Check Point 模块
编辑Check Point 模块
编辑这是一个用于 Check Point 防火墙日志的模块。它支持来自日志导出器以 Syslog RFC 5424 格式的日志。如果您需要以 CEF 格式提取 Check Point 日志,请使用 CEF 模块(syslog 输出中提供了更多字段)。
要配置日志导出器,请参阅 Check Point 的文档。
日志导出器配置示例
cp_log_export add name testdestination target-server 192.168.1.1 target-port 9001 protocol udp format syslog
阅读 快速入门,了解如何配置和运行模块。
兼容性
编辑此模块已针对 R80.X 上的 Check Point 日志导出器进行了测试,但也应适用于 R77.30。
配置模块
编辑您可以通过在 modules.d/checkpoint.yml 文件中指定 变量设置 或覆盖命令行中的设置来进一步优化 checkpoint 模块的行为。
您必须在模块中启用至少一个文件集。文件集默认情况下是禁用的。
变量设置
编辑每个文件集都有单独的变量设置来配置模块的行为。如果您没有指定变量设置,checkpoint 模块将使用默认值。
对于高级用例,您还可以覆盖输入设置。请参阅 覆盖输入设置。
在命令行中指定设置时,请记住在设置前添加模块名称前缀,例如 checkpoint.firewall.var.paths 而不是 firewall.var.paths。
firewall 文件集设置
编辑配置示例
- module: checkpoint
firewall:
var.syslog_host: 0.0.0.0
var.syslog_port: 9001
-
var.paths - 指定查找日志文件位置的基于 glob 的路径数组。Go Glob 支持的所有模式在此处也受支持。例如,您可以使用通配符从预定义的子目录级别获取所有文件:
/path/to/log/*/*.log。这将获取/path/to/log子文件夹中的所有.log文件。它不会获取/path/to/log文件夹本身的日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.syslog_host - 侦听基于 UDP 的 syslog 流量的接口。默认为 localhost。设置为 0.0.0.0 以绑定到所有可用接口。
-
var.syslog_port - 侦听 syslog 流量的 UDP 端口。默认为 9001。
-
var.timezone_offset - 解释没有时区的 syslog 时间戳时要使用的 IANA 时区或时间偏移量(例如
+0200)。默认为 UTC。 -
var.tags - 要在事件中包含的标签列表。包含
forwarded表示事件并非源自此主机,并导致host.name不添加到事件中。默认为[checkpoint-firewall, forwarded]。 -
var.ssl - filebeat 实例的 SSL/TLS 配置。这可以用来强制执行双向 TLS。
ssl: enabled: true certificate_authorities: ["my-ca.pem"] certificate: "filebeat-cert.pem" key: "filebeat-key.pem" client_authentication: "required"
Check Point 设备
编辑此模块将解析 Check Point Syslog 数据,如以下文档所述:Checkpoint 日志字段说明。
Check Point Syslog 扩展映射到 ECS 的方式如下所示
| Check Point 字段 | ECS 字段 | |
|---|---|---|
action |
event.action |
|
appi_name |
network.application |
|
app_risk |
event.risk_score |
|
app_rule_id |
rule.id |
|
app_rule_name |
rule.name |
|
bytes |
network.bytes |
|
categories |
rule.category |
|
client_inbound_interface |
observer.ingress.interface.name |
|
client_outbound_bytes |
source.bytes |
|
client_outbound_interface |
observer.egress.interface.name |
|
client_outbound_packets |
source.packets |
|
destination_dns_hostname |
destination.domain |
|
dlp_file_name |
file.name |
|
dns_message_type |
dns.type |
|
dns_type |
dns.question.type |
|
domain_name |
dns.question.name |
|
dst |
destination.ip |
|
dst_machine_name |
destination.domain |
|
dlp_rule_name |
rule.name |
|
dlp_rule_uid |
rule.uuid |
|
endpoint_ip |
observer.ip |
|
file_id |
file.inode |
|
file_type |
file.type |
|
file_name |
file.name |
|
file_size |
file.size |
|
file_md5 |
file.hash.md5 |
|
file_sha1 |
file.hash.sha1 |
|
file_sha256 |
file.hash.sha256 |
|
first_detection |
event.start |
|
from |
source.user.email |
|
ifdir |
network.direction |
|
industry_reference |
vulnerability.id |
|
inzone |
observer.ingress.zone |
|
last_detection |
event.end |
|
loguid |
event.id |
|
mac_destination_address |
destination.mac |
|
mac_source_address |
source.mac |
|
malware_action |
rule.description |
|
matched_category |
rule.category |
|
malware_rule_id |
rule.rule.id |
|
message |
message |
|
method |
http.request.method |
|
origin |
observer.name |
|
origin_ip |
observer.ip |
|
os_name |
host.os.name |
|
os_version |
host.os.version |
|
outzone |
observer.egress.zone |
|
packet_capture |
event.url |
|
packets |
network.packets |
|
parent_process_md5 |
process.parent.hash.md5 |
|
parent_process_name |
process.parent.name |
|
process_md5 |
process.hash.md5 |
|
process_name |
process.name |
|
product |
observer.product |
|
proto |
network.iana_number |
|
reason |
message |
|
received_bytes |
destination.bytes |
|
referrer |
http.request.referrer |
|
rule_name |
rule.name |
|
resource |
url.original |
|
s_port |
source.port |
|
security_inzone |
observer.ingress.zone |
|
security_outzone |
observer.egress.zone |
|
sent_bytes |
source.bytes |
|
sequencenum |
event.sequence |
|
service |
destination.port |
|
service_id |
network.application |
|
service_name |
destination.service.name |
|
server_outbound_packets |
destination.packets |
|
server_outbound_bytes |
destination.bytes |
|
severity |
event.severity |
|
smartdefense_profile |
rule.ruleset |
|
src |
source.ip |
|
src_machine_name |
source.domain |
|
src_user_group |
source.user.group.name |
|
start_time |
event.start |
|
status |
http.response.status_code |
|
tid |
dns.id |
|
time |
@timestamp |
|
to |
destination.user.email |
|
type |
observer.type |
|
update_version |
observer.version |
|
url |
url.original |
|
user_group |
group.name |
|
usercheck_incident_uid |
destination.user.id |
|
web_client_type |
user_agent.name |
|
xlatesrc |
source.nat.ip |
|
xlatedst |
destination.nat.ip |
|
xlatesport |
source.nat.port |
|
xlatedport |
destination.nat.port |
字段
编辑有关模块中每个字段的说明,请参阅 导出字段 部分。