Protokoll-Exporter

Der Protokoll-Exporter ermöglicht es Ihnen, RADIUSaaS-Protokolle an ein externes Security Information and Event Management-(SIEM)-System zu senden, um Überwachung und Alarmierung zu ermöglichen.

Allgemein

Protokolle werden alle 60 Sekunden abgerufen und an Ihre konfigurierten Export-Ziel(e)gesendet. Der Log Exporter kann derzeit mit den folgenden Zielsystemen verbunden werden:

Der Log Exporter ermöglicht es Ihnen, einen spezifischen Nachrichtenfilter für jedes Ziel zu konfigurieren. Zum Beispiel:

  • Sende jeden Eintrag, bei dem sich ein Benutzer nicht anmelden konnte, an einen Log Analytics Workspace

  • Sende jede fehlgeschlagene TCP-Verbindung an einen Microsoft Teams-Kanal

Nachrichtenfilter

Die Nachrichtenfilter das für jedes Ziel konfiguriert werden kann, hilft Ihnen dabei, nur jene Protokolle zu erhalten, die für Ihr Monitoring- und Alarmsystem wirklich relevant sind.

Der Filter kann so konfiguriert werden, dass nur Protokolle aus bestimmten Quellen/Subsystemen der RADIUSaaS-Plattform berücksichtigt werden:

  • Rule Engine

  • Authorization System

  • Proxy Authentication

Darüber hinaus kann das Protokollniveau für jedes dieser Subsysteme konfiguriert werden.

Wenn Sie mit dem Lesen der Rohprotokolldaten von RADIUSaaS' vertraut sind Rohprotokolldaten und bereits eine Reihe von Nachrichten identifiziert haben, die für Sie interessant sind, können Sie aus diesen Nachrichten sehr einfach die geeigneten Filtereinstellungen für den Export ableiten. Daher bietet die folgende Tabelle eine Zuordnung vom Ursprung der Protokollnachricht (Subsystem) zu den Tags Eigenschaft sowie vom Protokolllevel zur Level Eigenschaft jeder Protokollnachricht.

Filter
Tag
Level

Rule Engine

Engine

Erfolg = INFO Fehlgeschlagen = WARNING Fehler = ERROR

Authorization System

Detail

Anfragen = debug Erfolg = info Fehlgeschlagen = warning Fehler = error

Proxy Authentication

Proxy

Verbindungen = debug Erfolg = info Fehlgeschlagen = warning Fehler = error

Nachricht

Unabhängig davon, welchen Zieltyp bzw. welche Zieltypen Sie ausgewählt haben, müssen Sie die Datenvorlage bearbeiten, die beschreibt, wie die Exportnachricht strukturiert sein soll, unter Verwendung von Jinja2 als Template-Engine: https://jinja.palletsprojects.com/en/3.1.x/templates/

Der Log Exporter hat Zugriff auf jedes Feld in einer Protokollnachricht, das hierarchisch unter der_source Eigenschaft liegt. Es wird über das data Objekt im Nachricht Editor bereitgestellt.

Zuletzt aktualisiert

War das hilfreich?