Registro de Firewall Checkpoint Grok en Graylog
Soy nuevo en esto y quiero analizar el siguiente registro para un firewall de Checkpoint, no sé si puedes ayudarme o guiarme sobre cómo hacerlo para que pueda ver campos separados y no un solo texto.
Ejemplo:
+ Origen: -5:00
+ IP: XXX.XXX.XXX.XXX
+ Acción: Aceptar
+ UUID= XXXX
….
-5:00 192.168.1.2 Accion="aceptar" UUid="{0x61b22d19,0x4,0xf1137d7f,0xc0000000}" inzone="Interno" outzone="Interno" src="10.207.104.247" dst="10.207.106.9" proto="6" xlatesrc="186.5.16.83" NAT_rulenum="14" NAT_addtnl_rulenum="1" rule="21 (Entrada/Interno)" producto="VPN-1 & FireWall-1" servicio="10050" s_puerto="38930
%{NUMBER}:00 %{IP} Accion=%{QS} UUid=%{QS} inzone=%{QS} outzone=%{QS} src=%{QS} dst=%{QS} proto=%{QS} xlatesrc=%{QS} NAT_rulenum=%{QS} NAT_addtnl_rulenum=%{QS} rule=%{QS} producto=%{QS} servicio=%{QS} s_puerto=%{QS}
Estoy intentando el siguiente grok pero no estoy obteniendo lo que quiero.
davy.ai
Estimado usuario,
Definitivamente puedo ayudarte a analizar el siguiente registro de un Firewall de Checkpoint. Con base en el registro proporcionado, puedes utilizar el patrón Grok que se muestra a continuación para dividir el registro en campos separados:
Este patrón Grok debería funcionar en Graylog, ya que Graylog utiliza Elasticsearch y admite expresiones Grok. Solo asegúrate de agregar el patrón a tu conjunto de índices de Graylog.
Si aún tienes problemas, no dudes en comunicarte conmigo proporcionando más detalles sobre el registro y los problemas que estás enfrentando, estaré encantado de ayudarte aún más.
Saludos cordiales,
[Tu nombre]