Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Erstellen eines Protokollparsers

Verwenden Sie die Seite Protokollparser erstellen, um mithilfe von Beispielprotokollen einen eigenen Protokollparser zu erstellen. Sie können Ihren eigenen Parser erstellen, indem Sie Felder in Ihren Beispielprotokollen Security Director Cloud Insights-Ereignisfeldern zuordnen und angeben, welche Arten von Ereignissen einen Vorfall generieren.

So erstellen Sie einen neuen Protokollparser:

  1. Melden Sie sich bei Juniper Security Director Cloud an.
  2. Wählen Sie Shared Services > Insights > lokalen Collectors > Protokollparsern aus.

    Die Seite Protokollparser wird angezeigt.

  3. Wählen Sie das Plus-Symbol (+) aus.

    Die Seite "Protokollparser erstellen" wird angezeigt.

  4. Schließen Sie die Konfiguration gemäß den Richtlinien in Tabelle 1 ab.
  5. Klicken Sie auf Fertig stellen, und Ihnen werden die Ergebnisse Ihres flexiblen Protokollparsers angezeigt, während sie auf die bereitgestellten Beispielprotokolle angewendet werden.

    Überprüfen Sie die Ergebnisse sorgfältig, um festzustellen, ob die Zuordnungs-, Filter- und Zuweisungsbedingungen den Erwartungen entsprechen.

Tabelle 1: Erstellen eines Protokollparsers

Einstellung

Richtlinie

Create/Edit Log Parser

Namen

Geben Sie einen eindeutigen und aussagekräftigen Namen für den Protokollparser ein.

Beschreibung

Geben Sie eine Beschreibung für den Protokollparser ein.

Log File

Rohe Protokolldatei

Laden Sie die Rohprotokolldatei hoch, indem Sie sie aufrufen.

Roher Protokollinhalt

Fügen Sie die Protokolldaten ein.

Stellen Sie sicher, dass die Protokolldatei einen RFC-konformen Syslog-Header enthält.

Protokoll-Dateiformat

Geben Sie das Format der Beispielprotokolldatei an. Folgende Optionen stehen zur Verfügung:

  • XML

  • JSON

  • CSV

  • Andere

CSV-Header

(wenn das Protokolldateiformat CSV ist)

Wenn Ihre Protokolldatei im CSV-Format vorliegt, können Sie in diesem Feld eine durch Trennzeichen getrennte Liste von Feldnamen angeben. Wenn die CSV-Header nicht angegeben werden, werden die Felder als csvN benannt, wobei N sich die Feldposition befindet.

Grok-Muster

(wenn das Protokolldateiformat ein anderes ist)

Wenn Sie die Option Andere für das Protokolldateiformat auswählen, müssen Sie ein Grok-Muster für die Protokolldatei angeben. Ein Grok-Muster kann aus einer oder mehreren Linien bestehen. Die Grok-Musterlinie, die mit LOGPATTERN beginnt, ist das Muster, das auf die Protokolle angewendet wird. Ein Grok-Muster muss ein Muster mit dem Namen LOGPATTERN enthalten, andernfalls verfügt der Parser über kein Muster, das er verwenden kann.

Field Mapping

Feldzuordnung

Klicken Sie im Abschnitt Feldzuordnung auf das Symbol + . Wählen Sie dann auf der Seite Feldzuordnung ein Feld in der Spalte "Analysierte Felder" aus, und wählen Sie dann einen Wert in der Spalte "Name der Insights-Felder" aus, der zugeordnet werden soll. Nachdem Sie beide Felder ausgewählt haben, klicken Sie auf Karte. Die zugeordneten Felder werden nun im Abschnitt "Feldzuordnung" angezeigt, in dem alle Felder aufgelistet sind, die einander zugeordnet wurden.

Sie können die folgende Aktion im Abschnitt Feldzuordnung ausführen:

  • Aktivieren Sie den Zähler, um zu zählen, wie oft ein Feld angezeigt wird.

Hinweis:

Die mit * gekennzeichneten Felder sind Pflichtfelder.

Date Format

Datumsformat

Wählen Sie ein Datumsformat aus, das in den Ereignisprotokollen angezeigt wird.

Log Filtering

Protokollfilterung

Sie können Filter erstellen, um Security Director Cloud Insights über böswillige und nicht böswillige Ereignisse zu benachrichtigen, während Sie entscheiden, welche Protokolle aufbewahrt werden sollen und welche ignoriert werden können. Bei der Protokollfilterung werden Protokolle entfernt, die "verrauscht" und nicht von besonderem Interesse sind, und Protokolle werden beibehalten, die sich auf bösartige Ereignisse beziehen.

Klicken Sie auf das Symbol + und konfigurieren Sie die Filterbedingungen wie folgt:

  • Wählen Sie ein Protokolldateifeld aus der Liste aus.

  • Wählen Sie eine geeignete Filterbedingung aus der Liste aus, z. B. Übereinstimmungen, Enthält, Enthält nicht usw. Wenn Sie Übereinstimmungen auswählen, muss die angegebene Zeichenfolge genau mit dem ausgewählten Feld übereinstimmen. Wenn Sie Enthält auswählen, muss die angegebene Zeichenfolge als Teilzeichenfolge im ausgewählten Feld angezeigt werden.

  • Geben Sie eine Zeichenfolge ein, um Protokolldateien zu filtern.

Klicken Sie auf OK und Ihre Bedingung wird dem Filter hinzugefügt. Sie können mehrere Filter hinzufügen, indem Sie auf das +- Symbol klicken.

Hinweis:

Aktivieren Sie das Kontrollkästchen für einen Filter und klicken Sie auf die Symbole Bearbeiten oder Löschen, um den Filter zu bearbeiten oder zu entfernen.

Conditions Assignment

Schweregrad des Ereignisses

Sie können einem Ereignis basierend auf den von Ihnen konfigurierten Filterparametern unterschiedliche Bedingungen zuweisen.

  • Schweregrad des Ereignisses: Weisen Sie Bedingungen zu, um den Schweregrad eines Ereignisses zu definieren.

    Klicken Sie auf Hinzufügen , und legen Sie die folgenden Bedingungen fest:

    • Wählen Sie einen Schweregrad aus. Die Optionen sind Gutartig, Niedrig, Mittel, Hoch und Kritisch.

    • Wählen Sie ein Feld aus der Liste aus, um den Schweregrad für dieses Feld festzulegen.

    • Wählen Sie eine Bedingung aus. Wenn Sie z. B. Übereinstimmungen auswählen, muss Ihre Zeichenfolge genau mit dem ausgewählten Feld übereinstimmen. Wenn Sie "Enthält" auswählen, muss die Zeichenfolge als Teilzeichenfolge im ausgewählten Feld angezeigt werden.

    • Geben Sie einen Wert zum Filtern der Protokolldateien ein, und klicken Sie auf OK.

  • Progression: Weisen Sie Bedingungen zu, um den Verlauf eines Events zu definieren.

    Klicken Sie auf das +- Symbol und legen Sie die Bedingungen wie folgt fest:

    • Wählen Sie eine Fortschrittsstufe aus. Die Optionen sind Phishing, Exploit, Download, Infektion und Ausführung.

    • Wählen Sie ein Feld aus der Liste aus, um die Fortschrittsstufe für dieses Feld festzulegen.

    • Wählen Sie eine Bedingung aus. Wenn Sie z. B. Übereinstimmungen auswählen, muss Ihre Zeichenfolge genau mit dem ausgewählten Feld übereinstimmen. Wenn Sie "Enthält" auswählen, muss die Zeichenfolge als Teilzeichenfolge im ausgewählten Feld angezeigt werden.

    • Geben Sie einen Wert zum Filtern der Protokolldateien ein, und klicken Sie auf OK.

  • Blockiert: Weisen Sie Bedingungen zu, um zu definieren, ob das Ereignis blockiert ist oder nicht.

    Klicken Sie auf das +- Symbol und legen Sie die Bedingungen wie folgt fest:

    • Wählen Sie eine blockierte Ebene aus. Die Optionen sind True und False.

    • Wählen Sie ein Feld aus der Liste aus, um die Blockebene für dieses Feld festzulegen.

    • Wählen Sie eine Bedingung aus. Wenn Sie z. B. Übereinstimmungen auswählen, muss Ihre Zeichenfolge genau mit dem ausgewählten Feld übereinstimmen. Wenn Sie "Enthält" auswählen, muss die Zeichenfolge als Teilzeichenfolge im ausgewählten Feld angezeigt werden.

    • Geben Sie einen Wert zum Filtern der Protokolldateien ein, und klicken Sie auf OK.