F5网络大IP本地流量管理器

F5网络的Big-IP本地流量管理器（LTM）允许您在网络中的应用程序和设备上控制和跟踪用户活动。您可以将Big-IP LTM配置为InsightIdr中的IDS事件源，以解析IDS和Intress身份验证事件。

有关BIG-IP LTM的更多信息，请访问F5网络的产品页面:

• https://www.f5.com/products/big-ip-services/local-traffic-manager

在你开始之前

验证您在BIG-IP平台上是否具有管理员权限。此事件源需要大型IP的一些初始配置，以确保将LTM日志发送到正确的位置。

配置F5大IP

为了使InsightIdr将日志作为IDS事件源IDS，您必须配置Big-IP以将其日志发送到远程Syslog服务器。您可以阅读如何在此F5支持文章中详细介绍如何完成此过程：https://support.f5.com/csp/article/k13080.

在BIG-IP中配置syslog转发。

1. 登录您的F5大IP接口。
2. 在左侧菜单中，展开系统页面附近列表底部并选择日志．
3. 扩大配置页面右侧的下拉菜单并单击远程日志．
4. 在“Remote IP”字段中，输入采集器的IP地址和您想要使用的唯一端口。
5. 输入要用于syslog服务器的唯一端口。
6. 点击添加．IP地址和端口将出现在下面的“远程Syslog服务器列表”字段中。
7. 点击更新确认更改。

在Insutigridr中配置F5网络

将BIG-IP环境正确配置为发送其日志后，现在可以添加F5本地交通管理器InsightIdr中的IDS事件源。

添加一个新的F5 Local Traffic Manager事件源:

1. 从InsightIDR的仪表盘，单击数据收集从左侧菜单中选择。
2. 在“数据收集管理”页面上，展开设置事件源下拉点并点击添加事件源码．
3. 从“安全数据”部分，单击ids.图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，您还可以命名您的活动源。
5. 选择时区与事件源日志的位置匹配。
6. 可选择选择发送未经过滤的日志．
7. 选择一个数据收集方法并指定端口和协议。
   • 如果通过下载选择TCP，可选择选择加密事件源RAPID7证书．
8. 点击保存等结束了。