¿Cómo funciona la función log Link?
Resolution
La función log Link proporciona enlaces desde datos de registro a sistemas externos (por ejemplo, problemas de tickets, sistemas de colecciones PCAP, análisis de seguridad, etc.). Los vínculos aparecen en la parte inferior de la página de detalles del registro en el visor de registros y abren la dirección URL construida en una nueva ventana del explorador.
Información del registro disponible para su uso en la construcción de la URL del enlace:
- Dirección IP de fuente src-Source
- DST-dirección IP de destino
- Puerto Sport-Source
- dport-puerto de destino
- proto-protocolo
- recvtime_YYYY-año del tiempo de recepción
- recvtime_MM-mes del tiempo de recepción
- recvtime_DD-día del tiempo de recepción
- recvtime_hh-hora del tiempo de recepción
- recvtime_mm-minuto del tiempo de recepción
- recvtime_ss-segundo del tiempo de recepción
- tiempo transcurrido (tiempo de sesión en segundos. disponible sólo para registro de tráfico, "" de lo contrario)
- Dirección: cliente a servidor o servidor a cliente (disponible para amenazas, filtrado de datos y sólo registro de URL, "" de lo contrario)
- suser-usuario de origen
- duser-usuario de destino
- szone-zona de origen
- DZone-zona de destino
- entrada-interfaz de ingreso
- interfaz salida-salida
Para activar la función de vínculo de registro, utilice los siguientes comandos de CLI:
# Set deviceconfig sistema log-Link VirusTotal. src URL https://www.VirusTotal.com/en/IP-address/{src}/Information
# Set deviceconfig sistema log-Link VirusTotal. DST URL https://www.VirusTotal.com/en/IP-address/{DST}/Information
Ejemplo de URL: https://www.VirusTotal.com/en/IP-address/91.220.163.35/Information/
Al ejecutar los comandos anteriores mediante la URL de ejemplo se crean 2 vínculos de registro con VirusTotal en la ventana de detalles del registro (uno para la IP de origen y otro para la IP de destino):
Se pueden establecer varios vínculos y todos aparecen en la parte inferior de la ventana de detalles del registro.
Nota: la configuración del vínculo de registro no se sincroniza entre pares de dispositivos en un entorno de alta disponibilidad (ha). Por lo tanto, la configuración de log Link debe realizarse manualmente en cajas activas y pasivas.