已解决:通过系统日志检查点防火墙日志格式

网络工程 防火墙 系统日志 检查点
2022-02-17 09:13:14

我从一系列我不管理的 Check Point 防火墙接收日志,它们非常全面,包含有关通信的所有可能信息。它们的格式field:"value";也很容易解析。

一个例子:

Nov  5 10:23:15 CP-MGT-01 [action:"Accept"; flags:"417028"; ifdir:"inbound"; ifname:"bond1.112"; logid:"0"; loguid:"{0x********,0x********,0x********,0x********}"; origin:"10.3.1.125"; originsicname:"CN=CP_FW_Jupiter_01,O=CP-Manager..********"; sequencenum:"222"; time:"1636107795"; version:"5"; __policy_id_tag:"product=VPN-1 & FireWall-1[db_tag={********-********-********-********-********};mgmt=CP_MGT_01;date=1636104479;policy_name=FW_Jupiter_Startup_12_03_2015\]"; dst:"135.57.11.2"; inzone:"Internal"; layer_name:"FW_Jupiter_Startup_12_03_2015 Security"; layer_uuid:"********-********-********-********-********"; match_id:"654"; parent_rule:"0"; rule_action:"Accept"; rule_uid:"********-********-********-********-********"; outzone:"Internal"; product:"VPN-1 & FireWall-1"; proto:"6"; s_port:"65441"; service:"443"; service_id:"https"; src:"10.12.3.30"; src_machine_name:"********@********group.dom"; src_user_dn:"CN=John Doe - ********,OU=Office365,OU=********,OU=********,DC=********,DC=********,DC=dom "; src_user_name:"John Doe (********) "; user:"John Doe (********) "]

然而,我负责另一个网络,但我不知道如何从 Check Point 防火墙获得相同的输出。这些字段是空格分隔的,这使得解析变得更加困难,而且我无法获得从其他正确配置的系统获得的信息。这是一个例子:

Nov  5 12:09:01 10.12.8.220 [Fields@1.3.6.1.4.1.2620 Log delay="1636110541" service_id="https" src="10.12.16.30" dst="10.12.8.14" proto="6" UP_match_table="TABLE_START" ROW_START="0" match_id="42" layer_uuid="*****-*****-*****-*****-*****" layer_name="Network" rule_uid="*****-*****-*****-*****-*****" rule_name="-> My_Rule" ROW_END="0" UP_match_table="TABLE_END" ProductName="VPN-1 & FireWall-1" svc="443" sport_svc="6606" ProductFamily="Network" #012]

以下是网络规格: 有两个站点,A 和 B,每个站点都有两个防火墙

  • CheckPoint_MGM
    • 集群_A:
      • FW01_A:检查点 5400 R80.40
      • FW02_A:检查点 5400 R80.40
    • 集群_B:
      • FW03_B:检查点 5400 R80.40
      • FV04_B:检查点 5400 R80.40

所有四个防火墙均通过 Check Point SmartConsole R80.40 进行管理

我到处找,但找不到任何与日志格式相关的设置。我怀疑它可能必须从命令行完成,但我什至不知道它是通过 SmartConsole 完成还是在单个防火墙上一一完成

解决方案:我创建了一个类型为“LogExporter/SIEM”而不是“Syslog”的服务器对象,并将管理控制台(而不是集群)配置为将日志导出到它。右键单击“网关和服务器”下的管理控制台对象,然后编辑 -> 日志 -> 导出

0个回答
没有发现任何回复~
其它你可能感兴趣的问题
上一篇RSVP 警告:未配置 ID“数据” 下一篇N5K-5672UP数据包流程图