F5 Networks BIG-IP LTM
El DSM de F5 Networks BIG-IP Local Traffic Manager (LTM) para JSA recopila eventos de seguridad de red de un dispositivo BIG-IP mediante syslog.
Antes de que se puedan recibir eventos en JSA, debe configurar un origen de registro para JSA y, a continuación, configurar el dispositivo BIG-IP LTM para reenviar eventos syslog. Cree el origen de registro antes de que se reenvíen los eventos, ya que JSA no detecta ni crea automáticamente orígenes de registro para eventos syslog de dispositivos BIG-IP LTM de F5.
Especificaciones de BIG-IP LTM DSM de F5 Networks
Al configurar BIG-IP LTM de F5 Networks, comprender las especificaciones del DSM de BIGIP LTM de F5 Networks puede ayudar a garantizar una integración correcta. Por ejemplo, saber cuál es la versión compatible de BIG-IP LTM de F5 Networks antes de empezar puede ayudar a reducir la frustración durante el proceso de configuración.
En la tabla siguiente se describen las especificaciones para el DSM BIG-IP LTM de F5 Networks.
Especificación |
Valor |
|---|---|
Fabricante |
Redes F5 |
Nombre DSM |
F5 Networks BIG-IP LTM |
Nombre de archivo RPM |
DSM-F5NetworksBigIP-JSA_versionbuild_ number.noarch.rpm |
Versión compatible |
9.4.2 a 14.x |
Protocolo |
Syslog |
Formato del evento |
Syslog, CSV |
Tipos de eventos grabados |
Todos los eventos |
¿Detectado automáticamente? |
No |
¿Incluye identidad? |
Sí |
¿Incluye propiedades personalizadas? |
No |
Más información |
Parámetros de origen de registro de Syslog para redes de F5 BIG-IP LTM
Agregue un origen de registro BIG-IP LTM de F5 Networks en la consola JSA mediante el protocolo syslog.
Cuando se utiliza el protocolo syslog, hay parámetros específicos que debe utilizar.
En la tabla siguiente se describen los parámetros que requieren valores específicos para recopilar eventos syslog de BIG-IP LTM de F5 Networks:
Parámetro |
Valor |
|---|---|
Tipo de origen de registro |
F5 Networks BIG-IP LTM |
Configuración del protocolo |
Syslog |
Identificador de origen de registro |
Escriba la dirección IP o el nombre de host del origen del registro como identificador de eventos de sus dispositivos BIG-IP LTM de F5 Networks. |
Configuración del reenvío de Syslog en BIG-IP LTM
Puede configurar su dispositivo BIG-IP LTM para reenviar eventos syslog.
Puede configurar syslog para la siguiente versión del software BIG-IP LTM:
Configuración de Syslog remoto para F5 BIG-IP LTM V11.x a V14.x
Configuración de Remote Syslog para F5 BIG-IP LTM V10.x
Configuración de Remote Syslog para F5 BIG-IP LTM V9.4.2 a V9.4.8
Configuración de Syslog remoto para F5 BIG-IP LTM V11.x a V14.x
Puede configurar syslog para F5 BIG-IP LTM 11.x a V14.x.
Para configurar syslog para F5 BIG-IP LTM 11.x a V14.x, siga estos pasos:
Inicie sesión en la línea de comandos de su dispositivo F5 BIG-IP.
Para iniciar sesión en el Shell de administración de tráfico (tmsh), escriba el comando siguiente:
tmsh
Para agregar un servidor syslog, escriba el comando siguiente:
modify /sys syslog remote-servers add {<Name> {host <IP address> remote-port 514}}
Dónde:
<Name> es un nombre que se asigna para identificar el servidor syslog en el dispositivo BIG-IP LTM.
<IP address> es la dirección IP de JSA.
Por ejemplo,
modify /sys syslog remote-servers add {BIGIPsyslog {host 192.0.2.1 remote-port 514}}Guarde los cambios de configuración:
save /sys config
Los eventos que se reenvían desde el dispositivo BIG-IP LTM de F5 Networks se muestran en la ficha Registrar actividad de JSA.
Configuración de Remote Syslog para F5 BIG-IP LTM V10.x
Puede configurar syslog para F5 BIG-IP LTM V10.x.
Para configurar syslog para F5 BIG-IP LTM V10.x, siga estos pasos:
Inicie sesión en la línea de comandos de su dispositivo F5 BIG-IP.
Escriba el comando siguiente para agregar un único servidor syslog remoto:
bigpipe syslog remote server {<Name> {host <IP address>}}
Dónde:
<Name> es el nombre del origen syslog de F5 BIG-IP LTM.
<IP address> es la dirección IP de JSA.
Por ejemplo:
bigpipe syslog remote server {BIGIPsyslog {host 10.100.100.100}}
Guarde los cambios de configuración:
bigpipe save
Nota:F5 Networks modificó el formato de salida syslog en BIG-IP V10.x para incluir el uso de local/ antes del nombre de host en el encabezado syslog. El formato de encabezado syslog que contiene local/ no se admite en JSA, pero hay una solución alternativa disponible para corregir el encabezado syslog. Para obtener más información, consulte https://kb.juniper.net/KB20922.
Los eventos que se reenvían desde el dispositivo BIG-IP LTM de F5 Networks se muestran en la ficha Registrar actividad de JSA.
Configuración de Remote Syslog para F5 BIG-IP LTM V9.4.2 a V9.4.8
Puede configurar syslog para F5 BIG-IP LTM V9.4.2 a V9.4.8.
Para configurar syslog para F5 BIG-IP LTM V9.4.2 a V9.4.8, siga estos pasos:
Inicie sesión en la línea de comandos de su dispositivo F5 BIG-IP.
Escriba el comando siguiente para agregar un único servidor syslog remoto:
bigpipe syslog remote server <IP address>
Donde: <IP address> es la dirección IP de JSA.
Por ejemplo:
bigpipe syslog remote server 192.0.2.1Escriba lo siguiente para guardar los cambios de configuración:
bigpipe save
La configuración se ha completado. Los eventos que se reenvían desde el dispositivo BIG-IP LTM de F5 Networks se muestran en la ficha Registrar actividad de JSA.
Mensajes de eventos de ejemplo de BIG-IP LTM de F5 Networks
Utilice estos mensajes de eventos de ejemplo como una forma de verificar una integración correcta con JSA.
Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o de avance de línea.
Mensajes de sucesos de ejemplo BIG-IP LTM de F5 Networks cuando se utiliza el protocolo Syslog
Ejemplo 1: El siguiente mensaje de evento de ejemplo muestra el estado del monitor de un miembro del grupo.
<133> Nov 5 14:01:50 f5networks.bigip.test notice mcpd[5281]: 01070638 :5: Pool member 2001:20:5004:1606::89 : 8790 monitor status down.
Nombre de campo JSA |
Nombre del campo de carga resaltado |
|---|---|
ID. de evento |
01070638 se extrae del evento. |
IP de destino v6 |
2001:20:5004:1606::89 se extrae del evento. |
Puerto de destino |
8790 se extrae del evento. |
Hora del dispositivo |
Nov 5 14:01:50 se extrae del evento. |
Ejemplo 2: El siguiente mensaje de suceso de ejemplo muestra que IP-INTELLIGENCE aceptó un paquete.
<134> Apr 23 08:16:55 f5networks.bigip.test info tmm[1286]: 23003142 "","10.240.252.242","hostname.test","","","","Virtual Server","/Common/TESTTESTA. AA.local_HTTPS_VIP","/Common/IP-Intelligence- ALL"," 192.168.146.233 "," 10.243.32.100 "," 47707 "," 443 ","/Common/ VLAN-332"," TCP ","0","scanners,windows_exploits,spam_sources"," Accept ","custom_category", "","","","","","","","","","0000000000000000"
Nombre de campo JSA |
Nombre del campo de carga resaltado |
|---|---|
ID. de evento |
Aceptar se extrae del evento. |
IP de origen |
192.168.146.233 se extrae del evento. |
Puerto de origen |
47707 se extrae del evento. |
IP de destino |
10.243.32.100 se extrae del evento. |
Puerto de destino |
443 se extrae del evento. |
Protocolo |
TCP se extrae del evento. |
Hora del dispositivo |
Apr 23 08:16:55 se extrae del evento. |