SIEM集成

您可以使用"SIEM Integration”功能将ADAuditPlus中的数据转发到外部SIEM产品或者Syslog服务器。

可转发的内容有

• 所有ADAuditPlus中的数据（除了打印机审计报表和高级GPO报表）。
• ADAuditPlus技术员审计报表
• 告警

 

将ADAuditPlus中的数据转发到Syslog服务器

Syslog是unix系统的事件日志记录服务。您可以将数据转发到SIEM UDP或TCP接受者。

配置syslog服务器：

• Syslog daemon默认运行在udp514端口。
• 修改配置文件/etc/syslog.conf可以对默认设置进行修改。并重启Syslog daemon使生效。

在ADAuditPlus中启用syslog日志记录，步骤如下:

1. 点击“管理”→ “SIEM集成”
2. 启用“开启ADAuditPlus数据的转发”，并选择“Syslog”单选按钮。
3. 输入syslog服务器的名称。请确保syslog服务器可以和ADAuditPlus服务器进行正常通信。
4. 输入syslog服务器的端口号和协议
5. 选择syslog的标准和数据格式
6. 保存设置，选择转发的分类。

 

将ADAudit Plus中的数据转发的外部SIEM产品：Splunk HTTP

配置Splunk Http事件收集器：

• 点击“设置” → "数据输入“→ "Http事件收集器".
• 点击”新建令牌"，输入token名称（如ADAuditPlus），保留重置到默认值（如果需要）。
• 保存配置之后，会生成一个认证令牌，在ADAuditPlus中进行配置时需要用到此令牌。
• 在“HTTP事件收集器”中的“全局设置”中，启用“所有令牌”。
• 您还可以根据需要在“全局设置”中设置“http端口号”和SSL。

在ADAuditPlus中启用ADAuditPlus日志记录，步骤如下：

1. 点击“管理” → “SIEM集成”
2. 勾选"开启ADAudit Plus数据的转发"，勾选“Splunk”单选按钮。
3. 请输入Splunk服务器名称。并确保Splunk服务器和ADAuditPlus可以正常通信。
4. 输入Splunk Http事件收集器的端口号和协议
5. 输入在Splunk中为ADAuditPlus生成的令牌。
6. 保存配置，并选择转发的分类。

 

在您的SIEM产品中搜索ADAuditPlus数据。

可以在您的SIEM产品中搜索ADAudit Plus事件，并分组到报表，按需进行分类。

• 使用“SOURCE”字段，可以轻易的对ADAuditPlus事件进行分类。
• 每一个日志事件都有一个“Category”字段。在“选择要转发的分类”中为该字段定义了可用的值。
• 在“TIME_GENERATED”字段中会显示每一个事件的时间戳。
• 根据选择的不同事件分类，所过滤出的结果也不同。所以，请在您的SIEM产品中为每一个需要使用的分类创建一个正则表达式。