PASTE (syslog_integration) ver1.5.0 リリース
2016年8月16日(日本時間)、PASTE (syslog_integration) ver1.5.0がリリースされました。
利便性向上とバグフィックスを含むメンテナンスリリースです。
次の点が変更されました。
- Palo altoのPAシリーズとの連携の設定例において、連携に使用する時刻の値を、「Receive Time」に変更
- swatch設定部分において、Palo altoのPAシリーズとの連携の設定例をいくつか追加
- swatch設定閲覧機能利用時の画面幅を従来より拡張(横に長い設定を見やすく変更)
- swatch設定変更機能利用時の画面幅を従来より拡張(横に長い設定を実施しやすく変更)
- 数万件以上などの多くの対象データがある場合に一覧が正しく表示できなくなる問題の修正
- SYSLOG受信文字列に"(ダブルクオーテーション)を含むときに正しく画面上で参照できない問題の修正
現時点のswatchの設定例は、次のようなものとなっています。
# logfile /var/log/local0.txt
# paloalto PA, THREAT, threshold by src,dst
watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/
threshold track_by=$1:$2,type=limit,count=1,seconds=60
pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID"
# paloalto PA, THREAT, threshold by src,dst,threat-name,severity(info,low)
#watchfor /THREAT,[^,]*,[^,]*,[^,]*,([^,]+),([^,]+),([^,]*,){23,23}([^,]+),[^,]*,(informational|low),/
# threshold track_by=$1:$2:$4:$5,type=limit,count=1,seconds=60
# pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID"
# paloalto PA, THREAT, no threshold for severity(medium,high,critical)
#watchfor /THREAT,([^,]*,){30,30}(medium|high|critical),/
# pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID"
# paloalto PA, TRAFFIC end, threshold by src,dst
#watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),/
# threshold track_by=$1:$2,type=limit,count=1,seconds=60
# pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID"
## paloalto PA, TRAFFIC end, threshold by src,dst,srcport,dstport,protocol
#watchfor /TRAFFIC,end,[^,]*,[^,]*,([^,]+),([^,]+),([^,]*,){15,15}([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,([^,]+),/
# threshold track_by=$1:$2:$4:$5:$6,type=limit,count=1,seconds=60
# pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID"
不具合の修正を含みますので、ver1.5.0へのversion-upを推奨します。
バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。
コメント