Поддерживаемые источники событий

KUMA поддерживает нормализацию событий, которые поступают от систем, перечисленных в таблице "Поддерживаемые источники событий". Нормализаторы для указанных систем включены в поставку.

Поддерживаемые источники событий

Название системы

Название нормализатора

Тип

Описание нормализатора

1C EventJournal

[OOTB] 1C EventJournal Normalizer

xml

Предназначен для обработки журнала событий системы 1С. Источник событий — журнал регистрации 1C.

1C TechJournal

[OOTB] 1C TechJournal Normalizer

regexp

Предназначен для обработки технологического журнала событий. Источник событий — технологический журнал 1С.

Absolute Data and Device Security (DDS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

AhnLab Malware Defense System (MDS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ahnlab UTM

[OOTB] Ahnlab UTM

regexp

Предназначен для обработки событий от системы Ahnlab. Источник событий - системные, операционные журналы, подключения, модуль IPS.

AhnLabs MDS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Apache Cassandra

[OOTB] Apache Cassandra file

regexp

Предназначен для обработки событий в журналах СУБД Apache Cassandra версии 4.0.

Aruba ClearPass

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Avigilon Access Control Manager (ACM)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ayehu eyeShare

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Barracuda Networks NG Firewall

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BeyondTrust Privilege Management Console

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BeyondTrust’s BeyondInsight

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Bifit Mitigator

[OOTB] Bifit Mitigator Syslog

Syslog

Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.

Bloombase StoreSafe

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

BMC CorreLog

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Bricata ProAccel

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Brinqa Risk Analytics

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Advanced Threat Protection (ATP)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Endpoint Protection

[OOTB] Broadcom Symantec Endpoint Protection

regexp

Предназначен для обработки событий от системы Symantec Endpoint Protection.

Broadcom Symantec Endpoint Protection Mobile

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Broadcom Symantec Threat Hunting Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Canonical LXD

[OOTB] Canonical LXD syslog

Syslog

Предназначен для обработки событий, поступающих по syslog от системы Canonical LXD версии 5.18.

Checkpoint

[OOTB] Checkpoint Syslog CEF by CheckPoint

Syslog

Предназначен для обработки событий, поступающих от источника событий Checkpoint по протоколу Syslog в формате CEF.

Cisco Access Control Server (ACS)

[OOTB] Cisco ACS syslog

regexp

Предназначен для обработки событий системы Cisco Access Control Server (ACS), поступающих по Syslog.

Cisco ASA

[OOTB] Cisco ASA Extended v 0.1

Syslog

Предназначен для обработки событий устройств Cisco ASA. Cisco ASA базовый расширенный набор событий.

Cisco Email Security Appliance (WSA)

[OOTB] Cisco WSA AccessFile

regexp

Предназначен для обработки журнала событий прокси-сервера Cisco Email Security Appliance (WSA), файл access.log.

Cisco Identity Services Engine (ISE)

[OOTB] Cisco ISE syslog

regexp

Предназначен для обработки событий системы Cisco Identity Services Engine (ISE), поступающих по Syslog.

Cisco Netflow v5

[OOTB] NetFlow v5

netflow5

Предназначен для обработки событий, поступающих Cisco Netflow версии 5.

Cisco NetFlow v9

[OOTB] NetFlow v9

netflow9

Предназначен для обработки событий, поступающих Cisco Netflow версии 9.

Cisco Prime

[OOTB] Cisco Prime syslog

Syslog

Предназначен для обработки событий системы системы Cisco Prime версии 3.10, поступающих по syslog.

Cisco Secure Email Gateway (SEG)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Cisco Secure Firewall Management Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Citrix NetScaler

[OOTB] Citrix NetScaler

regexp

Предназначен для обработки событий, поступающих от балансировщика нагрузки Citrix Netscaller версии 13.7.

Claroty Continuous Threat Detection

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CloudPassage Halo

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Сodemaster Mirada

[OOTB] Сodemaster Mirada syslog

Syslog

Предназначен для обработки событий системы Сodemaster Mirada, поступающих по syslog.

Corvil Network Analytics

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Cribl Stream

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CrowdStrike Falcon Host

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CyberArk Privileged Threat Analytics (PTA)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

CyberPeak Spektr

[OOTB] CyberPeak Spektr syslog

Syslog

Предназначен для обработки событий системы CyberPeak Spektr версии 3, поступающих по syslog.

DeepInstinct

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Delinea Secret Server

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Digital Guardian Endpoint Threat Detection

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

DNS сервер BIND

[OOTB] BIND Syslog

[OOTB] BIND file

Syslog

regexp

[OOTB] BIND Syslog предназначен для обработки событий DNS-сервера BIND, поступающих по Syslog. [OOTB] BIND file предназначен для обработки журналов событий DNS-сервера BIND.

Dovecot

[OOTB] Dovecot Syslog

Syslog

Предназначен для обработки событий почтового сервера Dovecot, поступающих по Syslog. Источник событий — журналы POP3/IMAP.

Dragos Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

EclecticIQ Intelligence Center

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Edge Technologies AppBoard and enPortal

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Eltex MES Switches

[OOTB] Eltex MES Switches

regexp

Предназначен для обработки событий от сетевых устройств Eltex.

Eset Protect

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

F5 Big­IP Advanced Firewall Manager (AFM)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FFRI FFR yarai

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FireEye CM Series

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FireEye Malware Protection System

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Forcepoint NGFW

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Forcepoint SMC

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Fortinet FortiGate

[OOTB] Syslog-CEF

regexp

Предназначен для обработки событий в формате CEF.

Fortinet FortiGate

[OOTB] FortiGate syslog KV

Syslog

Предназначен для обработки событий, поступающих от межсетевых экранов FortiGate по syslog. Источник событий - журналы FortiGate в формате key-value.

Fortinet Fortimail

[OOTB] Fortimail

regexp

Предназначен для обработки событий системы защиты электронной почты FortiMail. Источник событий — журналы почтовой системы Fortimail.

Fortinet FortiSOAR

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

FreeIPA

[OOTB] FreeIPA

json

Предназначен для обработки событий, поступающих от системы FreeIPA. Источник событий — журналы службы каталогов Free IPA.

FreeRADIUS

[OOTB] FreeRADIUS syslog

Syslog

Предназначен для обработки событий системы FreeRADIUS, поступающих по Syslog. Нормализатор поддерживает события от FreeRADIUS версии 3.0.

Gardatech GardaDB

[OOTB] Gardatech GardaDB syslog

Syslog

Предназначен для обработки событий системы Gardatech GardaDB, поступающих по syslog в формате, схожим с CEF.

Gardatech Perimeter

[OOTB] Gardatech Perimeter syslog

Syslog

Предназначен для обработки событий системы Gardatech Perimeter версии 5.3, поступающих по syslog.

Gigamon GigaVUE

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

HAProxy

[OOTB] HAProxy syslog

Syslog

Предназначен для обработки журналов системы HAProxy. Нормализатор поддерживает события типа HTTP log, TCP log, Error log от HAProxy версии 2.8.

Huawei Eudemon

[OOTB] Huawei Eudemon

regexp

Предназначен для обработки событий, поступающих от межсетевых экранов Huawei Eudemon. Источник событий — журналы межсетевых экранов Huawei Eudemon.

Huawei USG

[OOTB] Huawei USG Basic

Syslog

Предназначен для обработки событий, поступающих от шлюзов безопасности Huawei USG по Syslog.

IBM InfoSphere Guardium

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Ideco UTM

[OOTB] Ideco UTM Syslog

Syslog

Предназначен для обработки событий, поступающих от Ideco UTM по Syslog. Нормализатор поддерживает обработку событий Ideco UTM версии 14.7, 14.10.

Illumio Policy Compute Engine (PCE)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Imperva Incapsula

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Imperva SecureSphere

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Orion Soft

[OOTB] Orion Soft zVirt syslog

regexp

Предназначен для обработки событий системы виртуализации Orion Soft версии 3.1.  

Indeed PAM

[OOTB] Indeed PAM syslog

Syslog

Предназначен для обработки событий Indeed PAM (Privileged Access Manager) версии 2.6.

Indeed SSO

[OOTB] Indeed SSO

xml

Предназначен для обработки событий системы Indeed SSO (Single Sign-On).

InfoWatch Traffic Monitor

[OOTB] InfoWatch Traffic Monitor SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы InfoWatch Traffic Monitor.

Intralinks VIA

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

IPFIX

[OOTB] IPFIX

ipfix

Предназначен для обработки событий в формате IP Flow Information Export (IPFIX).

Juniper JUNOS

[OOTB] Juniper - JUNOS

regexp

Предназначен для обработки событий аудита, поступающих от сетевых устройств Juniper.

Kaspersky Anti Targeted Attack (KATA)

[OOTB] KATA

cef

Предназначен для обработки алертов или событий из журнала активности Kaspersky Anti Targeted Attack.

Kaspersky CyberTrace

[OOTB] CyberTrace

regexp

Предназначен для обработки событий Kaspersky CyberTrace.

Kaspersky Endpoint Detection and Response (KEDR)

[OOTB] KEDR telemetry

json

Предназначен для обработки телеметрии Kaspersky EDR, размеченных KATA. Источник событий — kafka, EnrichedEventTopic

Kaspersky Industrial CyberSecurity for Networks

[OOTB] KICS4Net v2.x

cef

Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 2.х.

Kaspersky Industrial CyberSecurity for Networks

[OOTB] KICS4Net v3.x

Syslog

Предназначен для обработки событий Kaspersky Industrial CyberSecurity for Networks версии 3.х.

Kaspersky Security Center

[OOTB] KSC

cef

Предназначен для обработки событий Kaspersky Security Center по Syslog.

Kaspersky Security Center

[OOTB] KSC from SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы Kaspersky Security Center.

Kaspersky Security for Linux Mail Server (KLMS)

[OOTB] KLMS Syslog CEF

Syslog

Предназначен для обработки событий, поступающих от Kaspersky Security for Linux Mail Server в формате CEF по Syslog.

Kaspersky Security Mail Gateway (KSMG)

[OOTB] KSMG Syslog CEF

Syslog

Предназначен для обработки событий Kaspersky Security Mail Gateway версии 2.0 в формате CEF по Syslog.

Kaspersky Web Traffic Security (KWTS)

[OOTB] KWTS Syslog CEF

Syslog

Предназначен для обработки событий, поступающих от Kaspersky Web Traffic Security в формате CEF по Syslog.

Kaspersky Web Traffic Security (KWTS)

[OOTB] KWTS (KV)

Syslog

Предназначен для обработки событий Kaspersky Web Traffic Security для формата Key-Value.

Kemptechnologies LoadMaster

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Kerio Control

[OOTB] Kerio Control

Syslog

Предназначен для обработки событий межсетевых экранов Kerio Control.

KUMA

[OOTB] KUMA forwarding

json

Предназначен для обработки событий, перенаправленных из KUMA.

Libvirt

[OOTB] Libvirt syslog

Syslog

Предназначен для обработки событий Libvirt версии 8.0.0, поступающих по syslog.

Lieberman Software ERPM

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Linux

[OOTB] Linux audit and iptables Syslog

Syslog

Предназначен для обработки событий операционной системы Linux. Этот нормализатор будет удалён из набора OOTB через релиз. Если вы используете этот нормализатор, вам необходимо перейти на использование нормализатора [OOTB] Linux audit and iptables Syslog v1.

Linux

[OOTB] Linux audit and iptables Syslog v1

Syslog

Предназначен для обработки событий операционной системы Linux.

Linux

[OOTB] Linux audit.log file

regexp

Предназначен для обработки журналов безопасности операционных систем семейства Linux, поступающих по Syslog.

MariaDB

[OOTB] MariaDB Audit Plugin Syslog

Syslog

Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.

Microsoft DHCP

[OOTB] MS DHCP file

regexp

Предназначен для обработки событий от DHCP-сервера Microsoft. Источник событий — журналы DHCP сервера Windows.

Microsoft DNS

[OOTB] DNS Windows

regexp

Предназначен для обработки событий DNS сервера Microsoft. Источник событий — журналы DNS сервера Windows.

Microsoft Exchange

[OOTB] Exchange CSV

csv

Предназначен для обработки журнала событий системы Microsoft Exchange. Источник событий — журналы MTA сервера Exchange.

Microsoft IIS

[OOTB] IIS Log File Format

regexp

Нормализатор обрабатывает события в формате, описанном по ссылке: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging. Источник событий — журналы Microsoft IIS.

Microsoft Network Policy Server (NPS)

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — события Network Policy Server.

Microsoft Sysmon

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий модуля Microsoft Sysmon.

Microsoft Windows

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows.

Microsoft PowerShell

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows.

Microsoft SQL Server

[OOTB] Microsoft SQL Server xml

xml

Предназначен для обработки событий MS SQL Server версии 2008, 2012, 2014, 2016.

Microsoft Windows Remote Desktop Services

[OOTB] Microsoft Products

xml

Нормализатор предназначен для обработки событий операционной системы Microsoft Windows. Источник событий — журнал Applications and Services Logs - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational

Microsoft Windows XP/2003

[OOTB] SNMP. Windows {XP/2003}

json

Предназначен для обработки событий, поступающих от рабочих станций и серверов под управлением операционных систем Microsoft Windows XP, Microsoft Windows 2003 с использованием протокола SNMP.

MikroTik

[OOTB] MikroTik syslog

regexp

Предназначен для событий, поступающих от устройств MikroTik по Syslog.

Minerva Labs Minerva EDR

[OOTB] Minerva EDR

regexp

Предназначен для обработки событий от EDR системы Minerva.

MySQL 5.7

[OOTB] MariaDB Audit Plugin Syslog

Syslog

Предназачен для обработки событий, поступающих от плагина аудита MariaDB Audit по Syslog.

NetIQ Identity Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

NetScout Systems nGenius Performance Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Netskope Cloud Access Security Broker

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Netwrix Auditor

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Nextcloud

[OOTB] Nextcloud syslog

Syslog

Предназначен для событий Nextcloud версии 26.0.4, поступающих по syslog. Нормализатор не сохраняет информацию из поля Trace.

Nexthink Engine

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Nginx

[OOTB] Nginx regexp

regexp

Предназначен для обработки событий журнала веб-сервера Nginx.

NIKSUN NetDetector

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

One Identity Privileged Session Management

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Open VPN

[OOTB] OpenVPN file

regexp

Предназначен для обработки журнала системы OpenVPN.

Oracle

[OOTB] Oracle Audit Trail

sql

Предназначен для обработки событий аудита БД, полученных коннектором непосредственно из базы данных Oracle.

PagerDuty

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Palo Alto Cortex Data Lake

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Palo Alto Networks NGFW

[OOTB] PA-NGFW (Syslog-CSV)

Syslog

Предназначен для обработки событий от межсетевых экранов Palo Alto Networks, поступающих по Syslog в формате CSV.

Palo Alto Networks PAN­OS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Penta Security WAPPLES

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Positive Technologies ISIM

[OOTB] PTsecurity ISIM

regexp

Предназначен для обработки событий от системы PT Industrial Security Incident Manager.

Positive Technologies Network Attack Discovery (NAD)

[OOTB] PTsecurity NAD

Syslog

Предназначен для обработки событий от PT Network Attack Discovery (NAD), поступающих по Syslog.

Positive Technologies Sandbox

[OOTB] PTsecurity Sandbox

regexp

Предназначен для обработки событий системы PT Sandbox.

Positive Technologies Web Application Firewall

[OOTB] PTsecurity WAF

Syslog

Предназначен для обработки событий, поступающих от системы PTsecurity (Web Application Firewall).

PostgreSQL pgAudit

[OOTB] PostgreSQL pgAudit Syslog

Syslog

Предназначен для обработки событий плагина аудита pgAudit для базы данных PostgreSQL, поступающих по Syslog.

Proofpoint Insider Threat Management

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Proxmox

[OOTB] Proxmox file

regexp

Предназначен для событий системы Proxmox версии 7.2-3, хранящихся в файле. Нормализатор поддерживает обработку событий в журналах access и pveam.

PT NAD

[OOTB] PT NAD json

json

Предназначен для обработки событий, поступающий от PT NAD в формате json. Нормализатор поддерживает обработку событий PT NAD версий 11.1, 11.0.

QEMU - журналы гипервизора

[OOTB] QEMU - Hypervisor file

regexp

Предназначен для обработки событий гипервизора QEMU, хранящихся в файле. Поддерживаются версии QEMU 6.2.0, Libvirt 8.0.0.

QEMU - журналы виртуальных машин

[OOTB] QEMU - Virtual Machine file

regexp

Предназначен для обработки событий из журналов виртуальных машин гипервизора QEMU версии 6.2.0, хранящихся в файле.

Radware DefensePro AntiDDoS

[OOTB] Radware DefensePro AntiDDoS

Syslog

Предназначен для обработки событий от системы защиты от DDOS Mitigator, поступающих по Syslog.

Reak Soft Blitz Identity Provider

[OOTB] Reak Soft Blitz Identity Provider file

regexp

Предназначен для обработки событий системы Reak Soft Blitz Identity Provider версии 5.16, хранящихся в файле.

Recorded Future Threat Intelligence Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

ReversingLabs N1000 Appliance

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Rubicon Communications pfSense

[OOTB] pfSense Syslog

Syslog

Предназначен для обработки событий, поступающих от межсетевого экрана pfSense, поступающих по Syslog.

Rubicon Communications pfSense

[OOTB] pfSense w/o hostname

Syslog

Предназначен для обработки событий, поступающих от межсетевого экрана pfSense. Syslog-заголовок этих событий не содержит имени хоста.

SailPoint IdentityIQ

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Sendmail

[OOTB] Sendmail syslog

Syslog

Предназначен для обработки событий Sendmail версии 8.15.2, поступающих по syslog.

SentinelOne

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Snort

[OOTB] Snort 3 json file

json

Предназначен для обработки cобытий Snort версии 3 в формате JSON.

Sonicwall TZ

[OOTB] Sonicwall TZ Firewall

Syslog

Предназначен для обработки событий, поступающих по Syslog от межсетевого экрана Sonicwall TZ.

Sophos XG

[OOTB] Sophos XG

regexp

Предназначен для обработки событий от межсетевого экрана Sophos XG.

Squid

[OOTB] Squid access Syslog

Syslog

Предназначен для обработки событий прокси-сервера Squid, поступающих по протоколу Syslog.

Squid

[OOTB] Squid access.log file

regexp

Предназначен для обработки событий журнала Squid прокси-сервера Squid. Источник событий — журналы access.log

S-Terra VPN Gate

[OOTB] S-Terra

Syslog

Предназначен для обработки событий от устройств S-Terra VPN Gate.

Suricata

[OOTB] Suricata json file

json

Пакет содержит нормализатор для событий Suricata версии 7.0.1, хранящихся в файле в формате JSON.

Нормализатор поддерживает обработку следующих типов событий: flow, anomaly, alert, dns, http, ssl, tls, ftp, ftp_data, ftp, smb, rdp, pgsql, modbus, quic, dhcp, bittorrent_dht, rfb.

ThreatConnect Threat Intelligence Platform

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

ThreatQuotient

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

TrapX DeceptionGrid

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro Control Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro Deep Security

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trend Micro NGFW

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Trustwave Application Security DbProtect

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Unbound

[OOTB] Unbound Syslog

Syslog

Предназначен для обработки событий, поступающих по Syslog от DNS-сервера Unbound.

UserGate

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы UserGate по Syslog.

Varonis DatAdvantage

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Veriato 360

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

VipNet TIAS

[OOTB] Vipnet TIAS syslog

Syslog

Предназначен для обработки событий системы VipNet TIAS версии 3.8, поступающих по Syslog.

VMware ESXi

[OOTB] VMware ESXi syslog

regexp

Предназначен для обработки событий VMware ESXi (поддержка ограниченного количества событий от ESXi с версиями 5.5, 6.0, 6.5, 7.0), поступающих по Syslog.

VMWare Horizon

[OOTB] VMWare Horizon - Syslog

Syslog

Предназначен для обработки событий, поступающих от системы VMWare Horizon версии 2106 по Syslog.

VMwareCarbon Black EDR

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Vormetric Data Security Manager

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Votiro Disarmer for Windows

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Wallix AdminBastion

[OOTB] Wallix AdminBastion syslog

regexp

Предназначен для событий, поступающих от системы Wallix AdminBastion по Syslog.

WatchGuard - Firebox

[OOTB] WatchGuard Firebox

Syslog

Предназначен для обработки событий межсетевых экранов WatchGuard Firebox, поступающих по Syslog.

Webroot BrightCloud

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Winchill Fracas

[OOTB] PTC Winchill Fracas

regexp

Предназначен для обработки событий системы регистрации сбоев Winchill Fracas.

Zabbix

[OOTB] Zabbix SQL

sql

Предназначен для обработки событий Zabbix версии 6.4.

ZEEK IDS

[OOTB] ZEEK IDS json file

json

Предназначен для обработки журналов системы ZEEK IDS в формате JSON. Нормализатор поддерживает события от ZEEK IDS версии 1.8.

Zettaset BDEncrypt

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

Zscaler Nanolog Streaming Service (NSS)

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF.

АйТи Бастион – СКДПУ

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы АйТи Бастион - СКДПУ по Syslog.

А-реал Интернет Контроль Сервер (ИКС)

[OOTB] A-real IKS syslog

regexp

Предназначен для обработки событий системы А-реал Интернет Контроль Сервер (ИКС), поступающих по Syslog. Нормализатор поддерживает события от A-real IKS версии 7.0 и выше.

Веб-сервер Apache

[OOTB] Apache HTTP Server file

regexp

Предназначен для обработки событий Apache HTTP Server версии 2.4, хранящихся в файле. Нормализатор поддерживает обработку событий журнала Application в форматах Common или Combined Log, и журнала Error.

Ожидаемый формат журнала Error:

"[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i"

Веб-сервер Apache

[OOTB] Apache HTTP Server syslog

Syslog

Предназначен для обработки событий системы Apache HTTP Server, поступающих по syslog. Нормализатор поддерживает обработку событий Apache HTTP Server версии 2.4 журнала Access в формате Common или Combined Log, и журнала Error.

Ожидаемый формат событий журнала Error:

"[%t] [%-m:%l] [pid %P:tid %T] [server\ %v] [client\ %a] %E: %M;\ referer\ %-{Referer}i"

Веб-сервер Lighttpd

[OOTB] Lighttpd syslog

Syslog

Предназначен для обработки событий Access системы Lighttpd, поступающих по syslog. Нормализатор поддерживает обработку событий Lighttpd версии 1.4.

Ожидаемый формат событий журнала Access:

$remote_addr $http_request_host_name $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"

ИВК Кольчуга-К

[OOTB] Kolchuga-K Syslog

Syslog

Предназначен для обработки событий, поступающих от системы ИВК Кольчуга-К, версии ЛКНВ.466217.002 по Syslog.

ИнфоТеКС ViPNet IDS

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы ИнфоТеКС ViPNet IDS по Syslog.

ИнфоТеКС ViPNet Coordinator

[OOTB] VipNet Coordinator Syslog

Syslog

Предназначен для обработки событий от системы ViPNet Coordinator, поступающих по Syslog.

Код безопасности - Континент

[OOTB][regexp] Continent IPS/IDS & TLS

regexp

Предназначен для обработки журнала событий устройств Континент IPS/IDS.

Код безопасности - Континент

[OOTB] Continent SQL

sql

Предназначен для колучения событий системы Континент из базы данных.

Код Безопасности SecretNet 7

[OOTB] SecretNet SQL

sql

Предназначен для обработки событий, полученных коннектором из базы данных системы SecretNet.

Конфидент - Dallas Lock

[OOTB] Конфидент Dallas Lock

regexp

Предназначен для обработки событий, поступающих от системы защиты информации Dallas Lock версии 8.

КриптПро Ngate

[OOTB] Ngate Syslog

Syslog

Предназначен для обработки событий, поступающих от системы КриптПро Ngate по Syslog.

НТ Мониторинг и аналитика

[OOTB] Syslog-CEF

Syslog

Предназначен для обработки событий в формате CEF, поступающих от системы НТ Мониторинг и аналитика по Syslog.

Прокси-сервер BlueCoat

[OOTB] BlueCoat Proxy v0.2

regexp

Предназначен для обработки событий прокси-сервера BlueCoat. Источник событий — журнал событий прокси-сервера BlueCoat.

СКДПУ НТ Шлюз доступа

[OOTB] Bastion SKDPU-GW 

Syslog

Предназначен для обработки событий системы СКДПУ НТ Шлюз доступа, поступающих по Syslog.

Солар Дозор

[OOTB] Solar Dozor Syslog

Syslog

Предназначен для обработки событий, поступающийх от системы Солар Дозор версии 7.9 по Syslog. Нормализатор поддерживает обработку событий в пользовательском формате и не поддерживает обработку событий в формате CEF.

-

[OOTB] Syslog header

Syslog

Предназначен для обработки событий, поступающих по Syslog. Нормализатор выполняет парсинг Syslog-заголовка события, поле message события не затрагивается. В случае необходимости вы можете выполнить парсинг поля message другими нормализаторами.

В начало