Access Gate transmet ses flux d'audit et d'alertes via syslog (RFC 5424). Ce guide décrit la configuration côté Splunk nécessaire pour ingérer ces événements et extraire les champs structurés dont dépendent les règles de détection.
Prérequis
- Access Gate configuré pour transmettre les journaux par syslog TCP vers votre indexer Splunk (ou un heavy forwarder placé en amont). Voir Transfert de logs et export SIEM.
- Splunk Enterprise 9.x ou Splunk Cloud avec la possibilité d'ajouter des entrées et des props personnalisés.
- Un port d'écoute. Les exemples utilisent
5514/TCP; utiliser le port 514 directement impose d'exécuter Splunk en root, ce qui est déconseillé.
Ouvrir une entrée TCP
Ajoutez une entrée TCP qui associe les événements Access Gate à un sourcetype dédié.
$SPLUNK_HOME/etc/system/local/inputs.conf :
[tcp://5514]
sourcetype = access_gate:syslog
index = access_gate
disabled = false
Créez l'index access_gate depuis Settings → Indexes → New Index avant de redémarrer Splunk afin de ne pas perdre les premiers événements.
Définir le sourcetype et l'extraction de champs
Access Gate émet des événements RFC 5424 avec données structurées. Le sourcetype syslog natif de Splunk ne gère que la RFC 3164 ; définissez un sourcetype personnalisé avec un timestamp explicite et une seule extraction regex pour les quatre champs Access Gate.
$SPLUNK_HOME/etc/system/local/props.conf :
[access_gate:syslog]
SHOULD_LINEMERGE = false
LINE_BREAKER = ([\r\n]+)
TIME_PREFIX = ^<\d+>\d+\s
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%6N%Z
MAX_TIMESTAMP_LOOKAHEAD = 32
EXTRACT-access_gate_fields = Log="(?<event_log>[^"]+)"\s+Mitre="(?<mitre>[^"]+)"\s+PrincipalIp="(?<src_ip>[^"]+)"\s+Rule="(?<rule>[^"]+)"
Redémarrez Splunk après modification des inputs/props :
sudo /opt/splunk/bin/splunk restart
Ce sourcetype extrait quatre champs de chaque événement Access Gate :
| Champ | Source | Exemple |
|---|---|---|
event_log | Log | user Alice Salmon logged in using screen CUI Access |
mitre | Mitre | ----- |
src_ip | PrincipalIp | 192.168.100.59 |
rule | Rule | Access Screen Login Attempt |
Valider l'extraction
Envoyez un événement de test à l'entrée avec nc et exécutez une recherche pour confirmer l'extraction des champs avant de pointer l'Access Gate :
echo '<130>1 2026-04-24T20:53:10.313Z access-gate vigil 334 ALERT [context@60446 Log="user Alice Salmon logged in using screen CUI Access" Mitre="-----" PrincipalIp="192.168.100.59" Rule="Access Screen Login Attempt"]' \
| nc -q1 splunk-indexer 5514
Dans Splunk Web, exécutez :
index=access_gate sourcetype="access_gate:syslog" earliest=-15m
| table _time src_ip rule event_log
Le résultat doit afficher src_ip, rule et event_log renseignés.
Créer une alerte enregistrée
Depuis Search & Reporting, exécutez une recherche correspondant aux événements à alerter, puis Save As → Alert :
index=access_gate sourcetype="access_gate:syslog" rule="Access Screen Login Attempt"
- Type : Real-time
- Trigger condition : Number of Results is greater than 0
- Trigger actions : selon vos besoins (e-mail, webhook, ServiceNow, etc.)
Répétez l'opération pour chaque règle Access Gate à exposer dans Splunk.
Vérifier dans le tableau de bord
Déclenchez une connexion depuis l'interface Access Gate. Dans Splunk, exécutez :
index=access_gate earliest=-15m
| stats count by rule, src_ip
L'événement Access Gate doit apparaître avec les champs rule et src_ip extraits.
Voir aussi
- Transfert de logs et export SIEM — configurer la destination syslog côté Access Gate
- Détection et alertes — ce qui alimente le flux d'alertes
- Journaux système et informations de diagnostic — journaux locaux pour le dépannage