Azure
/
Azure-Sentinel
зеркало из
1
0
Форкнуть 0
Код Задачи Пакеты Проекты Релизы Вики Активность

Update PulseConnectSecure.txt 

Implementing suggestions from this PR - Thanks to FlyingBlueMonkey (Matt Egan) for the discussion and fix - https://github.com/Azure/Azure-Sentinel/pull/1137/files
This commit is contained in:
Shain 2020-11-11 08:50:26 -08:00 коммит произвёл GitHub
Родитель a892ab8781
Коммит 07b47231c5
Не найден ключ, соответствующий данной подписи
Идентификатор ключа GPG: 4AEE18F83AFDEB23
1 изменённых файлов: 12 добавлений и 11 удалений
Показать статистику Скачать Patch файл Скачать Diff файл Показать все файлы Свернуть все файлы

23
Parsers/PulseConnectSecure/PulseConnectSecure.txt
Просмотреть файл

@ -29,7 +29,7 @@
//
Syslog
| where Computer in ("datasource") and Facility == "local7"
//Version 8.0R7 and below
// Version 8.0R7 and below using the Standard format
| extend Parser = extract_all(@'^(\d{4}\-\d{2}-\d{2})\s(\d{2}\:\d{2}:\d{2})\s(\S+)\s(\S+)\s(\S+)\s\[(\S+)\]\s(\S+)\((.*)?\)\[(.*)\]\s\-\s(.*)',dynamic([1,2,3,4,5,6,7,8,9,10]),SyslogMessage)
| mv-expand Parser
| extend LogTime = todatetime(strcat(tostring(Parser[0]),'T',tostring(Parser[1]))),
@ -40,14 +40,15 @@ Syslog
EventID = tostring(Parser[8]),
Messages = tostring(Parser[9])
| project-away Parser
//Version 8.0R7 and above
| extend User = extract(@'user=(\S+)',1,SyslogMessage),
EventID = extract(@'id=(\S+)',1,SyslogMessage),
Pri = extract(@'pri=(\S+)',1,SyslogMessage),
Node = extract(@'vpn=\"(\S+)\"',1,SyslogMessage),
Realm = extract(@'realm=\"([\w\s\:\.]+)\"',1,SyslogMessage),
Roles = extract(@'roles=\"([\w\s\:\.]+)\"',1,SyslogMessage),
Type = extract(@'type=(\S+)',1,SyslogMessage),
Messages = extract(@'msg=\"([\w\s\:\.]+)\"',1,SyslogMessage),
Source_IP = extract(@'fw=([\d\.]+)',1,SyslogMessage),
// The section below is for parsing WebTrends Enhanced Log Format (WELF) logs. If you are NOT using WELF, then keep this section commented out otherwise uncomment each line to use
// Version 8.0R7 and above using the WELF format
//| extend User = extract(@'user=(\S+)',1,SyslogMessage),
// EventID = extract(@'id=(\S+)',1,SyslogMessage),
// Pri = extract(@'pri=(\S+)',1,SyslogMessage),
// Node = extract(@'vpn=\"(\S+)\"',1,SyslogMessage),
// Realm = extract(@'realm=\"([\w\s\:\.]+)\"',1,SyslogMessage),
// Roles = extract(@'roles=\"([\w\s\:\.]+)\"',1,SyslogMessage),
// Type = extract(@'type=(\S+)',1,SyslogMessage),
// Messages = extract(@'msg=\"([\w\s\:\.]+)\"',1,SyslogMessage),
// Source_IP = extract(@'fw=([\d\.]+)',1,SyslogMessage)