM V13.0.0 或更高版本中,选择 键值对。
从“协议”列表中,选择“TCP”。
对于 IP 地址 字段,键入 JSA 控制台 的 IP 地址,对于 端口 字段,键入端口值 514。
选中 “保证日志记录 ”复选框。
注意:启用 “保证日志记录 ”选项可确保在日志记录实用程序争用系统资源时,Web 应用程序的系统日志请求将继续存在。启用 “保证日志记录 ”选项可能会减慢对关联 Web 应用程序的访问速度。
选中 “报告检测到的异常” 复选框以允许系统记录详细信息。
单击 创建。
显示将使用新的日志记录配置文件刷新。当自动发现 F5 Networks BIG-IP ASM 事件时,日志源将添加到 JSA 。F5 Networks BIG-IP ASM 转发的事件显示在 JSA 的“日志活动”选项卡上。
F5 网络 BIG-IP ASM 的系统日志日志源参数
如果 JSA 未自动检测日志源,请使用系统日志协议在 JSA 控制台上添加 F5 Networks BIG-IP ASM 日志源。
使用 syslog 协议时,必须使用一些特定参数。
下表描述了需要特定值才能从 F5 网络 BIG-IP ASM 收集系统日志事件的参数:
参数 |
价值 |
---|---|
日志源类型 |
F5 网络 BIG-IP ASM |
协议配置 |
Syslog |
日志源标识符 |
键入日志源的 IP 地址或主机名,作为来自 F5 网络 BIG-IP ASM 设备的事件的标识符。 |
F5 网络 BIG-IP ASM 示例事件消息
使用此示例事件消息验证是否成功与 JSA 集成。
由于格式问题,请将消息格式粘贴到文本编辑器中,然后删除所有回车符或换行符。
F5 网络 BIG-IP ASM 使用系统日志协议时的示例消息
以下示例事件消息显示了分布式攻击事件。
<134>Jul 25 11:47:52 f5networks.asm.test ASM:software_version="14.1.0",current_mitigation= "alarm",unit_hostname="f5networks.asm.test",management_ip_address="10.192.138.11",management_ip_ad dres s_2="",operation_mode="Transparent",date_time="2019-07-25 11:41:38",policy_apply_date="2019-07-23 15:2 4:21",policy_name="/Common/extranet_sonstige",vs_name="/Common/extranett. qradar.example.test_443",ano maly_attack_type="Distributed Attack",uri="/ qradar.example.test",attack_status="ongoing",detection_mod e="Number of Failed Logins Increased",severity="Emergency",mitigated_entity_name="username",mitigated_ entity_value="exnyjtgk",mitigated_ipaddr_geo="N/ A",attack_id="2508639270",mitigated_entity_failed_logi ns="0",mitigated_entity_failed_logins_threshold="3",mitigated_entity_total_mitigations="0",mitigat ed_e ntity_passed_challenges="0",mitigated_entity_passed_captchas="0",mitigated_entity_rejected_logins= "0", leaked_username_login_attempts="0",leaked_username_failed_logins="0",leaked_username_time_of_last_ logi n_attempt="2497667872",normal_failed_logins="78",detected_failed_logins="70",failed_logins_thresho ld=" 100",normal_login_attempts="91",detected_login_attempts="78",login_attempts_matching_leaked_creden tial s="0",total_mitigated_login_attempts="60",total_client_side_integrity_challenges="0",total_captcha _cha llenges="0",total_blocking_page_challenges="0",total_passed_client_side_integrity_challenges="0",t otal _passed_captcha_challenges="0",total_drops="0",total_successful_mitigations="0",protocol="HTTPS",l ogin _attempts_matching_leaked_credentials_threshold="100",login_stress="73"