Zscaler Nanologストリーミングサービス
Zscaler Nanolog Streaming Service(Zscaler NSS)向け JSA DSM は、Web ログまたはファイアウォール ログから Syslog イベントを収集します。
Zscaler Streaming Service と JSA を統合するには、次の手順を実行します。
自動更新が有効になっていない場合は、 https://support.juniper.net/support/downloads/ から最新バージョンの RPM をダウンロードして JSA コンソールにインストールします。
DSM Common RPM
Zscaler NSS DSM RPM
-
JSAにイベントを送信するように、AZscaler NSSデバイスを設定します。
メモ:Zscaler NSS デバイスを構成すると、 JSA は以下のフィードをサポートします。
-
ファイアウォールログ。ファイアウォールログの詳細については、 ファイアウォールログ のNSSフィードの追加を参照してください。
-
Web ログ。Web ログの詳細については、「 Web ログ の NSS フィードの追加」を参照してください。
Zscaler NSS で Syslog フィードを設定する場合は、Web ログの LEEF 出力フィード形式を使用します。
%s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss: LEEF:1.0|Zscaler|NSS|4.1| %s{reason}|cat=%s{action}\tdevTime=%s{mon} %02d{dd} %d{yy} %02d{hh}:%02d{mm}:%02d{ss} %s{tz} \tdevTimeFormat=MMM dd yyyy HH:mm:ss z\tsrc=%s{cip}\tdst=%s{sip}\tsrcPostNAT=%s{cintip} \trealm=%s{location}\tusrName=%s{login}\tsrcBytes=%d{reqsize}\tdstBytes=%d{respsize}\trole= %s{dept}\tpolicy=%s{reason}\trecordid=%d{recordid}\tbwthrottle=%s{bwthrottle}\tuseragent= %s{ua}\treferer=%s{ereferer}\thostname=%s{ehost}\tappproto=%s{proto}\turlcategory=%s{urlcat} \turlsupercategory=%s{urlsupercat}\turlclass=%s{urlclass}\tappclass=%s{appclass}\tappname= %s{appname}\tmalwaretype=%s{malwarecat}\tmalwareclass=%s{malwareclass}\tthreatname= %s{threatname}\triskscore=%d{riskscore}\tdlpdict=%s{dlpdict}\tdlpeng=%s{dlpeng}\tfileclass= %s{fileclass}\tfiletype=%s{filetype}\treqmethod=%s{reqmethod}\trespcode=%s{respcode}\t %s{bamd5}\turl=%s{eurl}Zscaler NSS で Syslog フィードを設定する場合、ファイアウォール ログの LEEF 出力フィード形式を使用します。
%s{mon} %02d{dd} %02d{hh}:%02d{mm}:%02d{ss} zscaler-nss: LEEF:1.0|Zscaler|NSS-FW|6.0| %s{action}|usrName=%s{login}\trole=%s{dept}\trealm=%s{location}\tsrc=%s{csip}\tdst=%s{cdip} \tsrcPort=%d{csport}\tdstPort=%d{cdport}\tdstPreNATPort=%d{cdport}\tsrcPreNATPort=%d{csport} \tdstPostNATPort=%d{sdport}\tsrcPostNATPort=%d{ssport}\tsrcPreNAT=%s{csip}\tdstPreNAT= %s{cdip}\tsrcPostNAT=%s{ssip}\tdstPostNAT=%s{sdip}\ttsip=%s{tsip}\ttsport=%d{tsport}\tttype= %s{ttype}\tcat=nss-fw\tdnat=%s{dnat}\tstateful=%s{stateful}\taggregate=%s{aggregate}\tnwsvc= %s{nwsvc}\tnwapp=%s{nwapp}\tproto=%s{ipproto}\tipcat=%s{ipcat}\tdestcountry=%s{destcountry} \tavgduration=%ld{avgduration}\trulelabel=%s{rulelabel}\tdstBytes=%ld{inbytes}\tsrcBytes= %ld{outbytes}\tduration=%d{duration}\tdurationms=%d{durationms}\tnumsessions=%d{numsessions} \n -
JSA がログ ソースを自動的に検出しない場合は、JSA コンソールに Zscaler NSS ログ ソースを追加します。ログ ソースの追加の詳細については、 Zscaler NSS の Syslog ログ ソース パラメーターを参照してください。