Parsovací pravidla

Parsovací pravidla řeší práci se zprávami, které přicházejí do Logmanageru. Každá zpráva musí projít parsovacím pravidlem. Parsovací pravidlo může zprávu rozšířit o nové atributy, vzniklé na základě obsahu zpracovávané zprávy. Logmanager obsahuje sadu interních parsovacích pravidel, které lze využít pro zpracovávání zpráv. Lze také vytvářet vlastní pravidla s libovolnými pravidly včetně zpracovávání regulárních výrazů.

Základním parsovacím pravidlem je například konverze zprávy ve formátu JSON. Vstupní data se dekódují na jednotlivé proměnné obsahující data a následně se provede uložení do systému.

Parsovací pravidla se vytvářejí pomocí Zpracování událostí pomocí blockly.

Tabulka zobrazuje základní informace o pravidlech:

• název (název parsovacího pravidla),
• popis (popis parsovacího pravidla),
• značky (více informací v kapitole: Značky)
• zabudováno (zda je pravidlo integrováno v systému).

Nad tabulkou jsou kolonky filtru, data lze filtrovat podle každého jednotlivého sloupce. V případě použití filtrů nad více sloupci se aplikuje podmínka AND.

Pokud potřebujete přidat nové pravidlo, klikněte v hlavní tabulce na zelenou ikonu plus v pravém horním rohu.

Do připraveného formuláře zadáte následující údaje:

• název: název parsovacího pravidla,
• popis: popis parsovacího pravidla,
• blocks: pravidla ve vizuálním editoru Zpracování událostí pomocí blockly.

Přidání pravidla provedete kliknutím na tlačítko vytvořit, zrušení vyplněného formuláře a vrácení zpět na hlavní tabulku provedete kliknutím na tlačítko zrušit.

Editace pravidla se spustí kliknutím na modrou ikonu tužky, která je uvedena u každého pravidla. Zabudovaná pravidla a pravidla s popisem „hardcoded parser“ nelze editovat ani smazat.

Nyní se zobrazí formulář shodný s formulářem pro přidání nového pravidla.

Změnu pravidla provedete kliknutím na tlačítko uložit, zrušení vyplněného formuláře a vrácení zpět na hlavní tabulku, provedete kliknutím na tlačítko zrušit.

Smazání pravidla se provede kliknutím na ikonu červeného křížku, který je uveden u každého pravidla.

Po kliknutí na křížek se zobrazí dialogové okno Smazat klasifikační pravidlo a pro kontrolu se vypíše pravidlo, které se má smazat. Pro pokračování a vymazání pravidla klikněte na tlačítko ano, pro zrušení klikněte na tlačítko ne.

Pro lepší představu, jak vytvářet parsovací pravidla, jsme pro Vás připravili několik funkčních ukázek:

• Amavis
• Apache web server
• Dell PowerConnect
• FortiMail
• FreeRADIUS
• Check Point Firewall
• Microsoft IIS
• Nginx
• Shorewall
• Sophos
• Spamassasin
• SQL

Pokud zjistíte, že máte zařízení, které v systému Logmanager korektně nezobrazuje svoje data, bude potřeba vytvořit parser, který data ze zařízení zpracuje, rozdělí do proměnných, provede normalizaci hodnot a případně doplní volitelné informace. Tento parser si můžete vytvořit sami podle dokumentace Parsery.

Pokud Vaše zařízení disponuje možností logování ve formátu JSON, CEF, LEEF apod., data jsou již strukturovaná a stačí pouze nastavit klasifikátor na vhodný parser.

Informace naleznete například zde:

• ukázka parseru pro JSON formát: Decode JSON
• ukázka parseru pro CEF formát: Decode CEF

Další možnost je kontaktovat partnera nebo výrobce systému Logmanager, aby pro toto zařízení přidal podporu. Pokud se bude jednat o specifickou aplikaci, Váš Logmanager partner nebo výrobce Vám nabídne nabídku na vytvoření specifického parseru. Kontakty naleznete zde: https://www.logmanager.cz/en/#contacts

Informace potřebné pro vytvoření parseru:

1. Informace, o které zařízení, software nebo výrobce se jedná a na které verzi je provozováno.
2. Popis, jak konkrétní zařízení nebo software nastavit, aby odesílalo auditní záznamy na Logmanager server.
3. Odkaz na dokumentaci zařízení nebo software (ideálně na dokumentaci s popisem auditování a příklady možných auditních zpráv).
4. Export auditních záznamů z Logmanager serveru (exportujte prosím pouze hodnotu raw).