Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

F5 网络 BIG-IP ASM

JSA F5 Networks BIG-IP Application Security Manager (ASM) DSM 使用 syslog 从 BIG-IP ASM 设备收集 Web 应用程序安全事件。

要将系统日志事件从 F5 网络 BIG-IP ASM 设备转发到 JSA,必须配置日志记录配置文件。

日志记录概要文件可用于为 syslog 事件配置远程存储,这些事件可以直接转发到 JSA

  1. 登录到 F5 Networks BIG-IP ASM 设备用户界面。

  2. 导航 窗格中,选择“ 应用程序安全性”>“选项”。

  3. 单击 日志记录配置文件

  4. 单击 创建

  5. “配置 ”列表中,选择 “高级”。

  6. 键入“ 配置文件名称” 属性的描述性名称。

  7. 键入 配置文件说明

    如果不希望同时在本地和远程记录数据,请清除“ 本地存储 ”复选框。

  8. 选中“ 远程存储 ”复选框。

  9. “类型 ”列表中,选择以下选项之一:

    • 在 BIG-IP ASM V12.1.2 或更早版本中,选择“ 报表服务器”。

    • 在 BIG-IP ASM V13.0.0 或更高版本中,选择 键值对

  10. “协议”列表中,选择“TCP”。

  11. 对于 IP 地址 字段,键入 JSA 控制台 的 IP 地址,对于 端口 字段,键入端口值 514

  12. 选中 “保证日志记录 ”复选框。

    注意:

    启用 “保证日志记录 ”选项可确保在日志记录实用程序争用系统资源时,Web 应用程序的系统日志请求将继续存在。启用 “保证日志记录 ”选项可能会减慢对关联 Web 应用程序的访问速度。

  13. 选中 “报告检测到的异常” 复选框以允许系统记录详细信息。

  14. 单击 创建

    显示将使用新的日志记录配置文件刷新。当自动发现 F5 Networks BIG-IP ASM 事件时,日志源将添加到 JSA 。F5 Networks BIG-IP ASM 转发的事件显示在 JSA 的“日志活动”选项卡上。

F5 网络 BIG-IP ASM 的系统日志日志源参数

如果 JSA 未自动检测日志源,请使用系统日志协议在 JSA 控制台上添加 F5 Networks BIG-IP ASM 日志源。

使用 syslog 协议时,必须使用一些特定参数。

下表描述了需要特定值才能从 F5 网络 BIG-IP ASM 收集系统日志事件的参数:

表 1: F5 网络 BIG-IP ASM DSM 的系统日志源参数

参数

价值

日志源类型

F5 网络 BIG-IP ASM

协议配置

Syslog

日志源标识符

键入日志源的 IP 地址或主机名,作为来自 F5 网络 BIG-IP ASM 设备的事件的标识符。

F5 网络 BIG-IP ASM 示例事件消息

使用此示例事件消息验证是否成功与 JSA 集成。

注意:

由于格式问题,请将消息格式粘贴到文本编辑器中,然后删除所有回车符或换行符。

F5 网络 BIG-IP ASM 使用系统日志协议时的示例消息

以下示例事件消息显示了分布式攻击事件。

<134>Jul 25 11:47:52 f5networks.asm.test ASM:software_version="14.1.0",current_mitigation= "alarm",unit_hostname="f5networks.asm.test",management_ip_address="10.192.138.11",management_ip_ad dres s_2="",operation_mode="Transparent",date_time="2019-07-25 11:41:38",policy_apply_date="2019-07-23 15:2 4:21",policy_name="/Common/extranet_sonstige",vs_name="/Common/extranett. qradar.example.test_443",ano maly_attack_type="Distributed Attack",uri="/ qradar.example.test",attack_status="ongoing",detection_mod e="Number of Failed Logins Increased",severity="Emergency",mitigated_entity_name="username",mitigated_ entity_value="exnyjtgk",mitigated_ipaddr_geo="N/ A",attack_id="2508639270",mitigated_entity_failed_logi ns="0",mitigated_entity_failed_logins_threshold="3",mitigated_entity_total_mitigations="0",mitigat ed_e ntity_passed_challenges="0",mitigated_entity_passed_captchas="0",mitigated_entity_rejected_logins= "0", leaked_username_login_attempts="0",leaked_username_failed_logins="0",leaked_username_time_of_last_ logi n_attempt="2497667872",normal_failed_logins="78",detected_failed_logins="70",failed_logins_thresho ld=" 100",normal_login_attempts="91",detected_login_attempts="78",login_attempts_matching_leaked_creden tial s="0",total_mitigated_login_attempts="60",total_client_side_integrity_challenges="0",total_captcha _cha llenges="0",total_blocking_page_challenges="0",total_passed_client_side_integrity_challenges="0",t otal _passed_captcha_challenges="0",total_drops="0",total_successful_mitigations="0",protocol="HTTPS",l ogin _attempts_matching_leaked_credentials_threshold="100",login_stress="73"