F5 网络 BIG-IP APM
适用于 JSA 的 F5 Networks BIG-IP 访问策略管理器 (APM) DSM 使用 SYSLOG 从 BIG-IP APM 设备收集访问和身份验证安全事件。
要将 BIG-IP LTM 设备配置为将系统日志事件转发到远程系统日志源,请选择 BIG-IP APM 软件版本:
为 F5 BIG-IP APM V11.x 至 V14.x 配置远程系统日志
为 F5 BIG-IP APM 10.x 配置远程系统日志
为 F5 BIG-IP APM 11.x 至 V14.x 配置远程系统日志
您可以将 F5 BIG-IP APM 11.x 到 V143.x 的系统日志配置为。
要为 F5 BIG-IP APM 11.x 到 V14.x 配置远程系统日志,请执行以下步骤:
登录到 F5 BIG-IP 设备的命令行。
键入以下命令以添加单个远程系统日志服务器:
tmsh syslog remote server {<Name> {host <IP address>}}
其中:
<Name> 是 F5 BIG-IP APM 系统日志源的名称。
<IP address> 是 JSA 控制台的 IP 地址。
例如,
bigpipe syslog remote server {BIGIP_APM {host 10.100.100.101}}键入以下内容以保存配置更改:
tmsh save sys config partitions all
配置已完成。当自动发现 F5 Networks BIG-IP APM 事件时,日志源将添加到 JSA。F5 Networks BIG-IP APM 转发到 JSA 的事件显示在 JSA 的“日志活动”选项卡上。
为 F5 BIG-IP APM 10.x 配置远程系统日志
您可以为 F5 BIG-IP APM 10.x 配置系统日志
要为 F5 BIG-IP APM 10.x 配置远程系统日志,请执行以下步骤:
登录到 F5 BIG-IP 设备的命令行。
键入以下命令以添加单个远程系统日志服务器:
bigpipe syslog remote server {<Name> {host <IP address>}}
其中:
<Name> 是 F5 BIG-IP APM 系统日志源的名称。
<IP address> 是 JSA 控制台的 IP 地址。
例如,
bigpipe syslog remote server {BIGIP_APM {host 10.100.100.101}}键入以下内容以保存配置更改:
bigpipe save
配置已完成。当自动发现 F5 Networks BIG-IP APM 事件时,日志源将添加到 JSA 。F5 Networks BIG-IP APM 转发到 JSA 的事件显示在 “日志活动 ”选项卡上。
F5 网络 BIG-IP APM 的系统日志日志源参数
如果 JSA 未自动检测日志源,请使用系统日志协议在 JSA 控制台上添加 F5 网络 BIG-IP APM 日志源。
使用 syslog 协议时,必须使用一些特定参数。
下表描述了需要特定值才能从 F5 网络 BIG-IP APM 收集系统日志事件的参数:
参数 |
价值 |
|---|---|
日志源类型 |
F5 网络 BIG-IP APM |
协议配置 |
Syslog |
日志源标识符 |
键入日志源的 IP 地址或主机名,作为来自 F5 网络 BIG-IP APM 设备的事件的标识符。 |
F5 网络 BIG-IP APM 示例事件消息
使用此示例事件消息验证是否成功与 JSA 集成。
由于格式问题,请将消息格式粘贴到文本编辑器中,然后删除所有回车符或换行符。
F5 网络 BIG-IP APM 使用系统日志协议时的示例消息
以下示例事件消息显示 ACL 已匹配。它还显示允许从 192.168.194.160:54636 到 172.16.0.12:4446 的 TCP 流量。
<173>Oct 25 11:52:34 f5networks.bigipapm.test notice tmm[20338]: 01580002:5: /path/to_file _123:Common:b77e0b8e: allow ACL: /path/to_other_file_123:2 packet: tcp 192.168.194.160:54636 -> 172.16.0.12:4446