F5网络大IP本地流量管理器
F5网络的Big-IP本地流量管理器(LTM)允许您在网络中的应用程序和设备上控制和跟踪用户活动。您可以将Big-IP LTM配置为InsightIdr中的IDS事件源,以解析IDS和Intress身份验证事件。
有关BIG-IP LTM的更多信息,请访问F5网络的产品页面:
在你开始之前
验证您在BIG-IP平台上是否具有管理员权限。此事件源需要大型IP的一些初始配置,以确保将LTM日志发送到正确的位置。
配置F5大IP
为了使InsightIdr将日志作为IDS事件源IDS,您必须配置Big-IP以将其日志发送到远程Syslog服务器。您可以阅读如何在此F5支持文章中详细介绍如何完成此过程:https://support.f5.com/csp/article/k13080.
在BIG-IP中配置syslog转发。
- 登录您的F5大IP接口。
- 在左侧菜单中,展开系统页面附近列表底部并选择日志.
- 扩大配置页面右侧的下拉菜单并单击远程日志.
- 在“Remote IP”字段中,输入采集器的IP地址和您想要使用的唯一端口。
- 输入要用于syslog服务器的唯一端口。
- 点击添加.IP地址和端口将出现在下面的“远程Syslog服务器列表”字段中。
- 点击更新确认更改。
在Insutigridr中配置F5网络
将BIG-IP环境正确配置为发送其日志后,现在可以添加F5本地交通管理器InsightIdr中的IDS事件源。
添加一个新的F5 Local Traffic Manager事件源:
- 从InsightIDR的仪表盘,单击数据收集从左侧菜单中选择。
- 在“数据收集管理”页面上,展开设置事件源下拉点并点击添加事件源码.
- 从“安全数据”部分,单击ids.图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,您还可以命名您的活动源。
- 选择时区与事件源日志的位置匹配。
- 可选择选择发送未经过滤的日志.
- 选择一个数据收集方法并指定端口和协议。
- 如果通过下载选择TCP,可选择选择加密事件源RAPID7证书.
- 点击保存等结束了。
这个页面对你有帮助吗?