瞻博网络屏幕
Juniper Networks ScreenOS,原名Juniper NetScreen Firewall,是一系列安全设备中的实时防火墙硬件,您可以通过本地互联网或Juniper web控制台访问这些设备。
您可以配置Juniper Screenos的集成服务网关(ISG)以将Syslog发送到InsightIdr收集器,以便收集防火墙事件。
从Juniper收集ScreenOS ISG事件:
配置syslog.
要从ScreenOS设备配置syslog转发:
- 登录到Netscreen管理控制台。
- 在左侧菜单中,展开报告的设置树,选择syslog.页面。
- 如果您使用的是较旧版本的屏幕,则由导航>上报设置> Syslog日志。
- 检查启用syslog.框以启用syslog。
- 单击+加按钮添加一个新主机。
- 在“配置”窗口中,输入InsightIdr收集器的IP地址。
- 在“端口”字段中,在收集器上输入将接受这些防火墙日志的唯一端口。
- 在“安全设施”下拉框中,选择local0.选项。此选项将每个安全事件记录到syslog。
- 在“设施”下拉框中,选择local1选项,它将捕获以下所有级别的事件:
- local1 = Info.
- local2 = notify.
- Local3 =警告
- local4 =错误
- Local5 =至关重要
- Local6 =警报
- Local7 =紧急
- 在“Transport”下拉框中,选择TCP作为您的选择。
- 单击好的按钮。syslog主机将出现在表中。
- 单击应用按钮,完成配置。
创建防火墙事件源
现在在InsightIDR中创建Juniper Networks ScreenOS事件源以获取日志。
这样做:
- 从仪表板中选择数据收集在左边的菜单上。
- 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源码.
- 从“安全数据”部分,单击防火墙图标。出现“添加事件源”面板。
- 选择您的收集器和选择瞻博网络网上屏幕作为事件事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 选择发送未经过滤的日志.
- 配置您的默认域和任何高级设置.
- 选择syslog.身为你的数据收集方法,输入您在Juniper配置中指定的端口,并选择TCP作为您的协议。
- 下载RAPID7证书并按照Juniper的配置安装:https://kb.juniper.net/InfoCenter/index?page=content&id=KB4777.
- 单击节省按钮。
验证配置
在InsightIdr中的创建事件源完成后,您应该看到日志搜索中的日志。
InsightIDR的日志格式如下:
1<133> netscr_pri_01:netscreen device_id = nsisg2000a [root]系统通知-00257(流量):start_time =“2014-04-11 14:11:08”持续时间= 0 policy_id = 1245服务= syslog proto = 17 src zone =全局DST ZONE =全局动作=拒绝发送= 0 rcvd = 390 src = 1.2.3.4 dst = 5.6.7.8 src_port = 50000 dst_port = 500 session_id = 0原因=拒绝流量23.<133>netscr_pri_01: NetScreen device_id=nsisg2000a [Root]system-notification-00257(traffic):start_time="2014-04-11 14:10:58" duration=9 policy_id=2051 service=http proto=6 src zone=Partners dst zone=DMZ action=Permit sent=817 rcvd=2293 src=1.2.3.4 dst=5.6.7.8 src_port=4000 dst_port=8080 src-xlated ip=1.2.3.4 port=4000 dst-xlated ip=5.6.7.8 port=8080 session_id=123456 reason=Close - TCP FIN4
示例日志来自集成的安全网关(ISG)2000A系列屏幕6.0设备。
这个页面对你有帮助吗?