Access Gate leitet seine Audit- und Alert-Streams über Syslog (RFC 5424) weiter. Diese Anleitung beschreibt die Splunk-seitige Konfiguration, die erforderlich ist, um diese Ereignisse zu erfassen und die strukturierten Felder zu extrahieren, von denen Erkennungsregeln abhängen.
Voraussetzungen
- Access Gate ist so konfiguriert, dass Logs über TCP-Syslog an Ihren Splunk-Indexer (oder einen vorgelagerten Heavy Forwarder) weitergeleitet werden. Siehe Log-Weiterleitung und SIEM-Export.
- Splunk Enterprise 9.x oder Splunk Cloud mit der Möglichkeit, benutzerdefinierte Inputs und Props hinzuzufügen.
- Ein Listener-Port. Die Beispiele verwenden
5514/TCP; Port 514 direkt zu verwenden erfordert den Betrieb von Splunk als Root, was nicht empfohlen wird.
TCP-Input öffnen
Fügen Sie einen TCP-Input hinzu, der eingehende Access Gate-Ereignisse einem dedizierten Sourcetype zuordnet.
$SPLUNK_HOME/etc/system/local/inputs.conf:
[tcp://5514]
sourcetype = access_gate:syslog
index = access_gate
disabled = false
Erstellen Sie den Index unter Einstellungen → Indexes → Neuer Index (access_gate), bevor Sie Splunk neu starten, damit beim ersten Erfassen keine Ereignisse verworfen werden.
Sourcetype und Feldextraktionen definieren
Access Gate gibt Ereignisse in RFC 5424 mit strukturierten Daten aus. Splunks Standard-Sourcetype syslog unterstützt nur RFC 3164. Definieren Sie daher einen benutzerdefinierten Sourcetype mit explizitem Zeitstempel und einer einzelnen Regex-Extraktion für die vier Access Gate-Felder.
$SPLUNK_HOME/etc/system/local/props.conf:
[access_gate:syslog]
SHOULD_LINEMERGE = false
LINE_BREAKER = ([\r\n]+)
TIME_PREFIX = ^<\d+>\d+\s
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%6N%Z
MAX_TIMESTAMP_LOOKAHEAD = 32
EXTRACT-access_gate_fields = Log="(?<event_log>[^"]+)"\s+Mitre="(?<mitre>[^"]+)"\s+PrincipalIp="(?<src_ip>[^"]+)"\s+Rule="(?<rule>[^"]+)"
Starten Sie Splunk nach dem Bearbeiten von inputs/props neu:
sudo /opt/splunk/bin/splunk restart
Dieser Sourcetype extrahiert vier Felder aus jedem Access Gate-Ereignis:
| Feld | Quelle | Beispiel |
|---|---|---|
event_log | Log | user Alice Salmon logged in using screen CUI Access |
mitre | Mitre | ----- |
src_ip | PrincipalIp | 192.168.100.59 |
rule | Rule | Access Screen Login Attempt |
Extraktion validieren
Senden Sie mit nc ein Beispielereignis an den Input und führen Sie eine Suche durch, um die Feldextraktion zu bestätigen, bevor Sie Access Gate darauf ausrichten:
echo '<130>1 2026-04-24T20:53:10.313Z access-gate vigil 334 ALERT [context@60446 Log="user Alice Salmon logged in using screen CUI Access" Mitre="-----" PrincipalIp="192.168.100.59" Rule="Access Screen Login Attempt"]' \
| nc -q1 splunk-indexer 5514
Führen Sie in Splunk Web folgende Suche aus:
index=access_gate sourcetype="access_gate:syslog" earliest=-15m
| table _time src_ip rule event_log
Der Treffer sollte src_ip, rule und event_log mit Werten befüllt anzeigen.
Gespeicherten Alert erstellen
Führen Sie in Search & Reporting eine Suche aus, die den gewünschten Ereignissen entspricht, und wählen Sie dann Speichern als → Alert:
index=access_gate sourcetype="access_gate:syslog" rule="Access Screen Login Attempt"
- Typ: Echtzeit
- Auslösebedingung: Anzahl der Ergebnisse ist größer als 0
- Auslöseaktionen: nach Bedarf (E-Mail, Webhook, ServiceNow usw.)
Wiederholen Sie dies für jede Access Gate-Regel, die Sie in Splunk sichtbar machen möchten.
Im Dashboard überprüfen
Lösen Sie ein Anmeldeereignis über die Access Gate-Oberfläche aus. Führen Sie in Splunk folgende Suche aus:
index=access_gate earliest=-15m
| stats count by rule, src_ip
Das Access Gate-Ereignis sollte mit den extrahierten Feldern rule und src_ip erscheinen.
Verwandte Themen
- Log-Weiterleitung und SIEM-Export — Syslog-Ziel auf der Access Gate-Seite konfigurieren
- Erkennung und Alerts — was den Alert-Stream befüllt
- Systemlogs und Diagnoseinformationen — lokale Logs zur Fehlerbehebung