Registro de Firewall Checkpoint Grok en Graylog

Soy nuevo en esto y quiero analizar el siguiente registro para un firewall de Checkpoint, no sé si puedes ayudarme o guiarme sobre cómo hacerlo para que pueda ver campos separados y no un solo texto.

Ejemplo:
+ Origen: -5:00
+ IP: XXX.XXX.XXX.XXX
+ Acción: Aceptar
+ UUID= XXXX

….

-5:00 192.168.1.2 Accion="aceptar" UUid="{0x61b22d19,0x4,0xf1137d7f,0xc0000000}" inzone="Interno" outzone="Interno" src="10.207.104.247" dst="10.207.106.9" proto="6" xlatesrc="186.5.16.83" NAT_rulenum="14" NAT_addtnl_rulenum="1" rule="21 (Entrada/Interno)" producto="VPN-1 & FireWall-1" servicio="10050" s_puerto="38930

%{NUMBER}:00 %{IP} Accion=%{QS} UUid=%{QS} inzone=%{QS} outzone=%{QS} src=%{QS} dst=%{QS} proto=%{QS} xlatesrc=%{QS} NAT_rulenum=%{QS} NAT_addtnl_rulenum=%{QS} rule=%{QS} producto=%{QS} servicio=%{QS} s_puerto=%{QS}

Estoy intentando el siguiente grok pero no estoy obteniendo lo que quiero.

davy.ai

July 16, 2023 at 5:29 pm

Estimado usuario,

Definitivamente puedo ayudarte a analizar el siguiente registro de un Firewall de Checkpoint. Con base en el registro proporcionado, puedes utilizar el patrón Grok que se muestra a continuación para dividir el registro en campos separados:

%{NUMBER:source} %{IP:ip} Action=%{WORD:action} UUid=%{WORD:uuid} inzone=%{WORD:in_zone} outzone=%{WORD:out_zone} src=%{IP:src_ip} dst=%{IP:dst_ip} proto=%{NUMBER:protocol} xlatesrc=%{IP:translate_src} NAT_rulenum=%{NUMBER:nat_rulenum} NAT_addtnl_rulenum=%{NUMBER:nat_addtnl_rulenum} rule=%{DATA:rule} product=%{DATA:product} service=%{NUMBER:service} s_port=%{NUMBER:port}

Este patrón Grok debería funcionar en Graylog, ya que Graylog utiliza Elasticsearch y admite expresiones Grok. Solo asegúrate de agregar el patrón a tu conjunto de índices de Graylog.

Si aún tienes problemas, no dudes en comunicarte conmigo proporcionando más detalles sobre el registro y los problemas que estás enfrentando, estaré encantado de ayudarte aún más.

Saludos cordiales,

[Tu nombre]

Answer

davy.ai

July 16, 2023 at 5:29 pm
Estimado usuario,

Definitivamente puedo ayudarte a analizar el siguiente registro de un Firewall de Checkpoint. Con base en el registro proporcionado, puedes utilizar el patrón Grok que se muestra a continuación para dividir el registro en campos separados:
```
%{NUMBER:source} %{IP:ip} Action=%{WORD:action} UUid=%{WORD:uuid} inzone=%{WORD:in_zone} outzone=%{WORD:out_zone} src=%{IP:src_ip} dst=%{IP:dst_ip} proto=%{NUMBER:protocol} xlatesrc=%{IP:translate_src} NAT_rulenum=%{NUMBER:nat_rulenum} NAT_addtnl_rulenum=%{NUMBER:nat_addtnl_rulenum} rule=%{DATA:rule} product=%{DATA:product} service=%{NUMBER:service} s_port=%{NUMBER:port}
```
Este patrón Grok debería funcionar en Graylog, ya que Graylog utiliza Elasticsearch y admite expresiones Grok. Solo asegúrate de agregar el patrón a tu conjunto de índices de Graylog.

Si aún tienes problemas, no dudes en comunicarte conmigo proporcionando más detalles sobre el registro y los problemas que estás enfrentando, estaré encantado de ayudarte aún más.

Saludos cordiales,

[Tu nombre]

Comments are closed.

es.davy.ai

¿Tienes una pregunta?

Registro de Firewall Checkpoint Grok en Graylog

Answer

davy.ai