спасибо за ваше время и помощь в этом. У меня постоянная проблема с включением Cisco ASA в таблицу данных CommonSecurityLog. Я думаю, это связано с тем, как я получаю сообщения через syslog, и моим пониманием архитектуры omsagent и того, как он различает CEF и Syslog. В настоящее время у нас нет записи в какие-либо средства системного журнала. Я пишу сообщения cisco asa в настраиваемый файл, который создается каждый день. Это отправка по TCP / 1470, потому что cisco asa не поддерживает TCP / 514. Журналы успешно поступают на компьютер, поэтому у меня нет проблем с синтаксисом conf. Хотя я не могу найти ничего полезного, чтобы передать это в Sentinel сейчас, когда он находится на моем сервере системного журнала, помимо создания настраиваемого журнала, в котором не будет сопоставления полей. Ниже показано, как выглядит мой syslog-ng.conf для связанного источника. Я также запустил сценарий проверки подключения на странице соединителя данных, чтобы убедиться, что с агентом, подключенным к рабочей области, все в порядке.
source s_cisco {
tcp(port(1470));
};
destination d_cisco_asa { file("/opt/syslog-ng/cisco_asa/$HOST/$YEAR-$MONTH-$DAY-$SOURCEIP-cisco_asa.log");};
filter f_cisco_asa {
host(x.x.x.x);
};
log { source(s_cisco); filter(f_cisco_asa); destination(d_cisco_asa); };
