Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

CyberArk Vault

CyberArk Vault DSM for JSA 使用格式化为日志事件扩展格式 (LEEF) 的系统日志来接受事件。

JSA 将用户活动和 CyberArk Vault 中的安全活动记录在审计事件日志中。CyberArk Vault 与 JSA 集成,通过使用 syslog 创建特权帐户活动的详细日志来转发审计日志。

事件类型格式

必须将 CyberArk Vault 配置为在日志事件扩展 (LEEF) 中生成事件,并使用 syslog 转发这些事件。LEEF 格式由一个竖线 ( | ) 分隔的系统日志标头和日志有效负载部分中的制表符分隔的字段组成。

如果 CyberArk Vault 中的系统日志事件格式不正确,请检查您的设备配置或软件版本,以确保您的设备支持 LEEF。系统会自动发现格式正确的 LEEF 事件消息,并将其作为日志源添加到 JSA

为 CyberArk Vault 配置系统日志

要将 CyberArk Vault 配置为将系统日志事件转发到 JSA,您必须编辑文件以指定参数。

  1. 登录您的 CyberArk 设备。

  2. 编辑 DBParm.ini 文件。

  3. 配置以下参数:

    表 1:系统日志参数

    参数

    描述

    系统日志服务器 IP

    键入 JSA 的 IP 地址。

    系统日志服务器端口

    键入用于连接到 JSA 的 UDP 端口。默认值为 514。

    系统日志消息代码过滤器

    配置将哪些消息代码从 CyberArk Vault 发送到 JSA。您可以定义特定的消息编号或编号范围。默认情况下,将为用户活动和安全活动发送所有消息代码。 

    To define a message code of 1,2,3,30 and 5-10, you must
type: 1,2,3,5-10,30.

    SyslogTranslator文件

    键入 LEEF.xsl 转换器文件的文件路径。翻译器文件用于解析 syslog 协议中的 CyberArk 审计记录数据。

  4. LEEF.xsl 复制到 DBParm.ini 文件中 SyslogTranslatorFile 参数指定的位置。

配置完成。当 CyberArk Vault 事件被自动发现时,日志源将添加到 JSA。CyberArk Vault 转发的事件显示在 JSA日志活动选项卡上。

CyberArk Vault 的系统日志日志源参数

如果 JSA 不自动检测日志源,请使用 syslog 协议在 JSA 控制台上添加 CyberArk Vault 日志源。

使用 syslog 协议时,您必须使用某些特定参数。

下表描述了需要特定值才能从 CyberArk Vault 收集系统日志事件的参数:

表 2:CyberArk Vault DSM 的系统日志日志源参数

参数

value

日志源类型

CyberArk Vault

协议配置

系统日志

日志源标识符

键入日志源的 IP 地址或主机名。

该标识符可帮助您确定哪些事件来自您的 CyberArk Vault 设备。