Access Gate reenvía sus flujos de auditoría y alertas mediante syslog (RFC 5424). Esta guía describe la configuración del lado de Splunk necesaria para ingerir esos eventos y extraer los campos estructurados de los que dependen las reglas de detección.
Requisitos previos
- Access Gate configurado para reenviar registros por syslog TCP a su indexer de Splunk (o a un heavy forwarder situado delante). Consulte Reenvío de registros y exportación a SIEM.
- Splunk Enterprise 9.x o Splunk Cloud con la posibilidad de añadir entradas y props personalizados.
- Un puerto de escucha. Los ejemplos usan
5514/TCP; usar el puerto 514 directamente requiere ejecutar Splunk como root, lo cual no es recomendable.
Abrir una entrada TCP
Añada una entrada TCP que asocie los eventos de Access Gate a un sourcetype dedicado.
$SPLUNK_HOME/etc/system/local/inputs.conf:
[tcp://5514]
sourcetype = access_gate:syslog
index = access_gate
disabled = false
Cree el índice access_gate desde Settings → Indexes → New Index antes de reiniciar Splunk para no perder los primeros eventos.
Definir el sourcetype y la extracción de campos
Access Gate emite eventos en RFC 5424 con datos estructurados. El sourcetype syslog predeterminado de Splunk solo gestiona RFC 3164; defina un sourcetype personalizado con marca de tiempo explícita y una sola extracción regex para los cuatro campos de Access Gate.
$SPLUNK_HOME/etc/system/local/props.conf:
[access_gate:syslog]
SHOULD_LINEMERGE = false
LINE_BREAKER = ([\r\n]+)
TIME_PREFIX = ^<\d+>\d+\s
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%6N%Z
MAX_TIMESTAMP_LOOKAHEAD = 32
EXTRACT-access_gate_fields = Log="(?<event_log>[^"]+)"\s+Mitre="(?<mitre>[^"]+)"\s+PrincipalIp="(?<src_ip>[^"]+)"\s+Rule="(?<rule>[^"]+)"
Reinicie Splunk tras modificar inputs/props:
sudo /opt/splunk/bin/splunk restart
El sourcetype extrae cuatro campos de cada evento de Access Gate:
| Campo | Origen | Ejemplo |
|---|---|---|
event_log | Log | user Alice Salmon logged in using screen CUI Access |
mitre | Mitre | ----- |
src_ip | PrincipalIp | 192.168.100.59 |
rule | Rule | Access Screen Login Attempt |
Validar la extracción
Envíe un evento de prueba a la entrada con nc y ejecute una búsqueda para confirmar la extracción de campos antes de apuntar el Access Gate:
echo '<130>1 2026-04-24T20:53:10.313Z access-gate vigil 334 ALERT [context@60446 Log="user Alice Salmon logged in using screen CUI Access" Mitre="-----" PrincipalIp="192.168.100.59" Rule="Access Screen Login Attempt"]' \
| nc -q1 splunk-indexer 5514
En Splunk Web, ejecute:
index=access_gate sourcetype="access_gate:syslog" earliest=-15m
| table _time src_ip rule event_log
El resultado debe mostrar src_ip, rule y event_log poblados.
Crear una alerta guardada
Desde Search & Reporting, ejecute una búsqueda que coincida con los eventos a alertar y, a continuación, Save As → Alert:
index=access_gate sourcetype="access_gate:syslog" rule="Access Screen Login Attempt"
- Type: Real-time
- Trigger condition: Number of Results is greater than 0
- Trigger actions: según necesidades (correo electrónico, webhook, ServiceNow, etc.)
Repita el proceso por cada regla de Access Gate que desee exponer en Splunk.
Comprobar en el panel
Genere un inicio de sesión desde la interfaz de Access Gate. En Splunk, ejecute:
index=access_gate earliest=-15m
| stats count by rule, src_ip
El evento de Access Gate debe aparecer con los campos rule y src_ip extraídos.
Recursos relacionados
- Reenvío de registros y exportación a SIEM — configurar el destino syslog en el lado de Access Gate
- Detección y alertas — qué alimenta el flujo de alertas
- Registros del sistema e información de diagnóstico — registros locales para resolución de problemas