Radware AppWall
JSA DSM for Radware AppWall 从 Radware AppWall 设备收集日志。
下表介绍了 Radware AppWall DSM 的规格:
规范 |
价值 |
|---|---|
制造商 |
Radware |
DSM 名称 |
Radware AppWall |
RPM 文件名 |
DSM-RadwareAppWall-JSA_version-build_number.noarch.rpm |
支持的版本 |
6.5.2 8.2 |
协议 |
Syslog |
事件格式 |
愿景日志 |
记录的事件类型 |
管理 审计 学习 安全 系统 |
自动发现? |
是的 |
包括身份信息? |
不 |
包括自定义属性? |
不 |
更多信息 |
有关更多信息,请参阅 Radware 链接到公共网站 (https://www.radware.com)。 |
要将 Radware AppWall 与 JSA 集成,请完成以下步骤:
-
如果未启用自动更新,请从 瞻博网络 下载文件将 Radware AppWall DSM RPM 的最新版本下载并安装到 JSA 控制台:
配置您的 Radware AppWall 设备,将日志发送到 JSA。
如果 JSA 未自动检测到日志源,可在 JSA 控制台上添加 Radware AppWall 日志源。下表介绍了需要 Radware AppWall 事件集合的特定值的参数:
表 2:Radware AppWall 日志源参数 参数
价值
日志源类型
Radware AppWall
协议配置
Syslog
您的 RadWare AppWall 设备的事件有效负载可能比默认的最大 TCP Syslog 有效负载长度(4096 字节)长。这种超负荷可能会导致事件有效负载被 JSA 拆分为多个事件。要避免此行为,请增加 TCP Syslog 最大有效负载长度。要优化性能,首先将值配置为 8192 字节。RadWare AppWall 事件的最大长度为 14,019 字节。
完成配置 Radware AppWall 以与 JSA 通信过程的步骤 6 时,您可以验证 JSA 是否已配置为接收来自 Radware AppWall 设备的事件。
配置 Radware AppWall 以与 JSA 通信
配置您的 Radware AppWall 设备,将日志发送到 JSA。您可以使用 Vision Log 事件格式将 AppWall 日志与 JSA 集成。
登录您的 Radware AppWall 控制台。
从菜单栏选择 配置视图 。
在窗口左侧的树视图面板中,单击 appwall 网关>服务> Vision Support。
在窗口右侧的“ 服务器列表 ”选项卡中,单击“服务器列表”面板中的 add 图标 (+)。
在 Add Vision Server 窗口中,配置以下参数:
参数
价值
地址
JSA 控制台的 IP 地址。
港口
514
版本
从列表中选择最新版本。这是列表中最后一项。
单击 检查 以验证 AppWall 是否可以成功连接到 JSA。
单击 “提交 并 保存”。
单击 “应用>OK”。
增加 Radware AppWall 的最大 TCP 系统日志有效负载长度
为有效负载长于默认的最大 TCP Syslog 有效负载长度,增加 JSA 中 RadWare AppWall 设备的最大 TCP Syslog 有效负载长度。
您的 RadWare AppWall 设备的事件有效负载可能比默认的最大 TCP Syslog 有效负载长度(4096 字节)长。这种超负荷可能会导致事件有效负载被 JSA 拆分为多个事件。要避免此行为,请增加 TCP Syslog 最大有效负载长度。要优化性能,首先将值配置为 8192 字节。RadWare AppWall 事件的最大长度为 14,019 字节。
如果要增加 JSA 2014.6 的最大 TCP Syslog 有效负载长度,请按照以下步骤操作:
以管理员身份登录 JSA 控制台。
在 Admin 选项卡中,单击“系统设置”。
单击“高级”。
在“最大 TCP 系统日志有效负载长度”字段中,键入8192。
单击“保存”。
在 Admin 选项卡中,单击部署更改。
如果要增加 JSA 2014.5 及更低版本的 TCP Syslog 有效负载长度,请按照以下步骤操作:
使用 SSH 登录 JSA 控制台。
转至 /opt/qradar/conf/templates/configservice/pluggablesources/目录,然后编辑 TCPSyslog.vm 文件。
键入 8192 MaxPayload 参数的值。
例如,
<parameter type=MaxPayload>8192</parameter>。保存 TCPSyslog.vm 文件。
以管理员身份登录 JSA 控制台。
从“管理员”选项卡中,单击“高级>部署完整配置”。
Radware AppWall 示例事件消息
使用这些示例事件消息验证是否与 JSA 成功集成。
由于格式问题,将消息格式粘贴到文本编辑器中,然后删除所有回车符或换行符。
Radware AppWall 使用 Syslog 协议时的示例消息
示例 1: 以下示例事件消息显示服务已停止。
OLF6 appwall 2.1 date="05/27/2019 06:01:24 +00" milli.1=92 et=Initialization sev=notice subj="Subsystem stopped" evtid=1558936884-109 hostname=testHostName hostip=10.22.126.18 module=SystemType devtype="Stand Alone Gateway" cmip=10.22.126.18 msg="The subsystem was stopped."
JSA 字段名称 |
事件有效负载中的突出显示值 |
|---|---|
事件 ID |
1558936884-109 |
源 IP |
10.22.126.18 |
设备时间 |
05/27/2019 06:01:24 +00 |
示例 2: 以下示例事件消息显示反向 DNS 查找故障。
OLF6 appwall 2.1 date="05/27/2019 09:00:33 +00" milli.1=244 et=Initialization sev=warning subj="Reverse DNS Lookup Initialization Error" evtid=1558947633-294 hostname=testHostName hostip=10.22.126.18 module=WebApp_SubSys devtype="Stand Alone Gateway" cmip=10.22.126.18 msg="Reverse DNS Lookup operation failed to initialize.Dig Init Check failed: ;; connection timed out; no servers could be reached\n\nPrimary DNS Server: 10.22.14.135:53"
JSA 字段名称 |
事件有效负载中的突出显示值 |
|---|---|
事件 ID |
1558947633-294 |
源 IP |
10.22.126.18 |
设备时间 |
05/27/2019 09:00:33 +00 |