SIEM解析深信服应用交付日志

一、背景介绍

XDR或SIP集成的SIEM可用于分析设备日志，初始对接深信服应用交付选择syslog模式解析模板选择内置的深信服AD，100%解析失败

错误案例展示如图：

二、解决方案

AD上配置日志格式需要进行一定的规整，规整思路配置格式为按键值对

例如虚拟服务http日志配置如下

1. time=${time},logtype=http_proxy,client_ip_port=${client_ip}:${client_port},method=${method},uri=${uri},virtual_ip=${vip},response_ip_port=${rs_ip}:${rs_port}

复制代码

NAT日志配置如下

1. action=${action},protocol=${protocol},src_ip=${src_ip},src_port=${src_port},dst_ip=${dst_ip},dst_port=${dst_port},nat_src_ip=${nat_src_ip},nat_src_port=${nat_src_port},nat_dst_ip=${nat_dst_ip},nat_dst_port=${nat_dst_port}

复制代码

在XDR或SIP的SIEM功能中，解析模板选择其他分类的AI-Parser

三、总结和效果展示

该方法适用于支持自定义日志格式的设备，调整格式为键值对即可。

下图展示了解析成功的情况，AI-Parser会自动识别日志并生成解析方案即“AI-Parser-深信服应用交付***”