AlienVault-Einrichtung und -Konfiguration Verwenden von Syslog für den Netzwerkverkehr
Ich versuche, eine AlienVault-Instanz bereitzustellen, und bin etwas verwirrt darüber, wie der Verkehr verfolgt wird. Ich kann sehen, dass ich Richtlinien und Alarme einstellen kann, die auf bestimmten Ereignissen basieren, und dass ich denke, dass ich meinen Hauptport auf meinen Switch portieren und diesen in meinen AlienVault-Sensor schieben muss. Ich habe auch drahtlos und daher bin ich etwas verwirrt, wie das mit meinem Draytek 2960 funktionieren würde, da 2 Vlans in den AP gehen und Port-Mirroring mit Tagging nicht möglich ist, glaube ich nicht und würde auch 2 Netzwerkschnittstellen usw. benötigen.
Ich frage mich, ob Sie Syslog from router verwenden, um alle Zugriffsprotokolle an mein AlienVault zu senden. Wenn Sie diese Informationen weitergeben, können Sie keine ähnlichen Informationen verfolgen und über diese Alarme und Richtlinien auslösen. Syslog-Einträge werden jedoch nur als Quelle angezeigt, jedoch als Router und als Daten nur UserData1 und UserData2 und fragen sich, wie
Nov 22 09:18:33 192.168.1.254 Vigor2960: Local User: (MAC=XX:XX:XX:XX:XX:XX) XXX.XXX.1.70:54686 -> XX.XX.XX.XX:443 (TCP) Das Format ist ähnlich wie oben, also brauche ich nur ein paar hübsche Regex. Ich hoffe, dass ich daraus die Daten machen kann, die ich brauche, wenn möglich?
0 Antworten auf die Frage
Verwandte Probleme
-
14
Regex-Tool für Linux
-
3
Kann nicht herausfinden, warum diese Regex nicht zutrifft
-
2
Entfernen von Zeilenumbrüchen aus einer RTF-Datei mit sed
-
5
Grep-Tool für XML
-
4
Wozu benutzt man ? in grep befehl .. und praktischen einsatz
-
13
Analysieren von Textdateien
-
1
Gibt es ein Gegenteil von: g in vim?
-
1
Ersetzen Sie Dateiname durch Dateipfad durch Sed
-
6
Editor mit mehrzeiligem Suchen und Ersetzen
-
2
Suchausblick 2003 mit einem regulären Ausdruck