Palo Alto Qradar Vb. SysLog Gönderimi

Merhaba arkadaşlar bu makalemde sizlere Palo Alto üzerinde Qrada vb. loglama cihazlarına ve uygulamalarına Sysloglarının nasıl aktarılacağını detaylı olarak anlatmak istiyorum,

Öncelikle Syslog Profili eklememiz gerekiyor

  1. Device – Server Profile – Syslog linklerinden Add diyip yeni bir syslog sunucusu ekliyoruz burada ip adresleri port numaraları vb. bilgileri giriyoruz ( port bilgileri, format vb. isteğe bağlı olarak değiştirebilirsiniz illa 514 olmak zorunda değil ) opsional

Timeline Description automatically generated with medium confidence

Aşağıda add diyip bilgileri giriyoruz,

Graphical user interface, application Description automatically generated

Aşağıda ekran’da | Custom Log Format | kısmında | Traffic – kısmını müşterimizin topolojisi bu parametreye göre uygundu, siz yazmaya bilirsiniz yada log sunucusunu kuran mühendis arkadaşların taleplerine göre değişebilir yada sizin iletmek istediğini trafik kurallarına göre de değişir.

Graphical user interface, text, application Description automatically generated

Aşağıdaki ekranda değiştirmek istediğiniz log formatlarının üzerine tıklayıp edit log format kısmında istediğiniz Fields’i ekleyebilirsini

Graphical user interface, application Description automatically generated

Syslog profile kısmını bu şekilde tamamlayabilirsiniz.

  1. Objects – Log Forwarding kısmında yapılması gereken işlemlere geçiyoruz,

Aşağıdaki ekranda Log Forwarding için kriterleri ekliyoruz firewall tarafında hangi audit leri göndereceğini

Graphical user interface Description automatically generated with low confidence

Graphical user interface, website Description automatically generated

Aşağıda | Syslog | sekmesinde ilk adımda oluşturduğumuz Syslog sunucumuzu ekliyoruz ,

Daha sonra | Log Type | kısmında’ki seçeneklerde ileteceği loğları işaretleriyoruz | traffic log ve diğer istenen loğları

| Filter | kısmında özelleştirebilirsiniz isteğe göre

Graphical user interface, application Description automatically generated

Graphical user interface, application Description automatically generated

Log Forwarding işlem kısmıda bu kadar.

  1. Son yapacağımız işlemde iste Policy tabında, bütün Security kurallarında

Actions kısmında | log setting | ayarlarında

Log at session start ve and kısımlarını işaretleyip | bir önceki kısımda oluşturduğumuz | log forwarding profilini işaretliyoruz

Graphical user interface, application Description automatically generated

Qradar ve diğer log tools’larına bu şekilde istediğiniz loğları iletebilirsiniz.

Bir sonraki makalede görüşmek üzere

 

Leave a Reply

Your email address will not be published. Required fields are marked *