Настройка и настройка AlienVault Использование системного журнала для сетевого трафика

287
harri

Я пытаюсь развернуть экземпляр AlienVault и немного запутался в отслеживании трафика. Я вижу, что могу устанавливать политики и сигналы тревоги на основе определенных событий, и я думаю, что мне нужно перенести зеркало моего основного порта на мой коммутатор и направить его в мой датчик AlienVault. Однако у меня также есть беспроводная связь, и поэтому я немного запутался, как это будет работать с моим Draytek 2960, так как 2 точки доступа входят в точку доступа и не могут портировать зеркало с пометкой. Я не верю, и мне также понадобятся 2 сетевых интерфейса и т. Д.

Мне интересно, нельзя ли использовать Syslog с маршрутизатора для отправки всех журналов доступа на AlienVault, и нельзя ли передавать эту информацию для отслеживания подобной информации и запуска через них моих сигналов тревоги и политик? Записи системного журнала просто показывают как Источник, являющийся маршрутизатором, а данные только UserData1 и UserData2 и задаются вопросом, как

Nov 22 09:18:33 192.168.1.254 Vigor2960: Local User: (MAC=XX:XX:XX:XX:XX:XX) XXX.XXX.1.70:54686 -> XX.XX.XX.XX:443 (TCP)

Формат похож на приведенный выше, так что просто нужно немного регулярных выражений. Я надеюсь превратить это в данные, которые мне нужны, если это возможно?

0

0 ответов на вопрос

Похожие вопросы