此页面由 Cloud Translation API 翻译。

收集 RSA Authentication Manager 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Google Security Operations 转发器收集 RSA Authentication Manager 日志。

如需了解详情，请参阅将数据注入 Google Security Operations。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 RSA_AUTH_MANAGER 注入标签的解析器。

配置 RSA Authentication Manager

使用管理员凭据登录 RSA Authentication Manager Security 控制台。
在设置菜单中，点击系统设置。
在系统设置窗口的基本设置部分，选择日志记录。
在选择实例部分中，选择环境中配置的主要实例类型，然后点击下一步继续。
在配置设置部分中，为显示的以下部分配置日志：
- 日志级别
- 日志数据目标位置
- 日志数据遮盖
在日志级别部分中，配置以下日志：
- 将跟踪日志设置为严重。
- 将管理审核日志设置为成功。
- 将运行时审核日志设置为成功。
- 将系统日志设置为警告。
在日志数据目的地部分，对于以下日志级别的数据，选择保存到内部数据库和远程 syslog（适用于以下主机名或 IP 地址），然后输入 Google Security Operations 的 IP 地址：
- 管理审核日志数据
- 运行时审核日志数据
- 系统日志数据
syslog 消息通过较高的 UDP 端口号进行传输。
在日志数据遮盖部分中，在遮盖令牌序列号：要显示的令牌序列号位数字段中，输入最大值，该值等于可用令牌中显示的位数，例如 12。

如需了解详情，请参阅日志数据遮盖。
点击保存。

配置 Google Security Operations 转发器和 syslog 以注入 RSA Authentication Manager 日志

依次选择 SIEM 设置 > 转发器。
点击添加新转发器。
在转发器名称字段中，输入转发器的唯一名称。
点击提交，然后点击确认。转发器已添加，系统会显示添加收集器配置窗口。
在收集器名称字段中，为收集器输入一个唯一名称。
选择 RSA 作为日志类型。
选择 Syslog 作为收集器类型。
配置以下必需的输入参数：
- 协议：指定收集器将用于监听 syslog 数据的连接协议。
- 地址：指定收集器所在的目标 IP 地址或主机名，收集器会在此地址监听 syslog 数据。
- 端口：指定收集器所在的目标端口，并监听 syslog 数据。
点击提交。

如需详细了解 Google Security Operations 转发器，请参阅 Google Security Operations 转发器文档。如需了解每种转发器类型的要求，请参阅按类型划分的转发器配置。如果您在创建转发器时遇到问题，请与 Google Security Operations 支持团队联系。

字段映射参考

此解析器可从 RSA Authentication Manager CSV 日志中提取字段，并处理日志格式的各种变体。它使用 Grok 来初步解析日志行，然后利用 CSV 过滤功能提取各个字段，并将它们映射到 username、clientip 和 operation_status 等标准化名称，以实现 UDM 兼容性。

UDM 映射表

日志字段	UDM 映射	逻辑
`clientip`	`principal.asset.ip`	原始日志中 column8 的值。
`clientip`	`principal.ip`	原始日志中 column8 的值。
`column1`	`metadata.event_timestamp.seconds`	从原始日志的 `time` 字段（第 1 列）解析而来，采用“yyyy-MM-dd HH:mm:ss”和“yyyy-MM-dd HH: mm:ss”格式。
`column12`	`security_result.action`	根据 `operation_status` 字段（列 12）进行映射。值“SUCCESS”和“ACCEPT”映射到 ALLOW，“FAIL”“REJECT”“DROP”“DENY”“NOT_ALLOWED”映射到 BLOCK，其他值映射到 UNKNOWN_ACTION。
`column18`	`principal.user.userid`	原始日志中 column18 的值。
`column19`	`principal.user.first_name`	原始日志中 column19 的值。
`column20`	`principal.user.last_name`	原始日志中 column20 的值。
`column25`	`principal.hostname`	原始日志中 column25 的值。
`column26`	`principal.asset.hostname`	原始日志中 column26 的值。
`column27`	`metadata.product_name`	原始日志中 column27 的值。
`column3`	`target.administrative_domain`	原始日志中 column3 的值。
`column32`	`principal.user.group_identifiers`	原始日志中 column32 的值。
`column5`	`security_result.severity`	根据 `severity` 字段（第 5 列）进行映射。值“INFO”“INFORMATIONAL”映射到 INFORMATIONAL，“WARN”“WARNING”映射到 WARNING，“ERROR”“CRITICAL”“FATAL”“SEVERE”“EMERGENCY”“ALERT”映射到 ERROR，“NOTICE”“DEBUG”“TRACE”映射到 DEBUG，其他值映射到 UNKNOWN_SEVERITY。
`column8`	`target.asset.ip`	原始日志中 column8 的值。
`column8`	`target.ip`	原始日志中 column8 的值。
`event_name`	`security_result.rule_name`	原始日志中 column10 的值。
`host_name`	`intermediary.hostname`	使用 Grok 模式从原始日志的 `<DATA>` 部分提取。
`process_data`	`principal.process.command_line`	使用 Grok 模式从原始日志的 `<DATA>` 部分提取。
`summary`	`security_result.summary`	原始日志中 column13 的值。
`time_stamp`	`metadata.event_timestamp.seconds`	使用 Grok 模式从原始日志的 `<DATA>` 部分提取。如果未找到，则从原始日志的 `timestamp` 字段中提取时间戳。